!Осторожно, длиннопост!
Алоха всем. Намутил тут на днях .bat файл, который препятствует проникновению авторан-вирусов на флешку. Решил поделиться, мало ли кому поможет. Сразу прошу за какие-то технические неточности, я не спец, просто жизнь вынудила)
Маленькая предыстория:
В универе у нас на компах завелся вирусяка гадостный. Его алгоритм действий: Перебрасывает все файлы на флешке в папку, эту папку скрывает и делает системной. Потом создает ярлык на эту скрытую папку. Как правило называется "Съемный диск %буква%" или то же самое но с размером флешки. Но ярлык не простой, а золотой) Открыв флешку по ярлыку, мы запускаем вредоносный код. Т.к. текучка студентов на компах огромная, кто-то да занесет опять, несмотря на периодические чистки. Залезает вирусяка иногда других модификаций, но в целом можно считать, что одного типа. "Антивирус" подходит как правило для рабочих мест, где постоянно несут один и тот же вирус, но для иных версий файл можно модифицировать самому, ничего секретного там нет.
Вот ссылка на Яндекс диск: тык
На этом основная часть закончена, переходим к рассмотрению сути защиты.
В .zip архиве 2 файла - AVP Enable.bat и AVP Disable.bat. Запускать их надо из корня флешки. Один файл для создания файлов и папок, другой удаляет их соответственно (если зачем-либо захочется удалить). Все это хозяйство скрывается и делается системным, и на компах, настроенных по дефолту, вы ничего не увидите.
Защита строится исходя из следующего принципа, все это зашито в батник:
1) Смотрим название папки, в которую вирус перекидывает ваши файлы. Очень часто это вроде " " или "_"
2) Создаем файл с таким именем. При попытке создать папку, вирусяка получит отказ, т.к. уже есть файл с таким именем. (Если создать папку, а не файл, то вирус просто пропустить одну итерацию - облегчим ему работу)
3) Создаем папку с именем вашей флешки и расширением .lnk. Работает аналогично, вирус хочет создать ярлык (файл), а на его месте уже сидит папка. Подпапка com1 - для того, чтобы вирусяка не мог удалить наши папки. Конечно может, но специальными методами, далеко не все так заморачиваются. Delet'ом не удалишь короче.
4) Создаем следующие папки: WindowsServices\installer.vbs\com1 , \WindowsServices\helper.vbs\com1 , WindowsServices\movemenoreg.vbs\com1 . Тут ситуация аналогичная. Вирусяка записывает свои скрипты в папку WindowsServices с расширением .vbs. А мы делаем папки вместо файлов.
5) Создаем папку autorun.inf\com1
6) Ну и по опыту, создаются другие папки и файлы, в которые попадают вирусяки смежных типов.
Если что-то пошло не так:
На ярлык не клацаем, сохраняем спокойствие. Идем: Панель управления - параметры папок - вид. Убираем галку "Скрывать защищенные системные файлы" и ставим точку на "Показывать скрытые файлы, папки, диски"
На флешке должны появиться скрытые файлы и папки. Соответственно ваши файлы никуда не пропали, можете их вытащить.
Диагностика неполадок:
- Спрятались файлы, но ярлык флешки не появился. Значит вирусяка переместил данные в папку с именем, отличным от п.1), но имя ярлыка подошло. Необходимо скорректировать имя для создания файла в соответствии с именем папки.
- Файлы не спрятались, но появился ярлык флешки. Это более безобидно, т.к. не надо лишний раз искать ваши файлы. А вот ярлык удалить лучше от греха подальше. Смотрим его название, и меняем имя папки в п.3)
Перечень создаваемых папок и файлов можете посмотреть, открыв батник блокнотом, Notepad++, или любым другим редактором.
Содержание AVP Enable.bat
Содержание AVP Disable.bat