Комментарии 56
Конечно, снести папку с трояном можно про помощи Dr. Web Live CD (или любого другого корректно поддерживающего запись на NTFS).
Или ещё проще, любой утилитой наподобие Unlocker.
а есть ли более актуальные аналоги анлокера(который уже года три не обновлялся)?
Отвечу вопросом на вопрос: а зачем ему обновляться, если он нормально работает?
Аналоги есть, но когда я их щупал, там вечно вылезали какие-то косяки. То один не может удалить сразу несколько выделенных объектов, то другой просит перезагрузку для удаления (там, где Unlocker удаляет сразу).
Аналоги есть, но когда я их щупал, там вечно вылезали какие-то косяки. То один не может удалить сразу несколько выделенных объектов, то другой просит перезагрузку для удаления (там, где Unlocker удаляет сразу).
Ему и не нужно обновляться, эта утилита имеет минимальный и, главное, достаточный функционал для выполнения своих функций. Если добавить туда разных (имхо, не нужных) фич — это породит новые баги, бОльшую ресурсоемкость и так далее. Зачем это всё?
Но вообще автору неплохо бы выпустить какую-то "новую версию", при этом ничего не меняя в коде. Просто чтоб на психологическом уровне люди понимали что это не устаревшее неработающее барахло, а актуальный софт, отлично справляющийся со своими задачами.
Ну лично у меня после какого-то момента оно перестало нормально работать и я забыл про оную утилиту. Потому и спросил.
А оказывается, оно работает.
А оказывается, оно работает.
У меня она работает ещё с 7-ки и уже по 10-ку. Единственный недостаток: если выбрать несколько объектов и попробовать их удалить через меню «Отправить в», то удаляется лишь самый первый. Проблема решается выбором при установке «Встроить в контекстное меню», через него уже удаляется всё и в любых количествах.
В составе PowerToys есть модуль File Locksmith
А переименовать перед удалением они ее пробовали? Вдруг прокатит :)
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
А опытом не могли бы поделиться? Заранее благодарен.
1) Создайте ограниченного пользователя
2) Запретите этому пользователю запись во все папки кроме папки профиля и еще нескольких на ваш выбор.
3) С помощь SRP (https://habrahabr.ru/post/101971/) запретите созданному пользователю запуск любых программ из тех папок, в которые ему разрешена запись.
Результат: всё что запишется от имени пользователя, не может запуститься. От всех атак подобная система не защитит, так и SRP, и AppLocker достаточно легко обходятся (https://habrahabr.ru/post/282373/), однако сильно осложнит жизнь многим зловредам.
Для еще большей защиты, накатите Linux в Dual Boot или виртуальную машину, и серфите по недоверенным сайтам из-под Linux, там подобные фичи настраиваются легче, да и вирей под линь намного меньше. Во FreeBSD даже есть встроенная песочница. Ну и на крайний случай существует OpenBSD, найти и несанкционированно запустить зловред под которой, является сверхсложной задачей ;)
2) Запретите этому пользователю запись во все папки кроме папки профиля и еще нескольких на ваш выбор.
3) С помощь SRP (https://habrahabr.ru/post/101971/) запретите созданному пользователю запуск любых программ из тех папок, в которые ему разрешена запись.
Результат: всё что запишется от имени пользователя, не может запуститься. От всех атак подобная система не защитит, так и SRP, и AppLocker достаточно легко обходятся (https://habrahabr.ru/post/282373/), однако сильно осложнит жизнь многим зловредам.
Для еще большей защиты, накатите Linux в Dual Boot или виртуальную машину, и серфите по недоверенным сайтам из-под Linux, там подобные фичи настраиваются легче, да и вирей под линь намного меньше. Во FreeBSD даже есть встроенная песочница. Ну и на крайний случай существует OpenBSD, найти и несанкционированно запустить зловред под которой, является сверхсложной задачей ;)
НЛО прилетело и опубликовало эту надпись здесь
Ещё во времена DOS вирусы развлекались, создавая папки с зарезервированными именами, например prn, или же с именами, содержащими запрещённые символы.
Точно так же как если создать в реестре Windows ключ с именем, содержащим нулевой символ, то пользовательский софт будет испытывать сложности, т.к. там API используют строки с завершающим нулём и указать имя для удаления не выйдет.
Наверняка и в Linux есть какие-нибудь зарезервированные имена. Например, что будет, если на томе, который монтируется как "/", создать директорию "/dev" с использованием физического доступа к секторам диска?
Точно так же как если создать в реестре Windows ключ с именем, содержащим нулевой символ, то пользовательский софт будет испытывать сложности, т.к. там API используют строки с завершающим нулём и указать имя для удаления не выйдет.
Наверняка и в Linux есть какие-нибудь зарезервированные имена. Например, что будет, если на томе, который монтируется как "/", создать директорию "/dev" с использованием физического доступа к секторам диска?
> что будет, если на томе, который монтируется как "/", создать директорию "/dev"
она там и так есть, и в неё при загрузке монтируется devtmpfs, в которой уже udev создаёт файлы девайсов.
она там и так есть, и в неё при загрузке монтируется devtmpfs, в которой уже udev создаёт файлы девайсов.
/dev Зачем её создавать? Она и так есть в "/".
А вообще полезная штука, учитывая что в новых виндах порой сложно найти привычные менюшки.
А вообще полезная штука, учитывая что в новых виндах порой сложно найти привычные менюшки.
И /proc, и /sys, и /dev, и /run являются самыми обычными папками. До того момента, когда в них что-то подмонтируют там даже что-то может иное лежать. И даже после монтирование дескрипторы, которые были открыты до монтирования продолжат себе корректно работать и писать в основную fs.
В linux нету зарезервированных имен любая utf-8 строка заканчивающаяся терминирующим \0 будет валидным путем к файлу или каталогу.
В корневой fs важно наличие каталога /dev с минимальным набором устройств в противном случае это сильно осложнит работоспособность многих программ (конечно можно обойтись и без него вообще минимально для старта unix достаточно только выполняемого файла init).
BTW то что вы назвали томом в UNIX является блочным устройством.
Думаю что если изменить имя файла или каталога на "." или ".." доступом через блочное устройство и замонтировать fs пропустив проверку целостности то этот файл или каталог можно будет увидеть в списке файлов но никак нельзя будет к нему доступиться (точнее открыть). Соответственно после fsck он будет переименован и попадет в /lost+found каталог содержащей его fs.
В linux любую fs довольно легко сделать только для чтения, также возможно сделать гибридную fs это когда базовая только для чтения а все изменения записываются в другую fs. Также есть стандартные атрибуты монтирования запрещающие запускать любые файлы с fs или создавать файлы устройств, так что спектр защиты средствами fs вполне достаточен.
Тем не менее можно осложнить возможность удалить файлы и каталоги, если их имена сделать в неустановленной локально кодировке тогда многие штатные средства дадут сбой если не удастся сделать биективное отображение имен из fs в кодировку пользователя и обратно, но на уровне API никаких проблем нет. Еще можно создавать несколько миллионов пустых файлов и каталогов (если позволит установленный лимит при создании fs) тогда штатно удалить и найти только что-то с неизвестным именем среди этого будет сложно (правда удалить все достаточно просто).
Более кардинальный подход это создать свою искусственную fs в пространстве пользователя или ядра в которой будут свои нестандартные правила доступа но сначала как минимум потребуется получение прав root. Также можно подменить системные вызовы open,openat итп.
В корневой fs важно наличие каталога /dev с минимальным набором устройств в противном случае это сильно осложнит работоспособность многих программ (конечно можно обойтись и без него вообще минимально для старта unix достаточно только выполняемого файла init).
BTW то что вы назвали томом в UNIX является блочным устройством.
Думаю что если изменить имя файла или каталога на "." или ".." доступом через блочное устройство и замонтировать fs пропустив проверку целостности то этот файл или каталог можно будет увидеть в списке файлов но никак нельзя будет к нему доступиться (точнее открыть). Соответственно после fsck он будет переименован и попадет в /lost+found каталог содержащей его fs.
В linux любую fs довольно легко сделать только для чтения, также возможно сделать гибридную fs это когда базовая только для чтения а все изменения записываются в другую fs. Также есть стандартные атрибуты монтирования запрещающие запускать любые файлы с fs или создавать файлы устройств, так что спектр защиты средствами fs вполне достаточен.
Тем не менее можно осложнить возможность удалить файлы и каталоги, если их имена сделать в неустановленной локально кодировке тогда многие штатные средства дадут сбой если не удастся сделать биективное отображение имен из fs в кодировку пользователя и обратно, но на уровне API никаких проблем нет. Еще можно создавать несколько миллионов пустых файлов и каталогов (если позволит установленный лимит при создании fs) тогда штатно удалить и найти только что-то с неизвестным именем среди этого будет сложно (правда удалить все достаточно просто).
Более кардинальный подход это создать свою искусственную fs в пространстве пользователя или ядра в которой будут свои нестандартные правила доступа но сначала как минимум потребуется получение прав root. Также можно подменить системные вызовы open,openat итп.
> если изменить имя файла или каталога на "." или ".." доступом через блочное устройство
"." и ".." в большинстве фс и так являются обычными ссылками на директории (рекурсивная на себя и на родителя соответственно). Что порой проявляется неожиданным образом при использовании symlink-ов на директории.
"." и ".." в большинстве фс и так являются обычными ссылками на директории (рекурсивная на себя и на родителя соответственно). Что порой проявляется неожиданным образом при использовании symlink-ов на директории.
Это что, нам в школе после перехода с БК на 286-е строго-настрого запрещали создавать в DOS файлы с кириллическими именами, аргументируя это тем, что их невозможно удалить без Norton Disk Doctor. На самом деле, возможно. А con, prn и прочие — действительно, создав, удалить не так-то просто.
> но вручную зайти в эту папку нельзя
Чушь полнейшая, только что спокойно зашёл. Открыл FAR и зашёл.
(А что, разве «проводником» кто-то ещё пользуется?..)
Чушь полнейшая, только что спокойно зашёл. Открыл FAR и зашёл.
(А что, разве «проводником» кто-то ещё пользуется?..)
Таки MTP: у FAR глюкавый, приходится проводником.
Регулярно использую FAR для удаления некорректных папок и файлов: с зарезервированными именами, циклическими ссылками и т.п. Удивлён, что я не один такой: FAR же имхо давно мёртв и используется только старыми гиками.
Почему мёртв? Вон, отлично цветёт и пахнет, последний ночнй билд сегодняшний… http://farmanager.com/download.php?l=en
Не знаю, это одна из первых программ, которую я ставлю на протяжении последних лет десяти, наследие DOS и всяких nc, vc.
то что я не молод, это явно, но вот что гик… )) А чего это он мертв-то?
«Проводником» пользуются почти все пользователи, кто не родился в СССР. Изредка встречается Total Commander, но чрезвычайно редко. Удобство файлового менеджера MacOS послужило одним из главных факторов, из-за которого в США народ массово перешел на маки. Но там нет FAR — так что для меня это наоборот, отталкивающий фактор :)
Есть far2l и Midnight Commander
Когда @MichaelBorisov писал свой комментарий, far2l ещё не было ;)
И только «тупой» Far Manager входит, выходит, стирает… ;-)
нажал на «скриншот», и не сразу получилось закрыть)
Статья жёлтая донельзя. Всякие виртуальные папки для Explorer имели фиксированные CLSID задолго до выхода Windows 7 и GodMode в ней. Сам пользовал, чтоб ярлыки делать в стороннем софте. GodMode — лишь одна из них, причём дальше в статье прямым текстом написано, что конкретно этот вирус шлёт на папку удалённых подключений.
Есть 3 вещи, которые человек не сможет сделать никогда в своей жизни: посчитать волосы на голове, помыть глаза с мылом, дышать с высунутым языком.
Ну всё, всё, можешь, засовывай язык назад, молодец.
я же не один надеюсь создал папку после прочтения статьи?
Ну всё, всё, можешь, засовывай язык назад, молодец.
я же не один надеюсь создал папку после прочтения статьи?
А ещё виндовый проводник очень «любит» папки с пробелом или точкой в конце имени
НЛО прилетело и опубликовало эту надпись здесь
Про консоль написали что -то странное - команда "del" никогда не удаляла папки.
Почему это статья выходит в первую очередь, при поиске хешей, массивов в Яндексе?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Троян использует «режим Бога» Windows, чтобы спрятаться в системе