Перейти к содержанию
Хельга

Что означает данная запись?

Recommended Posts

Хельга

C:WINDOWSsystem32svchost.exe:ext.exe:$DATA

Пожалуйста, объясните что означает эта строка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

В файловом потоке сидит вирус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Хельга

В файловом потоке сидит вирус.
)) Знаю, что там вирус - антиврус сообщил )) ext.exe - это имя потока, $data - переменная - так да? А как вы определили что там вирус?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

Хельга, не скажу. А то будут все умные и догадливые. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Хельга

Хельга, не скажу. А то будут все умные и догадливые. ;)

Я так понимаю - это означает что вопрос был дурацкий )) В любом случае спасибо за ответы ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Я так понимаю - это означает что вопрос был дурацкий ))

Если исполняемый файл находится в потоке - это уже подозрительно. А конкретно этот троян достаточно распространен и его уже можно узнать по той строке, что Вы привели :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

ну у него новое имя раньше был exe.exe =) или я уже что-то пропустил со своей работой..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

и такое было... :) Тут уж фантазия вирмейкера :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alabama
C:WINDOWSsystem32svchost.exe:ext.exe:$DATA

Пожалуйста, объясните что означает эта строка.

Как мимимум то что используется файловая система NTFS. :) Вообще это означает, что у файла есть C:WINDOWSsystem32svchost.exe кроме стантартного потока $DATA, есть альтернативный поток ext.exe. Иногда альтернативные потоки используются вирусами для сокрытия кода и некоторыми антивирусами для хранения контрольных сумм.

Если на пальцах, то поток-это сокрытая от пользователя область данных присоединенная к файлу.

Немного поподробней о потоках есть здесь http://www.osp.ru/win2000/2006/08/3994477.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Хельга
C:WINDOWSsystem32svchost.exe:ext.exe:$DATA

Пожалуйста, объясните что означает эта строка.

Как мимимум то что используется файловая система NTFS. :) Вообще это означает, что у файла есть C:WINDOWSsystem32svchost.exe кроме стантартного потока $DATA, есть альтернативный поток ext.exe. Иногда альтернативные потоки используются вирусами для сокрытия кода и некоторыми антивирусами для хранения контрольных сумм.

Если на пальцах, то поток-это сокрытая от пользователя область данных присоединенная к файлу.

Немного поподробней о потоках есть здесь http://www.osp.ru/win2000/2006/08/3994477.

Спасибо за объяснение и ссылку - это то что я хотела знать ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
    • Vvvyg
      Ну, хоть что-то полезное на форуме появилось ) Почистил.
    • akoK
      А куда все разбежались? Зашел, а тут все спамом затянуто.
    • PR55.RP55
      По всей видимости uVS не всегда может получить доступ к: Hosts Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts " Вроде сейчас uVS  соответствующих записей не создаёт?
    • PR55.RP55
      " 12 апреля 2022 года компания Microsoft опубликовала информацию о новом вредоносном ПО под названием Tarrask. Угроза использует баг планировщика Windows, чтобы избежать обнаружения. " " Tarrask удаляет значение дескриптора безопасности (Security Descriptor, SD) задачи в реестре Windows, что приводит к исчезновению задачи из планировщика задач и из инструмента командной строки. " https://www.comss.ru/page.php?id=10384    
×