-3
當我研究惡意軟件時,似乎惡意軟件通過使用替代數據流向PE文件添加了新的快捷方式屬性。它不能被調試,我只能從ProcessMonitor收集一些信息。以下是相關的API惡意軟件呼叫:如何使用替代數據流添加新文件屬性
CreateFile("C:\Test.exe:!",...)
ZwFsControlFile(.. FSCTL_SET_REPARSE_POINT ..)
是否有任何身體知道如何通過額外的數據流添加一個用戶定義的屬性? 謝謝。
嗨,MOX,感謝您的幫助。 –
我已閱讀了很多關於ADS的信息。但所有這些都是關於如何編寫,讀取和刪除備選數據流的方法,而且ADS幾乎沒有關於用戶定義屬性的信息。我仍然不知道如何通過ADS將用戶定義的屬性添加到文件中。你能幫我解決嗎?謝謝。 –
正如在url中所描述的,ADS只是NTFS文件的主(未命名)流中的一個(命名)流。 「用戶定義的屬性」只是一個額外的ADS。 – mox