Bytes Suspeitos

Anotações sobre forense digital

Pendrives (cd/dvd-rw) sem propagação de vírus e sem lixo

 

autorun.inf

 

O arquivo autorun.inf contém informações para executar automaticamente aplicativos logo que ele é inserido nos equipamentos executando sistema operacional Windows.
Isto é para logo que conectado ir reproduzindo um vídeo, música, etc.
Mas cai como uma luva para alastramento de malware!

 

Uma forma eficaz de evitar a contaminação do pendrive por malware é criar na raiz do pendrive uma pasta com nome autorun.inf, proteger esta contra gravação e criar um arquivo vazio debaixo dela.
Desta forma o malware não conseguem criar (nem sobrescrever) o arquivo autorun.inf com a informação de auto-execução do malware não conseguindo se propagar.

Um detalhe, no arquivo autorun.inf não pode se instalar um malware, só a informação de execução automática deste que pode ser armazenada nele, por isso o pendrive pode ainda ser infectado por malware.
Programas de antivírus irão detectar o malware, mas como dito acima na hora do pendrive ser colocado em outro equipamento o malware não será automaticamente executado prevenindo a propagação.

 

Pastas escondidas do MAC-OSX

 

Ao utilizar pendrives em equipamentos MAC são criados automaticamente vários diretórios escondidos que são utilizados pelo MAC-OSX para indexação, recuperação e outras frivolidades deste S.O.

Se somente usamos equipamentos MAC, passa totalmente desapercebida que o pendrive contenha estas pastas.

Embora estas pastas sejam escondidas (para que elas sejam mostradas tanto o Windows Explorer como o Finder devem ser configurados para mostrar arquivos ocultos) elas ocupam espaço no pendrive e dependendo das operações de arquivos feitas no MAC este tamanho é considerável.

Para evitar isto, (já vi milhões de artigos e sempre chego à mesma conclusão) o único método eficaz é a criação de arquivos vazios com o mesmo nome e proteger eles contra gravação. Os arquivos a serem criados são:

  • .Trashes
  • .Spotlight-V100
  • .fseventsd
  • ._.Trashes
 

Na pratica

 

Para facilitar, criar um diretório no HD, eu o chamo de Pendrive padrão com a pasta e arquivos acima mencionados com as propriedades de só leitura.

A cada pendrive que utilizo pela primeira vez, copio todos os arquivos da pasta Pendrive padrão para a raiz do pendrive e pronto.

 
Pasta e arquivos na raiz do pendrive
 

Outras mídias removíveis

 

O explicado acima também vale para todo tipo de mídia removível, como CD-RW, DVD-RW, etc.

 

Referências externas

 

Histórico
DataVersãoBase/AlteraçãoAutor
18-mar-20201.0Curso IPOG e refs.CH4172

Anotação:1051, última modificação:19-Mar-2020, tema:Seguranca