Гость
Войти | Профиль | Очистить
Целевая тема:
Создать новую тему:
Автор:
Действия ...
Форумы / Windows [игнор отключен] [закрыт для гостей] / Круто... извините если буду бояничать :) / 25 сообщений из 26, страница 1 из 2
  1  все
23.05.2007, 16:38:50
    #34546322
Ramin Hashimzade
Ramin Hashimzade
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Круто... извините если буду бояничать :)
1. создай произвольный файл, например 111.txt
2. запусти с командной строки: notepad 111.txt:shadow.txt
3. он попросит создать новое имя файла, создай и набери там чего нибудь, затем сохрани и закрой
4. запусти с командной строки: notepad 111.txt:shadow.txt

после чего смотрите размер файла не изменяется но физически эти данные есть!




----
www.hramin.jino-net.ru
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
23.05.2007, 17:18:27
    #34546483
k-nike
k-nike
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Круто... извините если буду бояничать :)
И как его мне теперь удалить?

...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
23.05.2007, 17:22:34
    #34546500
eNose
eNose
Участник
[не активирован]
[не одобрен]
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Круто... извините если буду бояничать :)
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
23.05.2007, 17:55:31
    #34546635
ВЦИР
ВЦИР
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Круто... извините если буду бояничать :)
Ramin1. создай произвольный файл, например 111.txt
2. запусти с командной строки: notepad 111.txt:shadow.txt
3. он попросит создать новое имя файла, создай и набери там чего нибудь, затем сохрани и закрой
4. запусти с командной строки: notepad 111.txt:shadow.txt

после чего смотрите размер файла не изменяется но физически эти данные есть!




----
www.hramin.jino-net.ru


А на ФАТ это работает?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
23.05.2007, 18:02:39
    #34546658
ВЦИР
ВЦИР
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Круто... извините если буду бояничать :)
Отвечая на свой же вопрос, скажу что вряд ли оно там будет работать потаму, что эта фишка всего лишь т.н. НТФС поток, который так же просто удаляется как и все файлы в файловой системе НТФС.

Например с помощью программы ВинХекс.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
24.05.2007, 07:55:09
    #34547324
Ramin Hashimzade
Ramin Hashimzade
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Круто... извините если буду бояничать :)
авторА на ФАТ это работает?
нет.... кроме НТФС нигде не работает!


----
www.hramin.jino-net.ru
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
25.05.2007, 10:09:03
    #34550382
ВЦИР
ВЦИР
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Круто... извините если буду бояничать :)
Ramin авторА на ФАТ это работает?
нет.... кроме НТФС нигде не работает!


----
www.hramin.jino-net.ru


Серьезно? А почему?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
25.05.2007, 10:35:17
    #34550475
Ramin Hashimzade
Ramin Hashimzade
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Круто... извините если буду бояничать :)
авторСерьезно? А почему?
это нужно спросить у Дядя Билла!


----
www.hramin.jino-net.ru
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
25.05.2007, 12:09:25
    #34550865
Карабас Барабас
Карабас Барабас
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Круто... извините если буду бояничать :)
Raminэто нужно спросить у Дядя Билла!т.е. спросить, почему он не прикрутил потоки к ФАТ32 ?
Posted via ActualForum NNTP Server 1.4
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
25.05.2007, 12:12:19
    #34550877
rrrrrrrrrr
rrrrrrrrrr
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Круто... извините если буду бояничать :)
если честно, настораживают эти фишки. Рано или поздно под них начнут писать руткиты...
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
25.05.2007, 12:14:27
    #34550882
Карабас Барабас
Карабас Барабас
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Круто... извините если буду бояничать :)
rrrrrrrrrrнастораживают эти фишкик тому же весьма сомнительной полезности
Posted via ActualForum NNTP Server 1.4
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
25.05.2007, 12:22:19
    #34550906
ВЦИР
ВЦИР
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Круто... извините если буду бояничать :)
rrrrrrrrrrесли честно, настораживают эти фишки. Рано или поздно под них начнут писать руткиты...

гыгы уже написали. Один из троянов использует в качестве драйвера-фильтра файловой системы, нтфс поток, который просто так не найдешь. Совсем недавно в офисе на одном из компов нашел такой: system32:lzx32.sys, еле вычистил...
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
25.05.2007, 12:24:03
    #34550913
ВЦИР
ВЦИР
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Круто... извините если буду бояничать :)
Карабас Барабас rrrrrrrrrrнастораживают эти фишкик тому же весьма сомнительной полезности
Posted via ActualForum NNTP Server 1.4

НАсчет полезности можешь спросить у создателя антивируса Касперского. Для идентификации проверенных файлов антивирус использует нтфс поток к файлу. Очень удобно и занимает мало места.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
25.05.2007, 12:39:30
    #34550979
Ramin Hashimzade
Ramin Hashimzade
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Круто... извините если буду бояничать :)
авторНАсчет полезности можешь спросить у создателя антивируса Касперского. Для идентификации проверенных файлов антивирус использует нтфс поток к файлу. Очень удобно и занимает мало места.
это и есть один из минусов касперского



----
www.hramin.jino-net.ru
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
25.05.2007, 12:44:31
    #34550997
k/2
k/2
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Круто... извините если буду бояничать :)
Ramin авторНАсчет полезности можешь спросить у создателя антивируса Касперского. Для идентификации проверенных файлов антивирус использует нтфс поток к файлу. Очень удобно и занимает мало места.
это и есть один из минусов касперского



----
www.hramin.jino-net.ru


Минус? Ну вы батенька вообще разжирели? А в чем же, собсна, минус? При проверке каждый файл т.о. маркируется, и не будет смысла в последствии его снова проверять если он не изменился. По-моему логично.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
25.05.2007, 12:45:27
    #34551003
Карабас Барабас
Карабас Барабас
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Круто... извините если буду бояничать :)
ВЦИРспросить у создателя антивируса Касперскоговот именно, что только вирусы да антивирусы, а простому человеку что делать ? наблюдать, как вирусы с антивирусами воюют ?
Posted via ActualForum NNTP Server 1.4
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
25.05.2007, 12:48:00
    #34551014
Ramin Hashimzade
Ramin Hashimzade
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Круто... извините если буду бояничать :)
авторМинус? Ну вы батенька вообще разжирели? А в чем же, собсна, минус? При проверке каждый файл т.о. маркируется, и не будет смысла в последствии его снова проверять если он не изменился. По-моему логично.

а если мой вирус будет написать свою херну один из таких файлов которых он уже заргистрировал...тогда что???!!!

----
www.hramin.jino-net.ru
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
25.05.2007, 12:51:02
    #34551030
k/2
k/2
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Круто... извините если буду бояничать :)
Ramin авторМинус? Ну вы батенька вообще разжирели? А в чем же, собсна, минус? При проверке каждый файл т.о. маркируется, и не будет смысла в последствии его снова проверять если он не изменился. По-моему логично.

а если мой вирус будет написать свою херну один из таких файлов которых он уже заргистрировал...тогда что???!!!

----
www.hramin.jino-net.ru


если честно, я ничего не понял что ты сказал...
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
25.05.2007, 12:58:22
    #34551055
rrrrrrrrrr
rrrrrrrrrr
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Круто... извините если буду бояничать :)
имхо иначе чем через контрольные суммы контролировать чистоту файлов пока еще никто не научился. Или нет?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
25.05.2007, 12:59:51
    #34551061
Ramin Hashimzade
Ramin Hashimzade
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Круто... извините если буду бояничать :)
авторимхо иначе чем через контрольные суммы контролировать чистоту файлов пока еще никто не научился. Или нет?
я честно говоря не понл что ты имееш веду...

----
www.hramin.jino-net.ru
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
25.05.2007, 13:01:56
    #34551069
k/2
k/2
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Круто... извините если буду бояничать :)
rrrrrrrrrrимхо иначе чем через контрольные суммы контролировать чистоту файлов пока еще никто не научился. Или нет?

ИМХО слишком долго. Файлы бывают разного размера, даже если использовать подсчет срс определнных учасков файла все равно этот способ уступает по скорости и эффективности спопособу с нтфс потоком.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
25.05.2007, 13:03:31
    #34551073
rrrrrrrrrr
rrrrrrrrrr
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Круто... извините если буду бояничать :)
в этом плане мне брандмауэр IIS BlackICE PC/Server Protection понравился, в него входит Application Protection, работающий по принципу сверки контрольных сумм:
- при установке (или в любой момент по желанию владельца ПК) производится сканирование системы и запись сумм. Потом при попытке системы или пользователя запустить любой процесс срабатывает что-то похожее на отладчик и если в baseline-списке нет этого процесса или не совпадает сумма, выводится запрос (или, если настроено, процесс сразу прибивается). Срабатывает не только на исполняемых модулях, но и на любых подгружаемых ими библиотеках...
Но тут терпение надо имет, расчет сумм - процесс долгий...
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
25.05.2007, 13:06:52
    #34551087
rrrrrrrrrr
rrrrrrrrrr
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Круто... извините если буду бояничать :)
с потоком ситуация другая: монитор или сканер просто помечает для себя, что файл больше не надо проверять, т.к. его только что проверили. Интервал "только что" для антивирусного сканера означает, что он его больше не проверит, а для монитора - что после определенного промежутка времени придется проверить снова... Как это реализовано - бог знает.
А с BlackICE тормозов не заметил. При создании списка baseline - да, минут 15 тарахтит. А потом все нормально.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
25.05.2007, 13:10:38
    #34551099
Карабас Барабас
Карабас Барабас
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Круто... извините если буду бояничать :)
rrrrrrrrrr r> имхо иначе чем через контрольные суммы контролировать
r> чистоту файлов пока еще никто не научился. Или нет?однозначный ответ может дать только поэлементное сравнение с эталоном, все остальные методы - вероятностные
Posted via ActualForum NNTP Server 1.4
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
25.05.2007, 13:14:21
    #34551112
Карабас Барабас
Карабас Барабас
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Круто... извините если буду бояничать :)
rrrrrrrrrr r> в этом плане мне брандмауэр IIS BlackICE PC/Server
r> Protection понравился, в него входит Application
r> Protection, работающий по принципу сверки контрольных
r> суммпо-моему, в последнем аутпосте такая же функциональность заложена, огреб я с ней по полной программе. Сделал приложение, оттестировал его, отправил заказчику, у него не работает. Выяснилось, что у него аутпост стоит, который следит за компонентами приложения. Т.е. даже если сделать приложение доверенным, то после его обновления оно уже не соответствует изначальному доверенному, в результате его не пускают в инет. В конце концов отключили этот механизм проверки нах.
Posted via ActualForum NNTP Server 1.4
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
  1  все
Форумы / Windows [игнор отключен] [закрыт для гостей] / Круто... извините если буду бояничать :) / 25 сообщений из 26, страница 1 из 2
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение  
Полит. конфиден.  
созд. / загр.: 286ms
Закрыть
start [/forum/topic.php?fid=26&mobile=1&tid=1507314]:
 0ms
get settings:
 5ms
get forum list:
 11ms
check forum access:
 2ms
check topic access:
 2ms
track hit:
 35ms
get topic data:
 6ms
get forum data:
 2ms
get page messages:
 33ms
get tp. blocked users:
 1ms
others: 189ms
total:  286ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]