Ẩn dữ liệu, "trốn" antivirus trên FAT File System

[red_flag_communism]

(Bài này em thực hiện trên Windows XP)

Em tắt antivirus và chọn 1 phân vùng FAT rỗng cho đỡ mất công ở các bước sau.
Em tạo 1 phân vùng FAT rỗng ( ổ F) để minh họa, các bác có thể chọn phân vùng nào cũng được miễn là FAT (có thể dùng ổ USB format FAT cũng được).

Mở cmd, gõ lệnh "cd /d f:" để đưa dấu nhắc lệnh về ổ F.
Gõ lệnh "md....\" (4 dấu chấm và 1 dấu \ sau md)

Lệnh "md....\" sẽ tạo ra 1 folder có 3 dấu chấm trong ổ F. Nếu truy cập folder "3 chấm" qua Explorer thì sẽ gặp thông báo sau:

Trong cửa sổ cmd, gõ tiếp lệnh "md...\" (lần này chỉ có 3 dấu chấm sau md). Lệnh này sẽ tạo ra 1 folder có 2 dấu chấm và folder này ẩn trong Windows. Bây giờ mở ổ F và có thể truy cập vào folder "3 chấm" đã tạo ở trên nhưng không thể thấy folder "2 chấm" vừa tạo:

Tiếp đó, em copy con trojan beast (file beast.exe) vào folder "3 chấm" (các bác có thể chọn con gì cũng được miễn là antivirus của các bác nhận diện được nó)

Tiếp đó, em gõ lệnh "rd....\" để xóa folder "3 chấm". Em mở ổ F ra xem, folder "3 chấm" bay mất. Sau đó, em gõ tiếp lệnh "md....\" để tạo lại folder "3 chấm" và truy cập vào folder "3 chấm" thì thấy con beast vẫn còn trong đó mặc dù trước đó em đã xóa folder "3 chấm"

Tiếp theo, em lại gõ lệnh "rd....\" để xóa folder "3 chấm" vừa mới tạo lại ở trên và quét ổ F bằng NOD32 antivirus. Kết quả là NOD32 không phát hiện ra con beast, nhưng thật ra nó vẫn nằm trong ổ F và nằm trong folder "2 chấm" chứ không phải folder "3 chấm" (điều này sẽ nói ở phần dưới)

Bây giờ em lấy CD Hiren boot máy vào DOS và dùng lệnh "dir c:" để liệt kê file và folder trong ổ F (do tất cả các phân vùng của em đều là NTFS, chỉ có duy nhất phân vùng F là FAT nên nó là ổ C trong DOS là tất nhiên) thì thấy folder "2 chấm" trong DOS có cái tên là "e2e2~1". Một số "File Manager" trong DOS như "Volkov Commander" hay "DOS Navigator" thì thấy được folder "2 chấm" nhưng lại không truy cập được, riêng "File Maven" thì có thể thấy được folder "2 chấm" ở dạng "e2e2~1" và truy cập vào được và em thấy con beast nằm trong đó. Như vậy là khi copy con beast vào folder "3 chấm" như đã nói ở trên nó lại được đưa vào folder "2 chấm" (folder "3 chấm" trỏ vào folder "2 chấm").

Tới đây, em lại quay vào Windows, mở CMD và gõ lệnh "cd /d f:\e2e2~1\", sau đó lại gõ tiếp lệnh "dir" để xem nội dung folder "e2e2~1" (e2e2~1 chính là folder "2 chấm" ẩn). Đúng là con beast nằm trong đó thật:

Lần này, em mở NOD32 antivirus và chỉ rõ đường dẫn quét virus cho NOD32 là "f:\e2e2~1\" :

Quét, và lần này NOD32 mới thấy được con beast.

[sh_pro1985]

hay đấy, nhưng nếu tên folder là 2 chấm và 1 chấm có đc ko nhỉ?

[apollon]

Hay Qua Cam On Nha

[apollon]

bạn ơi cho mình hỏi nếu lam trên hệ thống ntfs thì làm thế nào nhỉ! . Cho anh em học hỏi tí