Перейти к публикации
СофтФорум - всё о компьютерах и не только
akoK

Автозапуск на устройствах

Автор: akoK, в Сетевая безопасность

Рекомендованные сообщения

akoK    44

akoK
Опубликовано: (изменено)

Автозапуск на устройствах, и как с ним бороться

Автозапуск часто не причина заражения, а один из мощных способов через которых зловред выживает, так как ему регистрироваться в системе не надо через 'классические' ключи в реестре. Так как у большинство юзеров автозапуск включён (удобно же), успех - гарантирован. Как отключить этот механизм?

1 + 2 - классический подход - отключить через политики Windows.

3, 4, 5 - закрытие дыр в 1+2.

1) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Cdrom

Установить значение параметра AutoRun равным 0 и перезагрузиться.

d62520ba59b1.jpg

2) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

'NoDriveTypeAutoRun' (dword) Значение ff (шестнадцатеричная) или 255 (десятичная)

Настройки в HKEY_CURRENT_USER таким образом игнорируются, но можно и там такой ключ создать если вы хотите для убедительности.

65b8c493580c.jpg

3) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf

Дать строковому параметру 'По умолчанию' (типа REG_SZ) значение

@SYS:DoesNotExist

Таким образом Windows думает, что autorun.inf нет вообще на компе и злостные команды для запуска зловредов в файле autorun.inf не выполняются.

6fe6fe2d2c03.jpg

[P.S.:

@ = Данный символ блокирует чтение файла .INI, если запрашиваемые данные не найдены в системном реестре.

SYS: = Данный префикс обозначает раздел 'HKEY_LOCAL_MACHINE\Software', текст после этого префикса соответствует данному ключу.]

4) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files

Создать строковый параметр типа REG_SZ с названием

*.*

(так как здесь указываются ТЕКСТОВЫЕ ПАРАМЕТРЫ ФАЙЛОВ, КОТОРЫЕ НЕ ДОЛЖНЫ 'АВТО-ЗАПУСКАТЬСЯ', мы поставим *.* - это значит 'любой'). Значение задать не надо.

573eeb831b98.jpg

P.S. ВАЖНО: надо это делать после того, как убедились, что комп - чист, и ПОСЛЕ ТОГО, как мы удалили ключ MountPoints2 полностью (он создаётся заново чистым после перезагрузки).

Задать вашему монитору реестра, чтобы он следил за новыми, чистыми ключами MountPoints2, которые будут в результате, и желательно, чтобы он БЛОКИРОВАЛ бы доступ туда по умолчанию. Также стоит мониторить все другие вышеназванные ключи - это очень серьёзный проактивный подход к данной проблеме.

Для отключения автозапуска:

AutorunDisabled.zip

Если по какой то причине Вам необходимо вернуть все на место:

EnableAutorun.rar

Сообщение опубликовано с разрешения автора p2u.

i

Уведомление:

Актуальная инструкция находится в этой теме

AutorunDisabled.zip

EnableAutorun.rar

Изменено пользователем akoK

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

akoK    44

akoK
Опубликовано:

Уже нет. Актуальность утеряна.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Форматцевт    146

Форматцевт
Опубликовано:

akoK: всмысле, что автозапуск уже не используют или....?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Форматцевт    146

Форматцевт
Опубликовано:

akoK: а вот ты про что я грешным делом подумал :( ну может тогда темы стоит объединить или хоть эту закрыть или же в первом посте дать линк, а?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах
Гость
Эта тема закрыта для публикации сообщений.
Перейти к списку тем Сетевая безопасность
×