Marek S <precz@spamowi.com> napisał(a):
Właśnie przeanalizowałem działanie programu. Nie wiem czy właściwie.
Wziąłem jego PID jako filtr ale żadnych odczytów z dziwnych miejsc
rejestru nie znalazłem poza jednym - ale to nie to. Za to zdumiało mnie,
że w:
C:\Users\użytkownik\AppData\Local\Temp\desktop.ini:tu_kupa_znaków
grzebie intensywnie. Swoją drogą co to za składnia z dwukropkiem po nazwie
pliku?
Tak jak napisał HF5BS jest to dodatkowy strumień danych w pliku, świetne
miejsce do ukrywania danych:
https://www.grzegorz.net/articles/index.php?id=ntfsstreams
.
Czy jest możliwe, że dany proces tworzy jakiś inny jeszcze, który coś
gdzieś sprawdza? Jeśli tak, to czy da się ustalić jego nazwę?
Uruchamianie procesów może śledzić sam Windows:
https://www.grzegorz.net/articles/index.php?id=monitoring
--
Grzegorz Niemirowski
http://www.grzegorz.net/
|