Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Хочу все знать (http://forum.oszone.net/forumdisplay.php?f=23)
-   -   Маскировка вируса (http://forum.oszone.net/showthread.php?t=256752)

LehaMechanic 20-03-2013 21:03 2115181
Маскировка вируса
 
Сразу отмечу, тема может быть похожа на кандидата в раздел "Лечение систем от вредоносных программ", но по сути это не так.

Соседи опять поймали вирус, типичный винлокер. Вирус я выковырял вручную, и вот особенность: на диске С были две папки: одна нормальная "Windows" с начинкой ОС, и другая "Wіndows" - внутри у неё только сам вирус в виде подставного файла explorer.exe, т.е. визуально папки одинаковые, но ФС при этом позволила им лежать рядышком в одной директории, т.е. признала всё-таки разными. Всё это исправил, но остался нерешенным вопрос, как было набрано имя подставной папки? Ворд утверждает, что в этих словах буквы i разные. ASCII-символ? Как бы узнать, какой.
Жирное имя папки скопировано через буфер обмена, можно использовать его для экспериментов.

Petya V4sechkin 20-03-2013 21:31 2115199
Цитата:
Цитата Leha Ares
Как бы узнать, какой
І (кириллица)

LehaMechanic 20-03-2013 21:51 2115210
Petya V4sechkin,

Цитата:
В кириллической раскладке клавиатуры символ І вызывается зажатой клавишей Alt с набором Num-цифр 0178, символ і — Alt+0179.
Ага, это он, спасибо!

Drongo 20-03-2013 23:33 2115270
Leha Ares, украинская и белорусская раскладка рулит. :) "i"

Iska 21-03-2013 08:10 2115384
Цитата:
Цитата Leha Ares
но остался нерешенным вопрос, как было набрано имя подставной папки? Ворд утверждает, что в этих словах буквы i разные. ASCII-символ? Как бы узнать, какой. »
Я обычно копирую под Far Manager'ом имя файла в буфер обмена, вставляю в его же редактор, сохраняю, переключаюсь в просмотр по hex и смотрю коды символов. Особенно удобно скопировать сразу имена обоих файлов — в hex различия сразу видны.


Время: 14:22.

Время: 14:22.
© OSzone.net 2001-