Форматирование флешки в FAT16, для защиты от вирусов

Кстати, интересно, что будет, если прописать правильный autorun.inf и запихать в директорию autorun 100500 вирусов? Кто кого?

Будет грязная бомба =)

Да было подобное, правда не у меня, закомый заразил свой бук вирусом Afgan-чего-то-там, так эта зараза похерила все экзешники в его системе, а ведь стоял антивирус и прочая антиспайваре...

В общем, защитить компьютер это одно, а защитить саму флешку совсем другое. Представляю, что было бы если бы я вставил флешку с таким вирусом в комп к кому-нибудь из знакомых...

В общем, я вижу надо на лазерные диски откатываться...

> или они уже научились переименовывать каталог

Угу, мне такое приносили.
Метод с http://habrahabr.ru/blogs/infosecurity/54187/ получше будет.

У меня отец помню както давно бэкапы вирусов на cd записал =))

можно сразу в btrfs/zfs тогда вирусы точно испугаются)

Представляю, что было бы если бы я вставил флешку с таким вирусом в комп к кому-нибудь из знакомых...

Ваши знакомые абсолютные нули в компьютерах? И вам не стыдно, что вы хотя бы немного им не помогли?

На самом деле, все намного хуже, большинство считает, что достаточно установленного каспера... Ну а знакомые-женщины, нули по определению, и «немного им помочь», как показывает опыт, дело очень неблагодарное :(

Ты не сможешь сделать никаких действий с этим файлом.

ren autorun.inf ololo
rmdir \\?\X:\ololo\com3

>autorun.inf/com3

Если на флешке ntfs (да-да), это не сработает.

> Если на флешке ntfs

А почему не xfs? Что за каменный век?

а вот подскажите, как бороться с одним из последствий флешечного вируса без форматирования и без винды. На флешке (и на фате и на нтфс) создается вирусом папка, которая выглядит, как «runauto...» rm удалить ее не может. В папку войти невозможно. Вообщем вообще с ней ничего сделать не получается. А вот из под винды в cmd ее можно удалить командой «rmdir runaut~1» Из FarManager с этой папкой что угодно можно делать. К примеру создать такую папку (из командной строки не помню, что-то как это сделать). Немного гуглил по этому поводу, и там попадалось, что это баг фата и нтфс. А вот как ее из линукса удалить?

От рута. Скорее всего, в именах содержатся недопустимые символы или неверная кодировка.

от рута не помогает. Это вроде бага файловой системы, судя по тому, что нагуглил. Ошибка выражается в том, что на фате и на нтфс в конце имени папки не должна содержаться точка. Кстати, очень удобный способ прятать какие-нибудь вещи от «непросвещенных» на обычном фате или на нтфс без использования прав доступа. Запихиваешь в папку документики и переименовываешь ее добавляя в конец имени точку[и] - «folder.» и все. Обычным проводником туда не зайдешь. Правда если выполнить dir folder~1 , то можно посмотреть содержимое папки и зная имя файла можно таким же образом (notepad folder~1\1.txt) открыть файл. А вот как из под линукса то же самое проделать так и не нашел решения

закомый заразил свой бук вирусом Afgan-чего-то-там

“Здравствуйте, я пакистанский вирус. По причине ужасной бедности моего создателя и низкого уровня развития технологий в нашей стране я не способен причинить какой-либо вред Вашему компьютеру. Поэтому очень прошу Вас, пожалуйста, сами сотрите какой-нибудь важный для Вас файл, а потом разошлите меня по почте другим адресатам. Заранее благодарю за понимание и сотрудничество”.

Эх, было времечко.

> или они уже научились переименовывать каталог
Угу, мне такое приносили.
Метод с http://habrahabr.ru/blogs/infosecurity/54187/ получше будет.

Вакцина от Панды работает до тех пор, пока флешку не вставишь в комп с линуксом. После того как флешку примонтирует линукс, эта «вакцина» перестает работать (файл авторан можно тупо удалить), а сама панда кричит, что флешка не вакцинирована.

Так что этот способ тоже не подходит :(

Багрепорт пишите, такого не должно быть: «атрибут 0x40 не так уж «некорректен» — он «в рамках спецификаций»».

Тред не читал, но расскажу случай с работы на эту тему.

Заставил начальник пойти к «главным» айтишникам предприятия за новыми базами нода32. Ну я и пошел. Человек тот оказался моих знакомым по спортзалу, так что все прошло хорошо, но. Когда я дал емк флэшку, и он сунул ее в комп, он авторитетно заявил, что влэшку лучше всего форматировать в нтфс, так как они тогда защищены от вирусов. На что и получил тираду о том, что нтфс гогно, винда маздай и екст3 на флешках наше все. Такие дела. Так что делай себе нтфс на флешке.

> ладно, по поводу сабжа

Просто посмотри, какого размера получился корневом каталог на отформатированной тобою флэшке. Может быть, у него лимит не 16 DirEntries (16*32=512 байт, т.е. 1 сектор - может, там округляется до ближайшего размера кластера).

Но по-любому размер корневого каталога для FAT-16 должен быть фиксирован.

Или попробуй насоздавать файлов в корне, до тех пор, пока не будет ошибки.

Zhbert, ntfs и другие фс отличные от фат не годятся, т.к. кроме компьютера ее ничто не прочитает

bigbit, а можно по подробнее?
как посмотреть этот лимит?

Посмотреть лимит можно каким-нибудь Disk Editor'ом, коих навалом под оффтопик (Acronis, WinHEX, да и старый добрый Norton Disk Editor).

Вообще нужно 16-битное слово по смещению 0x11 от начала бут-сектора(не MBR). Вот как-то так:
dd if=/dev/sdc1 skip=17 bs=1 count=16 2>/dev/null | od -txC

Итак, я попробовал:

отформатировал флешку коммандой

# mkdosfs -r 16 -F 16 /dev/sdf1

ваш пример выдает следующее

# dd if=/dev/sdf1 skip=17 bs=1 count=16 2>/dev/null | od -txC
0000000 40 00 00 00 f8 f8 00 3e 00 04 00 00 00 00 00 2a
0000020
#

под оффтопиком открыл эту флешку в WinHEX, вот скриншот

http://i.piccy.info/i5/50/24/1182450/333.jpg

как я понял, все так, как должно быть... но по чему нет эффекта, не понятно

0x40 = 64. Это и есть лимит.
Просто для достижения эффекта нужно создать чуточку больше файлов :)

т.е. округлено до размера кластера (64*32=2048), как я и предполагал...

cd /media/disk
mkdir autorun.inf
touch autorun.inf/con

от носительства тела не спасет, но от создания autorun.inf - да

Окропи святой водой ее!

создаешь в корне каталог autorun.inf, а в него каталогов com и con. все :)

Милочка, вы сегодня седативных препаратов не принимали? Выше же по топику уже ответили, причем раз пять.

О, да тут целый полк слоупоков!

Кстати, а почему нельзя создать файл autorun.inf/C:\ ?

bigbit, а можно «большее количество файлов» заменить на «большее число символов в имени файла»?

или только файлы как таковые создавать?

Конечно можно. Чем больше длина имени файла, тем больше элементов каталога он займет.

Ага, ясно. Буду экспериментировать, так чтоб обойтись 1-им - 2-мя файлами.

Спасибо.

Yeah!!! Won!!!

Итак, экспериментальным путем выяснил, что максимальное количество символов для элементов каталога в моем случае (см. команду форматирования выше) равно 768. Однако создать файл длинее 256 символов не получилось (filename is too long). В итоге я создал папку Documents и три файла-пустышки (два по 256 символов и один 247 символов). Теперь цель достигнута. В корень записать ничего нельзя :)

bigbit, еще раз спасибо ;)

JustGuest

Багрепорт пишите, такого не должно быть: «атрибут 0x40 не так уж «некорректен» — он «в рамках спецификаций»».

Написал, мне ответили, что это вполне может быть, т.к. вакцина рассчитывалась только на Windows, как самую распространенную ОС.

А вот с NTFS флешками вакцина работает без проблем, проверено.

> А вот с NTFS флешками вакцина работает без проблем

Тогда неплохо бы об этом сообщить авторам соответствующего модуля. Смена атрибутов файла без всякого повода, это не вполне нормально.

Про NTFS я в суппорт тоже написал.