Показано с 1 по 11 из 11.

Как закарантинить появляющийся и бысто исчезающий файл?

  1. #1
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430

    Как закарантинить появляющийся и бысто исчезающий файл?

    Уважаемые, подскажите идею.
    Есть папка (допустим C:\WINDOWS\Temp).
    В ней периодически появляется и быстро исчезает файл (допустим hs66h.exe).
    Имя файла может незначительно меняться, расширение постоянное.
    Нужен софт, умеющий мониторить такое событие и автоматически скопировать файл в какую-нибудь свою папку карантина, пока он не исчез.
    В AVZ вроде-бы такого функционала не нашел.
    И другого софта с такими функциями навскидку не припоминается...
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    936
    - такой софтины чтоб "ловила на лету" и тут же карантировала определённые файлы, так сразу и не припомню, наверное не встречалось ничего подобного... а вот если нужно просто мониторить активность, то рекомендую FileMon Марка Руссиновича
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    FileMon мне знаком, но нужна именно копия файла.
    Правда, подозреваю что сделать это будет сложновато... файл может в это время использоваться другим процессом, или что-нибудь подобное...
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Первое что пришло в голову: отключить кеширование записи на диск и использовать утилиту для восстановления удаленных файлов.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    936
    - посмотрите ProcDump http://technet.microsoft.com/en-us/s.../dd996900.aspx ...может его удастся использовать
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,216
    Вес репутации
    3387
    Если активировать AVZ_Guard, то файловые операции с EXE будут заморожены. Правда есть очобенность - AVZ разрешает стирать файлы, но не позволяет их создавать - т.е. пересоздаваемый EXE будет самоуничтожен

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1363
    Такие софтины есть, они самописные, юзаются аверами для отлова зловредов.

  9. #8
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.04.2007
    Адрес
    Крым, Севастополь
    Сообщений
    127
    Вес репутации
    62
    в делфи есть такой компонент TDirMon, там есть и пример

    вот, добавил туда толкько функцию копирования, попробуй, может заработает...
    Вложения Вложения

  10. #9
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.01.2006
    Сообщений
    9
    Вес репутации
    49
    Файловая система NTFS? Если да, то особыми разрешениями можно запретить удаление файлов (Свойства папки - Безопасность - Дополнительно - разрешения - Изменить)

  11. #10
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.09.2007
    Сообщений
    584
    Вес репутации
    634
    opana, +1
    ибо зачем изобретать велосипед именно таким способом и отлавливаю подобные файлы
    ЗЫ пример хоть те же утилиты FileMon RegMon от Марка Руссиновича.
    создающие файлы драйверов, тут же их запускающие, и удаляющие. а отловить эти драйвера очень хотелось (дабы вписать в ВинПЕ. ибо данные утилиты ну никак не хотели распаковывать свои дрова на ЦД )

  12. #11
    Full Member Репутация Репутация Репутация Аватар для dark
    Регистрация
    05.08.2005
    Адрес
    Ташкент, Узбекистан
    Сообщений
    145
    Вес репутации
    48
    PS если с свойствах папки не нашли вкладки - Безопасность(по умолчанию её там нет), в меню проводника ищем - Сервис - Свойства Папки - далее переходим ко вкладке - Вид, в открывшемся списке ищем строчку - Использовать простой общий доступ, и убираем эту галочку применяем и получаем то, что что описал opana.

Похожие темы

  1. Ответов: 1
    Последнее сообщение: 29.03.2011, 20:42
  2. Ответов: 0
    Последнее сообщение: 08.11.2010, 02:44
  3. постоянно появляющийся autorun на флешках
    От chekist007 в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 20.07.2010, 10:49
  4. появляющийся банер чере 5 минут пропадающий через 1минуту (заявка №4424)
    От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
    Ответов: 2
    Последнее сообщение: 11.02.2010, 21:01
  5. Каспер не может закарантинить вирус
    От ascodts в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 26.05.2009, 12:21

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01510 seconds with 17 queries