XxX seX 18+
Java Soft 2014 для CCBot/2.0
Выше корня
Препарировал сегодня нового зверька, простота и красота решения в котором просто поразила. Эх, не перевелись ещё богатыри вирмейкерства на земле!

Принесли мне флешку, заражённую троянцем, прячущим папки пользователя и заменяющим их на исполняемые файлы вредоноса с жёлтыми иконками папок. Обычное, в общем-то, дело, но не всё так просто. Прошлая версия вредоноса просто-напросто делала папки пользователя скрытыми с атрибутом «системные». Тут же оказалось всё куда интереснее: папки пользователя отсутствовали вовсе, но место на флешке явно занимали. Ни Проводник, ни любые другие файловые менеджеры никаких скрытых или же системных папок не видели в упор. Чекдиск спокойно рапортовал, что с файловой системой всё в порядке. Файлов нет — а место занято.

Взялся препарировать ФС с помощью сторонних утилит. Вирмейкер использовал гениальное в своей простоте решение: вредонос создавал в корне флешки папку с именем из двух точек и прятал в неё файлы пользователя. Папка эта благодаря своему нетривиальному имени воспринималась как Проводником, так и всеми остальными файловыми менеджерами как переход к корневой, а так как папка уже находилась в корне, её просто не было видно. Вуаля. Видишь файлы, юзер? Нет? А они есть!

Извлечь спрятанные данные оказалось довольно просто: понадобилось просто найти утилиту, которая сама строит древо ФС, а не полагается на функции ОС. Но какое красивое и простое решение! Респект писавшему, хоть он и засранец.
< предыдущая история | следующая история >
IT happens
На главную
0,0073 сек.
HTML | XHTML
© FaceWAP.Net 2016
WapLog