Naprawa dysków i pamięci Flash, SD i in.

[Kasprzak]

Zapobieganie infekcji z pendrive i flash

Dyski wymienne typu pendrive, dyski zewnętrzne, karty pamięci to potencjalne źródła szkodników infekujących system, które są bardzo
łatwo przenoszone za sprawą domyślnie włączonych funkcji w Windows >>> Autoodtwarzania i Autouruchamiania. Po podłączeniu niezabezpieczonego dysku do zainfekowanego komputera pliki szkodników są automatycznie kopiowane na ten dysk. Następnie podłączając taki dysk infekujemy kolejny system w sposób automatyczny. Dlatego ważne jest zabezpieczenie systemu i dysków wymiennych przed tego typu infekcjami.
Etapy zabezpieczania:
Najpierw zabezpieczamy system – skan antywirusem, następnie ochrona przez zastosowanie wymienionych metod. Następnie podpinamy dyski wymienne, skanujemy je antywirusem, a na koniec je zabezpieczamy.
Wyłączenie funkcji Autoodtwarzania „Autoplay”
Wyłączenie funkcji Autoodtwarzania „Autoplay” likwiduje pojawianie się okienka akcji AutoPlay, przez co dyski same nie startują. Jednak
domyślnie występuje tutaj defekt, ponieważ system po włożeniu dysku i tak wyszukuje plik autorun.inf i potrafi go wykonać. Rozwiązaniem
jest instalacja łatki: KB967715. Dopiero teraz wyłączenie Autoodtwarzania będzie skuteczne.
Tutorial: włączanie / wyłączanie Autoodtwarzania (Autoodtwarzanie „Autoplay”)
Windows 7: w tej edycji Windows kompletnie usunięto funkcję autorun dla dysków USB, pozostawiając tylko dla dysków wymiennych
typu CD/DVD. Funkcję tą można wprowadzić do Windows XP / Vista poprzez instalację łatki KB971029.
Ochrona przez niekasowalne foldery/pliki „autorun.inf”
Narzędzia tworzą na dysku ukryty folder autorun.inf, który uniemożliwia szkodliwym plikom autorun.inf zapisać się bezpośrednio w root dysku – infekcja nie może tam umieścić swojego autorun.inf – (domyślnie w Windows plik mający taką samą nazwę jak katalog próbuje się automatycznie zapisywać w katalogu o tej samej nazwie a nie obok, a pliki autorun.inf działają tylko w root dysku). Folder zawiera
element z zastrzeżoną nazwą, którego nie można normalnie usunąć, ale bez przeszkód można zmienić jego nazwę, przez co łatwo można
pozbawić się ochrony. Aby temu zapobiec (tylko na dyskach NTFS) odbieramy folderowi uprawnienia dla wszystkich kont: PPM na
folderze –> Właściwości –> karta Zabezpieczenia > w sekcji Odmów zaznaczamy Pełna kontrola. Po pozbawieniu się wszelkich uprawnień
nikt nie jest w stanie nic zrobić z tym folderem. Jedynym rozwiązaniem jest rekonfiguracja zestawu uprawnień.
Ręczne utworzenie ochronnego folderu
Aby ręcznie stworzyć taki folder możemy wykorzystać plik wsadowy BAT, uruchamiając go w root każdego dysku.
Oto wpis tego pliku (skopiuj ten wpis do notatnika i zapisz jako zabezpiecz.bat):
MD autorun.inf
CD autorun.inf
MD .con
CD
ATTRIB autorun.inf +R +H +S
Tekst wklejamy do notatnika i zapisujemy jako „zabezpiecz.bat” (nazwę con możemy zastąpić inną z nazw zastrzeżonych). Po uruchomieniu
zostanie utworzony folder autorun.inf z blokującym elementem CON, dodatkowo na folder nałożone zostaną atrybuty tylko do odczytu, ukryty + systemowy.
Automatyczne utworzenie folderu
Możemy wykorzystać aplikacje: USBFix, USB-set, Autorun Protector (sekcja Device Protection), Panda USB Vaccine (USB Vaccination), MKV.
Usuwanie utworzonych folderów:
MKV download: najnowsza wersja, MKV.zip
aplikacja umożliwia tworzenie ochronnych folderów (sekcja Vacciner) a także ich usuwanie (sekcja Supprimer la vaccination). Usuwa
foldery tworzone przez USBFix, Flash Disinfector, Autorun Protector, nie działa na zabezpieczenia Panda USB Vaccine.

Innymi sposobami są:
- użycie Linuxa np. Parted Magic
- użycie aplikacji DirectoryFixer
Po skasowaniu tego pliku folder autorun.inf zostaje odblokowany i można usunąć go ręcznie.
- kasacja z wiersza poleceń z użyciem formułki z omijaniem nazw zastrzeżonych: instrukcja
Ochrona przez wyłączenie odczytu plików autorun.inf
Auto uruchamianie „Autorun” – możliwość automatycznego wykonywania programu z dysków, potrzebne są tutaj pliki autorun.inf, w
których zapisane jest jaki program ma się uruchomić.
Najprostszy plik autorun wygląda tak – wpis open=program.exe określa, który program ma się automatycznie uruchomić:
[autorun]
open=program.exe

Metoda ta jest bardzo skuteczna (system nie rozumie, co to jest plik autorun.inf więc nie może go wykonać), ale nie uruchomią się żadne
pliki autorun.inf, np. na płytkach gier czy oprogramowania. Pamięci typu U3 przestaną działać (ich LaunchPad wymaga używania
autorun.inf). W tej sytuacji lepszą alternatywą jest ochrona przez niekasowalne foldery/pliki „autorun.inf”.
Aby zdeaktywować rozpoznawanie plików autorun.inf modyfikujemy rejestr poprzez import podanych wpisów:
Wyłączenie funkcji Autorun
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingAutorun.inf]
@="@SYS:DoesNotExist"

Włączenie funkcji Autorun
Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingAutorun.inf]

Wklejamy do notatnika tekst,
Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG Wprowadź wartość do rejestru poprzez
dwuklik. W obu przypadkach – po wykonaniu restart komputera.
Dla wygody można pobrać gotowe pliki REG do zaimportowania: Enabled_disabled_autorun.zip
Można to także zrobić automatycznie używając aplikacji:
- Autorun Protector (w sekcji PC Protection)
- Panda USB Vaccine (w sekcji Computer Vaccination)
Usunięcie mapowania z klucza MountPoints2
HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2
Klucz przechowuje informacje dotyczące różnych urządzeń USB, które były używane na komputerze. Można całkowicie usunąć ten klucz,
po resecie komputera klucz się samoczynnie zrekonstruuje. Automatycznie można to zrobić w Autorun Protector, funkcja „Clear
MountPoints2 Registry”.
Można także odebrać uprawnienia dla tego klucza, instrukcja.
Fix naprawiający pokazywanie się ukrytych plików
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHi​ddenSHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSu​perHiddenPolicyDontShowSuperHidden]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSu​perHiddenPolicyDontShowSuperHidden]
@=""
Infekcje wykorzystujące lukę w przetwarzaniu plików .lnk (skrótów)
Nowy rodzaj infekcji wykorzystuje błąd w przetwarzaniu plików .lnk (skróty), a nie jak większość tego typu szkodników korzystających z
możliwości pliku autorun.inf . Dziura istnieje w bibliotece shell32.dll, w kodzie odpowiedzialnym za wyświetlanie ikon skrótów (plików
LNK). Otóż dla pliku LNK można wskazać plik z ikonką, takim plikiem może być biblioteka DLL lub inny program. Mamy wówczas sytuację,
że już same wyświetlenie skrótu, na przykład do panelu sterowania, może automatycznie uruchamiać dowolny program na prawach
użytkownika. Jeśli użytkownik ma prawa administratora możliwe jest zainstalowanie w systemie rootkita.
Aby zostać zainfekowanym, wystarczy podłączyć tylko zainfekowany dysk przenośny jeśli autoodtwarzanie jest włączone lub wyświetlić
zawartość dysku USB za pomocą dowolnego programu, który automatycznie pokazuje ikonki plików (np. Total Commander czy Windows
Explorer), jeśli autoodtwarzanie jest wyłączone.
Objawy:
foldery na dysku zostają ukryte poprzez nałożenie atrybutów ukryty + systemowy, a w zamian pojawiają się skróty o nazwach katalogów,
lecz nie prowadzące do nich, tylko do infekujących plików (PPM >>> właściwości >>> element docelowy).

Zapobieganie:
instalacja łaty eliminującej lukę w przetwarzaniu skrótów: KB2286198
Biuletyn zabezpieczeń firmy Microsoft MS10-046 – krytyczny
Leczenie:
jeżeli nie zainstalowaliśmy łaty i zostaniemy zainfekowani musimy wykonać kolejne działania:
1. instalacja łaty – bez łaty leczenie może być nieskuteczne
2. usunięcie infekujących plików oraz plików .lnk (skrótów) jak przy normalnej infekcji
3. zdjęcie atrybutów ukryty + systemowy z katalogów, aby foldery stały się widoczne
Przykład:
H:
del /s H:*.lnk
attrib /d /s -s -h H:*
RD /S /Q H:RECYCLER
RD /S /Q H:$RECYCLE.BIN
REG DELETE "HKCUsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{78db02ca-f409-11df-bbcf-001485361ff2}" /f
pause
Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik
Przydatne narzędzia:
Wykorzystując specjalne aplikacje można powyższe czynności wykonać w sposób automatyczny.
Aktualizacja: w osobnym wpisie opisane są rozbudowane aplikacje USBFix i USB-set.
Panda USB Vaccine
Licencja: freeware
Platforma: Windows 2000/XP/Vista/7
aplikacja do ochrony przed infekcjami z dysków przenośnych. Podczas instalacji wybieramy opcję instalacji strażnika rezydentnego,
określamy czy szczepienie urządzeń ma być wykonywane automatycznie oraz obsługę szczepienia systemu plików NTFS.
Po uruchomieniu narzędzie ma dwie sekcje:
Computer Vaccination – ochrona poprzez wyłączenie odczytu plików autorun.inf, metody opisywanej wyżej.
USB Vaccination tworzy niekasowalny plik autorun.inf na dyskach przenośnych USB (nie obsługuje twardych) sformatowanych w FAT /
FAT32 / NTFS zapobiegając jego odczytowi, modyfikacji, kasacji oraz generowaniu nowego. Aplikacja ma inną metodę tworzenia
obiektów:
- na FAT: plik jest widoczny, ale nie da się usunąć
- na NTFS: na dysku nie widać pliku autorun.inf, ale nie można go na nim utworzyć (błąd „taka nazwa już istnieje”)
Jest to najskuteczniejsze zabezpieczenie dla USB.
Wersja portable – Panda USB Vaccine 1.0.1.4 Portable

Autorun Protector
Licencja: freeware
Platforma: Windows + .NET Framework 2.0
Sekcja PC Protection – wyłączenie funkcji Autorun w Windows poprzez metodę klucza IniFileMapping (wyłączenie odczytu plików
autorun.inf przez system). Dodatkowo funkcja „Clear MountPoints2 Registry” – czyszczenie zawartości cache urządzeń USB.
Sekcja Device Protection – tworzenie niekasowalnych folderów autorun.inf na wykrytych dyskach.

No Autorun
Licencja: Open source
aplikacja monitoruje każdy podłączany dysk USB i blokuje znajdujące się na nim plik autorun.inf wraz z zapisanymi w nim plikami
wykonywalnymi. Po wykryciu pliku autorun.inf wyświetlane jest okienko z wyborem akcji. Do czasu podjęcia stosownej akcji pliki nie
mogą się wykonać i nie zaszkodzą systemowi, nie można także ich usuwać z poziomu Explorera. Aby usunąć wszystkie pliki wybieramy
Delete Autorun Files / Delete All. Pojedyncze pliki kasujemy Delete. Przyciskiem Unlock zdejmujemy blokadę z plików i mamy do nich
dostęp. Quarantine – kwarantanna.
Opcja „USB disk soft write protect” pozwala na zablokowanie zapisu na każdym nowo podłączanym dysku USB, który będzie tylko do
odczytu. Jest to przydatne, gdy komputer jest już zakażony, ale nie chcesz rozprzestrzeniać wirusa.

Wybierając Config mamy dostęp do konfiguracji:
auto start with system – automatyczny start z systemem
disable autorun – opcja wyłącza funkcje autoodtwarzania Autoplay
when a usb disk is inserted, safely open the disk folder – opcja pozwala na bezpieczne otwarcie folderu dysku USB po określonym czasie
w sekundach
lock autorun.inf file when it contains more than 4 lines. ( prevent potential parsing error.) – blokada pliku autorun.inf, jeśli zawiera więcej
niż 4 linie. (zapobiega potencjalnym błędom parsowania)
Download: najnowsza wersja (nie wymaga instalacji, typ portable; przed uruchomieniem wkleić w pusty plik NoAutorun.ini:
[system]
auto_start=0
start_as_task=0
auto_check_updates=0

USB WriteProtector
aplikacja blokuje możliwość zapisu oraz kasowania danych na urządzeniach podłączonych do portu USB (możliwe jest tylko kopiowanie i
odtwarzanie plików). Aplikację najlepiej uruchomić prosto z dysku USB, wówczas nie potrzeba restartować komputer. Po uruchomieniu
zaznaczamy opcję Ochrona zapisu USB włączona. Aby ochrona została uaktywniona musimy odłączyć i ponownie podłączyć urządzenie.
Aby umożliwić zapis zaznaczamy Ochrona zapisu USB wyłączona.
Download: najnowsza wersja

---

Operacje na plikach i folderach w wierszu poleceń
-APPEND: Pozwala programom otwierać pliki danych w określonych katalogach tak jak w bieżącym katalogu. APPEND [[dysk:]ścieżka[;...]] [/X[:ON | :OFF]] [/PATH:ON | /PATH:OFF]

-ASSOC: Wyświetla lub modyfikuje skojarzenia rozszerzeń plików ASSOC [.roz[=[typ_pliku]]] .roz

-ATTRIB: Wyświetla lub zmienia atrybuty plików

-CD: Wyświetla nazwę biezącego katalogu lub zmienia go. CHDIR [/D] [dysk:][ściezka] CHDIR [..]
CD [/D] [dysk:][ściezka]
CD [..] .. Określa, e chcesz przejść do katalogu nadrzędnego. Wpisz CD dysk:, aby wyświetlić biezący katalog na określonym dysku.

-CHDRIR: Wyświetla nazwę biezącego katalogu lub zmienia go. CHDIR [/D] [dysk:][ściezka]
CHDIR [..]
CD [/D] [dysk:][ściezka]
CD [..] .. Określa, e chcesz przejść do katalogu nadrzędnego. Wpisz CD dysk:, aby wyświetlić biezący katalog na określonym dysku. Wpisz CD bez parametrów, aby wyświetlić biezący dysk i katalog. U yj opcji /D, aby wraz ze zmianą biezącego katalogu na dysku zmienić bieżący dysk. Przy włączonych rozszerzeniach poleceń polecenie CHDIR zmienia się następująco: Ciąg katalogu bieżącego jest konwertowany w celu u ywania ciągu, takiego jak nazwy dyskowe. Polecenie CD C:\TEMP ustawi wtedy katalog biezący na C:\Temp, jeśli występuje na dysku. Polecenie CHDIR nie traktuje spacji jako ograniczników, mozna więc u yć polecenia CD dla nazwy podkatalogu, która zawiera spację bez otaczających nazwę cudzysłowów. Na przykład: cd
\winnt\profiles\nazwa_uzytkownika\programy\menu start znaczy to samo co: cd
"\winnt\profiles\nazwa_uzytkownika\programy\menu start" uzywane wtedy, gdy rozszerzenia są wyłączone.

-COMP: Porównuje zawartości dwóch plików lub zestawów plików.

-COPY: Kopiuje pliki w inne miejsce. COPY [/D] [/V] [/N] [/Y | /-Y] [/Z] [/A | /B] źródło [/A | /B] [+ źródło [/A | /B] [+ ...]] [cel [/A | /B]] źródło Określa pliki do skopiowania.

-DEL: Usuwa pliki. DEL [/P] [/F] [/S] [/Q] [/A[[:]atrybuty]] nazwy
ERASE [/P] [/F] [/S] [/Q] [/A[[:]atrybuty]] nazwy nazwy Określa listę plików lub folderów.

-DIR: Wyświetla listę plików i podkatalogów w katalogu. DIR
[dysk:][ściezka][nazwa_pliku] [/A[[:]atrybuty]] [/B] [/C] [/D] [/L] [/N] [/O[[:]sortowanie]] [/P] [/Q] [/S] [/T[[:]pole_czasowe]] [/W] [/X] [/4] [dysk:][ście ka][nazwa_pliku]
Określa dysk, katalog lub pliki do wyświetlenia. /A Wyświetla pliki z określonymi atrybutami.

-ERASE: Usuwa pliki. DEL [/P] [/F] [/S] [/Q] [/A[[:]atrybuty]] nazwy
ERASE [/P] [/F] [/S] [/Q] [/A[[:]atrybuty]] nazwy nazwy Określa listę plików lub folderów. Aby usunąć wiele plików na raz, u yj symboli wieloznacznych.

-FIND: Szuka ciągu znaków w pliku lub wielu plikach.

-FINDSTR: Wyszukuje ciągów w plikach

-MD: Tworzy katalog. MKDIR [dysk:]ściezka
MD [dysk:]ściezka Przy włączonych rozszerzeniach poleceń polecenie MKDIR zmienia się następująco: W razie potrzeby polecenie MKDIR tworzy wszystkie pośrednie katalogi w ściezce.
Na przykład, przyjmując, e \a nie istnieje wtedy polecenie: mkdir \a\b\c\d odpowiada poleceniom: mkdir \a
chdir \a ; mkdir b; chdir b; mkdir c; chdir c
mkdir d które nale y wpisać, jeśli rozszerzenia są wyłączone.

-MKDIR: Tworzy katalog. MKDIR [dysk:]ściezka MD [dysk:]ściezka Przy włączonych rozszerzeniach poleceń polecenie MKDIR zmienia się następująco: W razie potrzeby polecenie MKDIR tworzy wszystkie pośrednie katalogi w ściezce.

-MOVE: Przenosi pliki i zmienia nazwy plików i katalogów. Aby przenieść jeden lub więcej plików:
MOVE [/Y | /-Y] [dysk:][ściezka]nazwa_pliku1[,...] cel Aby zmienić nazwę katalogu:
MOVE [/Y | /-Y] [dysk:][ściezka]katalog1 katalog2 [dysk:][ście ka]nazwa_pliku1
Określa ściezkę i nazwy plików do przeniesienia. cel Określa nową lokalizację plików.

-PRINT: Drukuje plik tekstowy. PRINT [/D:urządzenie]
[[dysk:][ściezka]plik[...]] /D:urządzenie Określa urządzenie do drukowania.

-PUSHD: Zachowuje bie ący katalog dla polecenia POPD, a następnie przechodzi do określonego katalogu.

-RD: Usuwa katalog. RMDIR [/S] [/Q] [dysk:]ściezka
RD [/S] [/Q] [dysk:]ściezka /S Usuwa wraz z określonym katalogiem wszystkie katalogi i pliki w nim umieszczone. Stosuje się do usuwania drzewa katalogów.

-REN: Zmienia nazwy plików. RENAME [dysk:][ście ka]nazwa_pliku1 nazwa_pliku2. replace Zamienia pliki. REPLACE [dysk1:][ście ka1]plik [dysk2:][ściezka2] [/A] [/P] [/R] [/W]

-RMDIR: Usuwa katalog. RMDIR [/S] [/Q] [dysk:]ścieżka

-XCOPY: Kopiuje pliki i drzewa katalogów.

---

Wykaz skrótów klawiaturowych stosowanych w systemach Windows

Nie można zamieszczać obrazków, tylko linki do nich:
eduprojekt.ugu.pl/images/skroty_win.png