Az Ntfs nem fájlfolyamatfolyamatokat végez
A kedvenc Windows-tevékenységeidben rejtett folyamatok meglehetősen érdekesek, amelyekről elmondható, hogy néha hobbiból válnak. 🙂 Ebben az operációs rendszerben sok jó dolog van, de sajnos nem eszembe jutott,
a közelebbi vizsgálat érdekes "nem dokumentált" lehetőségeket nyújt. Most úgy tekintenénk a folyamatok és modulok létezésére, hogy futtatható fájlokat töltenénk be. Ez a téma valóban feledésbe merült az MS-Dos óta, és sokan azt a benyomást keltették, hogy lehetetlen (vagy nagyon nehéz) a Win2K / XP-ben.
A nober egy útja
Mindenki tudja, hogy a Kicsi és Lágy Barátok a tömegek felé haladnak
"Figyelemre méltó" (de messze nem teljes) fájlrendszer - NTFS. Természetesen nagyon hasznos a kiszolgálókon és a tudományos központokban, ahol titkosítani kell a fájlokat és a kvótahelyet
felhasználók / csoportok, de a BG azt ajánlja otthoni használatra. 🙂 Bár 99% -a vírusok, trójaiak és egyéb
a gonosz szellemek a felhasználók otthonában élnek (közvetlenül a háziállatok vannak :)). Most dobjuk
kísérletezők egy másik kis trükk a lakóhely.
Így használhatja a konzolt, ha egy fájlt ír a streambe:
írja be some_file> some_file: some_stream
tovább 0, akkor indítsa el // ha a szálnak van neve, akkor felismerjük
BackupRead (h, pointer (integer (@wszStreamName) + sizeof (SID)), sid.dwStreamNameSize, temp, HAMIS, IGAZ, p);
ha temp <> sid.dwStreamNameSize majd szünet;
<для простоты всё выводиться в TMemo>
memo1.Lines.Add (PwideChar (@ sid.cStreamName));
végén;
memo1.Lines.Add ('Patak méret:' + IntToStr (oldalméret));
s: = "Adattípus:";
eset a sid.dwStreamId of // meghatározza a szál típusát
BACKUP_DATA: s: = s + 'adatok';
BACKUP_EA_DATA: s: = s + 'kiterjesztett attribútumok';
BACKUP_SECURITY_DATA: s: = s + "biztonság";
BACKUP_ALTERNATE_DATA: s: = s + "egyéb adatfolyamok";
BACKUP_LINK: s: = s + 'link';
mások s: = s + 'ismeretlen';
végén;
memo1.Lines.Add (s);
ha sid.méret> 0 majd
<я не думаю, что у кого-то есть потоки больше 4ГБ, поэтому второй параметр поиска = 0>
BackupSeekA (h, sid.méret, 0, @ dw1, @ dw2, p);
végén;
BackupRead (h, @sid, 0, temp, TRUE, FALSE, p);
CloseHandle (h);
végén;
Most már tudjuk, hogy a "szinte mindent" folyik. 🙂 A legérdekesebb -
az ígért lehetőség egy program megvalósítására alap exe vagy önpusztító exe nélkül. Ezt a chipet X [ei] NOmorph fedezte fel, amiért sok köszönet neki.
Mint már széles körben gyanúja minden szál írhat bármit, és így lehet exe. Tehát ... Először is, írunk néhány téma a program egy szöveges fájlt, és fuss (megkezdéséhez alkalmas WinExec (some_file: somestream "SW_SHOWDEFAULT)). Ezt látjuk
Windows Feladatkezelő:
Így nem csak exe futtatható. 🙂 Felkészületlen felhasználó nem meglepő, hogy látja ezt. De ez egy kicsit, most több móka - eltávolítás 2.txt ... fájl nem több, és a program működik, és működik elég magabiztos (a lényeg, hogy ez volt minden betöltve, azaz nem tartalmaznak nagy mennyiségű adat). Ez azt sugallja, hogy az MS rosszul teszteli a szoftvereit ... Ha elrejti a folyamatot a szemekből
"Feladatkezelő", akkor ez a lyuk lehetővé teszi, hogy mindenki egy korábban kedvelt rezidens a Ring3. Létrehozhat
A "láthatatlan felhasználó" ablak és a Windows bezárásakor írja magát a lemezre, és amikor elkezdi törölni magát. Itt egy kis példa
"Samoudaleniya":
Így élhet test nélkül. És még egy dolog - az áramlások nem befolyásolják
a partíció elfoglalt térfogatának jelzője. 🙂 Kiderül, hogy az egyik
A "0" méretű "kicsi" fájl képes elszállítani a teljes csavart (és megtalálni)
"Dirty" kézzel nagyon nehéz).
A pusztulás módja
function DeleteModuleA (ModuleName: PChar): longbool; stdcall; külső 'DeleteModule.dll';
function DeleteModuleW (ModuleName: PWideChar): longbool; stdcall; külső 'DeleteModule.dll';
és győződjön meg róla, hogy működik. 🙂
Ossza meg ezt a cikket barátaival: