USBドライブでファイルを削除できないようにするにはどうすればよいですか？

試験方法

パンダは、基本的に 隠すことによるセキュリティ であるため、理解できる「ワクチン」の正確なメカニズムを明らかにしていないようです。それがどのように機能するかを知っていれば、効果を逆転させることができ、「ワクチン」は役に立たなくなります。

Panda USB Vaccine をダウンロードしてインストールし、フラッシュドライブに「ワクチン接種」し、コマンドを使用してフラッシュドライブのパーティションを dd for windows でダンプしました。

dd --list

dd if=\\.\Volume{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} of=C:\vaccinated.img

ここで、xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxは最初のコマンドで提供されるGUIDで、16進エディターでc:\vaccinated.imgを開き、AUTORUNを検索しました。

USBワクチンの機能

AUTORUN.INFのエントリは、次の12バイトで始まります。

41 55 54 4F 52 55 4E 20 49 4E 46 42

最初の11バイトはスペースが埋め込まれています 8.3ファイル名 ：AUTORUN INF

最後のバイトはファイルの属性を指定し、そのバイナリ表現は次のとおりです。

01000010

Microsoft EFI FAT32ファイルシステム仕様 によると、この最後のバイトは次の形式のビットフィールドです。

XYADVSHR

ここで、ビットA、D、V、S、H、およびRは1です。ファイルがアーカイブされている場合に限り、ディレクトリ、ボリュームID¹、システムファイル、非表示または読み取り専用。 HがAUTORUN.INFに設定されているため、1は非表示になっています。

ビットXとYは予約されており、両方とも0である必要があります。ただし、USBワクチンはYを1に設定します。

仕様の内容

属性バイトの上位2ビットは予約されており、ファイルの作成時には常に0に設定し、その後は変更したり調べたりしないでください。

さらに、ディレクトリの内容の検証をお勧めします。

これらのガイドラインは、ディスク保守ユーティリティがディレクトリ構造の将来の拡張機能との互換性を維持しながら、個々のディレクトリエントリの「正確性」を検証できるようにするために提供されています。

1. DO NOTreservedとマークされたディレクトリエントリフィールドの内容を確認し、ゼロ以外の値の場合は「不良」であると想定します。

2. DO NOTreservedとマークされたディレクトリエントリフィールドの内容がゼロ以外の値を含む場合（「不良」であると想定して）、ゼロにリセットします。ディレクトリエントリフィールドは、must-be-zeroではなく、reservedで指定されます。それらはアプリケーションによって無視されるべきです。これらのフィールドは、ファイルシステムの将来の拡張を目的としています。それらを無視することにより、ユーティリティはオペレーティングシステムの将来のバージョンで実行し続けることができます。

実際に何が起こるか

CHKDSKは確かに仕様に従い、FAT32ドライバーが理解できないAUTORUN.INFエントリを無視しますが、Windows自体は仕様の要件に準拠していないようです予約済みビットを二度と見ない = :(ファイルとその属性の一覧表示以外の）あらゆる種類のアクセスが拒否されます。

たとえば、コマンド

DIR /A /Q

AUTORUN.INFの所有者は...であると述べています。 FAT32はファイルの所有権をサポートしていないため、\Allと記載する必要があります。

この予期しない動作の理由は、 FAT32-Wikipedia＃ディレクトリエントリ によると、WindowsはビットYを内部的に使用して、文字デバイス名（CON、PRN、AUX、CLOCK）を通知するためです。 $、NUL、LPT1、COM1など）。ストレージデバイスには存在しないでください。²

ある意味で、USBワクチンは、Windowsをだまして、AUTORUN.INFが実際のファイルではなく、読み取りや書き込みができないデバイスであると想定させます。

ファイルを削除する方法

ファイルシステムに直接アクセスできる場合は、Yを0に設定して（バイト42を02に変更して）、ファイルを再度削除可能にするだけで十分です。ディレクトリエントリの最初のバイトをE5に設定して、ファイルを削除済みとして直接マークすることもできます。³

別のオプションは、別のドライバーを使用することです。たとえば、Ubuntu 12.04は、問題なくファイルを削除できます。実際には、ディレクトリエントリを読み取るときに自動的に「修正」します。⁴

¹ この属性は、ボリュームラベルやフォルダシステムボリューム情報などに使用されます。

²確かに、Xを1に設定しても効果はないようです。

³C:\vaccinated.imgの対応するバイトを16進エディターで変更し、次のコマンドを使用して変更したイメージをフラッシュドライブに書き込むことにより、これを確認しました。

dd if=C:\vaccinated.img of=\\.\Volume{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}

⁴ 仕様からの露骨な逸脱ですが、考え抜かれたもののようです。 Ubuntuは、1に設定されている場合、害を及ぼさないため、Xをそのまま残します。 Yビットを1に設定すると、悪意のあるアプリケーションによって簡単に悪用される可能性があります。たとえば、ドライブの空き領域全体を占める削除できないファイルを作成するなどです。