Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows 2000/XP (http://forum.oszone.net/forumdisplay.php?f=6)
-   -   [решено] Как отключить отрабатывание программ спрятаных в скрытую область на съёмном носителе? (http://forum.oszone.net/showthread.php?t=146350)

SANIOK_AV 27-07-2009 13:22 1178904
Как отключить отрабатывание программ спрятаных в скрытую область на съёмном носителе?
 
Доброго времени суток!
Сегодня столкнулся с таким:
Принесли флешку.
Тыкаю ее в комп (авторан у меня отключен в системе:
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
       
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
), после чего появляется кроме флешки ещё виртуальный сидиром с файлами: autorun.inf, LaunchPad.zip, LaunchU3.exe
Немного проанализировав ситуацию понял что это поидее сделано утилиткой завода изготовителя флешки (флешка SanDisk)
Так же попробовал отформатировать флешку, результат: флешка пустая, а виртуальный сидюк всё равно создаётся...
Я понимаю что можно поискать програмку и форматнуть так что это ПО исчезнет...
Но меня больше интересует, есть ли возможность в операционной системе отключить запуск такого ПО..., ведь таким способом возможно наверное не только заставить отработать заводские программки, но и вредноносный код... ):
Заранее благодарен!!!

Котяра 27-07-2009 14:35 1178960
SANIOK_AV, если авторан отключен правильно и полностью, ни с каких CD ничего само не запустится. Так сделано на моем компьютере.
Цитата:
Цитата SANIOK_AV
Я понимаю что можно поискать програмку и форматнуть так что это ПО исчезнет...
Но меня больше интересует, есть ли возможность в операционной системе отключить запуск такого ПО..., ведь таким способом возможно наверное не только заставить отработать заводские программки, но и вредноносный код... ): »
Да, возможно, но это скорее если Вас захотят специально протроянить... вирусов, которые создают CD на флешке, не обнаружено в природе.
Отключите полностью автозапуск и все!

SANIOK_AV 27-07-2009 15:10 1178992
Котяра, а у меня разве не правильно отключен авторан (судя по вышеприведённым ключам реестра)?
я понимаю что авторан не отработает...
меня неустраивает то что отработало какое-то ПО без моего ведома!
тоесть флешку я просто засунул....
а виртуальный СиДи создался без просу))
почему специально меня протроянить?
а что если зловред будет работать так:
анализирует что за носитель...(изготовитель, модель)
обрабатывает его чтоб создать эту скрытую "заводскую" область
и чтоб из этой области запустилось потом что надо...

может я конечно ошибаюсь...может так сделать нельзя...

Petya V4sechkin 27-07-2009 15:20 1179003
Цитата:
Цитата SANIOK_AV
меня неустраивает то что отработало какое-то ПО без моего ведома!
Это не ПО отработало, это контроллер флешки предоставил системе два HWID (один "запоминающее устройство USB", второй CD-привод).

Цитата:
Цитата SANIOK_AV
а что если зловред будет работать так:
анализирует что за носитель...(изготовитель, модель)
обрабатывает его чтоб создать эту скрытую "заводскую" область
и чтоб из этой области запустилось потом что надо...
Перепрошить контроллер? Затруднительно ему будет.

SANIOK_AV 27-07-2009 15:33 1179015
Petya V4sechkin, Спасибо!!!
а что такое HWID? просветите тёмного пожалуйста!!!
Цитата:
Цитата Petya V4sechkin
Перепрошить контроллер? Затруднительно ему будет. »
почему?

Petya V4sechkin 27-07-2009 15:50 1179025
Цитата:
Цитата SANIOK_AV
а что такое HWID?
Код (идентификатор) устройства.
Device Identification Strings

SANIOK_AV 27-07-2009 16:40 1179064
Petya V4sechkin,
Цитата:
Цитата Petya V4sechkin
Код (идентификатор) устройства.
Device Identification Strings »
Спасибо, приблизительно понял...

Ну а почему Вы считаете, что зловреду будет трудно перепрошить контроллер?

Котяра 27-07-2009 17:15 1179092
Цитата:
Цитата SANIOK_AV
а виртуальный СиДи создался без просу)) »
Это особенность флешки - ПО при этом не запускается.
Точнее написано вот:
Цитата:
Цитата Petya V4sechkin
это контроллер флешки предоставил системе два HWID »
Цитата:
Цитата SANIOK_AV
Ну а почему Вы считаете, что зловреду будет трудно перепрошить контроллер? »
Ну перепрошьет он, и что? Ну представит системе CD-привод/еще один "съемный диск"/и т.д.. Но Windows с отключенным автораном ничего не запустит.

SANIOK_AV 28-07-2009 09:51 1179596
Хитро придумали: представлять один из HWID как CD-привод... ничего с него не удалишь))
Всем огромное спасибо!!!

Petya V4sechkin 28-07-2009 09:56 1179599
SANIOK_AV, кстати, по ссылке описано применение специализированного софта для перепрошивки.

SANIOK_AV 28-07-2009 14:29 1179799
Petya V4sechkin, спасибо!
Почитаем...


Время: 19:06.

Время: 19:06.
© OSzone.net 2001-