Перейти к содержанию
Андрей-001

Папка EfaData с файлом SYMEFA.DB в корне диска

Recommended Posts

Андрей-001

Давно хотел узнать:

С какой целью при использовании Symantec NAV и NIS в папке "System Volume Information" каждого диска создаётся неудалимая даже в другой системе без использования этих продуктов папка EfaData с файлом SYMEFA.DB?

Для этого должны быть очень веские основания. Какие?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
Давно хотел узнать:

С какой целью при использовании Symantec NAV и NIS в папке "System Volume Information" каждого диска создаётся неудалимая даже в другой системе без использования этих продуктов папка EfaData с файлом SYMEFA.DB?

Для этого должны быть очень веские основания. Какие?

Андрей, Вы задаете вопрос с настойчивой неотвратимостью дознавателя:)

Данный файл представляет собой базу данных о файлах пользователя, хранящуюся на компьютере пользователя

и относящуюся к новым технологиям, используемым в продуктах Norton 2009. О новых технологиях и типе информации,

хранящейся в этом файле, Вы можете прочитать в моем предыдущем сообщении.

Если по каким-либо причинам возникла необходимость удалить эту папку, Вам понадобится загрузить

систему в "Safe Mode", затем назначить права полного доступа к папке для используемого {username}.

После этого, папку можно будет удалить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Андрей, Вы задаете вопрос с настойчивой неотвратимостью дознавателя:)...

Данный файл представляет собой базу данных о файлах пользователя

Если по каким-либо причинам возникла необходимость удалить эту папку, Вам понадобится загрузить

систему в "Safe Mode"

:) Ну это как кто воспринимает. Я просто очень торопился - у меня было очень срочное дело.

Я так и думал, что это база данных, т.к. она на каждом подключенном к ПК логическом диске создаётся и не удаляется даже после отключения или съёма этого диска.

Получается, что базу данных пользователя можно не зная слить. И если полная затирка диска спец.средствами не проводилась (например, шелсканом), а она редко когда даже примитивными средствами проводится, то кто-то может это всё прочитать. Особенно, если ещё "System Volume Information" вручную не вычищался (а это тоже редко кто делает), то всё до файлика при помощи SYMEFA.DB будет известно посторонним или заинтересованным лицам?

Или SYMEFA.DB очень усиленно шифруется и ничем кроме программ Symantec Norton не распознаётся?

Даже если и так, то зачем оставлять за собой след? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Не зная ответа, ещё могу только предполагать, что благие намерения программы, если можно так выразиться, сводятся к тому, чтобы при помощи этого файлика знать о том какие файлы были проверены, какие вылечены и более не изменялись? Если это так, то это уже веские основания. :) Хотя это можно проверить.

назначить права полного доступа к папке для используемого {username}.

Как там написано (это только для WinXP Pro), но в "Safe Mode", или как-то иначе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
Получается, что базу данных пользователя можно не зная слить.

Андрей, Вы сделали довольно странный вывод, прямо противоречащий описанию.

Файл хранится в зашифрованном виде. В нем содержится не "база данных пользователя",

а информация о SHA256 hash файлов, присутствующих на жестком диске.

Сбор какой-либо персональной информации не производится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Андрей, Вы сделали довольно странный вывод, прямо противоречащий описанию.

...Сбор какой-либо персональной информации не производится.

:) Вадим, я второпях написал "слить", и имел ввиду не "продать" или "следить за пользователем".

Слово "слить" (слить инфу) - на сленге наших рековерников означает "по-глупому отдать на прочтение".

Другой пример "снять" (снять инфу) - восстановить информацию с нечитаемого или нерабочего носителя.

И ещё "поднять" (поднять инфу, мат. плату и пр.) - восстановить информацию, работу нерабочего носителя или нерабочей платы.

Я написал "базу данных пользователя" - а надо было написать как у Вас - "базу данных о файлах пользователя".

Но смотря с какой стороны смотреть на этот факт. Некоторые файлы в чужих заинтересованных руках могут оказаться компроматом. Вот поэтому я и забеспокоился.

:) Но я же ещё написал и это:

благие намерения программы, если можно так выразиться, сводятся к тому, чтобы при помощи этого файлика знать о том какие файлы были проверены, какие вылечены и более не изменялись? Если это так, то это уже веские основания.

Веские основания - это, как говорили ещё не так давно, уважительная причина.

информация о SHA256 hash файлов

Подобная этой? (ссылка)

Значит, Symantec гарантирует, что маленький файл SYMEFA.DB в корне диска никоим образом не поспособствует и не сможет дать никакой спецслужбе никакой информации о хранящихся ранее на этом носителе, но удалённых файлах (данных) Пользователя?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
Значит, Symantec гарантирует, что маленький файл SYMEFA.DB в корне диска никоим образом не поспособствует и не сможет дать никакой спецслужбе никакой информации о хранящихся ранее на этом носителе, но удалённых файлах (данных) Пользователя?

Подытоживая, я повторю основные тезисы, уже содержавшие ответы на все вопросы:

- В данном файле хранится информация о SHA256 hash файлов.

- Какая-либо персональная информация, либо содержимое файлов пользователя в данном файле не содержится,

так как сбор подобной информации не производится.

- Данный файл хранится в зашифрованном виде.

-----------------------------------------------------------------------------------------------------------------------------------------------------------

Задаваемый Вами вопрос о спецслужбах нелогичен изначально, так как при наличии носителя информации (HDD),

необходимость попытки испытать файл Symantec на криптографическую стойкость отпадает у спецслужб изначально -

всю необходимую информацию можно будет получить непосредственно с носителя информации.

Абсолютную гарантию дает только физическое уничтожение носителя информации - все остальное, лирика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Vadim Fedorov

Благодарю за терпение. Восстановлением информации и железа занимаюсь сам.

Про уничтожение тоже написал здесь несколько постов. О другом не говорят - сами делают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.21.
    • Ego Dekker
    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
×