-3
当我研究恶意软件时,似乎恶意软件通过使用替代数据流向PE文件添加了新的快捷方式属性。它不能被调试,我只能从ProcessMonitor收集一些信息。以下是相关的API恶意软件呼叫:如何使用替代数据流添加新文件属性
CreateFile("C:\Test.exe:!",...)
ZwFsControlFile(.. FSCTL_SET_REPARSE_POINT ..)
是否有任何身体知道如何通过额外的数据流添加一个用户定义的属性? 谢谢。
嗨,MOX,感谢您的帮助。 –
我已阅读了很多关于ADS的信息。但所有这些都是关于如何编写,读取和删除备选数据流的方法,而且ADS几乎没有关于用户定义属性的信息。我仍然不知道如何通过ADS将用户定义的属性添加到文件中。你能帮我解决吗?谢谢。 –
正如在url中所描述的,ADS只是NTFS文件的主(未命名)流中的一个(命名)流。 “用户定义的属性”只是一个额外的ADS。 – mox