Наверно ни для кого не секрет, что практически на любой
флэшке можно создать раздел CD-ROM, Для этого существуют специальные
утилиты с соответствующими прошивками (для каждого контроллера — свои). Это и
есть защита, настолько крепкая, что потом записать на такую флэшку что-нибудь
возможно лишь заново перепрошивая её.
Знакомый, занимающийся ремонтом
компьютеров и установкой/настройкой Windows-программ спросил — нельзя ли найти
программное (не вскрывая флэшки) решение, что бы сделать её абсолютно защищенной
от несанкционированной записи/изменения файлов. У него долгое время была флэшка
с переключателем (в моей деревне они редко бывают) и он к привык абсолютной
неуязвимости своих файлов. Всю флэшку прошивать как CD-ROM, разумеется никому не
надо. Что это за флэшка на которую вообще нельзя ничего записать, только
читать?
Многие утилиты от производителей самих флэшек (флэш контроллеров),
предлагают программы ограничивающие доступ к флэш диску паролем. Но эти
программы разочаровывают. Пока не введешь пароль никакого доступа к диску нет
вообще, даже файлы не видны. А как вводишь пароль, так сразу появляется полный
доступ. Не годится.
Надо что-нибудь такое, чтобы было всегда доступным
для чтения. А когда придёт время, то «легким движением» становилось доступным и
на запись. (повторю: вопрос ставился исключительно для среды Windows и
шифрование тоже не бралось в расчет)
1. Скачиваем последнюю версию TrueCrypt и нужный языковой файл (я скачал Русский).
2. Запускаем TrueCrypt Setup. Он предлагает два варианта: "Установить в систему" или "Извлечь в папку". Выбираем второе, нам как раз нужен portable-режим работы. В эту же папку распаковываем и файл локализации.
3. Теперь надо сделать настройки по умолчанию. В дальнейшем их менять не предполагается, эта папка будет зашита как CD-ROM. Первым делом выбираем язык:
.. и продолжаем настройку по-русски
TrueCrypt будет работать с флэшкой, и его главной задачей будет защита от произвольной записи на неё.
4. Для привычного удобства работы с флэшкой, сделаем файлы автоматизирующие её монтирование
readonly.bat:
start TrueCrypt\truecrypt /d /f /q /s start TrueCrypt\truecrypt /a devices /l q /m rm /m ro /p "111" /q background /s /e exit
write.bat:
start TrueCrypt\truecrypt /d /f /q /s start TrueCrypt\truecrypt /a devices /l q /m rm /p "111" /q background /s /e exit
UMOUNT.bat:
start TrueCrypt\truecrypt /d /f /q /s exit
autorun.inf:
[autorun] open=readonly.exe icon=TrueCrypt\TrueCrypt.exe label=TrueCrypt
5. Проверим как они работают. Чтобы не мелькало черное окно командной строки, bat-файлы можно скомпилировать программой Bat_To_Exe_Converter
6. Создаем iso-образ. Удобно воспользоваться каким-нибудь редактором образов, например UltraISO. Или программой для записи, например Nero Burning ROM.
писать в файл а не на болванку
на выходе должен быть iso а не другой формат
7. ISO готов, он весит окол 5 МБ. Прошиваем его на флэшку.
(Саму процедуру прошивки, здесь я описывать не буду. Она сильно различается для разных контроллеров. А даже у флэшек одной модели, контроллеры могут быть самыми разными. Много хорошей информации на эту тему а также соответствующие утилиты, есть напимер на flashboot.ru.)
флэшка стала CDROM и съемным диском в одном корпусе (ктати, с этого "CDROMа" можно загружать компьютер. BIOS опознает его как USB-CDROM, можно хоть ОС с него установить если выбрать соответствующий загрузочный образ. Но здесь рассматривается другой вопрос, поэтому отвлекаться не буду).
8. Осталось только сделать диском-контейнером TrueCrypt, "флэш-часть флэшки" (большую).
Делает его утилита TrueCrypt Format, которую можно запустить и из главного окна TrueCrypt нажав кнопку "Создать том". Прямо с обретенного CDROMa и будем делать.
шифруем всю (оставшуюся) флэшку
чем проще и быстрее, тем лучше (так поставлена задача).
виден один раздел, ошибиться - невозможно
конечно "создать и отформатировать, шифровать то пока нечего
"хороший пароль" - это тот что уже зашит на CDROM ;)
Отмахиваемся от сообщений о "несекурности" пароля и быстрого форматирования. Всё! Флэшка готова к работе.
Модифицированная флэшка, в своём поведении мало чем отличается от обычной. Кроме разве что своего "CDROM" и того, что сразу она доступна только для чтения. При разрешенном автозапуске сама так монтируется. Если автозапуск отключен, то достаточно запустить readonly.exe с "USB-CDROM".
Если потом вдруг возникнет потребность в подлинной секретности, то просто поменять пароль на контейнер или вообще пересоздать его. (TrueCrypt надежный инструмент безопасности, и имеет потрясающие способности но эта заметка не о них.)
Контейнер можно монтировать и в других ОС (Linux, MacOS) где установлен TrueCrypt. Если предусматривать работу с такой флэшкой и на Linux-машинах, то заранее можно включить в iso бинарный файл для linux. (при монтировании, нужны будут права root)
Но все вышенаписанное - всего лишь еще одна попытка надежно защититься от всяких Windows-вирусов типа autorun.
По-моему предложенный способ проще, удобнее и надёжней большинства популярных, включая кнопку на запись и пароль на скрытый том.
Можно еще навешать для лоска всякие "B'n'W" например USB Disk Ejector; Launchy...etc.
Очень жду критики на мыло usbflash@sibnet.ru .
прямые ссылки на описанные iso файлы для прошивки на флэшку:
http://file.sibnet.ru/get/file/?id=648436 - 1.6MB чисто виндовый