[軟體] EFix 刪除檔案的部份1
EFix 刪除檔案的部份基本上靠檔名...再外面來說是很腦殘的設計
沒辦法我沒技術...0rz
不過也有一點部分行為刪除方式
底下說明
先說明EFix刪除檔案的方式
這邊其實有點抄combofix的XD...sUBs要知道我看他說不定會氣死XD
不過用的軟體不一樣,效果也比combofix差很多,因為我不清楚他所有的刪除檔案流程
首先當抓到檔案c:\windows\123.exe是要刪除的檔案
EFix會將這檔案丟到刪除批次程序中 (EFix裡面的moveex.bat)
首先先建立備份檔案
位置會是NEFix\backup\files\檔案原始位置
以上面例子來說
位置就會在NEFix\backup\files\c\windows\123.exe
這個報告裡面會有寫
再來去除檔案屬性,使用CMD的ATTRIB指令 (attrib -r -s -h -a c:\windows\123.exe)
再來是使用move指令將檔案移動到備份資料夾內
(move /y "c:\windows\123.exe" "c:\nefix\backup\files\c\windows\123.exe")
如果偵測到檔案還在
就檢查windows裡面有沒有存在cacls.exe這檔案 (cacls為檔案權限設定的程式)
有就執行cacls將c:\windows\123.exe設定成可讀寫權限
(echo y|cacls "c:\windows\123.exe" /G Everyone:F /E)
假設還是在,則執行moveex (這個和combofix用的moveex不一樣,不過效果一樣)
(moveex "c:\windows\123.exe" "c:\nefix\backup\files\c\windows\123.exe")
以上是刪除檔案的方式
如果沒有特別保護的檔案基本上都刪的掉啦。
下一篇再提偵測檔案的方式好了.... 怕太長。
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 210.68.130.155
AntiVirus 近期熱門文章
PTT數位生活區 即時熱門文章
