Просмотр сообщения отдельно
Старое 27.03.2010, 23:35  

Аватар для ErikPshat


Развернуть инфу пользователя
По умолчанию
Сообщение от Boryan Посмотреть сообщение
Ни кто не с какой целью туда вирусню не пихал. Поверь мне. Просто эту карту многие пытались копировать, и есно не на одном компе. И специально этот образ ни кто не распространяет Тот дамп что я выложил, есть дамп из первых рук И он реально с флехи снят. Что на ней было в момент снятия дампа, то и снялось.
Сорри, приношу извинения! Паника отменяется )))

Разобрался полностью с образом.
Вирусов на карточке, на момент снятия образа, не было!

Вернее они были когда-то, но их удалили. Дело в том, что при удалении или даже после форматирования, файлы на самом деле не удаляются, а просто затирается первый символ из названия файла, которое хранится отдельно, в специальном блоке вначале.

А так как я извлекал все файлы вручную из образа от начала до конца, то вытащил заодно и все якобы удалённые файлы, которые оказались троянами с автораном inf. То, что они были удалены, я сообразил потом, обратив внимание на то, что у этих файлов первая буква в названии отсутствовала, тогда как у других файлов присутствовала. Хотя это давно известно, но здесь я этого сразу не учёл. Зато закрепил знания ))).

Немного инфы о структуре записи файлов
Вот эта служебная область почти в начале карты памяти. Здесь записывается структура Папок и Файлов, находящихся на карте, в порядке записи.
  1. Видно, что сначала были записаны MEMSTICK.IND и MSTK_PRO.IND
  2. Затем была создана папка PRX
  3. После был записан файл PSPBTCNF.TXT
  4. Затем были созданы папки: VSH, ID, JIG.
  5. Далее видно, что были на карте, а затем удалены файлы: Secret.exe, AUTORUN.INF, 01VMQ.EXE и т.д. Это как раз были вирусы. Что они удалены, видно по удалённому первому символу из названия, написанного ЗАГЛАВНЫМИ буквами.


Ниже я выделил в прямоугольник область, чтобы более уточнить детали.
Рассмотрим снизу вверх (область справа).
  1. Тут внизу видем GUYEN~1EXE - заглавными буквами пишется сокращённое Досовское название (не более 8 символов, не считая расширение после точки). Здесь первый символ "N" удалён от названия NGUYEN~1EXE, что означает, что файл был удалён.
  2. Выше видим 2 строки с полным названием файла + 2 строки ещё выше, как продолжение названия, если оно длинное. Название в каждых 2-ух строках, как видно, записывается в определённой последовательности, строго по формуле:
    • 1-я строка: 1-3-5-7-9-E
    • 2-я строка: 0-2-4-6-8-C-E
  3. Итак, получается - Nguyen Tu Quang.exe
Далее выше записаны точно так-же аналогично остальные файлы. Отличие у них только в том, что первый символ у названия ЗАГЛАВНЫМИ буквами - не удалён. Значит они реально присутствуют на карте.



Все эти перечисленные файлы (тела) находятся дальше, сразу после этой служебной таблицы, в такой-же последовательности и конечно без названий, т.к. названия записаны здесь.

Каждый новый файл может начинаться только с нового блока, даже если предыдущие секторы свободны. 1 блок - 32 сектора по 512 байт.

Все удалённые файлы так-же остаются целыми на карте памяти, просто они становятся невидымы. Они затираются, когда на это место запысываются новые файлы, по мере заполнения карточки.
Кстати, вот что по этому поводу выдают в сети: http://tinyurl.com/yfllreo
Сообщение от ErikPshat Посмотреть сообщение
И ещё 4 странных сопутствующих файла рядышком:
  • o9bxu.exe
  • 01vmq.exe
  • secret.exe
  • Nguyen Tu Quang.exe
Сборку выложу позже, как всё соберу и рассортирую

Прошу любить и жаловать, Ваш Добро пожаловать в наш Чат в Telegram

Последний раз редактировалось ErikPshat; 27.03.2010 в 23:42.

Вверх Вниз