Как отвязать программу от флешки
Часть 1. Как снять защиту от записи с USB в Windows 11/10/8/7
В этом разделе мы рассмотрим процесс отключения защиты от записи на жестком диске или USB-накопителе в Windows 11/10/8/7. В следующем примере мы снимем защиту от записи с USB-накопителя.
Рабочие решения | Пошаговое устранение неполадок |
---|---|
Шаг 1. Проверьте переключатель физической блокировки | Найдите и поверните физический переключатель из положения ON в положение OFF на USB или SD-карте. Подключите разблокированный USBПолное описание |
Шаг 2. Запустить команду Diskpart | Нажмите одновременно клавиши Windows + R и введите cmd в открывшемся поле. Это запустит командную строку Полное описание |
Шаг 3. Запустить средство удаления защиты от записи | Загрузите и установите EaseUS CleanGenius (бесплатно) на свой компьютер. Запустите EaseUS CleanGenius . Полное описание |
Шаг 4. Редактировать реестр | Подключите съемное устройство с защитой от записи к ПК. Откройте редактор реестра, нажав.Полное описание |
Шаг 5. Отключите раздел BitLocker | Откройте проводник, щелкните правой кнопкой мыши раздел BitLocker или USB-накопитель и выберите Управление BitLockerПолное описание |
Note: Примечание. Исправления перечислены в порядке от простого к сложному. Следуйте им один за другим, чтобы снять защиту от записи с USB-накопителя, карты памяти или жесткого диска / твердотельного накопителя компьютера. Если у вас есть проблемы с потерей данных, обратитесь за помощью к программе восстановления данных EaseUS.
EaseUS Data Recovery Wizard - лучшее программное обеспечение для восстановления данных для Windows 11. Используйте его для быстрого восстановления удаленных, потерянных, отформатированных и поврежденных данных.
Метод 1. Снимите защиту от записи с USB с помощью переключателя физической блокировки.
Иногда, когда USB-накопитель или физический переключатель SD-карты заблокированы, устройство становится защищенным от записи на всех ПК и устройствах, к которым вы его подключаете. Давайте посмотрим, как использовать физический переключатель для снятия защиты с вашего USB:
Шаг 1. Найдите и поверните физический переключатель из положения ON в положение OFF на USB или SD-карте.
Шаг 2.Подключите разблокированный USB или SD-карту к компьютеру. Проверьте, исчезло ли состояние защиты от записи.
Изображение 1 - переключатель USB-накопителя
Изображение 2 - переключатель блокировки SD-карты
ПримечаниеЕсли на вашем USB-устройстве нет переключателя или система по-прежнему предупреждает, что ваш USB-накопитель защищен от записи, следуйте приведенному ниже методу 2, чтобы снять защиту от записи.
Метод 2. Снимите защиту от записи с USB с помощью команды Diskpart.
Эта опция очищаетатрибут read-onlyчтобы сделать его доступным для записи. Это работает с вашими внутренними дисками, внешними дисками, USB-накопителями и даже SD-картами.
Давайте узнаем, как можно использовать команду Diskpart для решения проблемы:
Шаг 1.НажмитеWindows + R кнопки и введитеcmdв открывшемся окне. Это запустит командную строку.
Шаг 2Введите diskpart в окне командной строки и нажмитеEnter.
Шаг 3.Введитеlist diskи нажмитеEnterдля просмотра доступных дисков.
Шаг 4.Введите select disk 2и нажмите Enter. Замените0на номер устройства, защищенного от записи.
Шаг 5.Введите attributes disk clear readonlyи нажмите Enter.
Шаг 6.После завершения процесса удаления защиты от записи введитеexitчтобы выйти из diskpart.
После этого перезагрузите компьютер и проверьте, можете ли вы снова получить доступ к сохраненным данным на USB или жестком диске и использовать их.
Метод 3. Используйте сторонний USB-инструмент для удаления защиты от записи.
Если вы не считаете себя профессиональным пользователем компьютера и не знакомы с командными строками, не волнуйтесь. Существуют графические решения, которые помогут вам снять защиту от записи с жестких дисков, USB-накопителей и даже SD-карт.
Step 1. СКАЧАТЬ EaseUS CleanGenius на вашем компьютере и завершите установку.
Step 2. Запустите программу. Щелкните «Optimization», а затем выберите «File Showing».
Step 3. Выберите диск с поврежденной файловой системой. Установите флажок «Check and fix file system error» и нажмите «Execute».
Step 4. Подождите, пока инструмент выполнит ремонтную задачу. После этого нажмите кнопку «here», чтобы проверить диск.
Метод 4. Снимите защиту от записи с USB-устройств с помощью редактора реестра.
Редактор реестра также исправляет ошибки USB, SD или внутренних / внешних HDD / SSD, защищенных от записи. Это процедура расширенного уровня, и если вы не уверены, что делаете, вам, вероятно, не следует использовать этот метод. Неправильная настройка реестра вашего компьютера может вызвать множество проблем.
Будьте осторожны при использовании этого метода для снятия защиты от записи на вашем компьютере с Windows 11/10/8/7 / XP / Vista:
Шаг 1.Подключите съемное устройство с защитой от записи к ПК.
Шаг 2.Откройте редактор реестра, нажав Windows + R клавиши, ведите regeditв строке и нажмитеEnter.
Step 3.Нажмите HKEY_LOCAL_MACHINE и разверните Систему.
Step 4.Нажмт Current Control Setа после нажмите Control.
Шаг 5.ПроверьтеStorage Device Policiesи измените DWORD на 0После этого нажмите OKП
Шаг 6.Закройте редактор реестра и перезагрузите компьютер.
Подождите, пока компьютер перезагрузится. Затем проверьте, доступно ли ваше устройство.
Метод 5. Отключите BitLocker, чтобы разблокировать USB-накопитель с защитой от записи в Windows 11/10/8/7
Когда BitLocker включен в разделе вашего жесткого диска, он защищает ваши файлы с помощью функции шифрования. Чтобы внести изменения в раздел BitLocker, вам необходимо сначала снять с него защиту.
Вот подробные шаги по разблокировке защищенного от записи BitLocker USB или разделов на вашем ПК:
Шаг 1ОткройтеFile Explorer, щелкните правой кнопкой мыши раздел BitLocker или USB-накопитель и выберите «Управление BitLocker».
Шаг 2.Выберите заблокированное устройство и нажмитеTurn off BitLocker.
Шаг 3.Подождите, пока BitLocker расшифрует самостоятельно.
После этого, отключив BitLocker, вы можете управлять данными на USB-разделе и снова сохранять в него новые файлы.
Часть 2. Восстановление данных и форматирование USB после снятия защиты от записи
После снятия защиты от записи с запоминающих устройств вы снова можете получить доступ к файлам и внести изменения на USB-накопитель или внешний USB-накопитель.
Однако, если файлы были потеряны или USB-накопитель по-прежнему недоступен, следуйте двум советам ниже:
№1. Сначала восстановите данные, если файл утерян после снятия защиты от записи USB
СкачайтеEaseUS Data Recovery Wizardдля восстановления любых потерянных данных во время снятия защиты от записи. Эта программа также хороша вNAS data recovery.
Шаг 2.Когда сканирование завершится, вы можете применить функцию «Фильтр» или щелкнуть поле поиска, чтобы быстро найти потерянные файлы с USB.
№2. Как отформатировать USB-накопитель в NTFS или FAT32:
Чтобы USB-накопитель оставался в хорошем состоянии, обязательно отформатируйте его в файловую систему NTFS или FAT32.
Чтобы отформатировать USB-накопитель, подключите его к компьютеру и отформатируйте с помощью управления дисками, выполнив следующие действия:
Шаг 1.ЗапуститеRunпутем нажатияWindows + Rвведитеdiskmgmt.mscи после запуска нажмите EnterЗ
Шаг 2.НажмитеDisk ManagementнадStorageправой кнопкой мыши и выберитеFormatНажмите
Шаг 3.Выберите формат USB-накопителя как FAT32илиNTFSи нажмитеOK для подтверждения
(FAT32 для емкости 32 ГБ или меньше; NTFS для емкости 64 ГБ или больше.)
Что вызвало защиту от записи на USB
Иногда люди добавляют защиту от записи к файлам на устройстве хранения от изменения или стирания. Однако устройства хранения, такие как USB-накопители, SD-карты, внутренние или внешние жесткие диски, могут быть защищены от записи по следующим причинам:
- Физический переключатель USB находится на замке.
- USB по ошибке настроен как доступный только для чтения
- Раздел защиты BitLocker включен на USB-томе.
- Стороннее программное обеспечение для шифрования или вирус, вызванный диском, является ошибкой защиты от записи на USB.
Единственный выход - снять защиту от записи. Следуя полному руководству на этой странице, вы сделаете свое устройство пригодным для повторного сохранения и передачи файлов.
Заключение
На этой странице предлагается пять методов, которые помогут вам избавиться от проблем с защитой от записи USB, SD или внутреннего / внешнего жесткого диска, в том числе:
- 1. Переведите физический переключатель USB или SD-карты в выключенное состояние.
- 2. Использование команды Diskpart для удаления только для чтения
- 3. Использование USB-инструмента для удаления защиты от записи.
- 4. Изменение значения DWORD реестра на 0.
- 5. Отключение шифрования раздела BitLocker.
Если вам интересно, как снять защиту от записи с USB-накопителя в Windows 11/10/8/7, приведенное выше руководство - это все, что вам нужно для снятия защиты от записи.
Информация по теме статьи
Ниже мы перечислили некоторые часто задаваемые вопросы и ответы на них, которые помогут вам снять защиту от записи с ваших запоминающих устройств.
1. Как снять защиту от записи с карты Micro SD?
Чтобы снять защиту от записи с SD-карты, следуйте краткому руководству ниже:
Для получения более подробного руководства следуйте инструкциям по удалению защиты от записи иформатирования SD-карты с защитой от записируководства
2. Как снять защиту от записи с одного файла?
Если ваш файл или папка заблокированы в состоянии только для чтения, вы можете разблокировать их из состояния защиты от записи с помощью следующих советов:
- Щелкните папку правой кнопкой мыши, выберитеProperties.
- На вкладке Общие снимите флажокRead-onlyсразу послеAttributes раздела
- НажмитеOK.
3. Как добавить на флешку защиту от записи?
Включить защиту от записи на USB-накопитель можно тремя способами:
- Используйте переключатель защиты от записи USB.
- Используйте diskpart для изменения настроек только для чтения.
- Измените разрешение безопасности в свойствах USB.
4. Как снять защиту от записи с внешнего жесткого диска Seagate?
Подключите внешний жесткий диск Seagate к компьютеру и запомните его номер. Откройте командную строку, введите одну за другой следующую команду и каждый раз нажимайте Enter:
- diskpart
- list disk
- select disk nПереместитеnс номером вашего защищенного от записи внешнего жесткого диска Seagate.)
- attributes disk clear readonly
Когда вы закончите с этим, если вы обнаружите, что на диске отсутствуют какие-либо файлы, подумайте о используя надежный инструмент восстановления данных USBчтобы восстановить ваши ценные файлы.
Последние статьи - Также в программе EaseUS
Компьютер не может прочитать или определить USB-флешку на компьютере? Не расстра.
EaseUS Бесплатный Мастер Восстановления Данных USB-устройств с лёгкостью восстан.
Почему файлы или папки внезапно исчезают с жесткого диска компьютера без удалени.
Бесплатное ПО EaseUS SD Card Recovery поддерживает восстановление удалённых или .
В этом руководстве я расскажу как обойти привязку программ к железу. Сразу хочу заметить что руководство рассчитано на грамотных и уверенных пользователей ПК, которые понимают что они делают. Так как из за неправильных действий могут возникнуть проблемы с железом, и если вы сомневаетесь в своих возможностях то не стоит пользоваться данным руководством. За возможные повреждения и неисправности автор ответственности не несет!
Преимущества данного метода:
Вы не взламываете саму программу, а лишь изменяете данные к которым она привязывается
Не требуется знание языков программирования
Недостатки данного метода:
Позволяет обойти только привязку к жесткому диску и MAC-адресу сетевой карты
В читерских кругах (и не только) стало модным привязывать чит-программы к железу, авторы делают это для того что бы ограничить круг пользования программой. На тему привязки к железу написано немало статей и руководств, вот к примеру мое руководство: "Привязка программы к железу". Во всех статьях которые я встречал на просторах интернета авторы советуют привязывать программы либо к серийному номеру жесткого диска либо к MAC-адресу (возможны комбинированные варианты). Эти данные легко можно подделать, чем мы и воспользуемся. Суть метода заключается в том что мы активируем легально программу на одном компьютере, затем узнаем данные к которым привязана программа на этом компьютере, и меняем данные на другом компьютере на полученные.
Начнем со смены MAC-адреса, так как она производится, гораздо легче чем смена серийного номера жесткого диска.
Для начала нам нужно узнать MAC-адреса на привязанном компьютере. Для этого воспользуемся командой "командной строки" getmac. Для запуска командной строки вызовем диалог "Выполнить" при помощи комбинации клавиш Win+R, введем в поле имя "cmd" и нажмем "ОК".
После перезагрузки проверяем изменение MAC-адреса командой "getmac /v", видим что MAC-адрес успешно изменился, значит все выполнено верно.
Теперь перейдем к более трудному - смене серийного номера жесткого диска.
Узнаем серийный номер на привязанном компьютере, для этого воспользуемся командой "командной строки" label. Запустим командную строку, как было описано выше. Для определения серийного номера диска нужно ввести команду "label диск:", где "диск:", это диск серийный номер которого мы хотим узнать. Обычно программы привязываются к диску C:, по этому введем команду "label C:" и нажмем ENTER. Мы получили серийный номер тома который в нашем случае равен "30B1-D412".
Теперь нам нужно на компьютере где хотим запускать нашу привязанную программу установить такой же серийный номер для диска C:.
На самом деле полученный серийный номер не является номером самого жесткого диска как устройства, а является номером раздела, который меняется при форматировании раздела, и хранится в загрузочной области. И для того что бы его изменить, необходимо открыть загрузочную область раздела, найти где хранится номер, и заменить его своим. Делать мы это будем с помощью WinHex.
Внимание! Неправильное изменение загрузочной области диска может привести к ее повреждению, после чего возможна полная или частичная потеря данных на диске. По этому хорошо подумайте нужно ли вам это делать и справитесь ли вы. Ну что же приступим. Запускаем WinHex и клавишей F9 вызываем диалог открытия диска. Так как мы будем менять серийный номер диска C: то выбираем его и жмем "OK".
Открылось содержимое диска в HEX представлении.
Первые 512 байт это и есть загрузочный сектор в котором хранится служебная информация, в том числе и серийный номер диска. Нам осталось только найти его и заменить. Так как это обучающий пример то мы просто заменим серийный номер на своем же компьютере например на номер "AA11-FF99". Чуть выше мы узнали что ID диска С: "30B1-D412". Теперь найдем этот номер в загрузочной области. Он записан в перевернутом виде, то есть искать нам нужно будет "12D4B130". Теперь вызываем диалог поиска Hex-значений нажатием комбинации клавиш Ctrl+Alt+F, вводим искомые данные и нажимаем "ОК".
Серийный номер нашелся, я его выделил для наглядности.
Теперь заменим его на нужный. Заменять будем тоже в перевернутом виде, что бы получить "AA11-FF99" запишем его как 99FF11AA.
И сохраняем изменения, нажатием Ctrl+S. WinHex Выдаст предупреждение о возможной потере данных, на что нужно ответить "ОК".
Теперь перезагружаем компьютер и после перезагрузки проверяем серийный номер диска командой label, как мы это делали в начале. Мы видим что серийный номер диска стал таким, каким мы его установили. Теперь можно запускать привязанную программу и она будет работать.
Возможно кто то скажет, что для смены серийного номера есть специальные утилиты, но я хочу что бы вы поняли как эти утилиты работают, и знали немного больше об устройстве системы.
Так же хочу заметить, что если вы все таки опасаетесь за свою систему, то можете для теста попробовать изменить серийный номер флешки, если не получится то ее можно просто отформатировать. После нескольких удачных попыток, можно попрактиковаться и на диске С: =)))
Как в среде Windows 10 удалить ассоциацию файлов – их привязку к определённой программе, которая автоматически открывает их типы (с тем или иным расширением, например, «.doc», «.mp3», «.avi» и т.п.) по двойному клику? Не сменить одну программу на другую, как это предлагается, например, в свойствах файлов. А полностью отвязать их тип от любой программы – хоть сторонней, хоть из числа штатных средств Windows 10. Если для нужных типов файлов не будет задана программа по умолчанию, их каждый раз можно открывать в подходящем по ситуации приложении по двойному клику.
↑ Как удалить ассоциацию файлов в Windows 10
Что, согласитесь, более удобно, чем использовать в контекстном меню проводника имеющееся в системе решение этого вопроса - опцию «Открыть с помощью».
В своих параметрах Windows 10 может предложить либо смену одной программы по умолчанию на другую по типу того, как это делается в свойствах файлов, либо сброс ассоциаций к дефолтным.
Но такой сброс приводит настройки в начальное состояние только в части возврата ассоциаций штатным UWP-приложениям Windows 10. Такой сброс не удаляет ассоциации, более того, он даже не действует на классические программы Win32. Даже если у Windows есть собственные средства открытия определённых расширений, как, например, проводник для «.iso», эти расширения после сброса так и останутся привязанными к стороннему софту. Менять ассоциацию в таком случае необходимо только вручную.
↑ 1. Настройки стороннего софта
Некоторые сторонние программы при установке не втихую назначают сами себя главными в системе по открытию того или иного типа файлов, а позволяют пользователю решить, под какие расширения он хочет подвязать эту программу. При установке такого софта нужно просто снять галочки либо со всех поддерживаемых расширений, либо только с нужных, для которых планируется в дальнейшем выбор открытия.
Если программа уже установлена в системе, можно покопаться в её настройках. В них может быть предусмотрена отвязка ассоциаций. В медиаплеере PotPlayer это, например, раздел настроек «Связи».
↑ 2. Удаление расширений в системном реестре
Универсальный способ отвязки ассоциаций, действующий для любого установленного в Windows 10 софта – это правка реестра системы. Открываем regedit.exe. Раскрываем ветвь:
И так проделываем с каждым отдельным типом файлов. После чего перезагружаем систему. И вот - можем наблюдать файлы, не привязанные к запуску конкретной программой.
Комментарии (8)
Рекламный блок
Подпишитесь на рассылку
Навигация
Облако тегов
Архив статей
Сейчас обсуждаем
Гость Алекс
Очень жду эту фитчу! Честно из-за ее отсутствия я откатился на 10ку, хотя в 11 много чего нравится,
Grey3
Цитата: Гость Виталий России нужен отечественный VPN. Пользуйтесь Kaspersky VPN - ежемесячно
Гость Алексей
При попытке открыть получившийся ISO в пустой виртуалке, пишет "Fatal: Could not read from the boot
rediffusion
rediffusion
Как будут выглядеть параметры, если ссылаться на уже извлечённый install.wim из .ISO?
RemontCompa — сайт с огромнейшей базой материалов по работе с компьютером и операционной системой Windows. Наш проект создан в 2010 году, мы стояли у истоков современной истории Windows. У нас на сайте вы найдёте материалы по работе с Windows начиная с XP. Мы держим руку на пульсе событий в эволюции Windows, рассказываем о всех важных моментах в жизни операционной системы. Мы стабильно выпускаем мануалы по работе с Windows, делимся советами и секретами. Также у нас содержится множество материалов по аппаратной части работы с компьютером. И мы регулярно публикуем материалы о комплектации ПК, чтобы каждый смог сам собрать свой идеальный компьютер.
Наш сайт – прекрасная находка для тех, кто хочет основательно разобраться в компьютере и Windows, повысить свой уровень пользователя до опытного или профи.
Разделы сайта
Социальные сети
Те, кто активно используют флешки в процессе своей работы, наверняка не единожды задумывались над вопросом, как защитить устройство и хранящуюся на нём информацию. Защитить от вирусов, которые могут проникнуть на накопитель, если его приходится подключать к чужим компьютерам. Защитить, возможно, от намеренных действий коллег на работе, жаждущих уничтожить хранимую информацию. Защитить от детей. Уберечься как минимум от вирусов и детских шалостей можно с помощью механического переключателя для защиты от записи, если флешка таковой предусматривает. Если такого переключателя нет, можно прибегнуть к программным аналогам такого механизма. А при необходимости ещё и усилить безопасность хранимой информации. Об этом, собственно, и будем говорить далее.
↑ Как защитить флешку от вирусов и стирания информации
↑ Программа Ratool
Защищать съёмные накопители – флешки, SD-карты, оптические диски - от записи ненужной информации и удаления, наоборот, нужной информации умеет небольшая портативная программка Ratool. Её совершенно бесплатно можно скачать на сайте разработчиков:
Запускаем Ratool. Чтобы запретить запись на флешку и удаление с неё данных, в окне программки выбираем пункт «Разрешить только чтение». Жмём кнопку «Применить изменения».
Увидим уведомление, в котором говорится, что для применения внесённых изменений флешку нужно переподключить. Жмём «Ок».
Вынимаем флешку из USB-порта и снова вставляем. Теперь при попытке копирования файлов на флешку в проводнике Windows этот процесс подвиснет на 0% и никак не будет продвигаться дальше.
Ratool при необходимости может заблокировать флешку полностью – сделать так, что компьютер вовсе не будет её определять. Для этого в окне программы нужно выбрать последний пункт «Заблокировать USB накопитель» и применить изменения.
Чтобы вернуть всё назад - сделать флешку определяемой компьютером или разрешить запись данных - в окне Ratool выбираем первый пункт «Разрешить чтение и запись…», применяем изменения и переподключаем носитель.
От сообразительных сторонних лиц, которые могут раскрыть секрет защиты флешки от записи, в арсенале Ratool есть возможность доступа к программе при условии ввода пароля.
Простой и удобный механизм работы Ratool, увы, не лишён недостатков. Осуществляемая средствами этой программки блокировка носителей касается только текущего компьютерного устройства. На другом ПК, на другом ноутбуке флешка не будет защищена от записи. На любом новом устройстве придётся запускать Ratool и проводить операцию по запрету записи данных касательно именно этого устройства. Благо, весит программка совсем мало, так что её можно поместить на флешку и всегда носить с собой. Ratool является программой для Windows, запускается с EXE-файла, следовательно, она не поможет в случаях подключения флешки к компьютерам на базе других операционных систем.
↑ Редактор локальной групповой политики Windows
Ratool, по сути, являет собой упрощённый механизм блокировки съёмных носителей информации, который на своём личном или рабочем компьютере можно осуществить средствами самой Windows – с помощью редактора групповой политики. Последний нельзя использовать в редакции Windows Home, зато в редакции Pro с его помощью можно заблокировать флешки, SD-карты, оптические диски и прочие накопители как для всех, так и для отдельных учётных записей компьютера. Как работать с редактором в принципе и в части создания ограничений только для отдельных пользователей в деталях рассматривается в этой статье. В её п. 3 описан способ отключения записи данных на съёмные носители.
Даже первый способ, не говоря уже о втором, хорош, когда флешка используется в ограниченном круге Windows-компьютеров. Если круг компьютеров широк, более уместными будут иные действия. Можно, например, отдельным способом обезопасить флешку от возможности проникновения вредоносного ПО. Ну а вопрос с блокировкой возможности удаления данных сторонними лицами желательно заменить на вопрос ограничения доступа к данным накопителя в принципе.
↑ Защита флешки от вирусов
Защитить флешку от вирусов поможет механизм записи на неё специальных скрытых файлов с нулевым размером. Они имеют названия и расширения файлов автозапуска, под которые обычно маскируется вредоносное ПО, не удаляются, не перезаписываются. Они просто хранятся на флешке, не занимая места. Если вирус попытается перезаписать их, ему это не удастся сделать. Создавать такие файлы-обманки умеет, например, бесплатная портативная утилита Flash Defender, скачать можно на нашем облачном хранилище по ссылке:
Запускаем утилиту. В левой части окошка галочкой отмечаем флешку. Справа кликаем кнопку «Выбрать все», затем «Удалить».
Если на флешке до этого существовали скрытые файлы с именами из перечня Flash Defender, они должны быть удалены, чтобы утилита могла создать свои такие файлы. Далее в правой части окошка снова жмём кнопку «Выбрать все» и жмём «Создать».
Всё – теперь можно не бояться подключать флешку к компьютеру каждого встречного-поперечного. Как минимум от классических сценариев распространения вредоносного ПО такая защита сработает.
↑ Шифрование флешки
У Windows есть свой штатный механизм шифрования дисков и съёмных носителей BitLocker, но поскольку нам нужен универсальный способ доступа к данным флешки, его рассматривать в этом контексте никак нельзя. BitLocker не доступен в редакции Windows Home, засилье которых можем наблюдать на многих OEM-устройствах обывателей. Универсальный способ защиты может предложить кроссплатформенная программа TrueCrypt. Она шифрует носитель, запароливает доступ к нему. С ней можно работать в системах Windows (в том числе с портативной версией), Mac и Linux. Подробно работу этой программы мы рассматривали в статьях о «TrueCrypt инструкция» и EncFS.
Чтобы взломать чужую сеть, можно применить изощренные высокотехнологичные методы, а можно просто подбросить сотрудникам интересующей хакера компании флешку с «сюрпризом». В последние годы популярность этого способа понемногу падает, но он еще встречается для проникновения в технологические сети промышленных предприятий. А какие существуют методы защиты от вредоносных флешек и как их можно обойти? Сейчас разберемся!
В этой статье мы рассмотрим, как устроена защита USB (Mass Storage Class — Removable Media) и как обмануть системы ограничения по белому списку устройств с помощью создания клонов. Звучит интересно? Хочешь натянуть современные средства защиты? Тогда добро пожаловать в мир увлекательных экспериментов!
Как блокируют флешки
Зачем их блокировать? Чтобы ты не занес в ИТ‑инфраструктуру компании вирус‑шифровальщик, не таскал информацию домой и не приносил игрушки в офис. В разных конторах админы и безопасники действуют по‑разному. В самых печальных случаях порты физически отключаются, заливаются эпоксидкой или опечатываются. В случаях попроще порты отключаются через BIOS/UEFI (что‑то вроде USB Controller = Disabled).
Если админам лень жалко ломать железку, на помощь приходят настройки реестра и групповые политики винды. Например, для полной блокировки USB-носителей открой вот эту ветку реестра:
Если ты выставишь у параметра Start значение 4, твои флешки перестанут подключаться. В групповых политиках ( gpedit. msc ) обычно смотрят в сторону оснастки «Конфигурации компьютера → Административные шаблоны → Система → Доступ к съемным запоминающим устройствам».
Расположение на винде политики, связанной со съемными носителями
Существуют ли способы более изысканно и красиво ограничить подключение нежелательных носителей к компу? Компании побогаче используют дополнительные средства защиты информации (СЗИ) — тот же KAV (и иные антивирусы), DLP-системы, Secret Net (СЗИ от НСД) и прочие. Кто‑то даже устанавливает драйвер для проверки носителя по белому списку, кто‑то проверяет устройство в момент его монтирования.
Настройки СЗИ могут запретить подключение вообще всех устройств, только устройств из черного списка или разрешить подключение девайсов из белого списка. На последнем варианте мы с тобой и остановимся поподробнее.
А как их различают?
Как отличить одну флешку от другой? Понятное дело, что у флешек есть производитель, объем, другие параметры. Но обычно производители снабжают каждую флешку уникальным серийным номером, прописанным в ее прошивке.
Чтобы посмотреть его в винде, можешь использовать такую команду Windows Management Instrumentation — WMIC (предварительно подключив флешку):
Получаем примерно такой вывод команды:
Полученный DeviceID содержит:
- VID — Vendor ID, идентификатор производителя. 13FE — Kingston Technology Company Inc.;
- PID — Product ID, идентификатор изделия. 4200 — Platinum USB drive mini;
- Serial — уникальный серийный номер флешки 070867948D560839 .
VID и PID используются операционкой для поиска дров. Полный список можно посмотреть, например, на сайте Linux USB.
По DeviceID флешка прописывается в реестре:
Также ты можешь получить всю эту информацию с помощью программы USBDeview.
Пример вывода программы USBDeview
В некоторых, особо изысканных и нездоровых случаях в качестве идентификатора флешки применяется Volume Serial Number (VSN, он же так называемый серийный номер тома), который можно получить командой vol или dir .
Вывод команд vol и dir
Почему использовать VSN (в Linux он называется UUID) для идентификации флешек — идея не очень? Дело в том, что данные метки идентифицируют логические тома файловой системы. Чтобы изменить VSN случайным образом, достаточно отформатировать раздел. Понятно, что для жестких дисков это процедура сравнительно редкая, но флешки форматируют довольно‑таки часто.
Что делать с ноунеймом
Для китайских noname-флешек, производители которых «кладут» на соответствие девайса всевозможным рекомендациям и стандартам, такой серийник будет меняться в зависимости от USB-порта, в который ты подключил устройство, и, разумеется, положения звезд на небе. Если твою флешку безопасники пропишут в белый список только на одном порте, то на другом ты ее использовать не сможешь.
Вот пример такой флешки:
Первое, что бросается в глаза, — серийник содержит несколько амперсандов. На самом деле у этой флешки нет серийника вообще. Когда & — второй символ серийного номера, это означает, что система каждый раз при подключении генерирует псевдосерийник сама, то есть он динамический. Проверим это, просто подключив флешку в другой порт:
Как ты видишь, при изменении порта в серийнике меняется номер этого порта ( &2 в конце превратилось в &1 ). Так что нужно или добавлять в список номер такой флешки на всех портах, или использовать только выделенный порт для ее подключения.
В некоторых СЗИ используют иные свойства флешек. Все доступные свойства ты можешь просмотреть, щелкнув на значке флешки правой клавишей мыши и выбрав в контекстном меню «Свойства → Оборудование → Сведения». В выпадающем списке наиболее полезные сведения содержатся в строках «Понятное имя», «Путь к экземпляру устройства» и «Родитель» (тот же DeviceID).
Свойства устройства → Путь к экземпляру устройства
У китайских флешек эти параметры меняются, как генератор случайных чисел. Например, путь к экземпляру устройства для первого и второго USB-порта выглядит так:
Для нормальной флешки здорового человека данный идентификатор стабилен:
- JETFLASH — производитель;
- TRANSCEND_8GB — название устройства;
- 1100 — номер ревизии;
- BBPIX7EB2VMBFI48 — серийный номер.
У разных флешек из одной партии меняться будет только серийник.
Как палят?
Давай посмотрим, какими способами админы могут выявить, что к системе подключили флешку. В Windows имеется целый пул средств для отслеживания подключаемых носителей. Если хочешь поковыряться сам — смотри вот эти две ветки реестра:
Там хранится список идентификаторов подключаемых устройств, при этом информация в этих ветвях реестра не затирается стандартными процедурами в планировщике задач винды, то есть данные хранятся сколь угодно долго.
Если ты предпочитаешь готовые решения, то к твоим услугам классический USBLogView, который в реальном времени регистрирует подключение и отключение флешки. В форензике для комплексного анализа подключений рекомендуем посмотреть в сторону USB Detective и USB Forensic Tracker.
USB Detective извлекает информацию из реестра, логов, иных источников, а также может снимать информацию с Live-системы (в версии Pro), при этом выполняя корреляцию и верификацию данных.
USB Forensic Tracker извлекает все артефакты подключений независимо, поэтому для каждого источника данных ты имеешь свою таблицу подключений USB-устройств (корреляции, к сожалению, он не делает).
Пример вывода программы USB Forensic Tracker
Например, просматривая данные по нашей китайской флешке, мы выяснили, что ее отображаемый серийник на первом порте — 388e987 , на втором — 3с69e2с9 . После форматирования они стали 4247e754 и 966cde2 соответственно.
Во внешних СЗИ имеются функции просмотра и блокирования подключенных флешек в реальном времени или на основе ранее подключенных устройств.
Практический подход к сбитию параметров флешек
Часть 1. VSN (UUID)
Если тебе повезло и в твоей организации блокируют флешки через VSN/UUID, то существует масса годных вариантов. Все представленные ниже кейсы не изменяют основные параметры флешки, такие как серийный номер и информация о модели. Однако помни, что иногда VSN применяется при лицензировании ПО и изменение VSN может повлиять на его работоспособность. Зато, научившись менять VSN, ты сможешь давать вторую жизнь лицензионным прогам, которые жалуются на смену жестких дисков и не хотят работать.
warning
Манипуляции представлены для демонстрации. Применяя их, будь осторожен и внимателен, поскольку при некорректном подборе команд, программ, прошивок ты рискуешь окирпичить флешку, за что мы, конечно, ответственности не несем. Не стоит упоминать, что на тестируемых флешках не следует держать ценную инфу.
Вариант 1. Форматирование
Данный вариант используется, когда активен только черный список флешек, поскольку форматирование меняет идентификатор раздела. Однако задать конкретный идентификатор в данном случае не получится.
Например, флешка с FAT32 до форматирования имеет VSN 4652-F858 , а после быстрого форматирования — 76DA-6C78 . Для NTFS ситуация в целом аналогична.
Как ты видишь, вариант предельно простой, но совершенно неконтролируемый. Это нам как‑то не очень подходит, попробуем менять параметры на избранные нами значения.
Вариант 2. Смена VSN через утилиты
Существуют готовые утилиты для смены VSN, например VolumeID от компании Sysinternals или более приятная на вид графическая утилита Volume Serial Number Changer. Во втором случае нужно просто запустить утилиту, выбрать метку диска, вбить новый идентификатор, нажать Change Serial number, вынуть‑вставить флешку, и все готово.
Работа с утилитой Volume Serial Number Changer и ее результат
Вариант 3. Сделай сам
Ты хочешь полностью познать дзен флешек? Не вопрос. Предварительно определись с файловой системой. Открой любой HEX-редактор и перетащи туда значок флешки из проводника. Для FAT32 VSN находится по смещению 0x43 , для NTFS — на 0x48 .
Исходный VSN устройства с файловой системой NTFS
Нашелся серийник 6666-6666 . Что ж, исправим его и сохраним результат. Помни, что порядок чтения байтов — справа налево (little endian).
Измененный VSN устройства с файловой системой NTFS
Для FAT32 ситуация полностью аналогична.
Измененный VSN устройства с файловой системой FAT
Итак, теперь ты умеешь менять VSN (UUID). Но для по‑настоящему серьезных вещей и создания почти полноценного клона нужно еще немного углубиться в тему.
Часть 2. VID, PID, Serial
Чтобы менять максимальное количество параметров, требуется перепрошить контроллер флешки. Процедура эта сравнительно несложная, но опасная — в случае ошибки ты рискуешь сделать флешку неработоспособной (однако ошибка чаще всего возникает при неудачном выборе прошивки или прошивальщика).
Представим, что у тебя есть исправная флешка (которая работает в офисе без проблем), а также ты приобрел другую флешку — потенциальный клон. Если ты купишь флешку точно той же модели, то при некоторых обстоятельствах сможешь обойти СЗИ, в которых идет проверка только по VID и PID.
Продолжение доступно только участникам
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Борис Осепов
Специалист ИБ. Увлекаюсь средствами анализа вредоносного ПО. Люблю проверять маркетинговые заявления на практике :)
Александр Мессерле
ИБтивист. Исследую в ИБ то, что движется. То, что не движется, кладу в песочницу.
Читайте также: