Интересные видосы, спасибо тебе. У меня возник следующий вопрос: после удаления vbs файла, по сути физически он остается на диске и стирается только его заголовок в NTFS таблице, значит физическое местоположение скрипта на диске, может быть перезаписано другим файлом? Насколько стабильна работа скрипка при таком подходе?
Признаюсь честно, я не знаю как сделать то что вы предлагаете.Если у вас получится так сделать то попрошу отписаться здесь. Почитать про NTFS потоки можно так же здесь: Тыць и здесь: Тыць
кстати , интересный вопрос. На сколько я понимаю эту файловую системе. то это альтернативный поток Грамотней так назвать, (после удаления vbs файла, по сути физически он остается на диске) думаю да, но не уверен, не спец я в этом. Надо произвести форензику, следы остаются, в этом я уверен на 100%
Единственное что хочу добавить по поводу потоков - это то что если нужно положить exe файл в поток то утилитка type тут заменить нужно утилитой cat под Windows, потому как type не отображает все непечатные символы...
Это не type не отображает, а консоль, если выводить в нее. type работает с любыми байтами. PoC: Code: type c:\windows\notepad.exe>test.exe test.exe Возможно, в реалтайме не палят. При полном сканировании альтернативные потоки проверяются. Перед удалением файла 1.vbs он был скопирован в альтернативный поток. test.txt:1.vbs - это отдельный файл, а не ссылка на 1.vbs. Удаленный файл нигде не используется. Имя потока может быть любым и не зависит от имени копируемого файла.