тема такая:
всем наверно извесна такая зараза как RavMonE.exe?
Вот решил ради прикола написать антивирь для него:
при вставки флешки, автоматом запускается мой экзешник, проверяет autorun.inf, редактирует его при необходимости, и при той же необходимости удаляет RavMonE.exe. вся другая активность флешки должна быть заблокана.
вопрос:
1. как заблочить всю активность, разрешив только мою прогу?
2. как автоматически запустить мой ехе'шник? строки типа open = proga.exe в авторане, неработают.

{пишу на с++}

| Сообщение посчитали полезным:

[Marvin] пишет:
всем наверно извесна такая зараза как RavMonE.exe?

Чесно говарю, что мне это не известно . Как и впрочем остальные вирусы. Это не от того, что я неучь, просто не занимался пока мись вирусами. Стоит каспер 7, пока справлялся со всем без моего содействия. Потому и не приглянулся покамись ни один вирь.

[Marvin] пишет:
при вставки флешки, автоматом запускается мой экзешник, проверяет autorun.inf

Ну тут думаю так всё просто не будет. Потому как не у каждого включен автоматический запуск авторана.

Думаю придётся делать инсталляционный вариант, который перекоординирует стандартные рутины АПИ винды на твои. Всмысле тебе надо писать свои рутины, которые запустятся после вставления нового носителя, которые сработают вместо виндововских.

Типа как раньше писали хандлеры для досовских АПИ. Конешно тупой пример, но косвенно думаю подходит.

| Сообщение посчитали полезным:

[Marvin] пишет:
как автоматически запустить мой ехе'шник? строки типа open = proga.exe в авторане, неработают.

[Marvin] создаешь файл "Текстовый документ.txt" и переименоовываем на "Autorun.inf" пишем в нем:

[AutoRun]
shellexecute=A
Action=B
Icon=C

Здесь где A - путь к программе, B - Имя проги, C - Иконка

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

MACKLIA пишет:
Здесь где A - путь к программе, B - Имя проги, C - Иконка

нихрена. я пишу:
[AutoRun]
shellexecute= \
Action=anv.exe
Icon=icon.ico

открывается c:\виндовс\систем32\//

я 'shellexecute= \' пишу правильно?
'\' - это же корень моей флешки? пробовал писать и 'shellexecute= F:' - тоже самое окно.

SeaMan пишет:
Думаю придётся делать инсталляционный вариант, который перекоординирует стандартные рутины АПИ винды на твои. Всмысле тебе надо писать свои рутины, которые запустятся после вставления нового носителя, которые сработают вместо виндововских.

распишите как модно подробнее, кто знает.

| Сообщение посчитали полезным:

[Marvin] пишет:
нихрена. я пишу:
[AutoRun]
shellexecute= \
Action=anv.exe
Icon=icon.ico

открывается c:\виндовс\систем32\//

я 'shellexecute= ' пишу правильно?

Сделай так
[AutoRun]
shellexecute=anv.exe
Icon=icon.ico

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

MACKLIA пишет:
Сделай так...
да. оно работает. как я сразу недопер!?

а как на счет: SeaMan пишет:
Ну тут думаю так всё просто не будет. Потому как не у каждого включен автоматический запуск авторана.

Думаю придётся делать инсталляционный вариант, который перекоординирует стандартные рутины АПИ винды на твои. Всмысле тебе надо писать свои рутины, которые запустятся после вставления нового носителя, которые сработают вместо виндововских.

Типа как раньше писали хандлеры для досовских АПИ. Конешно тупой пример, но косвенно думаю подходит.

можно поподробнее?

| Сообщение посчитали полезным:

У меня авторан такой стоял,пока линукс не поставил на нее:
[autorun]
UseAutoPlay=1
shellexecute=Autorun.bat

action=@Autorun.bat
label=Flash_by_Gerpes
icon=icon.ico
Shell\cmd1\Command = Autorun.bat

батник:
@Echo Off
Set drive=%~d0 \смотрим букву
Echo Select volume %drive% > test.txt
Echo Assign letter X>> test.txt
Start /min DiskPart /s test.txt \меняем букву диска на Х:
PAUSE \без нее не успевает
start %~d0\LABELS\ \открываем папку с ярлыками
Tskill DiskPart.exe
Tskill %~d0\DiskPart.exe \валяется в корне для мастдая, там нету такой
del %~d0\test.txt
Del test.txt
exit

Только вот не знаю, изменит вирь его или нет- атрибуты только для чтения,скрытый,системный выставлены., ни разу не ловил, по крайней мере.

Такая фича работает, но на тупых машинах то не с первого раза, то вообще отказывает.. но в моем окружении- я горя не знал- воткнул флэху- и ярлыки от прог сразу вылезли..

| Сообщение посчитали полезным:

Gerpes пишет:
PAUSE \без нее не успевает

Можно просто задержку сделать ,правда такой команды как таковой нет,но когдато я в батнике задержку делал,поищи в инете если интересно.

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

Gerpes пишет:
Только вот не знаю, изменит вирь его или нет

неа, нифига неизменит, он тока авторан.ини дописывает.

ща попробую сотварить...

| Сообщение посчитали полезным:

MACKLIA
Интересно. Посмотрим... Как я сразу недопер? Попробую, секунды 2 за глаза хватит.

[Marvin] пишет:
неа, нифига неизменит, он тока авторан.ини дописывает

Ты наверное имел в виду авторан.инф?
Вот и не знаю, испортит он его или нет. батнику-то конечно ниче не будет.
прислал бы хоть кто этот вирусняк, потестить..
был похожий, нод его так оприходовал(запретил доступ), что париться с разрешением не захотел, удалил нафиг.

| Сообщение посчитали полезным:

Gerpes пишет:
был похожий, нод его так оприходовал(запретил доступ),

Странно ,а я думал NOD32 ТИХИЙ И СПОКОЙНЫЙ ДО УЖАСА

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

Gerpes пишет:
Ты наверное имел в виду авторан.инф?
да

Но меня еще интересует такая вещь:
SeaMan пишет:
Думаю придётся делать инсталляционный вариант, который перекоординирует стандартные рутины АПИ винды на твои. Всмысле тебе надо писать свои рутины, которые запустятся после вставления нового носителя, которые сработают вместо виндововских.

возможно такое? и как осуществить подмену?

| Сообщение посчитали полезным:

Так, с задержкой вопрос решен:
Ping -n 2 -w 1000 127.0.0.1>nul - на 2 секунды другого способа без привлечения прог и вправду нет.

А насчет антивиря- есть портабельные, но они, конечно, не мониторят.
ClamWin, например.
сканер от нода еще с флэхи может,
Dr.Web CureIT , но он необновляемый.
AVZ недавно качнул, говорят тоже может, но честно говоря, не пробовал.- этот помощней остальных будет, т.к. если с флэхи запустится, то все функи есть- и монитор, и сканер.

Если конкретно надо мочить RavMonE.exe, то можно ведь в этот же батник добавить
del \WINDOWS\RavMonE.exe , по-моему, он туда свои копии сует- в итоге получится, что ты не только флэшку обезопасишь, но еще и вылечишь комп друга , правда, эта зараза себя в реестр вроде пишет.

| Сообщение посчитали полезным:

MACKLIA пишет:
Странно ,а я думал NOD32 ТИХИЙ И СПОКОЙНЫЙ ДО УЖАСА

Да вот нет, по ходу...
Службу свою не хочет выключать, не успеешь в диспетчере вырубить- а он опять уже работает,
блокирует файло, только удаление разрешает.
Еще слыхал, что восстанавливаться может сам.

[Marvin] пишет:
возможно такое?

Сомневаюсь... даже если ХР позволит, то виста точно нет. уверен на 90%

| Сообщение посчитали полезным:

Ну ладно. в общем все ясно.
но интересные мысли все еще принимаются

| Сообщение посчитали полезным:

Gerpes пишет:
Ping -n 2 -w 1000 127.0.0.1>nul - на 2 секунды другого способа без привлечения прог и вправду нет

Ага я так же делал .Gerpes пишет:
Службу свою не хочет выключать, не успеешь в диспетчере вырубить- а он опять уже работает,

Так его надо через пуск-панель управления-администрирование-службы ,находишь NOD32 Kernel Service и в свойствах смотришть "восcтановление" посмотришь "Действие компьютера,ваполняемые при сбое службы " и будет всё ясно почему она восстанавливается

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

[Marvin] пишет:
но интересные мысли все еще принимаются

Ну в общем когда меняеш или подключаеш носитель (будь это сидюк или флэшка или хард) вызываются определённые стандартные рутины винды. Насколько я знаю они всегда вызываются, даже если авторун выключен. Вот если их перекоординировать на свои, то можно делать всё что угодно с дисками. Например после подключение харда (усб или САТА) сразу форматировать.

Тока на винде всё не так просто как раньше с досом было.

В досе достаточно было переписать таблицу интераптов и запустить резидентную прогу. А вот в винде так просто в системе ничё не изменить, т.к привилегии не позволяют.

Выход сдесь думаю писать драйвер, ибо драйверы работают в 0-вом кольце а значит имеют доступ к системной памяти.

Драйвер должен изменить системные рутины или перенаправить их на твои.
Новые рутины должны будут кроме всех стандартных действий запустить твой антивирь до того как пользователь получит доступ к новым носителям.

Для этого всего должна пройти сначала инсталляция твоего драйвера в систему.

Прошу не пинать, это только теория. На практике я естессно не пробовал .

| Сообщение посчитали полезным:

MACKLIA
Мне стыдно.. лень посмотреть что в этих закладках.. там перезапуск всегда.

SeaMan
Так это уже типа, антивирусный монитор получается.

| Сообщение посчитали полезным:

Gerpes пишет:
Так это уже типа, антивирусный монитор получается.

Ну наверно можно это так назвать. Говарю ведь что вирусы и антивирусы для меня пока мись теория.

[Marvin] пишет:
1. как заблочить всю активность, разрешив только мою прогу?

Я то отвечал относительно этого вопроса.

Бывает ещё так, что машина настолько заражена, что даже никакая инсталляция самых крутых антивирусов и выше указанные предложения не покатят.

| Сообщение посчитали полезным:

Кароче на основе ваших идей-мыслей, и своих мозгов - я решил отказаться от антивиря тока для равмона, напишу сверхнового зверя.
Я Додумался!!!!!
как напишу, выложу.

тему можно закрывать.
}

| Сообщение посчитали полезным: