सभी को नमस्कार!
आज हम ऑटोरन वायरस से फ्लैश ड्राइव के तथाकथित "इम्यूनाइज़र" और "वैक्सीनेटर" के बारे में बात करेंगे - कि वे कैसे काम करते हैं, क्या उनकी आवश्यकता है। और निश्चित रूप से, हम इस तरह के एक "टीका" बनाने के सरल तरीकों में से एक को देखेंगे।
ऑटोरन से सुपर-मेगा संरक्षण
- इस तरह के नारे के साथ ऐसे सभी कार्यक्रमों में शामिल होते हैं। बेशक: यह कहा जाता है कि कार्यक्रम फ्लैश ड्राइव पर प्रसारित किसी भी ज्ञात और अज्ञात संक्रमण का पता लगाने में सक्षम है, इसे ब्लॉक करने के लिए, और यहां तक कि फ्लैश ड्राइव पर फ़ाइल सिस्टम को एक विशेष तरीके से संशोधित करने के लिए ताकि इस तरह के संक्रमण फिर से चिपक न जाए।
इस तरह के कार्यक्रमों ने किडो बूम - फ्लैश ड्राइव के वितरण के बाद विशेष लोकप्रियता प्राप्त की। "यूटिलिटी पेयर्स" का अभद्रता इस बिंदु पर पहुंच गया कि वे कार्यक्रम के लिए पैसे मांगने लगे, तुरंत "हैकर्स" थे जिन्होंने इन कार्यक्रमों को तोड़ना शुरू कर दिया - अच्छी तरह से, बंद और चालू।
आइए अब पता करें कि ऐसा कार्यक्रम अनिवार्य रूप से क्या करता है और क्या यह समझ में आता है।
जानकारी का अनुमान
वास्तव में, अधिकांश प्रोग्राम डिस्क की जड़ में autorun.inf की उपस्थिति से फ्लैश ड्राइव को खतरनाक और "एक संक्रमण का पता लगाने" पर विचार करते हैं। हर बार जब मीडिया को माउंट किया जाता है, तो सिस्टम का ऑटोस्टार्ट फ़ंक्शन अवरुद्ध हो जाता है, और वांछित ऑटोरन.इनफ की खोज शुरू हो जाती है, और यदि उपलब्ध हो, तो चीख और कराह शुरू हो जाती है।
विशेष रूप से उन्नत कार्यक्रम खुले की उपस्थिति के लिए autorun.inf की सामग्री का विश्लेषण करने में सक्षम हैं, जिसके बाद वे मूल्य और लुक को पार्स करते हैं - क्या इस तरह से यूएसबी फ्लैश ड्राइव पर कोई फ़ाइल या फ़ोल्डर है? अगर वहाँ है, चीख बहरा हो जाएगा। लगभग सभी प्रेजेंटेशन और इंस्टॉलेशन डिस्क पर मिथ्याकरण की संख्या, जिसमें autorun.inf हर जगह से थोड़ा कम स्थित है, पूरी तरह से समझने योग्य है। विशेष रूप से "उन्नत" कार्यक्रमों में, खुले से फ़ाइलों और फ़ोल्डरों को "छिपी" विशेषता के लिए मिथ्याकरण को कम करने के लिए जाँच की जाती है। यह, ज़ाहिर है, एक बड़ी उपलब्धि है!
यह स्पष्ट है कि इस तरह के शिल्प फ़ाइल वायरस से रक्षा नहीं करेंगे: यदि यूएसबी फ्लैश ड्राइव पर लवणता से संक्रमित एक कार्यक्रम है, तो यह शुरू होने पर आपको सभी सुरक्षा को दरकिनार कर देगा। Stuxnet के साथ सनसनीखेज सौदा शोर और धूल के बिना काम करेगा - autorun.inf वहाँ बिल्कुल भी उपयोग नहीं किया जाता है। संक्षेप में, यह दुखद है।
क्या आपने खसरा का टीका लगाया है?
संक्रमित फ्लैश मीडिया से सुरक्षा के लिए कार्यक्रमों के "विशेष" लाभों में से एक माध्यम का तथाकथित "टीकाकरण" है, जिससे इसे संक्रमित करना असंभव है। टीकाकरण का सार मूल फ़ाइल सिस्टम त्रुटियों के साथ रूट में एक autorun.inf फ़ोल्डर बनाना है, जिसके परिणामस्वरूप इसे हटाया नहीं जा सकता है। इस मामले में, USB फ्लैश ड्राइव पर एक ही नाम के साथ एक फ़ाइल लिखना असंभव है, जिसका मतलब है कि मैलवेयर के ऑटोरन असंभव होगा।
काश और आह - इस विधि को एक प्राथमिकता दी जाती है: भले ही autorun.inf नहीं बनाया गया हो, अन्य सभी दुर्भावनापूर्ण फ़ाइलों को सुरक्षित रूप से कॉपी किया जाएगा और अनुभवहीन उपयोगकर्ता गलती से या बस, "यह मेरे पास क्या है, यह समझने के लिए उन्हें लॉन्च कर सकता है।"
इसके अलावा, सभी वर्णित त्रुटियों को स्वयं की सुरक्षा के लिए मैलवेयर द्वारा सफलतापूर्वक उपयोग किया जाता है (निष्पादन योग्य फाइलें अपरिहार्य फ़ोल्डरों में छिपी हुई हैं), यह विश्वास करने के लिए भोला है कि वायरस लेखकों को पता नहीं है कि वे खुद का उपयोग कैसे करते हैं।
अब, आइए देखें कि हम बिना किसी "वैक्सीनेटर" के ऐसे व्यावहारिक रूप से "अपरिहार्य" फ़ोल्डर कैसे बना सकते हैं।
अभ्यास
एक लंबे समय से पहले,
नहीं, मैंने सामान्य सेहत की शुरुआत नहीं की है, और सामान्य तौर पर मैं अभी भी युवा और सुंदर (हैलो, लड़कियों!) हूं, लेकिन मुझे यह सब याद था क्योंकि हमारा उदाहरण उन प्राचीन चालों के समान होगा।
तो, हमें इसकी आवश्यकता है:
- विनर अभिलेखागार। मैंने संस्करण 3.93 का उपयोग किया, मैं बाकी के लिए वाउच नहीं कर सकता।
- 7-ज़िप अभिलेखागार। मेरे मामले में - 9.20.04
- ओएस विंडोज एक्सपी एसपी 3
- mozg.dll सिस्टम लाइब्रेरी
- ruki.sys ड्राइवर
तो हम क्या कर रहे हैं? यह सर्वविदित है कि विंडोज पर, फ़ाइल नाम के साथ कुल पथ की लंबाई 260 वर्णों से अधिक नहीं होनी चाहिए। इसलिए, एक गहन लगाव के साथ फ़ोल्डर बनाते समय, जल्दी या बाद में आपको रोकना होगा। यह उन लोगों के लिए अच्छी तरह से जाना जाता है जो बड़े लगाव वाली साइटों से चीरते हैं - चाहे आप इसे पसंद करें या नहीं, या तो आपको फ़ोल्डर के नाम को छोटा करना होगा या क्रॉस-लिंक करना होगा। यह इस सीमा है जिसका हम उपयोग करेंगे।
डिस्क पर autorun.inf नामक एक खाली फ़ोल्डर बनाएं और इसे WinRar का उपयोग करके rar संग्रह में जोड़ें। WinRar में संग्रह खोलें - ठीक है, चलो चलते हैं। Autorun.inf के अंदर एक और फ़ोल्डर बनाएँ, फिर एक और अधिक - वांछित 260 अक्षरों में भरें। ठीक है, बहुत अंत में, संग्रह में कुछ जोड़ें - आपके पास एक खाली पाठ फ़ाइल भी हो सकती है। तो, टीका तैयार है!
यदि आप WinRar के साथ परिणामी फ़ाइल को अनझिप करने की कोशिश करते हैं, तो संग्रहकर्ता सही तरीके से डांटता है:
लेकिन यहां फ़ोल्डर संरचना को बनाए रखते हुए 7-ज़िप फ़ाइल पूरी तरह से डिकम्प्रेस करती है। कुल में - वोइला!
1. यदि फ़ोल्डर नाम और फ़ाइल नाम के साथ कुल पथ की लंबाई 260 वर्णों से अधिक है, तो ऐसा फ़ोल्डर प्रदर्शित किया जाएगा, हालांकि, फ़ाइल को खोला, कॉपी या संपादित नहीं किया जा सकता है। फ़ोल्डर को हटाया नहीं जा सकता क्योंकि फ़ाइल सिस्टम के लिए सुलभ नहीं है:
यहाँ वर्णित फ़ाइल का एक उदाहरण , किसी NTFS-विभाजन के रूट पर अनपैक करते समय देखा गया है।
2. यदि फ़ाइल नामों पर विचार किए बिना भी फ़ोल्डर नामों के साथ कुल पथ की लंबाई 260 वर्णों से अधिक है, तो आप बस फ़ाइल को स्वयं नहीं देख सकते हैं - आपको यह एक्सप्लोरर या फ़ाइल प्रबंधकों द्वारा भी नहीं मिलेगा। खैर, इसके अलावा आइटम 1 की सभी मिठाइयाँ :)
यहाँ वर्णित फ़ाइल का एक उदाहरण , किसी NTFS-विभाजन के रूट पर अनपैक करते समय देखा गया है।
प्रोस और कान्स
इस से पेशेवरों - ज्ञान और समझ! लेकिन असीम रूप से कई minuses हैं :) क्योंकि इस तरह के "संरक्षण" को आसानी से बाईपास किया जाता है। मैं तकनीकी विवरणों को लोड नहीं करूंगा, मुझे यकीन है कि जो लोग उन्हें समझते हैं वे लंबे समय तक इस लेख को नहीं पढ़ते हैं, लेकिन बीयर पीते हैं और दूसरों को तकनीकी विवरण के साथ लोड करते हैं :), दूसरे शब्दों में, अगर हम सिस्टम में कम पहुंच का उपयोग करते हैं, तो हम पूरी तरह से काम कर सकते हैं फ़ोल्डर्स के साथ और छुपी हुई फ़ाइलों के साथ।
अच्छे पुराने IceSword से यह देखना आसान है:
यह एंटी-रूटकिट पूरी तरह से फ़ोल्डर्स की पूरी संरचना को देखता है, और फोर्स डिलीट कमांड उन्हें एक चाल में हटा देता है।
IceSword अब समर्थित नहीं है, लेकिन चीनियों ने हार नहीं मानी और, मेरी राय में, बहुत सफलतापूर्वक सफलतापूर्वक XueTr एंटी-रूटकिट के साथ अवरोधन करें, जो रूसी कान के लिए अनसुना है:
- उदाहरण के लिए यह सभी समान स्वादिष्ट चीजें हैं - लाल रंग के साथ रंगा हुआ कुछ ऐसा है जो संदिग्ध है (हमारे मामले में, छिपे हुए फ़ोल्डर और एक फ़ाइल) :)
हां, वास्तव में, बहुत सारी चीजें देखी जा सकती हैं - मैंने सिर्फ दो उदाहरणों को चुना है जो निकटतम हैं।
अलग-अलग, यह उस स्थिति पर ध्यान देने योग्य है जब हमारे अपरिहार्य फ़ोल्डर में एक साधारण पाठ्यपुस्तक नहीं छिपी है, लेकिन एक मैलवेयर है। कैस्परस्की एंटी-वायरस सफलतापूर्वक एक फ़ोल्डर की सामग्री की जांच करता है, इस संग्रह की सामग्री को अनपैक करके सत्यापित करना आसान है (अंदर एक पाठ्यपुस्तक नहीं है, लेकिन ईकर) और परिणामी फ़ोल्डर की जांच कर रहा है।
लेकिन एवीजेड उपयोगिता के रूप में, सीआइएस निवासियों के बीच लोकप्रिय है, जो संक्रमित कंप्यूटरों के मैनुअल उपचार में उपयोग किया जाता है, यह यहां अधिक दिलचस्प है।
मैंने निम्नलिखित AVZ स्क्रिप्ट (पहले से उल्लेख किए गए test1.rar संग्रह का उपयोग किया गया था ) का उपयोग करके फ़ाइल को गारंटी देने और हटाने की कोशिश की:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf\Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov\Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov\Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov.txt','');
DeleteFile('D:\autorun.inf\Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov\Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov\Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov.txt');
BC_ImportAll;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
SaveLog(GetAVZDirectory+'avz_log.txt');
BC_Activate;
RebootWindows(true);
end.
कुल में, प्रत्यक्ष संगरोध और हटाना आदेश काम नहीं करते:
संगरोध त्रुटि फ़ाइल, प्रत्यक्ष पढ़ने के लिए एक प्रयास (डी: \ autorun.inf \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov.txt)
प्रत्यक्ष पढ़ने - त्रुटि का उपयोग कर संगरोध
संगरोध त्रुटि फ़ाइल, प्रत्यक्ष पढ़ने के लिए एक प्रयास (डी: \ autorun.inf \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov.txt)
प्रत्यक्ष पढ़ने - त्रुटि का उपयोग कर संगरोध
एक फ़ाइल को हटाने: डी: \ autorun.inf \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov.txt
>>> एक फ़ाइल डी हटाने के लिए: \ autorun.inf \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov.txt चाहिए रिबूट
एक स्वचालित रिबूट के बाद, BootCleaner ने काम किया, जिसने सुरक्षित संगरोध बनाया, लेकिन इसे वैसे भी हटा नहीं सका:
संगरोध पथ: \ ?? \ D: \ AWZ \ संगरोध \ 2011-01-27 \
QuarantineFile \ ?? \ डी: \ autorun.inf \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov.txt - सफल रहा
QuarantineFile \ ?? \ डी: \ autorun.inf \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov.txt - सफल रहा
DeleteFile \ ?? \ डी: \ autorun.inf \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov.txt - में विफल रहा है (0xC0000043)
- अंत -
इस प्रकार, हमने मैलवेयर की नकल की, लेकिन इसे हटा और बेअसर नहीं कर सका। इसलिए मुझे लगता है कि ओलेग ज़ैतसेव के पास अभी भी कुछ काम है :)
निष्कर्ष
इस समीक्षा में, हमने यह सुनिश्चित किया कि फ्लैश मीडिया के माध्यम से फैल रहे वायरस से सुरक्षा सुनिश्चित करने के लिए लगभग सभी मौजूदा कार्यक्रम इस सुरक्षा को पूरी तरह से प्रदान नहीं करते हैं। फ्लैश ड्राइव का "टीकाकरण" या "टीकाकरण" केवल आंशिक सुरक्षा की ओर जाता है, जिसे आसानी से गंभीर मैलवेयर द्वारा बाईपास किया जाता है।
यदि आप वास्तव में इस तरह के खतरे से सुरक्षा प्रदान करने में रुचि रखते हैं, तो मैं आपके सिस्टम पर किसी भी मीडिया के ऑटोरन को अक्षम करने की सलाह देता हूं। यह अपरिवर्तनीय रूप से किया जा सकता है (क्योंकि मैं रजिस्ट्री में डिफ़ॉल्ट सेटिंग्स को याद करने के लिए बहुत आलसी हूं :)) इस फ़ाइल में रजिस्ट्री जानकारी जोड़कर, या विशिष्ट कार्यक्रमों का उपयोग करके उल्टा कर सकते हैं, उदाहरण के लिए, यूवे सिबर से ऑटोरुनसेटिंग्स ।