ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
11.05.2015, 03:52
|
|
Участник форума
Регистрация: 10.05.2015
Сообщений: 142
Провел на форуме:
35015
Репутация:
57
|
|
Тоже как бы ничего нового но я делаю посты нацеленные на нубиков таких как я)
|
|
|
11.05.2015, 11:48
|
|
Постоянный
Регистрация: 31.01.2014
Сообщений: 627
Провел на форуме:
248913
Репутация:
42
|
|
Интересные видосы, спасибо тебе.
У меня возник следующий вопрос: после удаления vbs файла, по сути физически он остается на диске и стирается только его заголовок в NTFS таблице, значит физическое местоположение скрипта на диске, может быть перезаписано другим файлом? Насколько стабильна работа скрипка при таком подходе?
|
|
|
|
11.05.2015, 13:53
|
|
Участник форума
Регистрация: 10.05.2015
Сообщений: 142
Провел на форуме:
35015
Репутация:
57
|
|
Сообщение от #colorblind
↑
Интересные видосы, спасибо тебе.
У меня возник следующий вопрос: после удаления vbs файла, по сути физически он остается на диске и стирается только его заголовок в NTFS таблице, значит физическое местоположение скрипта на диске, может быть перезаписано другим файлом? Насколько стабильна работа скрипка при таком подходе?
Признаюсь честно, я не знаю как сделать то что вы предлагаете.Если у вас получится так сделать то попрошу отписаться здесь.
Почитать про NTFS потоки можно так же здесь:
Тыць
и здесь:
Тыць
|
|
|
|
11.05.2015, 13:57
|
|
Познавший АНТИЧАТ
Регистрация: 09.05.2015
Сообщений: 1,066
Провел на форуме:
238786
Репутация:
40
|
|
Сообщение от #colorblind
↑
Интересные видосы, спасибо тебе.
У меня возник следующий вопрос: после удаления vbs файла, по сути физически он остается на диске и стирается только его заголовок в NTFS таблице, значит физическое местоположение скрипта на диске, может быть перезаписано другим файлом? Насколько стабильна работа скрипка при таком подходе?
кстати , интересный вопрос. На сколько я понимаю эту файловую системе. то это альтернативный поток Грамотней так назвать, (после удаления vbs файла, по сути физически он остается на диске) думаю да, но не уверен, не спец я в этом. Надо произвести форензику, следы остаются, в этом я уверен на 100%
|
|
|
|
11.05.2015, 18:45
|
|
Участник форума
Регистрация: 10.05.2015
Сообщений: 142
Провел на форуме:
35015
Репутация:
57
|
|
Сообщение от BabaDook
↑
Надо произвести форензику, следы остаются, в этом я уверен на 100%
В интернете много утилиток которые работают с NTFS потоками.Антивирусы не палят потоки...))
|
|
|
|
11.05.2015, 18:49
|
|
Участник форума
Регистрация: 10.05.2015
Сообщений: 142
Провел на форуме:
35015
Репутация:
57
|
|
Единственное что хочу добавить по поводу потоков - это то что если нужно положить exe файл в поток то утилитка type тут заменить нужно утилитой cat под Windows, потому как type не отображает все непечатные символы...
|
|
|
|
12.05.2015, 06:41
|
|
Постоянный
Регистрация: 31.01.2014
Сообщений: 627
Провел на форуме:
248913
Репутация:
42
|
|
Сообщение от Mister_Bert0ni
↑
type тут заменить нужно утилитой cat под Windows
Это сторонняя тулза? Моя винда не знает cat'a
|
|
|
|
12.05.2015, 11:12
|
|
Новичок
Регистрация: 04.11.2004
Сообщений: 5
Провел на форуме:
4512
Репутация:
0
|
|
Сообщение от Mister_Bert0ni
↑
Единственное что хочу добавить по поводу потоков - это то что если нужно положить exe файл в поток то утилитка type тут заменить нужно утилитой cat под Windows, потому как type не отображает все непечатные символы...
Это не type не отображает, а консоль, если выводить в нее. type работает с любыми байтами.
PoC:
Код:
type c:\windows\notepad.exe>test.exe
test.exe
Сообщение от Mister_Bert0ni
↑
Антивирусы не палят потоки
Возможно, в реалтайме не палят. При полном сканировании альтернативные потоки проверяются.
Сообщение от #colorblind
↑
У меня возник следующий вопрос: после удаления vbs файла, по сути физически он остается на диске и стирается только его заголовок в NTFS таблице, значит физическое местоположение скрипта на диске, может быть перезаписано другим файлом?
Сообщение от BabaDook
↑
после удаления vbs файла, по сути физически он остается на диске
Перед удалением файла 1.vbs он был скопирован в альтернативный поток. test.txt:1.vbs - это отдельный файл, а не ссылка на 1.vbs. Удаленный файл нигде не используется. Имя потока может быть любым и не зависит от имени копируемого файла.
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
