Обзор программ Flash Drive Protector и Autorun Virus Remover
По просьбам читателей моего ЖЖ, интересующихся темой защиты от autorun-вирусов, я написал небольшой обзор двух программ, ссылки на которые были мне присланы:
Flash Drive Protector 1.0
Чувствуется что автор программы ManHunter - человек основательный. С такими программами приятно иметь дело. Малый размер (39Kb), аккуратная осмысленная пиктограмма, наличие в архиве файлов file_id.diz и readme.txt. В интерфейсе ничего лишнего, все расположено строго и удобно.
Функционально программа представляет собой аналог небезызвестной Panda USB and AutoRun Vaccine без возможности отключения автозапуска на компьютере (собственно, это и отражено в названии программы), без возможности работы с NTFS, без резидентной части, и защищающая только чистые (пустые) флешки. По методу защиты - есть небольшое отличие от Панды: если Панда создает на флешке autorun.inf с атрибутом 0х42, то Flash Drive Protector - с атрибутом 0х77.
Мои соображения на счет этих атрибутов таковы (я уже писал об этом в одном из своих постов на Хабре): с атрибутом, выставляемым Пандой, все логически понятно:
0х42 = 0х40 + 0х02, где
0x40 - Device (internal use only, never found on disk) - согласно статье FAT12, FAT16 and FAT32 Windows File System
0x02 - ATTR_HIDDEN - согласно FAT32 File System Specification
В атрибуте же 0х77 я могу объяснить только 0х07 (ATTR_READ_ONLY 0x01 + ATTR_HIDDEN 0x02 +
ATTR_SYSTEM 0x04). Т.е. атрибут от Панды, скажем так, "менее некорректен" согласно спецификациям, нежели атрибут от Flash Drive Protector.
При всем уважении к автору программы, я предпочитаю для защиты именно Панду - причем не из-за выставляемого ею атрибута, а ввиду ее универсальности: все необходимое сразу есть под рукой.
Autorun Virus Remover v2.3 (database build 1022)
(она же USB Drive Antivirus - сайт-близнец и программа-близнец)
Начну с того, что программа, в отличие от абсолютного большинства программ подобного рода, платная - $25.95 за Full Version. А Limited Version после установки и перезагрузки радует пользователя вот таким сообщением:
Помимо отсутствия вышеупомянутого сообщения, Full Version отличается от Limited Version (по заверениям разработчика) тем, что умеет не только обнаруживать, но и удалять autorun-вирусы (кстати, на офсайте об этом написано с грамматической ошибкой - "auoturn") с дисков и флешек, умеет вакцинировать флешки, дает возможность обновлений (хотя разработчик сам пишет английским по белому: Autorun Virus Remover does not use signature scanners and requires no regular updates), и дает возможность обращения в техподдержку.
Наряду с грамматическими ошибками, нечеткими формулировками, и чрезвычайно низким качеством графики, офсайт содержит отзывы пользователей в духе "I am currently using Autorun Virus Remover. Let me start by telling you that it is a wonderful program.", заявления о том, что "Autorun Virus Remover is 100% compatible with all other security products" и о том, что одним из "Our Customers" является компания Sony.
Ключевые элементы дизайна сайта программы слизаны с сайта конкурентов USB Disk Security, в частности дизайн коробки - там просто замазано оригинальное название "USB Disk Security" и вписано "Autorun Virus Remover". Но на торце коробки горе-дизайнеры забыли замазать оригинальный красно-черный логотип USB Disk Security :)
Закончу присказку, перейду к самой программе.
При подключении флешки с записанным на нее autorun.inf, программа предлагает 3 действия на выбор:
Возможность выбора действия конечно радует, но наличие кнопки "Cancel" я бы оспорил (ведь в наличии есть пункт "Open usb drive safely") - боязливый пользователь может нажать именно ее.
На закладке "Scan" при выборе "Scan Targets" в виде "Local Drives" и "Removable Media", программа сканит, соответственно, локальные диски или флешку, и без вопросов сносит найденные там файлы autorun.inf.
При выборе же "Operating Memory", программа начинает сканировать %SystemRoot%\Windows. Что она там ищет и по каким критериям - не знаю. Попробовал подложить туда зараженный autorun.inf и экзешник с атрибутами AH - не обратила на них никакого внимания.
Закладка "Process" показывает висящие в системе процессы, путь к исполняемому файлу, и колонку "Status", в которой, программа по своему усмотрению (наверное именно за это отвечает номер билда - database build 1022, и на этом базируется упомянутая в описании "proactive technology") сортирует процессы на "System", "Trusted" и "UnKnow" (с грамматикой, как мы помним, ребята дружат).
Черезстрочная раскраска - вещь удобная, но увеличить окно программы нельзя - при необходимости прочесть полное имя процесса и путь к файлу, приходится растаскивать колонки и скролить.
Очень интересна, на мой взгляд, закладка "Tools".
По заявлению разработчика, программа при извлечении флешки, умеет разблокировать ее в случае, если флешка занята каким-либо процессом. Открываю в FAR-е один из каталогов на флешке, и говорю "Unlock". Вижу сообщение:
Героически нажимаю "ОК" - программа перезапускает explorer.exe и рапортует:
Надо ли говорить, что FAR, как ни в чем не бывало остается открытым. Возможно разработчик старался здесь составить конкуренцию замечательной программе "USB Safely Remove" (которая в подобном случае показывает каким именно процессом занята флешка, и предлагает различные варианты действий) - но у него не получилось.
А вот функция "USB Devices Sequrity" закладки "Tools" действительно интересна.
Пункт меню "Disable Usage of any USB storage devices" прописывает в HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\Start значение 0x4 (вместо дефолтного 0x3), запрещая системе распознавать подключенные флешки.
А пункт "Disable writing data to the USB storage devices" прописывает в HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies\WriteProtect значение 0x1 вместо дефолтного 0x0, запрещая запись на флешки.
Это действительно очень полезные вещи в плане сохранности корпоративной информации. Но и здесь есть ложка дегтя в отношении реализации. Вполне логично, что функции такого рода должны быть защищены паролем. И установка пароля в программе действительно есть на закладке "Settings" (более того, там же есть и функция удаления значка программы из системной панели). Но вот сам пароль хранится в явном (незашифрованном) виде в ветке реестра HKLM\SOFTWARE\Microsoft\Sec в ключе Right. И можно либо посмотреть его там, либо даже при установленном пароле, руками изменить вышеупомянутые значения реестра на дефолтные. И здесь не удалось составить конкуренцию программам типа GFI EndPointSecurity.
И вот мы подошли к самому волнующему моменту - закладка "Immunity".
Ее функции которой доступны только в платной версии (т.е., по сути, именно за это разработчик считает нужным просить $25.95).
Какую же защиту для своей флешки получает пользователь, заплативший эти деньги? После регистрации, программа умеет... создавать на флешке каталог Autorun.inf, содержащий подкаталог с "некорректным" именем ImmunityFolder.. и файл ReadMe.txt следующего содержания: "The directory created by USB Virus Scan should be deleted by itself".
О минусах такого способа я писал уже довольно много (кстати, именно он использовался в ранних версиях моего скрипта AUTOSTOP. В AUTOSTOP 2.4 используется более надежный способ защиты с индикатором) - как мы знаем, каталог Autorun.inf можно просто переименовать, а подкаталог ImmunityFolder.. снести конструкцией RD "\\?\....
Защищать флешку этим способом умеют очень многие бесплатные программы аналогичного назначения, а бесплатная Panda USB and AutoRun Vaccine справляется с задачей вакцинации флешки на голову выше. Остается только посочувствовать Enterprise Customers в лице Sony. Как здесь не вспоминить анекдот советских времен о курице за 25 рублей - мол, деньги очень нужны.
Думаю, мне удалось ответить на вопрос о целесообразности применения и приобретения программы Autorun Virus Remover.
- Flash Drive Protector 1.0
- Autorun Virus Remover v2.3 (database build 1022)
Flash Drive Protector 1.0
Чувствуется что автор программы ManHunter - человек основательный. С такими программами приятно иметь дело. Малый размер (39Kb), аккуратная осмысленная пиктограмма, наличие в архиве файлов file_id.diz и readme.txt. В интерфейсе ничего лишнего, все расположено строго и удобно.
Функционально программа представляет собой аналог небезызвестной Panda USB and AutoRun Vaccine без возможности отключения автозапуска на компьютере (собственно, это и отражено в названии программы), без возможности работы с NTFS, без резидентной части, и защищающая только чистые (пустые) флешки. По методу защиты - есть небольшое отличие от Панды: если Панда создает на флешке autorun.inf с атрибутом 0х42, то Flash Drive Protector - с атрибутом 0х77.
Мои соображения на счет этих атрибутов таковы (я уже писал об этом в одном из своих постов на Хабре): с атрибутом, выставляемым Пандой, все логически понятно:
0х42 = 0х40 + 0х02, где
0x40 - Device (internal use only, never found on disk) - согласно статье FAT12, FAT16 and FAT32 Windows File System
0x02 - ATTR_HIDDEN - согласно FAT32 File System Specification
В атрибуте же 0х77 я могу объяснить только 0х07 (ATTR_READ_ONLY 0x01 + ATTR_HIDDEN 0x02 +
ATTR_SYSTEM 0x04). Т.е. атрибут от Панды, скажем так, "менее некорректен" согласно спецификациям, нежели атрибут от Flash Drive Protector.
При всем уважении к автору программы, я предпочитаю для защиты именно Панду - причем не из-за выставляемого ею атрибута, а ввиду ее универсальности: все необходимое сразу есть под рукой.
Autorun Virus Remover v2.3 (database build 1022)
(она же USB Drive Antivirus - сайт-близнец и программа-близнец)
Начну с того, что программа, в отличие от абсолютного большинства программ подобного рода, платная - $25.95 за Full Version. А Limited Version после установки и перезагрузки радует пользователя вот таким сообщением:
Помимо отсутствия вышеупомянутого сообщения, Full Version отличается от Limited Version (по заверениям разработчика) тем, что умеет не только обнаруживать, но и удалять autorun-вирусы (кстати, на офсайте об этом написано с грамматической ошибкой - "auoturn") с дисков и флешек, умеет вакцинировать флешки, дает возможность обновлений (хотя разработчик сам пишет английским по белому: Autorun Virus Remover does not use signature scanners and requires no regular updates), и дает возможность обращения в техподдержку.
Наряду с грамматическими ошибками, нечеткими формулировками, и чрезвычайно низким качеством графики, офсайт содержит отзывы пользователей в духе "I am currently using Autorun Virus Remover. Let me start by telling you that it is a wonderful program.", заявления о том, что "Autorun Virus Remover is 100% compatible with all other security products" и о том, что одним из "Our Customers" является компания Sony.
Ключевые элементы дизайна сайта программы слизаны с сайта конкурентов USB Disk Security, в частности дизайн коробки - там просто замазано оригинальное название "USB Disk Security" и вписано "Autorun Virus Remover". Но на торце коробки горе-дизайнеры забыли замазать оригинальный красно-черный логотип USB Disk Security :)
Закончу присказку, перейду к самой программе.
При подключении флешки с записанным на нее autorun.inf, программа предлагает 3 действия на выбор:
Возможность выбора действия конечно радует, но наличие кнопки "Cancel" я бы оспорил (ведь в наличии есть пункт "Open usb drive safely") - боязливый пользователь может нажать именно ее.
На закладке "Scan" при выборе "Scan Targets" в виде "Local Drives" и "Removable Media", программа сканит, соответственно, локальные диски или флешку, и без вопросов сносит найденные там файлы autorun.inf.
При выборе же "Operating Memory", программа начинает сканировать %SystemRoot%\Windows. Что она там ищет и по каким критериям - не знаю. Попробовал подложить туда зараженный autorun.inf и экзешник с атрибутами AH - не обратила на них никакого внимания.
Закладка "Process" показывает висящие в системе процессы, путь к исполняемому файлу, и колонку "Status", в которой, программа по своему усмотрению (наверное именно за это отвечает номер билда - database build 1022, и на этом базируется упомянутая в описании "proactive technology") сортирует процессы на "System", "Trusted" и "UnKnow" (с грамматикой, как мы помним, ребята дружат).
Черезстрочная раскраска - вещь удобная, но увеличить окно программы нельзя - при необходимости прочесть полное имя процесса и путь к файлу, приходится растаскивать колонки и скролить.
Очень интересна, на мой взгляд, закладка "Tools".
По заявлению разработчика, программа при извлечении флешки, умеет разблокировать ее в случае, если флешка занята каким-либо процессом. Открываю в FAR-е один из каталогов на флешке, и говорю "Unlock". Вижу сообщение:
Героически нажимаю "ОК" - программа перезапускает explorer.exe и рапортует:
Надо ли говорить, что FAR, как ни в чем не бывало остается открытым. Возможно разработчик старался здесь составить конкуренцию замечательной программе "USB Safely Remove" (которая в подобном случае показывает каким именно процессом занята флешка, и предлагает различные варианты действий) - но у него не получилось.
А вот функция "USB Devices Sequrity" закладки "Tools" действительно интересна.
Пункт меню "Disable Usage of any USB storage devices" прописывает в HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\Start значение 0x4 (вместо дефолтного 0x3), запрещая системе распознавать подключенные флешки.
А пункт "Disable writing data to the USB storage devices" прописывает в HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies\WriteProtect значение 0x1 вместо дефолтного 0x0, запрещая запись на флешки.
Это действительно очень полезные вещи в плане сохранности корпоративной информации. Но и здесь есть ложка дегтя в отношении реализации. Вполне логично, что функции такого рода должны быть защищены паролем. И установка пароля в программе действительно есть на закладке "Settings" (более того, там же есть и функция удаления значка программы из системной панели). Но вот сам пароль хранится в явном (незашифрованном) виде в ветке реестра HKLM\SOFTWARE\Microsoft\Sec в ключе Right. И можно либо посмотреть его там, либо даже при установленном пароле, руками изменить вышеупомянутые значения реестра на дефолтные. И здесь не удалось составить конкуренцию программам типа GFI EndPointSecurity.
И вот мы подошли к самому волнующему моменту - закладка "Immunity".
Ее функции которой доступны только в платной версии (т.е., по сути, именно за это разработчик считает нужным просить $25.95).
Какую же защиту для своей флешки получает пользователь, заплативший эти деньги? После регистрации, программа умеет... создавать на флешке каталог Autorun.inf, содержащий подкаталог с "некорректным" именем ImmunityFolder.. и файл ReadMe.txt следующего содержания: "The directory created by USB Virus Scan should be deleted by itself".
О минусах такого способа я писал уже довольно много (кстати, именно он использовался в ранних версиях моего скрипта AUTOSTOP. В AUTOSTOP 2.4 используется более надежный способ защиты с индикатором) - как мы знаем, каталог Autorun.inf можно просто переименовать, а подкаталог ImmunityFolder.. снести конструкцией RD "\\?\....
Защищать флешку этим способом умеют очень многие бесплатные программы аналогичного назначения, а бесплатная Panda USB and AutoRun Vaccine справляется с задачей вакцинации флешки на голову выше. Остается только посочувствовать Enterprise Customers в лице Sony. Как здесь не вспоминить анекдот советских времен о курице за 25 рублей - мол, деньги очень нужны.
Думаю, мне удалось ответить на вопрос о целесообразности применения и приобретения программы Autorun Virus Remover.