-
Странности с WinHex
В процессе исследования машины на предмет глюков с почтой и доступом в интернет был обнаружен ключ реестра, отвечающий за Active Setup.
Запуск из корзины, имя файла DLL32.EXE, якобы обнаружен в базе безопасных (AVZ). На диске из-под XP не виден.
Загрузившись в DOS, нашел файл, перенес в карантин. Файл оказался нулевой длины. Под WinHex - 00.
Нехитрые опыты показали, что любой (в том числе -вновь созданный) пустой файл , будучи открыт и сохранен в моем древнем WinHex 11.6-SR13, перестает определяться AVZ как безопасный.
Кроме того, размер файла после сохранения WinHex меняется с 0 до 1 байт на файловых системах NTFS и FAT32.
Что за штука с WinHex? С учетом того, что на моей машине регулярно испытываются разные авери, приемущественно из разряда приличных, не хотелось бы предполагать наличие посторонней заразы.
PS: на компе "глупый кИдо робко прятал свои ключики в реестре". Палится тем, что создает "невидимый" ключ в Services, с "левыми" правами доступа. Запускает свою либу через svchost со стандартным ключем. Второй случай за неделю. "Як дiти!"
Последний раз редактировалось antanta; 13.07.2009 в 23:29.
Причина: добавлено
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
как это? а файловая система изначально какая?
странно у меня в 11.7 все нормально.
одно но! если под ntfs не хватит прав для открытия, то как раз файлы и папки могут оказаться нулевой длины
-
Сообщение от
Virtual
как это? а файловая система изначально какая?
странно у меня в 11.7 все нормально.
одно но! если под ntfs не хватит прав для открытия, то как раз файлы и папки могут оказаться нулевой длины
На больном компе было ntfs. Под DOS-ом подразумевался NTFS-DOS от sysinternals. Файл переносил на флехе (FAT32, не архивируя). Никакие права ИМХО не могли сохраниться. А у клиента некогда было возиться. Основной вопрос - по лишнему байту. Был бы ntfs, можно было бы предположить запись какой-то служебной инфы. Да и то, она (вроде бы) на отображаемый размер не влияет.
-
-
Сообщение от
antanta
На больном компе было ntfs. Под DOS-ом подразумевался NTFS-DOS от sysinternals. Файл переносил на флехе (FAT32, не архивируя). Никакие права ИМХО не могли сохраниться. А у клиента некогда было возиться. Основной вопрос - по лишнему байту. Был бы ntfs, можно было бы предположить запись какой-то служебной инфы. Да и то, она (вроде бы) на отображаемый размер не влияет.
Независимо от файловой системы никакая служебная информация в сам файл не заносится (в NTFS у файла есть куча атрибутов, где все хранится - но на данные файла это никак не влияет)
-
-
Сообщение от
Зайцев Олег
Независимо от файловой системы никакая служебная информация в сам файл не заносится (в NTFS у файла есть куча атрибутов, где все хранится - но на данные файла это никак не влияет)
И я о том же... Если в контексте... Просто я не вполне уверен в своих познаниях, потому и сделал оговорку.
У MS другая позиция по этому вопросу, начиная с того, что понятия "сам файл" я у них не встречал. Следуя их идеологии(примерно), файл - совокупность всех потоков + атрибуты. И данные могут храниться в том же месте, где ожидаются "атрибуты" (если размер не велик) . Впрочем, это то же самое, только другими словами.
Вопрос был скорее академический. Далле рискую выйти совсем далеко за пределы своей компетенции: это могла быть сслылка? Как AVZ обрабатывает ссылки? Я зря пожалел времени? Или стоявший ранее древний нод "вылечил" файл так, что тот приобрел нулевую длину? Если будут интересные версии по этому поводу, я не поленюсь и съезжу к тому компу, науки и опыта ради.
-
-
antanta, я-б сьездил и посмотрел, из под вин-пе /барт-пе и т.д./ (ему почти пофик на права, особо если правильно собрать).
-
Virtual, Я и сам иногда излишне много времени трачу на "расследования". Особенно, если мне машину оставляют. В данном случае люди отказались покупать лицезию, заплатили лишь 20 уе за решение конкретной проблемы, получили пробник на месяц. Если нет обоснованных подозрений, что найдется что-то вкусненькое, ждем-с...
PS: PE, ERD, RipLinux - увсегда со мной.
-