
Быстрый поиск
Введите фрагмент названия статьи для поиска

Как прочитать файлы, заблокированные операционной системой Windows
21.02.2019 | Категория: Software | Автор: ManHunter

Как прочитать файлы, заблокированные операционной системой Windows
В целях безопасности некоторые файлы и каталоги в системе Windows защищены от несанкционированного доступа. И будь вы хоть трижды администратором на своем компьютере, при работающей системе вы не сможете их открыть даже для просмотра, не говоря уже о внесении каких-либо изменений. К таким файлам относятся файлы подкачки pagefile.sys и hiberfile.sys, файлы реестра, папки с данными точек восстановления. Для чего это нужно? Ну, например, при помощи специальных инструментов из файла подкачки можно попытаться извлечь сохраненные в памяти пароли от криптоконтейнеров (Passware Kit Forensic), а из файлов реестра - логины и пароли учетных записей пользователей (SamInside).
Читать статью целиком »
Просмотров: 1932 | Комментариев: 8

Как получить имя файла, зная его Handle
29.01.2019 | Категория: Образ мышления: Assembler | Автор: ManHunter
В одной программе у меня появилась необходимость получить имя открытого файла, когда известен его хэндл. Полазив по этим вашим интернетам, я нашел немало решений этой задачи, в основном бездумно скопированных с одного сайта на другой. Пришлось разбираться и систематизировать все самому. Итак, самый простой и приятный способ, чтобы получить имя файла по его хэндлу - использовать функцию GetFinalPathNameByHandle.Code (Assembler) : Убрать нумерацию
- ; Получить имя файла по его хэндлу
- invoke GetFinalPathNameByHandle,[hFile],lpName,MAX_PATH,0
Code (Assembler) : Убрать нумерацию
- ; Создать проекцию файла
- invoke CreateFileMapping,[hFile],NULL,PAGE_READONLY,0,1,NULL
- mov [hFileMap],eax
- invoke MapViewOfFile,[hFileMap],FILE_MAP_READ,0,0,1
- mov [pMem],eax
- ; Получить имя спроецированного файла
- invoke GetCurrentProcess
- invoke GetMappedFileName,eax,[pMem],lpName,MAX_PATH
- ; Прибраться за собой
- invoke UnmapViewOfFile,[pMem]
- invoke CloseHandle,[hFileMap]
Читать статью целиком »
Просмотров: 1452 | Комментариев: 3

Что скрывают ярлыки?
26.01.2019 | Категория: Software | Автор: ManHunter

Что скрывают ярлыки?
Как гласят толковые словари, форенсика - современная наука о раскрытии инцидентов, связанных с компьютерной информацией, исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств. И действительно, невероятно сложно удалить все следы работы за компьютером, чтобы профессионал не смог их обнаружить. Сегодня я покажу вам, что скрывают такие, на первый взгляд, безобидные объекты, как ярлыки недавно открытых документов.
Читать статью целиком »
Просмотров: 1855 | Комментариев: 7

Как в .BAT-файле записать текстовую строку в файл без символов переноса строки
05.11.2018 | Категория: Software | Автор: ManHunter
При всей своей кажущейся простоте, пакетные файлы обладают очень мощным функционалом. Вплоть до того, что на .BAT-файлах можно писать полиморфные вирусы. Но, как и в любой околокомпьютерной сфере, тут не обошлось без своих заморочек. Одна из них заключается в том, что при перенаправлении вывода в файл командой echo в созданный файл принудительно добавляется перенос строки. Вроде бы так и надо, но если вам надо сформировать какую-нибудь команду или непрерывную строку для дальнейшего использования, то было бы неплохо сделать так, чтобы символ переноса строки не добавлялся. Сделать это можно, используя другую команду:<nul set /p tmpstr=текст>file.txt
В такой реализации в перенаправляемый файл будет записана текстовая строка без лишних символов переноса строки. При этом формируемую строку в любой момент можно дополнять командой типа:
<nul set /p tmpstr=другой_текст>>file.txt
В этом случае перенос строки также не добавляется. Когда необходимый паттерн будет сформирован, но при этом надо перейти к новой строчке, вывод текущей строки в файл можно завершить уже известной вам командой echo.
Читать статью целиком »
Просмотров: 1879 | Комментариев: 3

Получение данных из консольного окна другого приложения
02.11.2018 | Категория: Образ мышления: Assembler | Автор: ManHunter
Мы уже умеем перехватывать ввод и вывод консольных приложений, но этот способ работает только для тех процессов, которые мы сами запустили. Но иногда надо получать информацию из консольных приложений, которые уже были запущены в системе или могут быть запущены в дальнейшем, но не нами. А еще бывают консольные приложения, вывод которых невозможно перенаправить и, соответственно, невозможно получить описанным ранее способом. Для них также придется использовать способ из этой статьи.Для начала как всегда несколько структур, которые изначально не описаны в FASM. Они нам понадобятся для работы с консольным окном:
Code (Assembler) : Убрать нумерацию
- struct COORD
- X dw ?
- Y dw ?
- ends
- struct SMALL_RECT
- Left dw ?
- Top dw ?
- Right dw ?
- Bottom dw ?
- ends
- struct CONSOLE_SCREEN_BUFFER_INFO
- dwSize COORD
- dwCursorPosition COORD
- wAttributes dw ?
- srWindow SMALL_RECT
- dwMaximumWindowSize COORD
- ends
Читать статью целиком »
Просмотров: 968 | Комментариев: 0
