Технологии

Решено

Внешний Hdd и Windows - вопрос №225637

есть внешний HDD, необходимо его подключить к зараженному компьютеру (компьютер от вирусов чистить не будем) и не заразить сам жесткий, что можно сделать?

Дополнение автора от март 14, 2012 г., 00:47:22

комп хочет продолжать «болеть», так что каспре и веб в сторону.

а вот с помощью какой процедуры вирус попадает на HDD? понятно что записи, но какая функция за это отвечает, может быть ее можно как то блокироваить для конкретного устройства?

Шевчук Алексей Александрович март 14, 2012 г.

Сообщить о нарушении

Всего ответов: 4

Константин Жук

1-й в

22 отзыва

ни чего. если вирус использует режим технологии распространения через сменные носители — он запишется на жесткий диск

если нет возможности вылечить исходный компьютер, единственны способ обезопасить компьютер приемник информации — это обновить антивирус и полностью запретить авто запуск со сменных носителей пере включением вероятно зараженного диска. после включения провести сканирование на вирусы и только после этого использовать информацию

отдавайте себе отчет что антивирус на приемнике не гарантирует лечение всех вирусных компонетов, с другой стороны при лечении он может частично или полностью повредить, заблокировать или уничтожить зараженные файлы, в том числе с полезной информацией

смотрите инструкции по отключению для всех версий windows начиная с XP

http://support.microsoft.com/kb/967715/ru

для лечения исходного компьютера можно применить следущие эффективные оперативные средства:

если есть возможность войти в систему

http://support.kaspersky.ru/viruses/avptool2011?level=2

загрузить и запустить, следовать инструкциям

если нет возможности войти в систему (или вирус противодействует предыдущему средству)

http://www.freedrweb.com/livecd/

скачать и записать на болванку там где есть возможность

загрузиться с этого диска на больном компьютере и следовать инструкциям

ps оба продукта всегда скачивать самые свежие непосредственно перед употреблением

!!! upd по предыдущей ссылке об отключении нет решений для Vista/7/2008/200R2

смотрите тут

http://windows.microsoft.com/ru-RU/windows-vista/Change-AutoPlay-settings

март 14, 2012 г.

Константин Жук

1-й в

22 отзыва

нет. для жестких дисков ни станционарных, ни мобильных, режима подключения «только на чтение» не существует

если Вы говорите оразработке програмного обеспечения типа дайвера перехватывающего операции записи на диск?

1 — я бы не взялся даже «стандартные» операции перехватывать. не по тому что совсем не знаю что это и как это, а по тому что когда то давно как раз программировал драйвера перехватывавшие функции биоса к примеру. я просто представляю и уровень трудоемкости и в какой сфере знания потребутся на сегодня

2 — тем более я бы не пытался перехватывать функции вируса. он сам как раз перехватывает их на старте системы. чем умнее вирус (программист вируса точнее), тем изощренее он это делает

не фантазируйте на это тему. решений более легких чем лечение не существует в принципе

единственный вариант подключить диск только на чтение — это подключение по сети к диску который расшарен только на чтение

но дело в том что умный вирус возможно умеет быть червем — сканировать уязвмости ближайших компютеров в сети. сам факт подключения, еще до расшаривания диска, возможно окажется достаточным для заражения компьютера приемника

кроме того, в режиме только на чтение Вы ни чего не сможете скачать сбольного

если цель передать на больной — запишите необходимую информацию на одноразовую болванку — на нее ни какой вирус не может записаться… и то при условии что диск не мульти сессионный со свобожным местом )))

не фантазируйте и не изобретайте велосипед )))

воспользуйтесь советами по безопасной работе с зараженным диском на компьютере приемнике из моего редыдущего ответа

если есть особые условия и особая цель — сообщите их

март 14, 2012 г.

Ответ понравился автору

Константин Жук

1-й в

22 отзыва

отдельно о перехвате и блокировке операций записи на диск

1 — существует более одного уровня различных функций в самой ОС — это уровни API и уровни ядра, в том числе защищенные и не докментированные функции ядра, которые тем не менее иногда становятся известны хаккерам. если Вы не будете обладать знаниями равными с автором вируса перехватившего функции записи зазщищенного уровня ядра — Вы бессильны вообще.

2 — вирус может использовать функции записи более низкого уровня, но защищать себя на уровне ядра — пока Вы не сумеете написать загрузчик своей страхвочной системы, загружающейся раньше вируса — Вы безсильны. в частности Вам как минимум надо знать как он загружается (то есть облаать знаниями эксперта сотрудника антивирусной лаборатории )))

3 — Вы можете попытаться перехватить функции записи на диск биоса — это может оказаться пустым занятием вообще — система не использует биос для работы с дисками после загрузки драйверов. с довольно высокой вероятность и вирус все таки использует драйвера системы. но вполне реально вирус может и сам работать непосредственно с контроллером дисков, подсматривая у системы только информацию о расположении файлов. но читать и писать данные на прямую в контроллер диска

4 — существенный момент — если Вы заблокируете функции записи на корню — система прекратит функционировать сама ))) Вам придется писать весьма сложный анализатор перехватываемых функций для принятия решения какие вызовы блокировать а какие нет )))

… ну и так далее ))

это не архисложно для специалиста… но для специалиста достаточно конкретного направления, по сути обладающего всеми и большими знаниями чем разработчик вируса )))

… а так же знающий что там «под капотом» именно того (тех) вируса (вирусов) что пасуться на Вашем больном компьютере )))

март 14, 2012 г.