bash.im ithappens.me zadolba.li
8155

Выше корня

29 декабря 2011, 08:00

Препарировал сегодня нового зверька, простота и красота решения в котором просто поразила. Эх, не перевелись ещё богатыри вирмейкерства на земле!

Принесли мне флешку, заражённую троянцем, прячущим папки пользователя и заменяющим их на исполняемые файлы вредоноса с жёлтыми иконками папок. Обычное, в общем-то, дело, но не всё так просто. Прошлая версия вредоноса просто-напросто делала папки пользователя скрытыми с атрибутом «системные». Тут же оказалось всё куда интереснее: папки пользователя отсутствовали вовсе, но место на флешке явно занимали. Ни Проводник, ни любые другие файловые менеджеры никаких скрытых или же системных папок не видели в упор. Чекдиск спокойно рапортовал, что с файловой системой всё в порядке. Файлов нет — а место занято.

Взялся препарировать ФС с помощью сторонних утилит. Вирмейкер использовал гениальное в своей простоте решение: вредонос создавал в корне флешки папку с именем из двух точек и прятал в неё файлы пользователя. Папка эта благодаря своему нетривиальному имени воспринималась как Проводником, так и всеми остальными файловыми менеджерами как переход к корневой, а так как папка уже находилась в корне, её просто не было видно. Вуаля. Видишь файлы, юзер? Нет? А они есть!

Извлечь спрятанные данные оказалось довольно просто: понадобилось просто найти утилиту, которая сама строит древо ФС, а не полагается на функции ОС. Но какое красивое и простое решение! Респект писавшему, хоть он и засранец.