| Сейчас на форуме: tyns777 (+5 невидимых) |
 |
eXeL@B —› Программирование —› Атрибуты файла autorun.inf |
| Посл.ответ | Сообщение |
|
|
Создано: 25 мая 2010 13:17 · Поправил: Mavlyudov · Личное сообщение · #1 Наткнулся на про лекарство от autorun-вирусов. Решил набросать код, который изменяет атрибуты файла. Code:
После отработки программы, смотрю в hex, что прописалось, а там вместо 47h прописано 07h... Не могу понять, с чем это может быть связано...  |
|
|
Создано: 25 мая 2010 13:52 · Личное сообщение · #2 а почему 47? msdn.microsoft.com/en-us/library/aa365535(VS.85).aspx |
|
|
Создано: 25 мая 2010 14:01 · Поправил: MasterSoft · Личное сообщение · #3 SkLight пишет: а почему 47? .......Складываем 0x40 (01000000) + 0x01 (00000001) + 0x02 (00000010) + 0x04 (00000100), получаем 0x47 (01000111), и имеем защищенный файл с атрибутами RHS (Read only + Hidden + System)........ |
|
|
Создано: 25 мая 2010 14:10 · Поправил: Mavlyudov · Личное сообщение · #4 Та прога, что в статье, использует SetFileAttributesW, а у меня SetFileAttributesA |
|
|
Создано: 25 мая 2010 14:20 · Поправил: tihiy_grom · Личное сообщение · #5 Читаем MSDN и смотрим там какие можно юзать атрибуты для SetFileAttributes P.S. Че-то я и забыл про FILE_ATTRIBUTE_DEVICE  Да один фиг - оно не юзается
|
|
|
Создано: 25 мая 2010 14:22 · Личное сообщение · #6 FILE_ATTRIBUTE_DEVICE 0x40 Reserved; do not use. |
|
|
Создано: 25 мая 2010 15:11 · Личное сообщение · #7 Mavlyudov пишет: Решил набросать код, который изменяет атрибуты файла. Смысл? В троях уже давно используется для изменения атрибута autorun.inf... SetFileAttributes перед тем как перезаписать его на "свой" вариант... Поэтому эффективнее использовать папку (директорию) autorun.inf с атрибутами только чтение и скрытый системный... и все...
----- aLL rIGHTS rEVERSED! |
|
|
Создано: 25 мая 2010 16:39 · Личное сообщение · #8 возможно, но та прога ведь как-то выставляет FILE_ATTRIBUTE_DEVICE |
|
|
Создано: 25 мая 2010 19:02 · Личное сообщение · #9 OnLyOnE пишет: Поэтому эффективнее использовать папку (директорию) autorun.inf с атрибутами только чтение и скрытый системный... и все... А такую папку можно переименовать? Если да, то трои уже научились переименовывать неудаляемые папки. Вот решение: _http://www.manhunter.ru/releases/192_flash_drive_protector_1_0.html Папку даже открыть нельзя. ----- AutoIt |
|
|
Создано: 26 мая 2010 03:25 · Личное сообщение · #10 OnLyOnE пишет: Поэтому эффективнее использовать папку (директорию) autorun.inf с атрибутами только чтение и скрытый системный... такой принцип работу у anti autorun. создается папка с определенными атрибутами, только не скрытая  2249_25.05.2010_CRACKLAB.rU.tgz - anti_autorun.exe
|
|
|
Создано: 26 мая 2010 10:24 · Поправил: ZLOvar · Личное сообщение · #11 Хм... Но даже её можно удалить. В ринг 0 юзаем ZwCreateFile с определёнными параметрами. Подробнее в прошлогоднем декаборьском ][akere =). (я его не ракламирую, просто там конкретно по этой теме статья) |
|
|
Создано: 26 мая 2010 11:13 · Личное сообщение · #12 tihiy_grom пишет: P.S. Че-то я и забыл про FILE_ATTRIBUTE_DEVICE Да один фиг - оно не юзается Видимо, надо прописывать атрибут на уровне файловой системы. |
|
|
Создано: 26 мая 2010 13:25 · Личное сообщение · #13 ZLOvar пишет: Подробнее в прошлогоднем декаборьском ][akere =). точно статья называлась "обламываем проактивку", в которой описывались IRP пакеты. |
|
eXeL@B —› Программирование —› Атрибуты файла autorun.inf |
Для печати