-
-
[原创]VB编写NTFS数据流隐藏EXE文件
-
发表于: 2010-10-10 09:35
-
只是偷懒闲的无聊,偶尔发现有个老文章说NTFS数据流可以对EXE文件进行免杀及隐藏!所以进行测试了下,以下只是举个例子具体希望大家一起讨论研究,内容比较简单多多包含!程序本身是免疫的,另外针对数据流只支持NTFS格式,所以加入了判断文件格式,这个效果没测试。因为我虚拟机上装的是freebsd系统
其次文件只是运行一次。
将生成出来的文件保存在C盘根目录下名称为1扩展名exe 呵呵。。。。
XP sp2下测试
文件格式:NTFS
然后执行后,程序会在C:\WINDOWS的文件夹产生一个windows文件无扩展名,查看属性内容是0字节,自身在C:\1.exe的程序会自动删除,在无释放多余其他文件!
检查windows文件流会发现:freebsd.exe$DATA捆绑成功!
测试方式:
cmd:start %systemroot%\windows:freebsd.exe
会弹出freebsd.exe的窗口文件!
另外这个只是方便大家测试。
如果把%systemroot%\windows(把windows改成system32就OK了)除非对方重新做系统。
经过测试这种办法的确免杀,但是云查杀是躲不过去的!(程序在运行和产生数据流文件时,金山杀毒没有给出报告,并且我已经开了所有保护!)云查杀是手动的!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
