Как закарантинить появляющийся и бысто исчезающий файл?
Уважаемые, подскажите идею.
Есть папка (допустим C:\WINDOWS\Temp).
В ней периодически появляется и быстро исчезает файл (допустим hs66h.exe).
Имя файла может незначительно меняться, расширение постоянное.
Нужен софт, умеющий мониторить такое событие и автоматически скопировать файл в какую-нибудь свою папку карантина, пока он не исчез.
В AVZ вроде-бы такого функционала не нашел.
И другого софта с такими функциями навскидку не припоминается...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
- такой софтины чтоб "ловила на лету" и тут же карантировала определённые файлы, так сразу и не припомню, наверное не встречалось ничего подобного... а вот если нужно просто мониторить активность, то рекомендую FileMon Марка Руссиновича
FileMon мне знаком, но нужна именно копия файла.
Правда, подозреваю что сделать это будет сложновато... файл может в это время использоваться другим процессом, или что-нибудь подобное...
Если активировать AVZ_Guard, то файловые операции с EXE будут заморожены. Правда есть очобенность - AVZ разрешает стирать файлы, но не позволяет их создавать - т.е. пересоздаваемый EXE будет самоуничтожен
Файловая система NTFS? Если да, то особыми разрешениями можно запретить удаление файлов (Свойства папки - Безопасность - Дополнительно - разрешения - Изменить)
opana, +1
ибо зачем изобретать велосипед именно таким способом и отлавливаю подобные файлы
ЗЫ пример хоть те же утилиты FileMon RegMon от Марка Руссиновича.
создающие файлы драйверов, тут же их запускающие, и удаляющие. а отловить эти драйвера очень хотелось (дабы вписать в ВинПЕ. ибо данные утилиты ну никак не хотели распаковывать свои дрова на ЦД )
PS если с свойствах папки не нашли вкладки - Безопасность(по умолчанию её там нет), в меню проводника ищем - Сервис - Свойства Папки - далее переходим ко вкладке - Вид, в открывшемся списке ищем строчку - Использовать простой общий доступ, и убираем эту галочку применяем и получаем то, что что описал opana.