-
Карантин дополнительных потоков ntfs
Не нашел, как это делается в AVZ. Беглое изучение справки по скриптам ничего не дало. (Хотя, это средство и оказалось куда мощнее, чем я думал. )
То есть, нет ли простого в использовании способа закарантинить левый поток. Неудобство в том, что ЛК и ВИ принимают файлы в архиве ZIP. Может, я чего-то не знаю, но, у меня не получается загнать в ZIP-архив файл, сохранив атрибуты и дополнительные потоки.
Как выдрать поток другими средствами я знаю. Вопрос по AVZ.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
antanta
Не нашел, как это делается в AVZ. Беглое изучение справки по скриптам ничего не дало. (Хотя, это средство и оказалось куда мощнее, чем я думал. )
То есть, нет ли простого в использовании способа закарантинить левый поток. Неудобство в том, что ЛК и ВИ принимают файлы в архиве ZIP. Может, я чего-то не знаю, но, у меня не получается загнать в ZIP-архив файл, сохранив атрибуты и дополнительные потоки.
Как выдрать поток другими средствами я знаю. Вопрос по AVZ.
Все крайне просто ... AVZ при сканировании показывает посторонние исполняемые потоки NTFS файлов как подозрительные объекты (неисполняемые не представляют интереса), и карантинит их без проблем. При этом файл в карантине обычный (в нем содержатся данные потока), а вот в сопуствующем описании сказано, что это был поток (с указанием имени файла и имени ADS). Как следствие, не возникает проблем с дальнейшей упаковкой такого файла, отправкой и анализом.
Имя потока при этом стандартного вида, <имя файла>:<Имя потока>, например C:\WINDOWS\system32:winsock32.exe:$DATA или c:\winxp\system32\svchost.exe:exe.exe:$DATA.
Последний раз редактировалось Зайцев Олег; 15.07.2009 в 23:03.
-
-
-