11 ответов в этой теме

[Medlar]

Вместе с тем при загрузке с LiveDisk внешний диск виден (вижу разделы диска нормально в Midnight Сommander и df -aT показывает разделы данного диска примонтированными )

Но на этапе выбора объектов для проверки разделы съемного диска не удается обнаружить.

 

Данный диск использовался для резервного копирования на рабочей станции под Windows, рабочая станция оказалась заражена вирусом-шифровальщиком.

К сожалению, сразу после заражения сотрудник подключил внешний жесткий диск с целью копирования незашифрованных файлов, но скопировать файлы не успел.

 

Так как разделы внешнего диска видны в MC, удалось просмотреть содержимое папок на предмет зашифрованных файлов. На первый взгляд, таковых не имеется.

Хотелось бы убедиться, что внешний диск чист, можно ли это сделать с помощью LiveDisk's?

[Medlar]

Удалось найти способ проверки внешнего диска, но он работает только в том случае, когда на компьютере установлен *nix:

загружаемся с Live-CD, монтируем внешний диск, в CureIt выбираем правильный раздел и нужную директорию, запускаем проверку.

 

Поэтому уточню вопрос.

Как проверить внешний usb-диск или флэшку при загрузке с Live-CD  в том случае, когда на компе установлен Windows?

Примонтировать внешний диск я могу в любом случае, но как потом найти точку монтирования в предлагаемом списке разделов - C:,D:,F:,etc ...?

Где физически  в Windows находятся вновь подключенные внешние накопители?

 

К слову сказать и к счастью, ни DrWeb, ни КAV при проверке с LIve-CD не обнаружили вирус-шифровальщик на съемном диске.

[usverg]

Что самое интересное за процесс монтирования дисков "установленная Windows" не несёт никакой ответственности. Диски (разделы) монтируются хост-системой, в данном случае это Ubuntu 12.04. И в обоих случаях процесс происходит идентично (по умолчанию в директорию /media).

Сообщение было изменено usverg: 10 Ноябрь 2014 - 14:14

[Medlar]

>Что самое интересное за процесс монтирования дисков "установленная Windows" не несёт никакой ответственности.

Логично

 

 

Диски (разделы) монтируются хост-системой, в данном случае это Ubuntu 12.04. И в обоих случаях процесс происходит идентично (по умолчанию в директорию /media).

 

И было бы замечательно, если бы в окне "Выборочная проверка" можно было увидеть корневой раздел Ubuntu, а в нем - упомянутое вами /media.

Но пока в случае с исходной Windows-системой я вижу только разделы стационарного жесткого диска (см. вложение) и не имею никакой возможности подобраться к подмонтированному usb-диску.

Прикрепленные файлы:

•  DrWeb_LiveCD_Custom_check.jpg   332,7К   0 Скачано раз

[Medlar]

А может вы подскажете, как в этом случае в терминале из командной строки запустить проверку вновь примонтированного устройства?

[usverg]

Про командную строку не скажу (это же теперь CureIt), а вот попробовать сделать символьную ссылку на /media в директории /root/.wine/dosdevices можно... хотя, тут, похоже, имеет место конфигурация wine/CureIt

[Medlar]

Спасибо большое, подтолкнули вы меня в правильном направлении, смогла я таки примонтировать (для начала) флэшку, просто внаглую создав на одном из windows-разделов, который был виден в CureIt, директорию usb, а затем примонтировав к ней флэшку (не обращайте внимание на содержание флэшки - первая, что под руку попалась!). Уррра-урррра-уррра!

D,E,F,G - все это windows-разделы.

Странно, что на notebook'e корневой Linux-раздел в CureIt виден, а на рабочей станции - только windows-разделы.

 

[Medlar]

Вложение по дороге потерялось - usb.jpg

Прикрепленные файлы:

•  usb.jpg   177,15К   0 Скачано раз

[usverg]

Провёл пару тестов, выяснилось следующее:

1) Автоматическое монтирование съёмных носителей осуществляется корректно в любом случае.

а) правило /etc/udev/rules.d/98-automount.rules

б) скрипт монтирования /usr/local/sbin/Mount

2) Символьная ссылка в директории /root/.wine/dosdevices создаётся корректно.

3) При установленной Windows ссылка на съёмный диск действительно не определяется Dr.Web-ом

4) При том, что корректно монтирует и создаёт ссылку на единственный ext3 раздел, не видит в списке дисков Linux раздел (но только до перезапуска CureIt).

5) Если произвести перезагрузку с подключенным съёмным носителем, то он становится видимым в окне выборочной проверки.

6) Если выполнить последовательность wineserver -k ; /usr/local/sbin/start_scanengine то съёмный диск появляется среди доступных в окне выбора.

P.S. Считаю логичным предположить, что, с учётом корректности монтирования и создания символьных ссылок (Wine+Mount), следует изменить механизм сканирования доступных дисков в CureIt.

[Medlar]

 

5) Если произвести перезагрузку с подключенным съёмным носителем, то он становится видимым в окне выборочной проверки.

6) Если выполнить последовательность wineserver -k ; /usr/local/sbin/start_scanengine то съёмный диск появляется среди доступных в окне выбора.

5) это как раз то, чего мне хотелось избежать с учетом того, что тема создавалась про съемный жесткий диск, который подключался пользователем к только что зараженному трояном-шифровальщиком компу и тоже мог быть заражен;

6) спасибо,  вы - Гений. Или Волшебник.

[usverg]

Medlar, пожалуйста, Ваши бы слова да руководству в уши для пересчёта в зарплатный эквивалент. 

[Medlar]

Я не оптимистка, особенно в отношении руководства и перерасчета зарплаты, но .... все-таки ...  пусть, как говорится, "и на вашей улице перевернется камаз с пряниками!"

Удачи вам и везения!

P.S. Модераторы, сорри за нецелевое использование форума, это последнее сообщение не по теме.