Обход блокировки чтения с флешки на рабочем компьютере

Как обойти блокировку флешек на рабочем компьютере

В связи с постоянно растущим значением технологий в нашей повседневной жизни нам необходимо иметь доступ к данным, хранящимся на флэш-накопителях, и использовать их. К сожалению, нередко компьютеры поставляются с настройками безопасности, которые блокируют доступ к определенным флэш-накопителям. В этой статье будут рассмотрены различные способы, как произвести обход блокировки чтения с флешки на рабочем компьютере, чтобы вы могли беспрепятственно получить доступ к своим файлам.

Как блокируют флешки

Зачем их блокировать? Чтобы ты не занес в ИТ-инфраструктуру компании вирус‑шифровальщик, не таскал информацию домой и не приносил игрушки в офис. В разных конторах админы и безопасники действуют по-разному. В самых печальных случаях порты физически отключаются, заливаются эпоксидкой или опечатываются. В случаях попроще порты отключаются через BIOS/UEFI (что‑то вроде USB Controller = Disabled).

Если админам лень жалко ломать железку, на помощь приходят настройки реестра и групповые политики винды. Например, для полной блокировки USB-носителей открой вот эту ветку реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR

Если ты выставишь у параметраStart значение 4, твои флешки перестанут подключаться. В групповых политиках (gpedit.msc) обычно смотрят в сторону оснастки «Конфигурации компьютера → Административные шаблоны → Система → Доступ к съемным запоминающим устройствам».


Существуют ли способы более изысканно и красиво ограничить подключение нежелательных носителей к компу? Компании побогаче используют дополнительные средства защиты информации (СЗИ) — тот же KAV (и иные антивирусы), DLP-системы, Secret Net (СЗИ от НСД) и прочие. Кто‑то даже устанавливает драйвер для проверки носителя  по белому списку, кто‑то проверяет устройство в момент его монтирования.

Настройки СЗИ могут запретить подключение вообще всех устройств, только устройств из черного списка или разрешить подключение девайсов из белого списка.

Как палят?

Давай посмотрим, какими способами админы могут выявить, что к системе подключили флешку. В Windows имеется целый пул средств для отслеживания подключаемых носителей. Если хочешь поковыряться сам — смотри вот эти две ветки реестра:

HKLM\SYSTEM\CurrentControlSet\Enum\USB HKLM\SYSTEM\CurrentControlSet\Enum\USBSTORТам хранится список идентификаторов подключаемых устройств, при этом информация в этих ветвях реестра не затирается стандартными процедурами в планировщике задач винды, то есть данные хранятся сколь угодно долго.

Если ты предпочитаешь готовые решения, то к твоим услугам классический USBLogView, который в реальном времени регистрирует подключение и отключение флешки. В форензике для комплексного анализ подключений рекомендуем посмотреть в сторону USB Detective и USB Forensic Tracker.

USB Detective извлекает информацию из реестра, логов, иных источников, а также может снимать информацию с Live-системы (в версии Pro), при этом выполняя корреляцию и верификацию данных.

USB Forensic Tracker извлекает все артефакты подключений независимо, поэтому для каждого источника данных ты имеешь свою таблицу подключений USB-устройств (корреляции, к сожалению, он не делает).


Например, просматривая данные по нашей китайской флешке, мы выяснили, что ее отображаемый серийник на первом порте — 388e987, на втором — 3с69e2с9. После форматирования они стали 4247e754 и 966cde2 соответственно.

Во внешних СЗИ имеются функции просмотра и блокирования подключенных флешек в реальном времени или на основе ранее подключенных устройств.

Запрет флешки как обойти?

Порты физически отключены

Такое возможно только с дополнительными портами, которые подключаются кабелем к материнской плате. Задние порты распаяны на самой материнке, и их минимум две штуки. Поэтому принесите из дома копеечный хаб, воткните его вместо мышки или клавиатуры и подключайте всю штатную периферию через него. Второй порт оставьте для загрузочной флешки.

Порты отключены в BIOS/UEFI

Админ может отключить как порты вообще (редкий случай), так и отдельную опцию USB Boot. Именно она отвечает за возможность загрузки с USB-носителей. Как входить в настройки BIOS, мы уже разобрали, а отыскать нужную опцию не составит труда.

Заблокированы отдельные устройства USB

Более тонкий метод — запрет использования именно USB-накопителей. При этом другие типы устройств с интерфейсом USB продолжают работать. Задается ограничение через ветку реестра:

1 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR

При значении параметра Start 0x00000004 использование флешек и внешних дисков запрещено, а при 0x00000003 — разрешено. Бороться с этим можно тем же методом, что и в предыдущем пункте: загружаемся с флешки и меняем секцию USBSTOR через офлайновый редактор реестра.

Ограничены права на чтение файлов

Ограничены права на чтение файлов usbstor.inf и usbstor.pnf в каталоге:

1 \Windows\Inf

Очередной трюк с правами NTFS. Если невозможно обратиться к этим файлам в ограниченной учетной записи, то не будут подключаться флешки. Используем права локального админа либо просто перемещаем эти файлы через WinPE на том FAT32. После обратного перемещения в \inf\ права доступа слетят.

Программы для контроля подключений по USB

Подключение устройств по USB контролируется отдельной программой. В помощь админам было написано множество утилит для ограничения использования флешек и внешних дисков. Большинство таких программ просто меняет значение упомянутой выше ветки реестра, но есть и продвинутые варианты. Такие умеют запоминать разрешенные флешки по номеру тома (VSN — Volume Serial Number) и блокировать остальные. Можно просто выгрузить процессы этих программ из памяти или подменить VSN. Это 32-битное значение, которое присваивается тому при его форматировании по значению текущей даты и времени.

Узнать VSN доверенной флешки можно командой vol или dir. С помощью программы Volume Serial Number Changer присваиваете такой же номер своей флешке и свободно ей пользуетесь. Для надежности замените еще и метку тома (просто через свойства диска).

Неожиданное препятствие для использования флешек возникает на компах с посредственным блоком питания (читай — на большинстве дешевых рабочих машин) безо всяких стараний админа. Дело в том, что шина 5 В просаживается настолько, что флешке не хватает питания. В таком случае отключите другое устройство из соседнего (парного) USB-порта или используйте активный хаб с собственным блоком питания. Через него можно запитать хоть внешний винчестер.

Использование USB запрещено в GPO

Наиболее распространенным способом установки ограничений на использование съемных накопителей является активация политики «Съемные запоминающие устройства всех классов: запретить доступ» в редакторе локальных групповых политик. Работая под учетной записью пользователя, вы не сможете запустить GPO, поэтому придется действовать в обход.

Вариант 1: Сброс пароля

Сброс пароля администратора средствами сторонних утилит вроде Reset Windows Password — действенный, но грубый способ, который вряд ли останется незамеченным вашим сисадмином. Прибегать к нему есть смысл только в тех случаях, если только вы уверены, что настройка компьютера админом носила разовый характер. Получив доступ к учетной записи локального администратора, открываем командой gpedit.msc редактор GPO, переходим в подраздел Конфигурация компьютера -> Административные шаблоны -> Система -> Доступ к съёмным запоминающим устройствам и отключаем указанную в предыдущем абзаце политику.

Решение 2: Редактирование реестра

Если сброс пароля администратора неприемлем, воспользуйтесь диском WinPE 10-8 Sergei Strelec.

Загрузите с него компьютер (загрузка с флешек должна работать), запустите с рабочего стола утилиту Register Editor PE и выполните в HKLM поиск по подразделу RemovableStorageDevices.

В этом подразделе должен быть параметр с именем Deny_All, измените его значение на 0, продолжите поиск и точно так же измените значение других параметров Deny_All в подразделах RemovableStorageDevices, если таковые будут найдены.

Другие методы обхода блокировки флешек

Совершенно случайно оказалось, что в зависимости от СЗИ можно использовать и дополнительные  методы обхода USB-блокировок.

Обход блокировки с помощью дискеты

Путем форматирования флешку можно превратить в классическую дискету с возможностью чтения и записи, объемом всего в 1,38 Мбайт. Хватит, чтобы потихоньку перетащить на работу игрушку? Разве что по частям в несколько заходов. Вот как это сделать. Берем новую флешку, действуем по знакомому алгоритму. В этот раз нам попалась флеш­ка Transcend 8 Gb USB 3.0 с контроллером SMI SM3267AB (возьмем прошивальщик для него — SMI MPTool V2.5.51 v7 P0920v1). Итак, прошивальщик, окно Settings, вкладка Multi-Lun Settings.

Проверим на Каспере. По‑прежнему блокируется USB для любых флешек, кроме доверенных, но «дисковод» успешно подключается, можно читать‑писать информацию. Доступа к флешечному разделу по-прежнему не предвидится.

Если сравнивать информацию о Floppy в Кас­пер­ском с информацией по USB, то разница заключается только в типе устройства (Дис­кеты vs Съемные диски).

При включении блокировки дискет данный метод, конечно, не сработает.

Обход блокировки с помощью CD-привода

Аналогичный подход, но теперь попробуем создать на флешке CD-раздел и предварительно записать на него образ из ISO-файла. Недостаток очевиден — можно только считывать инфу с CD-раздела, записать на флешку файлы ты уже не сможешь. Но запустить установщик любимой игрули — без проблем. Берем ту же самую флешку на контроллере SM3267AB и через SMI прошиваем CD-раздел. В разделе Multi-lun Setting выставляем галочку Static CDROM Size и указываем размер под твой ISO, который мы будем туда заливать.

На вкладке Main Flow Setting около галки с Make Auto Run задаем путь к ISO-образу, например с Kali Linux — или чем‑нибудь другим. После прошивки флешка отображается в проводнике как отдельный флеш‑накопитель и CD-привод. С CD-раздела можно читать, копировать файлы — все как при классическом монтировании ISO-образа.

Что же на это скажут наши блокировщики? В Касперском и других коммерческих решениях ситуация полностью аналогична случаю с дискетами: CD-раздел успешно подключен и готов к использованию.

Флешки-мутанты для обхода блокировок

Есть, кстати, готовые флешки, которые содержат CD-раздел с утилитами для подключения «закрытого» раздела — как, например, в Jet Flash Transcend 620. Выглядит он примерно как CD-раздел с программулиной + 2 USB-раздела — открытый и пока закрытый, до ввода пароля. Размер приватной области настраивается.

Так вот, при работе белого списка по USB-накопителям в Касперском (если CD-привод не заблокирован) такая флеха вполне себе монтирует CD-раздел — можно и запускать, и копировать проги с него. При попытке смонтировать защищенный раздел — отказ в доступе. Чтобы спастись от этой напасти, нужно заблокировать CD-привод, хотя в родителе устройства указан все тот же старый добрый USB-идентификатор, что странно. В Comodo возможность монтирования такого недоверенного носителя исключена в принципе. Почему? Вопрос к реализации СЗИ и механизмам организации белых списков.

Типы защиты от записи

По аналогии с причинами ошибки «носитель защищен от записи» можно разделить и методы защиты от записи. Классическим примером аппаратной защиты может выступать наличие специального переключателя (на корпусе флешки), включающим и отключающим возможность записи на флешку.

Программная защита представляет собой разного рода программные комплексы, предназначенные для недопущения несанкционированного использования накопителя.

Как снять защиту от записи

Начнем все работы с простого. Убедившись, что флешка цела внешне, ничего не сломано и в жидкость ее не окунали, будем последовательно выяснять, почему оказалось, что этот диск защищен от записи.

Механическое снятие защиты от записи с флешки

Решая вопрос как снять защиту, если «Диск защищен от записи», первым делом проверьте нет ли на корпусе специального небольшого переключателя. Он всегда присутствует на карточках формата SD, несколько реже встречается на обычных USB-накопителях. Нередки случайные переключения, когда флешка носится в кармане.

Также обязательно проверьте работоспособность флешки в других USB-портах, а ещё лучше, на другом компьютере. Если вы владелец настольного компьютера с системным блоком, предпочтительно проверять флешку, подключаясь к портам на задней стенке системного блока. Проблема может крыться плохом контакте, некачественных проводах, сбоях контроллера USB.

Попробуйте использовать другой считыватель карт или адаптер

Некоторые считывающие устройства изготовлены с функцией защиты от записи. Таким образом, когда вы получаете известие об ошибке, оно не всегда является правдивым. Лучше воспользуйтесь другим кардридером или адаптером.

Проверка типа файловой системы

Обратите внимание, что за файл вы пытаетесь записать. Как правило, новые флешки изначально отформатированы в файловой системе FAT32. Если записываемый файл имеет размер 4 Гб и более, то сначала придется изменить файловую систему на NTFS. Только после этого можно будет записывать файлы любого размера.

Проверка на вирусы

Прежде чем продолжать пытаться разблокировать флешку, крайне полезно проверить ее на наличие вирусов. Причина может скрываться в блокировке какой-либо вредоносной программой возможности записать информацию на диск.

Воспользуйтесь установленной антивирусной программой, или скачайте проверочную утилиту с сайта разработчика подобного ПО.

Через реестр Windows

Войти в реестр можно различными способами. Простейшие:

  • Клавишами «Win+R» вызвать «Выполнить». В строку ввести значение «regedit» и кликнуть «OK».

  • Второй вариант: «Пуск» – «Поиск» – ввести значение «regedit», запустить.

В открывшемся окне переходим к «HKEY LOCAL MACHINE», находим раздел «SYSTEM», далее выбираем подраздел «CurrentControlSet», находим «Control», из списка выбираем «StorageDevicePolicies», справа найти «WriteProtect».

Двойной щелчок мышки вызовет диалог изменения параметра, значение которого должно быть «0», если «1» – значит, установлен запрет, который необходимо снять, установив нулевое значение параметра.

Если раздела «StorageDevicePolicies» нет, нужно его сформировать. Правой кнопкой щелкнуть «Control», в списке «Создать» выбрать «Раздел», название для которого указать «StorageDevicePolicies».

В правой части созданного подраздела нажатием правой клавишей мышки вызвать «Создать», где выбрать строку «Параметр DWORD», значение 64(32) бита (зависит от ОС). Присвоить имя «WriteProtect», значение – «0».

Перезагрузить, проверить результат.

С помощью командной строки

Открыть «Командная строка» через меню «Пуск», можно через «Поиск» набрав «cmd», запуск с правами администратора.

Открывается окно.

Ввести текстовые команды:

  • «select disk Х» (Х — № устройства);
  • «detail disk» – детальные данные диска, необязательно;
  • «attributes набрать «Diskpart», ввод;
  • «list disk» – покажет доступные диски;
  • посмотреть № USB-флешки, который видно по размеру (в приведенном примере №1, размер – 7441 Мбайт);
  • набрать «disk clear readonly», которая уберет установку «только для чтения»;
  • «clean» удалит тома и разделы, при необходимости;
  • «create partition primary» (при необходимости) пересоздаст основной раздел;
  • «formatfs=fat32» отформатирует раздел в системе FAT32 (можно выбрать NTFS командой fs=ntfs), при необходимости.

После каждой команды нажимаем «Ввод», для окончания работы набрать «exit».

Снятие защиты низкоуровневым форматированием

Возникает вопрос, как обойти защиту от записи на флешке? Разблокировать флешку можно попытаться с помощью специальных программ, разработанных в свое время производителями накопителей. Одним из таких достаточно распространенных инструментов для восстановления флешек является программа HP USB Disk Storage Format Tool. Она бесплатна и наверняка поможет вам форматировать флеш-диск. После этой процедуры проблема защиты от записи будет устранена.


Аналогичная программа JetFlash Recovery Tool также может быть использована для форматирования, если предыдущая не подошла.

Другая мощная утилита для низкоуровневого форматирования HDD LLF Low Level Format Tool обладает уникальными алгоритмами очистки ячеек памяти накопителя. Ее можно также использовать для проблемных накопителей, которых не видят другие утилиты и Windows, а также для форматирования HDD и Flash-карт. Отметим, что в бесплатной версии есть ограничение на скорость работы — 50 MB/s (для флешек не критично).

Не забывайте после каждой попытки вытаскивать и вновь вставлять влеш-накопитель в USB-порт, чтобы устройство было опознано системой. Все вышеупомянутые приемы помогут ответить на вопрос, как удалить защиту от записи с флешки.

Снятие защиты записи при помощи программы Diskpart

Если результата все еще нет, то можно воспользоваться командной строкой и программой Diskpart, входящей в состав ОС. Надо нажать кнопку «Пуск», в строке поиска ввести «Diskpart», на появившейся строке с названием программы при помощи клика правой кнопкой запустить ее от имени администратора. В окне, которое отобразится, ввести следующие команды.

  1. «list disk» – отобразится список всех дисков, подключенных к системе. Надо выбрать нужный. Определить, какой из них соответствует флешке можно, если ориентироваться по размеру диска.
  2. «select disk X» – выбор нужного диска, где «X» — номер диска из списка, выведенного предыдущей командой.
  3. «detail disk» – вывод подробной информации по выбранному диску. Следует удостовериться, что выбран нужный накопитель.
  4. «attributes disk clear readonly» – сброс атрибута «только чтение».
  5. «clean» – удаление всех разделов на диске.
  6. «create partition primary» – создание раздела.
  7. «format fs=fat32» – форматирование раздела с созданием файловой системы FAT32 (если использовать команду fs=ntfs, то форматирование будет выполнено с созданием файловой системы NTFS);
  8. exit – выход из программы.

В случае, если запись не производилась по причине того, что был установлен атрибут «только чтение», то пункты 5-7 можно пропустить. В противном случае желательно отформатировать флешку, предварительно сохранив все важные данные.

Источники

  • https://xakep.ru/2021/06/23/usb-clones/
  • https://spy-soft.net/zapret-fleshki/
  • https://www.white-windows.ru/kak-byt-esli-administrator-zapretil-ispolzovanie-usb/
  • https://spy-soft.net/bypass-usb-restriction/
  • https://www.hardtek.ru/snyat-zashhitu-s-fleshki
  • https://CompConfig.ru/backup/snyatie-zaschity-s-fleshki.html
  • https://o-dns.ru/programmy/kak-snyat-zashhitu-ot-zapisi-s-fleshki-prostye-sposoby-razblokirovat-usb-ustrojstvo
  • https://RepairFlash.ru/kak-snyat-zashhitu-ot-zapisi-s-fleshki.html
  • https://ichip.ru/sovety/ekspluataciya/kak-snyat-zaschitu-s-fleshki-poshagovaya-instruktsiya-623302

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: