LINUX.ORG.RU

Форматирование флешки в FAT16, для защиты от вирусов


0

3

Давно думал, как бы лучше это осуществить.. Но так, чтобы я сам мог читать/писать на флешку на любом компьютере (включая копмы с маздаями), а флешка была при этом не только не заражаемая автораном, но и не было «носительства» самого тела вируса. Наткнулся на один способ, который якобы это позволяет, вот как его описывают на форумах:

Как лишить вирус возможности создать файл autorun.inf (вообще любой файл) в корне флешки с FAT:  
    
  Втыкаем флешку в компьютер с установленным линуксом, предположим, что флешка определилась как устройство /dev/sdc1.  
  Выполняем такую последовательность команд (все данные при этом будут уничтожены!):  
   
 Код: 
  umount /dev/sdc1  
  mkdosfs -r 16 -F 16 /dev/sdc1  
  mount /dev/sdc1 /media/disk  
  cd /media/disk  
  touch `perl -e 'print "X" x 160'`  
  mkdir Documents  
  cd /  
  umount /dev/sdc1  
  
    Вынимаем флешку, втыкаем её в компьютер с виндовс. Для эстетичности устанавливаем на файл "XXXX...." атрибут "Скрытый". Свои документы храним в папке "Documents".  
    
  В чём смысл этих действий?  
  В файловой системе FAT количество элементов корневого каталога ограничено и задаётся в момент форматирования, причём файлы с длинными именами занимают несколько элементов каталога. Создав корневой каталог минимальной длины (16 элементов) и заняв почти все их длинным именем файла (160 символов X) оставшиеся занимаем папкой "Documents". Больше в корневой каталог ничего не поместится.
У меня флешка 2Гб. Сделал согласно инструкции. Но эффекта не получил :( Что это? моя ошибка ...или вышеописанный метод полная туфта?

Кстати, интересно, что будет, если прописать правильный autorun.inf и запихать в директорию autorun 100500 вирусов? Кто кого?

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от qsloqs

Да было подобное, правда не у меня, закомый заразил свой бук вирусом Afgan-чего-то-там, так эта зараза похерила все экзешники в его системе, а ведь стоял антивирус и прочая антиспайваре...

В общем, защитить компьютер это одно, а защитить саму флешку совсем другое. Представляю, что было бы если бы я вставил флешку с таким вирусом в комп к кому-нибудь из знакомых...

В общем, я вижу надо на лазерные диски откатываться...

sspphheerraa
() автор топика
Ответ на: комментарий от sspphheerraa

У меня отец помню както давно бэкапы вирусов на cd записал =))

qsloqs ★★
()
Ответ на: комментарий от sspphheerraa

Представляю, что было бы если бы я вставил флешку с таким вирусом в комп к кому-нибудь из знакомых...

Ваши знакомые абсолютные нули в компьютерах? И вам не стыдно, что вы хотя бы немного им не помогли?

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от Eddy_Em

На самом деле, все намного хуже, большинство считает, что достаточно установленного каспера... Ну а знакомые-женщины, нули по определению, и «немного им помочь», как показывает опыт, дело очень неблагодарное :(

sspphheerraa
() автор топика
Ответ на: комментарий от sin_a

Ты не сможешь сделать никаких действий с этим файлом.

ren autorun.inf ololo
rmdir \\?\X:\ololo\com3
wintrolls ☆☆
()
Ответ на: комментарий от sin_a

а вот подскажите, как бороться с одним из последствий флешечного вируса без форматирования и без винды. На флешке (и на фате и на нтфс) создается вирусом папка, которая выглядит, как «runauto...» rm удалить ее не может. В папку войти невозможно. Вообщем вообще с ней ничего сделать не получается. А вот из под винды в cmd ее можно удалить командой «rmdir runaut~1» Из FarManager с этой папкой что угодно можно делать. К примеру создать такую папку (из командной строки не помню, что-то как это сделать). Немного гуглил по этому поводу, и там попадалось, что это баг фата и нтфс. А вот как ее из линукса удалить?

deys ★★★
()
Ответ на: комментарий от ramon13666

от рута не помогает. Это вроде бага файловой системы, судя по тому, что нагуглил. Ошибка выражается в том, что на фате и на нтфс в конце имени папки не должна содержаться точка. Кстати, очень удобный способ прятать какие-нибудь вещи от «непросвещенных» на обычном фате или на нтфс без использования прав доступа. Запихиваешь в папку документики и переименовываешь ее добавляя в конец имени точку[и] - «folder.» и все. Обычным проводником туда не зайдешь. Правда если выполнить dir folder~1 , то можно посмотреть содержимое папки и зная имя файла можно таким же образом (notepad folder~1\1.txt) открыть файл. А вот как из под линукса то же самое проделать так и не нашел решения

deys ★★★
()
Ответ на: комментарий от sspphheerraa

закомый заразил свой бук вирусом Afgan-чего-то-там

“Здравствуйте, я пакистанский вирус. По причине ужасной бедности моего создателя и низкого уровня развития технологий в нашей стране я не способен причинить какой-либо вред Вашему компьютеру. Поэтому очень прошу Вас, пожалуйста, сами сотрите какой-нибудь важный для Вас файл, а потом разошлите меня по почте другим адресатам. Заранее благодарю за понимание и сотрудничество”.

Эх, было времечко.

Macil ★★★★★
()
Ответ на: комментарий от JustGuest

> или они уже научились переименовывать каталог
Угу, мне такое приносили.
Метод с http://habrahabr.ru/blogs/infosecurity/54187/ получше будет.

Вакцина от Панды работает до тех пор, пока флешку не вставишь в комп с линуксом. После того как флешку примонтирует линукс, эта «вакцина» перестает работать (файл авторан можно тупо удалить), а сама панда кричит, что флешка не вакцинирована.

Так что этот способ тоже не подходит :(

sspphheerraa
() автор топика
Ответ на: комментарий от sspphheerraa

Багрепорт пишите, такого не должно быть: «атрибут 0x40 не так уж «некорректен» — он «в рамках спецификаций»».

JustGuest
()

Тред не читал, но расскажу случай с работы на эту тему.

Заставил начальник пойти к «главным» айтишникам предприятия за новыми базами нода32. Ну я и пошел. Человек тот оказался моих знакомым по спортзалу, так что все прошло хорошо, но. Когда я дал емк флэшку, и он сунул ее в комп, он авторитетно заявил, что влэшку лучше всего форматировать в нтфс, так как они тогда защищены от вирусов. На что и получил тираду о том, что нтфс гогно, винда маздай и екст3 на флешках наше все. Такие дела. Так что делай себе нтфс на флешке.

Zhbert ★★★★★
()
Ответ на: комментарий от sspphheerraa

> ладно, по поводу сабжа

Просто посмотри, какого размера получился корневом каталог на отформатированной тобою флэшке. Может быть, у него лимит не 16 DirEntries (16*32=512 байт, т.е. 1 сектор - может, там округляется до ближайшего размера кластера).

Но по-любому размер корневого каталога для FAT-16 должен быть фиксирован.

Или попробуй насоздавать файлов в корне, до тех пор, пока не будет ошибки.

bigbit ★★★★★
()
Ответ на: комментарий от bigbit

Zhbert, ntfs и другие фс отличные от фат не годятся, т.к. кроме компьютера ее ничто не прочитает

bigbit, а можно по подробнее?
как посмотреть этот лимит?

sspphheerraa
() автор топика
Ответ на: комментарий от sspphheerraa

Посмотреть лимит можно каким-нибудь Disk Editor'ом, коих навалом под оффтопик (Acronis, WinHEX, да и старый добрый Norton Disk Editor).

Вообще нужно 16-битное слово по смещению 0x11 от начала бут-сектора(не MBR). Вот как-то так:
dd if=/dev/sdc1 skip=17 bs=1 count=16 2>/dev/null | od -txC

bigbit ★★★★★
()
Ответ на: комментарий от bigbit

Итак, я попробовал:

отформатировал флешку коммандой

# mkdosfs -r 16 -F 16 /dev/sdf1

ваш пример выдает следующее

# dd if=/dev/sdf1 skip=17 bs=1 count=16 2>/dev/null | od -txC
0000000 40 00 00 00 f8 f8 00 3e 00 04 00 00 00 00 00 2a
0000020
#

под оффтопиком открыл эту флешку в WinHEX, вот скриншот

http://i.piccy.info/i5/50/24/1182450/333.jpg

как я понял, все так, как должно быть... но по чему нет эффекта, не понятно

sspphheerraa
() автор топика
Ответ на: комментарий от bigbit

т.е. округлено до размера кластера (64*32=2048), как я и предполагал...

bigbit ★★★★★
()
cd /media/disk
mkdir autorun.inf
touch autorun.inf/con

от носительства тела не спасет, но от создания autorun.inf - да

g1itch
()

Окропи святой водой ее!

Dimanc ★★
()

создаешь в корне каталог autorun.inf, а в него каталогов com и con. все :)

VladimirMalyk ★★★★★
()
Ответ на: комментарий от Sylvia

Милочка, вы сегодня седативных препаратов не принимали? Выше же по топику уже ответили, причем раз пять.

unanimous ★★★★★
()
Ответ на: комментарий от unanimous

bigbit, а можно «большее количество файлов» заменить на «большее число символов в имени файла»?

или только файлы как таковые создавать?

sspphheerraa
() автор топика
Ответ на: комментарий от sspphheerraa

Yeah!!! Won!!!

Итак, экспериментальным путем выяснил, что максимальное количество символов для элементов каталога в моем случае (см. команду форматирования выше) равно 768. Однако создать файл длинее 256 символов не получилось (filename is too long). В итоге я создал папку Documents и три файла-пустышки (два по 256 символов и один 247 символов). Теперь цель достигнута. В корень записать ничего нельзя :)

bigbit, еще раз спасибо ;)

sspphheerraa
() автор топика
Ответ на: комментарий от JustGuest

JustGuest

Багрепорт пишите, такого не должно быть: «атрибут 0x40 не так уж «некорректен» — он «в рамках спецификаций»».

Написал, мне ответили, что это вполне может быть, т.к. вакцина рассчитывалась только на Windows, как самую распространенную ОС.

А вот с NTFS флешками вакцина работает без проблем, проверено.

sspphheerraa
() автор топика
Ответ на: комментарий от sspphheerraa

> А вот с NTFS флешками вакцина работает без проблем

Тогда неплохо бы об этом сообщить авторам соответствующего модуля. Смена атрибутов файла без всякого повода, это не вполне нормально.

JustGuest
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.