Lockngo
 Лучшее решение для надежной защиты
  личных данных, хранимых на флэшке




Безопасная флэшка (со ссылками)
данные от: 14.07.2009

2.07.2009Переделка обычной флэшки в защищенную. (Windows)

Скрытие, защита от записи, шифрование раздела.

(вот другая версия. без барта, пошаговая с сылками на готовые ISO образы)
(или [ссылки там внизу])


Задача: Сделать из обычной флэшки - защищеную от произвольной записи, не разбирая эту флэшку. Так чтобы записывать на неё смог только хозяин а не всякие там вирусы.

Решение такое: на флэшке создаётся CDROM раздел, содержащий папку с портабельным TrueCrypt. На оставшейся (большей) части флэшки раздела вообще (будто бы) не будет. Он весь будет контейнером созданным TrueCrypt Format'ом.

  1. Подготовка TrueCrypt. Во-первых сам TrueCrypt должен всегда быть на этой флэшке, ведь она будет подключатся к разным компам. Во-вторых он будет на CDROMе который потом нельзя редактировать значит заранее надо его настроить и добавить файлы которые могут потом пригодится.
  2. Создание iso-образа. Можно сделать iso с одним лишь TrueCryptoм. Но раз уж флэшка станет с CDROM'ом, то пусть тогда он будет загрузочным. Делаю собственную сборку BartPE с TrueCrypt. Это позволит пользоваться флэшкой даже на компьютерах на которых вообще никакой ОСи нету :)
  3. Прошивка и шлифовка флэшки. Всё готово, осталось только прошить флэшку, подготовить к работе и проверить как работает.

Всё буду делать как проще, бесхитростно. Каждая подобная сборка ведь индивидуальна, для одного нужна одна фукциональность, другому удобства. Сейчас у меня задача - сделать флэшку с защитой от записи. А БартПЕ - это уже самодеятельность.

Подготовка (это наверно самое долгое)

Сперва BartPE. Скачиваем, устанавливаем. Ага, надо дистрибутив ХР. С моего лицензионного SP3 Home он работать отказался. Что ж, найду ему SP2 нелиц. Запускаем PEbuilder -> Модули, отключаем всё ненужное, включаем - нужное. Ага, нужное прежде чем подключить, надо сперва подготовить особым образом. Ладно. Главное сейчас приделать TrueCrypt.

Скачиваем последнюю версию. Запуск, предлагает выбор - распаковать или установить в систему. Распаковываю в \pebuilder3110a\plugin\TrueCrypt, там делаю папку files и все файлы перемещаю в неё. ЗапускаюTrueCrypt, устанавливаю язык, "только чтение", "съемный диск" - по умолчанию, сохраняю. Теперь создаю файлы TrueCrypt.inf (это для интеграции в сборку, папку перенесет раз portable);

[Version]
Signature= "$Windows NT$"

[PEBuilder]
Name="TrueCrypt"
Enable=1

[WinntDirectories]
a=Programs\TrueCrypt,2

[SourceDisksFiles]
AutoRun_TrueCrypt.cmd=2

[SourceDisksFolders]
FILES=a

[Append]
nu2menu.xml, TrueCrypt_nu2menu.xml

И TrueCrypt_nu2menu.xml (это для запуска из псевдоменю "пуск" )

Да, я переименовал файл TrueCrypt_Format.exe (подчеркивание). просто так, на всякий случай(это зря я сделал. само собой перестала работать кнопка "создать том" из главного окна). Ну и руками добавляю в файл \pebuilder3110a\plugin\nu2menu\nu2menu.xml строчку:

<MITEM TYPE="POPUP" MENUID="TrueCrypt">TrueCrypt</MITEM>

Все эти движения я делаю затем чтобы потом не делать лишних, каждый раз загружаясь c BartPE. Добавлю еще командный файл AutoRun_TrueCrypt.cmd в папку TrueCrypt. Он для того чтобы флэшка (зашифрованный раздел) монтировалась в режиме записи, всякий раз при загрузке с неё. Действительно, чего шифроваться то в ОС лайв? Если надо будет, то можно отмонтировать в два клика, или даже в один. Кооманда такая:

start x:\programs\truecrypt\truecrypt.exe /a devices /l q /m rm /p MyPass /q
exit

Это значит TrueCrypt найдет целиком зашифрованые устройства, для которых подходит пароль MyPass, и примонтирует на полный доступ.

Тут можно сказать "Фигасе, безопасность! Мало того, что зашифрованные разделы монтируются автоматом на полный доступ, так еще и пароль открытым текстом прошит на CDROMе".

На это отвечу - сейчас мне главное удобство. Если понадобится безопасность, то реальный пароль можно сменить в любой момент, при этом ничего автоматом монтироваться не будет. А чуть позже, покажу как можно зашифровать и командные файлы.

Проверяю образ BartPE на виртуалке - работает. Только не флэшкин раздел пока цепляю, а создаю на виртуальном HDD раздел TrueCrypt. С этим всё пока, осталось написать bat-файлы для Windows. Первый - readonly.bat такой :

start Programs\TrueCrypt\truecrypt /a devices /l q /m rm /m ro /p MyPass /q background /e
exit

второй write.bat

start Programs\TrueCrypt\truecrypt /a devices /l q /m rm /p MyPass /q background /e
exit

следующий - umount.bat

start Programs\TrueCrypt\truecrypt /d /q
exit

и, для автозапуска - autorun.inf В Windows, в отличии от BartPE, автоматом раздел пусть монтируется в режиме "только для чтения". Если можно и нужно будет записать на него что-нибудь, то можно его перемонтировать на запись.

[autorun]
open=readonly.exe
icon=Programs\TrueCrypt\TrueCrypt.exe
label=Crypt

Чтобы не мелькало окно командной строки, пакетные файлы можно скомпилировать в exe например программой  Bat_To_Exe_Converter. Вот тут то их заодно можно и зашифровать. На этом подготовка закончена.

Создание ISO

Делаем окончательную сборку BartPE, с созданием загрузочного ISO.

У меня получился немаленький образ - почти 190 МБ (добавил: Far manager, Renew, драйверы SATA, Paragon HDM, поддержку локальной сети и интернета с драйверами сетевых карт, пакет утилит с диска Avast!PE. Не добавил никаких: браузера, антивируса - эти программы слишком часто обновляются и включать их на CDROM не вижу смысла, пусть лучше будут на флэш-разделе, не перепрошивать же флэшку каждую неделю)

Редактируем образ, например триальной версией программы UltraISO. В корень добавим readonly.exe, write.exe, umount.exe и autorun.inf.

Вроде всё, iso готов.

Прошивка и создание зашифрованного раздела

Флэшка, из которой попросили сделать защищеную - все та же Kingston DTI, но в этой контроллер Phison PS2134. С такими мне уже приходилось сталкиваться, поэтому конфиги сохранились и прошивка отнимет несколько минут.

тут описание>>

Флэшка стала CDROM'ом и обычным "Съемным диском" в одном флаконе...

Вот от этого "съемного диска" чего-то не придумаю как избавиться. Может кто что-нить подскажет? Уже и совсем раздел удалял, и в разные невиндовые ФС форматировал, и атрибут "скрытый" ставил, и volume ID некорректный... все равно Windows его видит и предлагает отформатировать (не всегда она действительно может это сделать, но тем не менее пытается). Ладно, плюну пока, итак долго провозился, флэшку давно пора отдать. ..

Ёлки.. чего-то не могу вкурить.. на некоторых компах видит этот "раздел", но на большинстве не видит,

Кажется нашел способ )))))  (даже два)

В принципе-то задача решена. Ну да, можно отформатировать и уничтожить всё содержимое. Но винда ведь перед этим пару раз спросит "ты уверен?". Если хозяин сам работает с флэшкой то тут трудно ошибку допустить. А если посторонний, так ему и переключатель на флэшке перещелкнуть в режим записи, ничуть не сложнее будет. Так что (и если учесть шифрование), к

TrueCrypt Format'ом создаю контейнер, из всего раздела

надеюсь что терморектальный криптоанализ вирусы ещё долго не примут на вооружение, так что..

Итак, что в оконцовке получилось

При подключении флэшки к компьютеру, в проводнике появляется новый привод CD. Если на этом компьютере разрешен автозапуск, то через пару секунд в проводнике появляется новый съемный диск, и окно с открытой корневой папкой этого раздела. Если автозапуск не работает, и при двойном щелчке на новом CDROM'е, то открывается он и в нем можно кликнуть на файле readonly.exe. Диск таки появится и окно вылетит. То есть поведение такое же (почти) как и при подключении обычной флэшки. Только по умолчанию доступа на запись не будет. Что и требовалось по условию. Все прыгающие и портящие зловреды, если они есть на компе - обламываются.

Я считаю, что задача решена чуть более чем полностью. Возражения?

q5 ию