| Сейчас на форуме: user99, _MBK_, ManHunter, Magister Yoda, rtsgreg1989 (+9 невидимых) |
 |
eXeL@B —› Основной форум —› Удалить невидимые файлы (rootkit) ? |
| Посл.ответ | Сообщение |
|
|
Создано: 14 августа 2005 03:43 · Личное сообщение · #1 Некая триальная защита (Pace iLock) метку первого старта софта ставит используя также методы rootkit - т.е. невидимые файлы. Файлмонитор видит успешное обращение софта к этому файлу и Rootkit Revealer подтверждает его наличие (Visible in Windows API, but not in MFT or directory index) - вопрос в том как удалить эти файлы?  |
|
|
Создано: 14 августа 2005 04:02 · Личное сообщение · #2 > Visible in Windows API Ответ очевиден - с помошью Windows API, например DeleteFile() |
|
|
Создано: 14 августа 2005 10:20 · Личное сообщение · #3 Visible in Windows API, but not in MFT or directory index -> API перехвачены и возможно файл и не находится физически на диске, а значит могут работать не все апи, например DeleteFile может и не сработать |
|
|
Создано: 15 августа 2005 01:25 · Личное сообщение · #4 дело в том что в названии файлов есть : (двоеточие) и Windows API здесь бессильна. Это похоже на NTFS File Stream - но потоки могут быть прикреплены к физическим файлам - а файлов там нет. Утилиты для работы с файловыми потоками тоже их не видят  Помогает только удаление родительских директорий. Но против такого названия C:\:rrYWedyWIhp8fGiknQV только форматирование диска ИМХО поможет
|
|
|
Создано: 15 августа 2005 02:05 · Поправил: deNULL · Личное сообщение · #5 Alf пишет: Но против такого названия C:\:rrYWedyWIhp8fGiknQV только форматирование диска ИМХО поможет А если ручками попробовать удалить? На более низком уровне, чем WinAPI, подправить корневую директорию и все дела. |
|
|
Создано: 15 августа 2005 07:36 · Личное сообщение · #6 deNULL пишет: А если ручками попробовать удалить? Во, во. Открой диск в WinHex'e, например (только именно диск на низком уровне, а не файлы). Найди название и разберись, что с ним можно сделать. Тут всё элементарно, уж форматировать точно не нужно. ----- Всем привет, я вернулся |
|
|
Создано: 16 августа 2005 02:11 · Поправил: Alf · Личное сообщение · #7 ручками неинтересно - мне бы что-нибудь консольное - процесс автоматизировать 
Остальные метки в реестре и в видимых файлах очищаются при перезагрузке штатными средствами самой винды - хорошо хоть, что из двух десятков плагинов с этой защитой, только один, не самый важный, гадит в корень диска ЗЫ вот здесь малоутешительной инфы нарыл - www.heysoft.de/Frames/f_faq_ads_en.htm ЗЗЫ здесь msdn.microsoft.com/library/default.asp?url=/library/en-us/dnfiles/html/ntfs5.asp нашел ДДЛ-ку к шеллу которой и поубивал эти потоки - остался только вопрос автоматизации процесса
|
|
eXeL@B —› Основной форум —› Удалить невидимые файлы (rootkit) ? |
Для печати