dimo70
- Стаж: 6 лет 11 месяцев
- Сообщений: 3777
- Репутация:27[+] [-]
- Откуда: BG
|
conty9, очень интересно. Если вариант через команды есть будет еще лучше.
_________________ Подпись отключена за нарушение правил форума
|
sam_sobi
- Стаж: 8 лет 8 месяцев
- Сообщений: 198
- Репутация:3[+] [-]
|
Conty9, приветствую ! В принципе сама идея нова и интересна, но есть пару моментов:3. Все новые данные храним на временном разделе, периодически ценный раздел подключаем на запись и синхронизируем с добавленным. А если в этот момент на временном разделе уже произошли необратимые изменения ?Плюс такого подхода в том, что для чтения свои данные будут доступны всегда (фото, документы, и т.п.). Для своих фото и документов - да, возможно. Но не для баз данных типа 1С, Медок, Афина, Парус и т.д., которые постоянно постоянно изменяются в процессе работы - если понятно, о чём я. Не говоря уже о файл-сервере..
|
korsak7
- Стаж: 9 лет
- Сообщений: 1063
- Репутация:62[+] [-]
|
А если в этот момент на временном разделе уже произошли необратимые изменения ? Как ни крути, а этот вопрос будет актуален всегда и при любом способе бэкапа. Обсуждать его бессмысленно.
|
|
А можно пример команды для такого монтирования? Такое монтирование возможно средствами PECMD, прямой команды ImDisk я не знаю. Для PECMD что-то наподобие (точно можно будет сказать после экспериментов): MOUN-udm -udm- -u+ -mall -mhide1 -mhide \\.\PhysicalDrive9 Z: MOUN-udm -mhide \\.\PhysicalDrive9 C-А если в этот момент на временном разделе уже произошли необратимые изменения ? Ну, я надеюсь, что будет видно по многочисленным ошибкам записи на Read-Only раздел, что поздно пить Боржоми. И нужно вначале лечиться. Как вариант для проверки от шифрования - можно закинуть в корень системного раздела и "Документы" файл, который точно шифруется вымогателем, и проверять его по контрольной сумме.Но не для баз данных типа 1С, Медок, Афина, Парус и т.д., ...можно для защиты своих персональных данных... Теоретически, можно для БД подтянуть EWF, с периодическим сохранением изменений.
|
Gemostarter
- Стаж: 7 лет 7 месяцев
- Сообщений: 323
- Репутация:35[+] [-]
|
88045Думаю, шифровальщики пока до изменения атрибутов раздела не дошли Предположим, что малварь через какой-нибудь эксплоит получила права админа. В этом случае, если раздел вообще хоть как-то видим средствами ОС (хотя бы даже в формате \Device\HardDiskX\PartitionY) и отформатирован в ФС, которую поддерживают установленные драйверы (то есть, раздел можно смонтировать и работать через проводник или ещё что встроенное), то "защита" иллюзорна. Файлы можно читать, писать, удалять - что угодно, хоть как монтируй или не монтируй вовсе. Вариант с Терабайтом более надёжен - создателю малвари придётся реализовать его поддержку отдельно, и практически все (то есть вообще все, кроме того, кто нацелится конкретно на ваш ПК/сеть) на это дело забьют.
|
|
Gemostarter, я всё же считаю, что шифровальщики пока не настолько продвинутые, чтобы самостоятельно перемонтировать разделы или менять их атрибуты. Это как выключатель массы в авто: будучи спрятанным в неизвестном месте, он скорее заставит вора перейти к другому авто, чем разбираться с этим. Я немного поэкспериментировал. Если сменить идентификатор раздела (например, я поставил 0xAF - Apple HFS), тогда ОС отказывается вообще что-либо делать с таким разделом, только удалить (ни управление разделами, ни diskpart). Этот раздел монтируем read-only через ImDisk. Обойти read-only монтирование ImDisk не получится без самого ImDisk.
|
korsak7
- Стаж: 9 лет
- Сообщений: 1063
- Репутация:62[+] [-]
|
шифровальщики пока не настолько продвинутые, чтобы самостоятельно перемонтировать разделы К тому же такие манипуляции будут сразу заметны, а шифровальщики "любят тишину"
|
dimo70
- Стаж: 6 лет 11 месяцев
- Сообщений: 3777
- Репутация:27[+] [-]
- Откуда: BG
|
Всем привет, есть еще один сложный вопрос. Мой FTP сервер представляет связаный к рутера через USB3 порт внешний диск. Есть внутренная сеть из двух компьютеров. Если рансомуер начнет криптить компьютера может добраться до FTP или нет?
_________________ Подпись отключена за нарушение правил форума
|
|
Провентилировал вопрос с монтированием раздела с помощью ImDisk.Ключи ImDisk-a подключить виртуальный диск -d отключить -e редактировать виртуальный диск -b указать смещение, то есть начало данных на диске, указывается для дисков созданных в разных программах, в образах которых нужно пропустить начальные атрибуты в файле. -s размер виртуального диска. Размер является количеством байтов если не прибавлен суффикс a (авто), b (колич. 512 байтовых блоков), k (тысяча байт), m (миллион байт), g (миллиард байт), t (триллиона байт), K (килобайт), M (мегабайт), G (гигабайт) или T (терабайт). Тысяча байт и килобайт, отличаются тем, что в килобайте 1024 байт, а не 1000. Например. -s 150M или -s 10% - 10 процентов от свободной памяти. Параметр -500M - со знаком минуса определяет размер создаваемого диска как обьём свободной памяти минус указанный размер. -o установить опции, применяется совместно с параметрами указанными ниже: ro - только чтение rw - чтения/запись rem установить как сменный диск (флешка). Это определяет свойства диска, кэширование и прочее. fix установить как постоянный, фиксированный диск (в противоположность rem) cd создание виртуального CD-ROM/DVD-ROM. fd создание флоппи диска. По умолчанию для размеров 160K, 180K, 320K, 360K, 640K, 720K, 820K, 1200K, 1440K, 1680K, 1722K, 2880K, 123264K or 234752K. hd создание раздела харда. ip параметр для подключения к прокси серверу. comm подключение к серверу памяти через COM-порт. -m Определяет букву накопителя. Например -m B: или -m y: или -m #: - первая свободная буква диска. -f имя файла вирт. диска, например -f C:\Boot.img или -f \\server\share\image.bin или -F \Device\Harddisk0\Partition1\image.bin - последнее, когда буква диска не назначена и определение по номеру харда, номеру партиции (логического диска) и далее реальный путь. -t место для диска, например -t file - образ является файлом на диске, -t vm - загрузить вирт. диск в память, -t proxy - использование внешнего сетевого вирт. диска, используется с параметром -f -p форматирование, когда диск создан. Например, -p "/fs:ntfs /q /y", создаёт ntfs-файловую систему быстрым форматированием. Параметр /v:my_disk - метка диска, -p "/fs:fat32 /q /y" - форматирование в FAT32 -S Размер сектора используемый в устройстве. По умолчанию 512 байт, за исключением CD-ROM/DVD-ROM, где размер 2048 байт по умолчанию. -x смотри параметр -y, ниже. -y Параметры -x и -y определяют геометрию диска. Это полезно для создания загрузочных образов с последующей загрузкой на физическое устройство. Тип устройства зависит от -o, например 1440K получает 2 дорожки/цилиндр и 18 секторов/дорожка. -u Вместе с -a запрос номера устройства. Вместе с -d или -l запрос номера устройства на удаление или запрос свойств. В PECMD всё решается легко: например, нужно смонтировать для чтения 7-й раздел hdd2 (2#7) part -hextp -phy -fill list part 2#7,&&te //получаем в %&&te% особенности раздела (PartID Type BootMark BaseOffset Size HideSectorNum End DrvLetter) MSTR &&c,&&d=<4><5>%&&te% //Извлекаем базовое смещение (от начала диска) и размер раздела RAMD ImDisk*&MounRet*%&&c%*%&&d%*0*\\.\PhysicalDrive2 -a -S 512 -o hd -m Z: //Монтируем раздел hdd2 как виртуальный диск (-a), с размером сектора 512 (-S 512), только для чтения (-o), хард (hd), буква диска Z: (-m Z:), в %&MounRet% получим код завершения (0 если всё удачно). Ключи совпадают с комстрокой, нужно уточнить, как правильно прописывать базовое смещение и длину (видимо, ключи -b и -s, тут внимательно - большая S из другой оперы!). Размонтировать RAMD Imdisk* -d -m Z: (аналогично imdisk -d -m Z:) Монтировать такой раздел с полным доступом SHOW & 2#7,W: //локально SHOW * 2#7,W: //глобально Демонтировать SHOW *- ,W: Идентификатор раздела при таком монтировании можно установить любой не-виндовый, тогда стандартный менеджер разделов не сможет монтировать раздел. Чтобы сделать раздел обычным, в любом менеджере меняем ID на 0x7 (NTFS). Раздел может быть одновременно смонтирован и как Read-Only (ImDisk), и с полным доступом (PECMD), при этом изменения, внесённые на диск в режиме полного доступа, с задержкой отображаются на Read-Only.
|
Ander_73
- Стаж: 7 лет 9 месяцев
- Сообщений: 3815
- Репутация:127[+] [-]
|
Оба варианта (использование драйвера ProtectIt и скрытого раздела) имеют одну и ту же уязвимость: когда-то их придётся "открыть" для записи бекапа и в этот момент туда можно просунуть волосатое счупальце.
|
korsak7
- Стаж: 9 лет
- Сообщений: 1063
- Репутация:62[+] [-]
|
То есть всё пропало, шеф ? Можно закрывать лавочку? ==================== вот интересно, с какой папки волосатое счупальце начинает шифровать файло? А если положить например сыр в виде файла c:\omnomnom.doc и мониторить постоянно его исчезновение или появление такого файла с другими расширениями?
Последний раз редактировалось: korsak7 (2021-08-17 11:17), всего редактировалось 1 раз
|
|
По опыту "общения" с шифровальщиками: они быстренько шифруют всё, до чего дотянутся, и радостно сообщают: ваши данные успешно зашифрованы, платите бабло. Так что шансы, что именно в момент шифрования будет открыт бекап - довольно низкие. Ну и вдобавок, я уже предлагал проверку от шифровальщика - файл документа в корне системного раздела и в документах, с известной контрольной суммой. Если файл отсутствует, или КС изменилась - звоночек, что возможно заражение!
|
Отправлено: 18-Авг-2021 17:51
(спустя 1 день 6 часов)
UserX
- Стаж: 9 лет 7 месяцев
- Сообщений: 854
- Репутация:37[+] [-]
|
88061Если рансомуер начнет криптить компьютера может добраться до FTP или нет? Да представьте себя на месте "рансомуер"-а. Если вы смогёте, что ему помешает? Просто физически отстёгивайте носитель (сеть) с бэкапом. А пристёгивайте его для очередного бэкапа или ресторе только после проверки "файла-сыра" c:\omnomnom.doc, как сказал korsak7. "Сырный файл" в порядке? Можно рискнуть подсоединить накопитель (сеть) физически. Сделали с ним что нужно и сразу отсоединяйте. Тогда не придётся верить в то, что все известные шифровальщики - тупые. Или убеждаться в том, что вам не повезло, и какой-то умник в этот раз подкинул вам не тупой. Прочие варианты зависят от способностей шифровальщика, при котором плохой результат возможен с бОльшей или меньшей степенью вероятности. PS Понятно, что аналогичного эффекта можно добиться при использовании драйверов с защитой от записи. Вроде EWF, о которой сказал conty9. Но тут тоже есть, типа, минус - повредится ОС (не запустится драйвер), значит не будет доступа к забэкапленной системе.
|
korsak7
- Стаж: 9 лет
- Сообщений: 1063
- Репутация:62[+] [-]
|
Просто физически отстёгивайте носитель (сеть) с бэкапом. А пристёгивайте его для очередного бэкапа или ресторе только после проверки "файла-сыра" c:\omnomnom.doc, как сказал korsak7. а если по папкам с важными данными еще разложить таких сыров и запустить сервис-монитор этих файлов (с периодом сканирования скажем 1 мин.) - то можно появление шифровальщика алармировать очень быстро. При этом даже можно контрольную сумму не считать, а просто вес сыра сделать фиксированным - например 66 байт может есть уже такая прога ?
|
Отправлено: 18-Авг-2021 19:27
(спустя 1 час 6 минут)
dimo70
- Стаж: 6 лет 11 месяцев
- Сообщений: 3777
- Репутация:27[+] [-]
- Откуда: BG
|
А интересно, можно сделать такую утилиту, которая следит за файлом в корне системного диска постоянно и если с нем что то случиться сразу алармирует, а может и заблокирует компьютер, или что то другое, тут я не знаю как...
_________________ Подпись отключена за нарушение правил форума
|
Страница 2 из 4
Текущее время: 23-Ноя 13:23
Часовой пояс: UTC + 3
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах Вы не можете прикреплять файлы к сообщениям Вы можете скачивать файлы
|
|