[Vitac_Black]

Цитата Amigos:

Если на винте созданы блокирующие файлы, то у неё это не получится, и при попытке удаления будет выводится ошибка "диск защищен от записи". »

Под управлением Вин ХР этого не происходит. Проверял лично.

Цитата Amigos:

файл System Volume Information на "нормальном", стационарном винте (а возможно и на переносном, если он подключен в момент загрузки Windows) приводит к скрытию вкладки "востановление системы" в "свойствах компьютера", и возможно, блокирует запись инфы для востановления в папки System Volume Information\ на других винтах »

Проверю и отпишу.
ЗЫ под Вин Vista и 7 восстановление системы включено только на системный диск. Другие разделы и HDD в том числе подключенные через USB восстановление системы не затрагивает.

[Vitac_Black]

Цитата Amigos:

и возможно, блокирует запись инфы для востановления в папки System Volume Information\ на других винтах »

Этого не происходит, проверял сегодня лично на вин ХР.

[ShaddyR]

Цитата Vitac_Black:

Как бы ещё переносной HDD Read Only сделать, чтоб вири не цеплялись к exe файлам и папки не трогали »

TrueCrypt тебе в помощь... если не разберешься - есть тема о защите флеш - диска от виров, можем обсудить там.

[Vitac_Black]

Цитата Amigos:

Цитата Vitac_Black: можно ли запретить другим компьтерам писать туда что-либо. » да. удалите любым способом папки System Volume Information и RECYCLER создайте файлы небольшого размера с такими же именами, и положите их в корень диска. пока эти файлы там лежат, папки создать никто не сможет, даже система восстановления »

Для Win 7 пришлось "сделать" файл $RECYCLE.BIN. Теперь все 4 файла занимают 108 байт.

[severagent007]

Vitac_Black, а нельзя просто к этим папкам запретить доступ учётке систем на вкладке безопастность?

[ShaddyR]

Цитата severagent007:

нельзя просто к этим папкам запретить доступ учётке систем на вкладке безопастность? »

можно... для текущего компутера. Только остальным этот запрет не указ.

[Petya V4sechkin]

Цитата ShaddyR:

для текущего компутера. Только остальным этот запрет не указ.

Вообще говоря, учетка SYSTEM имеет одинаковый SID = S-1-5-18 на любом компьютере. Аналогичная ситуация с большинством встроенных учеток и групп, список в статье KB243330.

[ShaddyR]

Цитата Petya V4sechkin:

учетка SYSTEM имеет одинаковый SID = S-1-5-18 на любом компьютере »

угу. Только вот запрет доступа к файлу для System и Администраторы одной машины не мешает менять его на другой - где SID'ы как бы те же.

[Vitac_Black]

Цитата severagent007:

а нельзя просто к этим папкам запретить доступ учётке систем на вкладке безопастность? »

Пробовал,

Цитата Vitac_Black:

Отправлено: 23:46, 21-01-2008 »

Чего только не пробовал.

[myhouse_1991]

Цитата Vitac_Black:

Как бы ещё переносной HDD Read Only сделать, чтоб вири не цеплялись к exe файлам и папки не трогали. Само собой не для всех машин. На "домашней" системе Read only не нужен.

Убираешь все права доступа. Добавляешь ИНТЕРАКТИВНЫЕ (грубо говоря это пользователи, который использует человек для работы), ставишь право доступа на чтение (и при желании выполнение, если хочется EXE и прочие исполняемые файлы запускать с других машин). Добавляешь свою учётную запись (у него всегда уникальный SID, если ты не клонировал машину) и ставишь полный доступ, а также ставишь владельцем этих файлов на себя. Теперь если вирус будет пытаться обычными способами что-либо изменить - получит отказ в доступе.
Также следует учесть, что загрузочный диск LiveCD обычно использует учетную запись SYSTEM, который является неинтерактивным пользователем - получишь отказ в доступе и придется делать дополнительные телодвижения.

Цитата Vitac_Black:

Администраторы одной машины не мешает менять его на другой

Имеется в виду группа Администраторы или встроенный пользователь с именем Администратор? Если 2 вариант, то его SID всегда генерируется при установки Windows.

Цитата myhouse_1991:

Теперь если вирус будет пытаться обычными способами что-либо изменить - получит отказ в доступе.

Теперь что означают нестандартные способы (не работают, если пользователь с ограниченными правами):
1) Использование прав "Архивирование файлов и папок" (SeBackupPrivilege в состоянии ENABLED) - игнорирует права доступа и позволяет считывать данные.
2) Использование прав "Восстановление файлов и папок" (SeRestorePrivilege в состоянии ENABLED) - игнорирует права доступа и позволяет записывать данные.
3) Использование прав "Овладение файлами или иными объектами" (SeTakeOwnershipPrivilege в состоянии ENABLED) - игнорирует права доступа и позволяет стать владельцем файла.
4) Использование низкоуровневого доступа.
Посмотреть, включено ли данное право доступа, как SeBackupPrivilege, SeRestorePrivilege и т.д. можно через Process Explorer от Sysinternals (заходишь в свойства процесса>Security)

Первые 3 права доступа можно убрать у группы Администраторы, но если вирус работает от неинтерактивного пользователя SYSTEM, то в Windows XP ты его права не ограничишь - придется лишь надеяться на то, что вирус не использует низкоуровневый доступ и не включил SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege.