Принесли мне давеча флешку, заражённую троянцем, прячущим папки пользователя и заменяющим их на исполняемые файлы вредоноса с иконками папок. Обычное дело, но оказалось не всё так просто. Прошлая версия вредоноса просто-напросто делала папки пользователя скрытыми с атрибутом «системные».
Тут же оказалось всё куда интереснее: папки пользователя отсутствовали вовсе, но место на флешке явно занимали. Ни проводник, ни любые другие файловые менеджеры никаких скрытых или же системных папок не видели в упор. CHKDSK спокойно рапортовал, что с файловой системой всё в порядке. Файлов нет — а место занято.
Взялся препарировать ФС с помощью сторонних утилит. Автор вируса использовал гениальное в своей простоте решение: вирус создавал в корне флешки папку с именем из двух точек и прятал в неё файлы пользователя. Папка эта благодаря своему нетривиальному имени воспринималась как проводником, так и всеми остальными файловыми менеджерами как переход к корневой директории, а так как папка уже находилась в корне, её просто не было видно. Вуаля. Видишь файлы, юзер? Нет? А они есть!
Извлечь спрятанные данные оказалось довольно просто: понадобилось просто найти утилиту, которая сама строит древо ФС, а не полагается на функции ОС. Но какое красивое и простое решение! Респект писавшему, хоть он и засранец.
Да, видал такой вирус. Если флешка с телефона то можно найти фотки, видео и музыку через плеер. (у меня нокиа х3) спс. За инфу на вашем сайте!
А я в таких случаях пользуюсь Тоtal Commander Podarok Edition. Он всё прекрасно видит даже когда обычный Total не видит, так что оч. рекомендую.
А как можно самому создать папку с именем “..”? Система не позволяет этого сделать ни в проводнике, ни через командную строку..
cmd mkdir \\.\F:\..