sexta-feira, 8 de novembro de 2013

Descobrindo o Sysinternals suite

sysinternals suite é um conjunto de ferramentas desenvolvidas por Mark Russinovich e adotada oficialmente pela Microsoft em 2006. Deixando a história de lado, o fato é que as ferramentas são tão boas que quem se acostuma a usar não consegue viver sem elas. Na verdade eu acho que a Microsoft deveria incluir no Windows nativamente, para não me dar o trabalho de copiar para todas as máquinas.

Para começar você pode baixar o pacote AQUI, em seguida descompacte em uma pasta qualquer.Mas guarde o pacote por que você vai querer copiar para outras máquinas com certeza.


Você pode se sentir a vontade para clicar em qualquer um aplicativo ver como funciona. Todos eles vem com o help :-). Mas antes de começar é importante preparar o ambiente.
Eu particularmente não gosto de ir até uma pasta específica e escolher uma delas e dar 2 clicks. Eu sempre chamo os programas através do "Executar...".  


Mas para isso é preciso que os executáveis estejam em alguma pasta do path do sistema. Sempre que me sento em frente a uma máquina para fazer qualquer diagnóstico, antes de tudo copio a kit de ferramentas para a pasta "System32", que é o principal path do Windows. Depois disso você pode executar qualquer uma das ferramentas naturalmente pela linha de comando ou via "Executar...". Para automatizar o processo você pode usar um script para copiar os arquivos para a "system32" com um clique. Crie um arquivo no bloco de notas com o seguinte conteúdo:

rem @echo off

copy "SysInternalsSuite"\* "%WINDIR%\System32\"

pause


Basta então salvar com qualquer nome ".cmd" e coloque junto com a pasta do Sysinternals. 2 cliques e ele executa o código copiando tudo para  o path.
Dados os preparativos, vamos aqui a uma apresentação das ferramentas mais úteis e seus principais recursos:

1) Autoruns: Esta ferramenta simplesmente mostra todos os programas que são carregados com o Windows, desde os serviços as tarefas agendadas e muito mais. De uma forma muito intuitiva você pode habilitar ou não cada entrada de "autorun" no sistema ou mesmo deletar. O mais interessante é que com o tempo você percebe onde aparecem entradas relacionadas a cada programa ou mesmo vírus e adwares. Antes de tentar removê-los ou mesmo terminar o processo com o gerenciador de tarefas tente desabilitar as entras no Autoruns e reiniciar a máquina. Com ele é muito fácil neutralizar programas indesejados ou mesmo malwares. Para quem sentiu algo familiar, este aplicativo nada mais é do que uma ferramente similar ao MSconfig, porém infinitamente superior.



Neste link o Mark mostra como remover malwares e usar algumas ferramentas.



2) Process Explorer:  Depois de usar este você nunca mais se sentirá bem com o gerenciador de tarefas nativo do Windows. O "procexp" mostra os processos em árvore e com os ícones. Ele ainda pode ser configurado para exibir colunas a gosto. É possível visualizar a linha de comando que iniciou o processo, usuário, threads, título da janela e muito mais. Vendo o esquema em árvore é possível finalizar toda a árvore.


Como pode ver na imagem acima, há uma opção de substituir o gerenciador padrão e usar o"procexp". Então ao presionar "Ctrl+Shift+Esc" ele será aberto. Simples assim.

O "procexp" tem ainda um irmão, o Process Monitor. Ele monitora toda a atividade dos processos incluindo arquivos e chaves de registro utilizadas. Porém o volume de dados é muito grande e requer uso dos filtros.


3) TCPview:  Qualquer administrador de rede sabe que o netstat é útil mas muito confuso. Então por que usar o netstat se existe o "tcpview"? Esta ferramenta mostra todas asconexões abertas no sistema em tempo real, incluindo o executável responsável, estado da conexão, portas, e o volume de dados transportados. Simplesmente fabuloso.





4) Sdelete: Quem vem do Linux já está acostumado a usar o shred para apagar arquivos com segurança, mas o Windows carece de uma ferramenta nativa. Apagar arquivos com segurança, significa que ele será sobrescrito várias vezes antes de ser realmente deletado do incide do sistema de arquivos, tornando impossível a recuperação com softwares específicos. O sdelete vem para suprir a necessidade, mas para melhor uso, já que é uma ferramente de linha de comando é bom copiá-la para uma pasta do path como sugerido acima. Basta usar como um comando qualquer e você poderá deletar arquivos com segurança. Por exemplo :

C:\>sdelete -p 8 teste.txt

SDelete - Secure Delete v1.61
Copyright (C) 1999-2012 Mark Russinovich
Sysinternals - www.sysinternals.com

SDelete is set for 8 passes.

C:\teste.txt...deleted.
1 files found


O parâmetro "-p 8" indica o número de vezes que o arquivo será sobrescrito.

5) Whois: Com este utilitário em mãos você nunca mais vai precisar entrar em sites de consulta de domínios e passar pelos captcha. Basta digitar "Whois dominio.com" e pronto. Lembre-se que que este serviço usa a porta 43, então deve estar liberada  a saída no firewall.

6) PsTools:  O Pstools é um pacote de utilitários de linha de comando muito útil para quem administra uma rede grande e precisa obter informações e executar comandos remotamente. Vale uma artigo apenas para este pacote:

http://technet.microsoft.com/en-us/sysinternals/bb896649

7) Desktops: Este simplesmente simula 4 áreas de trabalho no explorer. Não funciona tão bem quanto no Linux mas não deixa de ser útil. Assim que executado ele deixa um ícone na área de notificação e pode ser configurado facilmente. O padrão é que alterne entre as áreas de trabalho usando "Alt+Nº", onde  é um número de 1 a 4 de acorde com a área de trabalho.



8)Zoomit: Para quem faz apresentações de slides ou em data show com frequência é muito útil dar um zoom para que os espectadores veja melhor o conteúdo. Executando esta ferramenta, com um comando você foca uma área da tela facilmente e regula a ampliação com o mouse. Só usando mesmo para entender como é simples e útil.



9) Blue screen: Que tal ter a infame "Tela azul da morte" como proteção de tela? Baixe o arquivo AQUI e copie para a pasta system32. Então configure-o como protetor de tela.

Existem muitas outras ferramentas no pacote. Vale a pena olhar uma por uma e se acostumar a usá-las. Bom exemplos são o contig, Sync, PsPing, ShellRunas, Autologon, LogonSessions, RootKitRevealer, e por aí vai....

2 comentários:

  1. A maioria das pessoas não conhecem estas ferramentas que são excelentes para descobrir e solucionar problemas de performance e rede. Estas ferramentas são as utilizadas oficialmente pela Microsoft para o trabalho dos Engenheiros de Suporte. Para mim as principais de identificação de problemas são as Process Explorer, Process Monitor, Network Monitor e Windbg (Windows Debug).

    Abraço.
    Responder
    Respostas
    1. Muito bom ouvir isso de quem vem de dentro da MS :-)

      Hoje não consigo sair do lugar sem tê-las na manga.

3 pontos definitivos para a segurança de qualquer PC

Ter o PC infectado é quase tão comum como pegar uma gripe anualmente, o que ocorre de fato é que a grande maioria dos usuários está usando o computador de uma formavulnerável, e estranho seria se eles não fossem infectados desta maneira!

Entre muitas e muitas recomendações de segurança, o que proponho são 3 passos simples e na verdade óbvios que deixam você muito menos ameaçado e permite uma recuperação muito mais rápida do que simplesmente formatando o seu PC.


1º - Nunca, mas nunca use contas com privilégio de administrador

Quando se usa Linux os usuários tomam um choque por que a conta de usuário "padrão" simplesmente não tem permissão para alterar configurações do sistema, como instalar programas, alterar a hora, ou mesmo alterar arquivos do sistema e de outros usuários. Na verdade esta é uma tática muito óbvia do ponto de vista da segurança, no entanto a maneira como o Windows vem configurado (com a sua conta de usuário com privilégios de administrador) deixa para trás o conceito e faz com que o usuário e os vírus se sintam  a vontade para executar qualquer código e fazer qualquer alteração no sistema, sem o mínimo de restrição.  
Ironicamente, no help do Windows a recomendação é justamente o contrário.... Que coisa não?!



 A dica é criar uma conta de usuário pessoal (João por exemplo) e criar outra conta com outro nome para ser o "Administrador" do sistema. Criadas as contas no painel de controle você deve ir em "Alterar tipo de conta" e selecionar uma delas como sendo "Usuário padrão".  A diferença é que uma delas é membro do grupo "Administradores" e a outra somente membro do grupo "Usuários". Você pode ainda usar o console de gerenciamento de usuários onde pode ser mais simples:

Iniciar > Executar > lusrmgr.msc

É importante que cada usuário da máquina tenha a sua conta para deixar as coisas separadas, e apenas uma conta com privilégios de administrador para fazer tarefas administrativas. Você não notará diferença absolutamente nenhuma, a não ser quando for adicionar ou remover programas e alterar configurações do sistema. Para todos caso, quando for necessário executar algum programa com privilégios (instaladores por exemplo) será necessário uso da conta apropriada. Basta clicar com o botão direito e em "Executar como administrador", ou no Windows XP "Executar como...". O trabalho pode ser ainda mais simples no WIndows 7 com o recurso da UAC que torna o mecanismo automático. No máximo você terá de fazer logoff e fazer logon com a conta de administrador para realizar o trabalho.


Pense que quando um vírus é executado no seu sistema, geralmente ele é executado por você, mesmo que acidentalmente. Então ele terá o mesmo nível de privilégio que a sua conta, que sendo restrita fará no máximo alterações em seu próprio perfil de usuário. Mesmo que você seja infectado é bem provável que excluindo a sua conta e criando uma nova resolva o problema.

2º - Anti vírus e software PIRATA

A dica do anti vírus é velha. Mas vale lembrar:
 - Use um bom anti vírus (AVG, Avast, Avira)
 - Eles se atualizam automaticamente, não se preocupe
 - Processe o anti vírus em qualquer arquivo que baixar da internet, e sempre em pendrives alheios

Esses anti vírus citados são grátis para uso doméstico, e possuem versões corporativas pagas. Mas onde entra a questão do software pirata?
Infelizmente muitas pessoas usam versões "crackeadas" mesmo de anti vírus! Quer dizer, algum hacker mal intencionado (nem todos são) conseguiu burlar a perícia do próprio anti vírus e oferece uma versão independente. O mesmo acontece com inúmeros programas (AutoCAD, Adobe CS, Office, Nero) e Jogos, você pensa estar fazendo um bom negócio mas está abrindo a porta para o inimigo, já que o "crack" deste software pode conter códigos maliciosos que você terá que "engolir" junto.

Então, evite software pirata ao máximo! Respeite o trabalho dos outros, e procure alternativas grátis e confiáveis. Principalmente em ambientes empresariais, onde você está sujeito e fiscalização e ao comprometimento das informações corporativas.

3º - Atualizações automáticas do sistema

A triste realidade e que a grande maioria dos técnicos desativa as atualizações do sistema. Simplesmente por que a maioria das pessoas usam Windows não licenciado, e junto das atualizações do sistema vem a ferramenta de validação da cópia do Windows. Para evitar muito trabalho e que o cliente não se depare com a mensagem de Windows pirata, desativam as atualizações e cortam o "problema" pela raiz.
Saiba que todas as falhas de segurança são corrigidas com as atualizações,  o que as pões em um nível de prioridade ainda maior que um anti vírus. Qualquer software malicioso explora uma falha no sistema, e essas falhas são corrigidas com as atualizações. Isso vale não só para o Windows mas para todos os softwares que você usa como: Firefox, Chrome, Adobe Reader, Office, Java, flash, etc... Trabalhar com o sistema desatualizado é como andar com um carro sem fazer revisões e esperar que tudo funcione perfeitamente bem para sempre.

De qualquer forma você pode simplesmente evitar o procedimento de validação já que ele é opcional, removendo o programa da lista de atualizações automáticas. Antes de tudo configure o sistema para que confirme as atualizações antes mesmo de serem baixadas :

Configuração no Windows 7
No WIndows XP

 Logo em seguida o sistema procura pelas atualizações e mostra a lista de correções disponíveis. No Windows 7 é usada a de código KB971033, e no Windows XP KB905474. Na própria descrição delas você pode ver que se trata de Ferramenta de ativação do Windows ou algo do tipo, basta desmarcá-las, clicar com o botão direito e em OCULTAR. Pronto, deixe que o sistema instale todas as seguintes atualizações sem medo :-).

Assim o sistema fica muito mais seguro, sem falar que a Microsoft disponibiliza até mesmo o drivers mais recentes do seu hardware homologados por eles.
Além de deixar o seu sistema protegido de verdade ( e não vigiado, como no caso do anti vírus ) a Microsoft lança mensalmente a "Ferramenta de remoção de software mal intencionado", que finaliza a proteção do sistema, trabalhando como um anti vírus.

Muitos dizem que o Linux é mais seguro que o Windows. Sem dúvida, mas repare que no ambiente do pinguim as coisas já funcionam desta maneira naturalmente.
 - Usuário administrador, só o root.
 - Software pirata praticamente não existe já que a maioria é software livre e proveniente de um repositório oficial.
 - O sistema é atualizado regularmente sem nenhuma "pedra no caminho". 


Tomando estes 3 cuidados que são extremamente óbvios e simples, você tem um nível realde segurança e pode trabalhar de consciência limpa. Ma não se esqueça que segurança não para por aí...

Removendo arquivos com segurança

Um arquivo nada mais é do que uma sequência de dados distribuída no disco. Para resolver a bagunça os arquivos são relacionados em uma tabela, este é o trabalho fundamental dosistema de arquivos. Quando você manda um arquivo para a lixeira ele é simplesmente movido da pasta de origem para uma pasta chamada lixeira. Quando excluímos um arquivo a sua referência na tabela é eliminada, deixando os blocos que ele ocupa "órfãos", prontos para serem preenchidos com qualquer outro conteúdo assim que possível. Imagine um livro que é removido do índice da biblioteca, mas continua na estante, mesmo que ninguém a princípio vá localizá-lo.
Por isso é relativamente simples recuperar um arquivo. Um software especial varre todo o disco procurando por sequências que façam sentido, revelando qualquer informação solta por ali. Quanto mais tempo decorrido após a exclusão, mais provável é que o sistema tenha reutilizado o espaço e "passado por cima" do conteúdo anterior. Uma boa ferramenta livre para o trabalho é o TestDisk.

Se você tem algum arquivo que não deseja que seja recuperado tão facilmente, você deveapagar este arquivo com segurança. A técnica é simples. Antes de apagar o arquivo (remover da tabela de alocação do sistema de arquivos) o documento é sobrescrito várias vezes com dados aleatórios, e em seguida removido.

 No Windows não há ferramenta nativa para isso. Você pode baixar o pacote do SysInternals Suite e usar o utilitário Sdelete. Se você não conhece o SysInternals leia este artigo. Copie o executável do Sdelete para a pasta "C:\Windows\system32" e você já pode usá-lo como um comando qualquer. Para apagar um arquivo use:

sdelete -p 5 arquivo.txt

Consulte opções adicionais com o parâmetro "/?". 

sdelete /?



 O AVG Anti Vírus 2014 veio com a opção de "triturar" arquivos integrada no menu de contexto. Se você usa o AVG, mesmo o Free, você pode simplesmente clicar com o botão direito no arquivo e triturá-lo.



Resolvendo o problema no Linux ou um LiveCD

O Linux tem uma ferramenta nativa para o serviço, o shred. O uso é bem simples:

shred -n 5 arquivo.txt

Você pode comprovar a ação exibindo o conteúdo do arquivo logo em seguida. Verá que o conteúdo foi sobrescrito por dados ininteligíveis. A opção "-n 5" especifica a quantidade de vezes que o arquivo será sobrescrito.
Existe ainda a opção "-u" que remove o arquivo em seguida. O padrão é apenas "picotar" o arquivo sem apagá-lo, já que você poderia estar usando o mesmo comando em arquivos especiais como partições, que não podem ser apagados. Então para picotar e apagar o arquivo seria:

shred -u -n 5 arquivo.txt 

Outro método interessante é dar boot no sistema com um live CD e apagar partições ou mesmo discos inteiros usando o shred. Imagine que você tem um HD com infirmações sigilosas da empresa que não será mais utilizado.

shred -n 5 /dev/sda

Lembre que ele percorrerá todo o disco, então se você definir um número muito alto de escritas pode levar muito tempo. Usando um live CD também é válido usar do dd para realizar a tarefa, e destruir o conteúdo de um disco. Por exemplo:

dd if=/dev/zero of=/dev/sda            # Preenche o disco com Zeros
dd if=/dev/random of=/dev/sda      # Preenche o disco com dados aleatórios

Outra opção interessante é usar os atributos para definir aquivos que devem ser apagados com segurança. Os atributos oferecem uma série de funcionalidade no sistema de arquivos, um dele é o atributo "s" (minúsculo) que informa que os blocos devem ser preenchidos com zeros antes que o arquivo seja apagado. Para definir o atributo "s" em um arquivo use o comando chattr. Alguns atributos só podem ser definidos pelo root, então considere dar uma lida na documentação antes de usar os recursos:

# chattr +s arquivo.txt        # Adiciona o atributo "s" ao arquivo
$ lsattr arquivo.txt              # exibe os atributos do arquivo


Por fim você deve lembrar que os sistemas de arquivos modernos podem possuir cópias dos dados temporariamente devido ao uso do journaling. Ou mesmo em locais onde há snapshots das alterações das pastas, backups automáticos etc. Você pode consultar a documentação e este artigo AQUI para se orientar. O mais indicado mesmo é executar a limpeza em todo o HD (ou pendrive) no caso de prevenção de vazamento de informações. Mas se você está realmente preocupado com o conteúdo deste arquivo nunca pare de alimentar a sua paranoia.

Vírus no pendrive!

O objetivo deste post é auxiliar em um problema universal. Com certeza de uma maneira ou de outra acabamos usando Windows no trabalho, na escola, em computadores de clientes, ajudando amigos, etc. Como profissionais devemos atender de acordo a demanda do mercado e resolver o problema, este assunto com certeza será útil para você.
                       
Em 2009 eu trabalhava em uma escola com 12 computadores, na época vírus provenientes de pendrive eram um problema sério. Tudo graças ao recurso de autorun do Windows XP, que de maneira muito ingênua executava qualquer programa indicado no arquivoautorun.inf de unidades removíveis. Em pouco tempo infecções por pendrives se tornaram um caos. O pendrive se tornou o simbolo de promiscuidade no mundo da informática.

Logo os mais preocupados com a questão descobriram a maneira correta de cortar o mal pela raiz desativando a funcionalidade de autorun no Windows XP via GPO. Qualquer unidade removível montada no sistema, antes que alguém pudesse impedir, o Windows fazia-lhe o favor de verificar a existência do famigerado arquivo autorun.inf, onde era indicado o programa (vírus) a ser executado imediatamente, o que não dava qualquer chance para o usuário.

Um arquivo autorun.inf geralmente tem um conteúdo como este:

[autorun] 
open=virus.exe 
icon=virus.exe,0
label=Run Virus

Por uma causa nobre o Windows criou todos estes problemas. Mas a funcionalidade foi aprimorada no Windows 7, e funciona de modo muito mais seguro. Neste artigo a Microsoft explica todos os recursos disponíveis usando os arquivos autorun.inf em unidades removíveis, caso você tenha interesse em entender ou mesmo em utilizar em algum software seu.

No Windows 7 você pode configurar facilmente várias opções de autorun no painel de controle acessando o item  "Reprodução automática", mas o bom mesmo é desmarcar a primeira opção "Usar Reprodução automática em todas as mídias e dispositivos".


Ele tem muito mais opções relacionadas à música e vídeos, e para executar um programa indicado pelo arquivo o usuário deve selecionar em um menu que aparece assim que o dispositivo é plugado. O padrão é "Abrir pasta para exibir arquivos":




Prevenindo no Windows XP 

Para desativar a funcionalidade do autorun no Windows XP, vá em "Executar, digite gpedit.msc, e Enter". No console da GPO você pode procurar por "Modelos administrativos > Sistema > Desativar autoexecutar", marque a opção habilitado e em "Todas as unidades". Com isto o usuário tem uma chance de caçar o vírus antes que o próprio Windows abra as portas para ele. Veja a descrição completa da função no site oficial AQUI

Assim o usuário ganha tempo, mas não resolve o problema. Se o pendrive estiver com o arquivo autorun.inf indicando o executável do vírus, ao clicar duas vezes no seu ícone em "Meu Computador" o sistema age da mesma maneira, executando o vírus. É preciso então fazer uma varredura cuidadosa na unidade antes de abri-la. Alguns antivírus o fazem bem, ou mesmo ferramentas de segurança próprias para pendrive. No entanto é bom entender como o problema funciona e fazer alguns procedimentos para evitar infecções futuras.

Por isso comecei e desenvolver o Pendrive Limpeitor Tabajara com a ideia de que se você tiver um bom script em mãos que faça o trabalho rápido e eficiente, pode poupar o processamento do seu antivírus e evitar problemas futuros. 

Problemas comuns 
 

Com alguma experiência pude observar os seguintes sintomas das infecções e o que o script deve fazer par solucionar.

 - Criação do arquivo "autorun.inf" na unidade onde é indicado o executável do vírus. O script deve remover o arquivo e criar uma pasta autorun.inf com atributos S, H e R, para evitar que um novo arquivo seja criado no lugar futuramente.

 - Procurar arquivos executáveis no raiz da unidade e oferecer para excluir.

 - Varrer a unidade em busca de pastas ocultas onde pode estar o programa malicioso. É comum eles usarem do truque da lixeira para dificultar as coisas. Uma pasta oculta é criada, e dentro dela outra pasta com um arquivo "Desktop.ini" com um conteúdo que faz o sistema pensar que aquela é uma pasta de lixeira. O script tenta identificar estas pastas e excluir.


 - Resolver o problema dos atalhos e revelar as pastas ocultas

 O problema do atalhos

A moda hoje é o vírus ocultar todas as suas pastas e criar atalhos para ele, sem que você perceba  ao clicar no atalho o programa é executado e logo em seguida ele abre a pasta desejada. É importante fazer uma varredura por atalhos e "desocultar" (retirar os atributos H e S) todas as pastas no raiz da unidade.
Se você tem este problema dos atalhos com algum pendrive, pode revolver com 2 comandos:

 attrib -r -h -s /d /S X:\
del /f X:\*.lnk

Onde X: é a letra da unidade do seu pendrive ou disco. Tome muito cuidado para não fazer isso em unidades do sistema, então tenha certeza da letra da unidade. O problema de usar desse método é que pode demorar muito já que ele vai ser processado em todos os arquivos da unidade. Além de muito dispendioso, apenas revela as pastas e arquivos ocultos, para que sejam removidos manualmente.

 Você pode usar os seguintes comandos para revelar pastas e processar atalhos apenas no raiz da unidade poupando tempo. Lembre-se de substituir H: pela letra da sua unidade:

for /F "delims==" %X IN ('dir /b /a H:\') DO ( attrib -H -S -R "H:\%X" )

O comando acima revela todas as pastas e arquivos ocultos apenas no raiz, em seguida você pode analisar a unidade e apagar coisas suspeitas manualmente.

Outra opção é o comando abaixo. Ele relaciona todas as pastas e arquivos que tenham um atalho de mesmo nome, remove os atributos e apaga o atalho:

for /F "delims=." %X IN ('dir /b /a H:\*.lnk') DO ( if exist H:\%X ( attrib -H -S -R "H:\%X" & del /f /a /p H:\%X.lnk ))

Este recupera suas pastas de acordo com os nomes dos atalhos, mas outras pastas ocultas permanecem ocultas.

Um amigo meu desenvolveu um software similar que revela as pastas ocultas em apenas um clique!
Por ser um programa gráfico é muito mais amigável para leigos, ele ainda tem um vídeo explicando como fazer o procedimento. É o Folder Recovery. Você pode conferir nos links abaixo:

Video: http://www.youtube.com/watch?v=zXnOcfn1Zhs
Versão simplificada.(Vista/7) http://www.mediafire.com/?axu4524wncogs77 
Versão de tirar o vírus.(XP/Vista/7) http://www.mediafire.com/?8o6j9l68s2ed598 

Entendendo os atributos

Atributos são recursos do sistema de arquivos (FAT ou NTFS), os arquivos podem ser facilmente marcados com atributos para implementar funcionalidades diversas no sistema operacional. Os atributos no Windows são:

H - Hide, arquivo ou pasta oculta
R - Read only. Somente Leitura
S - System, arquivo ou pasta do sistema
A - Atributo de arquivamento. Serve para operações de backup. (irrelevante neste caso) 
I - Índice de pesquisa. Arquivos com este atributo não são indexados. (irrelevante neste caso)

Arquivos ou pastas com atributo de sistema também ficam ocultos, e para vê-los você deve desmarcar a opção  "Ocultar arquivos protegidos do sistema operacional" no menu de "Opções de pasta" no Painel de controle:


Você pode manipular os atributos de arquivos e pastas clicando com o botão direito e em propriedades. Em relação aos atributos I, e A clicando no botão "Avançado":


Outra alternativa é usar a linha de comando com o attrib. A sintaxe é bem simples:

attrib arquivo.txt                      # Exibe os atributos do arquivo
attrib +S arquivo.txt                 # Adiciona o atributo S no arquivo
attrib -H arquivo.txt                 # Remove o atributo H do arquivo
attrib +H +S +R arquivo.txt    # Adiciona os 3 atributos no arquivo 

Toda pasta ou arquivo que um malware deseja esconder, invariavelmente serão aplicados os atributos H, R e S. O atributo S não pode ser manipulado diretamente pelo Explorer nas propriedades do arquivo, então você deve usar o comando attrib para adicionar ou remover o atributo:

attrib -S arquivo.txt


Métodos preventivos 

Tendo o pendrive limpo você pode usar de alguns artifícios para prevenir infecções posteriores. Uma delas é criar uma pasta de nome AUTORUN.INF e aplicar os atributos nela para que não seja substituída por um vírus.

md autorun.inf & attrib +H +S +R autorun,inf

Se a unidade é formatada em NTFS, você pode remover as permissões da pasta para dificultar ainda mais a sua alteração.

Outro método mais radical é formatar a unidade em NTFS, criar uma pasta no raiz onde serão armazenados os seus arquivos legítimos e remover todas as permissões de alteração no raiz. Para isso o mecanismo de herança deve ser desabilitado na pasta criada, onde você poderá delegar permissões a vontade.

O "Pendrive Limpeitor Tabajara" 

Com a ideia de fazer todo o processo automaticamente comecei a desenvolver um script que chamei de "Pendrive Limpeitor Tabajara", para agilizar na limpeza de pendrives de alunos e outras pessoas que eram espetados nas máquinas todos os dias. Ele tem evoluído bastante, tenta identificar atalhos com nomes de pastas na unidade, recuperar as pastas de mesmo nome dos atalhos que estiverem ocultas, remover o arquivo autorun.inf, detectar executáveis ocultos na unidade e por fim cria a pasta AUTORUN.INF que funciona como uma espécie de vacina.
Basta executar e digitar a letra da unidade selecionada, em seguida a varredura é feita e cada arquivo ou pasta detectado só é excluído com a confirmação do usuário.








No final, o máximo que pode sobrar são pastas que podem conter vírus, mas todas elasreveladas, e o usuário poderá excluir facilmente sabendo que não é uma pasta dele.
Tem sido muito eficiente, mas estou aberto a sugestões para melhorar, ou até mesmo migrar para uma linguagem compilada.

Aparando as arestas com o Autoruns e Process Explorer

Se o usuário teve o pendrive infectado ou mesmo plugou o pendrive infectado na sua máquina é importante saber se o sistema não foi comprometido. 
Para isso sempre uso estas duas ferramenta do Sysinternals Suite. Leia um artigo mais detalhado aqui
É importante executar primeiro o "procexp" para ver se não há nenhum processo suspeito em execução, depois o "autoruns" lhe mostrará se não foi criada nenhuma entrada para que o vírus seja novamente executado na inicialização dos sistema. Ultimamente o vírus mais comum aparece como um JScript (extensão .js) que é executado pelo interpretador do Windows, o "wscript.exe". Veja o processo no Process Explorer:






Quanto a entrada de autorun gerada, tome cuidado, por ela pode ser criada apenas no perfil do usuário que foi infectado, principalmente se você usa várias contas de usuário. Este é mais um caso onde usar uma conta sem privilégio de administrador pode prevenir que o sistema todo seja comprometido, já que removendo o perfil do usuário infectado resolveria o problema posteriormente. Veja as dicas de segurança AQUI.


Conclusão

Assim que plugar pendrives ou unidades removíveis no seu PC, use imediatamente uma ferramenta como esta. É muito mais seguro que deixar o Anti vírus cuidar do serviço. Se você quer uma cópia do Tabajara, por favor mande um email para joaolucasmacedo AT gmail.com :-)