Proteger Usb Con Winhex
16
METODOS PARA COMBATIR VIRUS EN LAS MEMORIAS FLASH Debido a que cada día hay mas archivos que infectan nuestro USB acá les dejo tres métodos para combatirlos. 1er Metodo. Panda ha desarrollado USB Vaccine, una herramienta antivirus USB gratuita que permite evitar que se ejecute el autorun de los dispositivos que se conecten e impedir que se creen archivos autorun.inf en nuestros dispositivos USB. Recomiendo encarecidamente este método para proteger la autoejecucion en los usb. Panda USB Vaccine: http://www.pandasecurity.com/spain/homeusers/downloads/usbv accine/ 2do Metodo. Deshabilitar la ejecución de los autorun.inf, crando un archivo.reg con el bloq de notas con este contenido -> digo: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\IniFileMapping\Autorun.inf] @=" @SYS: DoesNotExist" En algunas ocasiones, el valor no se agrega a la entrada asique habria que comprobarlo manualmente en la direccion y
-
Upload
hildebrando-ventura-jorge -
Category
Documents
-
view
483 -
download
6
Transcript of Proteger Usb Con Winhex
METODOS PARA COMBATIR VIRUS EN LAS MEMORIAS FLASH
Debido a que cada día hay mas archivos que infectan nuestro USB acá les dejo tres métodos para combatirlos.
1er Metodo.
Panda ha desarrollado USB Vaccine, una herramienta antivirus USB gratuita que permite evitar que se ejecute el autorun de los dispositivos que se conecten e impedir que se creen archivos autorun.inf en nuestros dispositivos USB. Recomiendo encarecidamente este método para proteger la autoejecucion en los usb.
Panda USB Vaccine: http://www.pandasecurity.com/spain/homeusers/downloads/usbvaccine/
2do Metodo.
Deshabilitar la ejecución de los autorun.inf, crando un archivo.reg con el bloq de notas con este contenido ->
digo:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @=" @SYS: DoesNotExist"
En algunas ocasiones, el valor no se agrega a la entrada asique habria que comprobarlo manualmente en la direccion y si el valor estuviera vacio, añadirlo manualmente introduciendo "@SYS: DoesNotExist"
3er Metodo.
dijo:
NOTA: Este método es más complicado lo recomiendo para los que tienen conocimiento en informática.
Otra manera MUY interesante de bloquear totalmente nuestro autorun.inf, sin que nosotros mismos podamos sobrescribirlo es aprovechándonos de FAT32
hora, otra cosa a tomar en cuenta es que la mayoría de memorias USB tiene el sistema de archivos FAT o FAT32.
Ahora si revisamos a fondo la estructura del sistema de archivos FAT32, encontraremos cosas interesantes.
dijo:
Nota: Si deseas saber más sobre sistemas de archivos puedes leer los siguientes enlaces: http://es.wikipedia.org/wiki/FAT http://en.wikipedia.org/wiki/File_Allocation_Table
Algo muy interesante en el sistema de archivos FAT32 es un atributo que estoy seguro que la mayoría desconoce: [b]EL ATRIBUTO DE DISPOSITIVO[/b], que es de uso interno solamente para el sistema Operativo y que no debería estar presente en un disco de manera normal.
Este atributo designa a un dispositivo y no permite que el dispositivo en sí pueda ser modificado a nivel de dispositivo. Pero la pregunta es: ¿Se puede asignar este atributo a un archivo? ¿Cómo?
Aquí con esta guía veremos cómo es posible que podamos crear un archivo autorun.inf con permisos de Dispositivo que contendrá cualquier cosa de modo que no pueda ser sobrescrito por ningún otro archivo de software malicioso y por nosotros mismos!
Para esto, usaremos un Editor Hexadecimal, en mi caso usaré uno de los mejores: WinHEX.
Dijo:
Lo pueden descargar de acá: http://winhex.softonic.com/
1. Formateemos nuestra memoria USB en formato FAT32.
2. Crear el archivo autorun.inf. En este caso lo hice usando la línea de comandos.
H: Enter # en tu caso debes poner la letra de tu unidad copy con autorun.inf "Enter" el texto que quieras y CTRL+Z y Enter
3. - Abrimos nuestro editor hexadecimal.
En el mensaje que nos sale antes de entrar al programa seleccionamos “computer forensics interface” y aceptamos.
Luego seleccionamos la Opción Tools>>Open Disk&.
Seleccionamos nuestra unidad a Proteger.
Una vez abierto nuestra Unidad de memoria USB, vemos el contenido tal y como lo ve el Sistema Operativo. Vemos las estructuras del Boot Sector (Sector de Arranque), FAT1 y FAT2 (Tabla de asignación de archivos y copia), el Root Directory (Directorio Raíz donde se almacenan los nombres de los archivos, sus atributos, su tamaño y ubicación).
Nosotros vamos a trabajar directamente sobre el Directorio Raíz, pues ubicaremos la entrada correspondiente al archivo AUTORUN.INF que creamos previamente. Cabe recordar que en FAT32 cada entrada de archivo tiene designada los primeros 8 bytez para el nombre del archivo, los 3 bytes siguientes para la extensión y el byte en la posición 11 indica el atributo:
Al ubicarnos en el Directorio Raíz con nuestro editor hexadecimal al ubicar el byte 11 (Offset B) - en mi caso - vemos que tiene el atributo 0×20, que indica que es un archivo de almacenamiento.
Entonces lo que ahora haremos en escribir el valor 0×40 en lugar de 0×20 y con esto le atribuiremos el atributo de Dispositivo a nuestro archivo AUTORUN.INF.
Nota: Si quieres que el archivo autorun.inf además de tener el atributo de dispositivo, éste pueda permanecer oculto, entonces, cambia el valor 0x40, por el valor 0x42, esto ocultará el fichero.
Procedemos a guardar los cambios en la memoria USB, haciendo click en el ícono del Diskette .
Aceptamos
Cerramos el programa WinHEX y vamos a nuestra memoria USB y la exploramos.
Tratemos ahora de editar el archivo dándole doble click, y veamos que sucede:
Ahora intentemos eliminar el archivo:
Intentemos cambiarle de nombre también:
Y vemos que no podemos hacer ningún tipo de cambio a este archivo. Entonces la idea es que ningún programa malicioso pueda crear su archivo AUTORUN.INF maligno en nuestra querida memoria USB.
Referencias:
http://en.wikipedia.org/wiki/File_Allocation_Table http://es.wikipedia.org/wiki/FAT http://www.x-ways.net/winhex/index-e.html http://support.microsoft.com/kb/154997 http://milw0rm.com/papers/314
