Firza
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата:| Там, где обычно умная малварь свои яйца откладывает |
«Умная малварь» в лучшем случии может только отключить „System Restore” или удалит сохраненные копии. Например, CTB-Locker после заражение, первым делом пытается удалить «Shadow Copies», используя встроенную программу vssadmin.exe (Windows 7 и выше), чтобы пользователь не вздумал восстановить зашифрованные файлы не заплатив выкуп. А восстановить файлы возможно, если только пользователь не такой продвинутый чтобы самому отключить „System Restore” и „UAC” "поскольку всё равно бесполезно" (вирус запушенный без прав администратора не может отключить „System Restore” и не может удалить «Shadow Copies»).
В Windоws 7, в точках восстановление прямом виде сами файлы не хранятся. Система следит за имениями в файлах и сохраняет только сами измененные секторы, которые занимает измененные файлы. А если файл был удален, то старается ничего не писать по верху удаленных файлов, а если писать проходится, то содержание измененных секторов сохраняется в несколько больших файлах (наверно это что похожее на базу данных). Самому вытащить из этих файлов что-то осмысленное наверно не получится.
Если кто-то находит «умную малварь» в папке «System Volume Information» то это совсем не «умная малварь» , потому что в папку «System Volume Information» она попала из-за того что ее удалил пользователь или антивирус. Сама она туда не может залезть, что бы «яйца откладывает», она там может попасть только после «смерти». |
Всего записей: 273 | Зарегистр. 01-09-2004 | Отправлено: 19:22 11-02-2015 | Исправлено: Firza, 20:19 11-02-2015 |
|
