Рекламный блок.

1.в настройках вида/обзора папок отключаем простой обзор папок и т.п. "непрользовательские" настройки приводим к программерскому виду.
2.жмакаем Применить и Оукей

совственно технология, подействует один из следующих способов:
а) открываем папку с файлом, переименовывваем файл explorer.exe в explorer.ex, готово, терь с этим файлом можно делать что угодно

б) выделяем папку с закрытым файлом, переименовываем из windows в window, теперь, содержимое этой папки можно безпрепятственно удалить

в) если при всех выше описанных действиях вылазило окно, о том, что папка занята, - безпроблем открываем WinRAR или ещё что-нибуть левое и там переименовываем эту папку по выше описанному способу...

...фокус раскрыт мной...

...будем ждать появления длиннорогого...

открываем папку с файлом, переименовывваем файл explorer.exe в explorer.ex, готово, терь с этим файлом можно делать что угодно

Я так понимаю, explorer.exe запущен? Попробуй его удалить

explorer.exe запущен?

именно. но можешь проэксперементировать на любой другой запущенной программе, или на её родительском каталоге! :-)

но можешь проэксперементировать на любой другой запущенной программе

Я ж почему и спросил.. Переименовать-то переименовали, а попробуй удалить его (её, программу)? И родительский каталог что-то не получается переименовать ("Процесс не может получить доступ к файлу, так как этот файл занят другим процессом."). WinXP SP0, NTFS/FAT32. И как это у тебя каталог с запущенной программой переименовывался?

1. во, в этом весь прикол, на сколько я понимаю, процесс "говорения о недопустимости файловой операции" зашит, получается, исключительно в explorer.exe, при этом, ничто небе не мешает просто переместить запущенный, и к этому времени переименованный, файл в любой каталог, не исключая корзины, а корзину очистить. + так как я уже говорил, про зашитость проверки в проводнике, то этой проверки уже нет в прогах, которые используют RemoveDirectoryA (или чё там.. уже не помню), или функцию перемещения файла на прямую, а не по средствам OLE интерфейсов, могут безпрепятственно произвести такую операцию. и получается, грохнуть таким образом файл, а на его место, в смысле пути к нему, записать новый файл/каталог с таким же именем!!

2. данный способ у меня без проблем работал как на XP SP0,SP1,SP2. так и на 2k3 SP0,SP1, как и на 2k и 9x. Как на FAT16/32, так и на NTFS

вообще открывается непаханное поле для написания всякого рода троянов и spy, которые будут прятать себя в FAT.

P.S. без проблем могу продемонстрировать рабочесть данного фокуса - дай тачку на растерзание ;-)

Отредактировал AGUtilities - 17 Сентября, 2006, 16:17

AGUtilities
боян
контроль уровней доступа к файлсистеме прикрывается модулем антивируса

причём тут антивирус? чтобы он сработал, нужно, чтобы хоть один, из используемых тобой, в этом деле, программных компонентов, содержал сигнатуры, которые определялись бы как вирусные. а то о чём я говорю, фактически, не вываливается за рамки нормальной файловой операции. антивирус же на себя не может взять ответственность менеджмента файловых операций, - просто это прерогатива ОС, антивирус просто не должен запрещать тебе переименовывать каталоги или файлы! правильно? иначе на что это будет похоже? иначе, в таком случае, ты просто не сможешь производить какие либо действия с файлами.

с технической точки зрения, антивир просто цепляется за CreateFile(A/W) и проверяет открываемый файл. Тоесть в этот момент он, конечно, может проверить действия юзера при работе, например функции RenameFile, но согласись... на это никто не пойдёт, иначе мелкомягкий может скажать "ваша программа (антивирус) преиначила код функции (RenameFile), а это - обратная инженерия..." или "...вы, товарищь, на себя слишком много взяли, захучив нашу функцию...", а и какие будут программные издержки в виде подения производительности файлообменной системы ОС!!

я тут пытаюсь сказать, что ни Tiny ни AVP последней модэли для сервера не защитили меня от меня самого, кагда я для интереса грохнул блокнот. Защита реальна только в том случае, если Tiny настороена запрещать запуск "левых"/незарегистрированных в её списке программ, а антивирь сможет обнаружить заразу в файле, который щас будет запущен, но как мы знаем "...нет антивируса, который хотябы на 80% защищал нас от всех напастей...".

остаётся вопрос, почему эта дырка существует так долго, кому это выгодно, и что можно реализовать с помощью, этого

ко всему выше изложенному могу добавить, что это довольно сопливый баг, интересно сколько ещё приколов там - в этой коробке из под Виндоус?!

начните с secutitylab или убейте всех сотрудников микрософт с аутсорсерами

Не знаю как насчет запущенных программ, но файлы, которые держит открытыми система, именно так удалял (переместить в другой каталог, и можно вместо старого писать другой с тем же именем), и не раз (главное, быть уверенным, что это не вызовет катастрофы - но тут уж все в твоих руках!)

Эх..

на сколько я понимаю, процесс "говорения о недопустимости файловой операции" зашит, получается, исключительно в explorer.exe

Это "говорение" - описание ошибки, возвращаемой драйвером ФС.

ничто небе не мешает просто переместить запущенный, и к этому времени переименованный, файл в любой каталог

Согласен. Каталог тоже можно удалить, если он не является текущим для запущенной проги (сделать текущим другой можно, например, через диалог открытия файла, если он есть в проге), а иначе - система блокирует и каталог.

не исключая корзины, а корзину очистить

Гон. В корзину нельзя переместить через SHFileOperation, т.к. система считает это равносильным удалению, а удалять залоченный файл нельзя. Можно переместить через MoveFile, но тогда ОС не будет знать, что файл в корзине - нечего очищать.

то этой проверки уже нет в прогах

Без разницы, есть или нет. Учи матчасть.

а не по средствам OLE интерфейсов

Бред.

антивирус же на себя не может взять ответственность менеджмента файловых операций

Да что вы говорите. АВ, как и фаерволы, устанавливают свои обработчики и на службы ядра, не то, что на какие-то файловые операции. Но MoveFile не все запрещают.

иначе, в таком случае, ты просто не сможешь производить какие либо действия с файлами.

Попробуй произвести какие-либо "файловые операции" с зараженным файлов

"...вы, товарищь, на себя слишком много взяли, захучив нашу функцию..."

Хех. Даже в Vista, где для установка перехватчиков в ядре запрещена, это обходится разработчиками фаерволов, зачастую патчем ядра (!) системы, т.к. иначе теряется смысл их работы, если они не могут взять разумный контроль над системой.

и какие будут программные издержки в виде подения производительности файлообменной системы ОС!!

Они и так есть в антивирусах, когда запущен "монитор" - не замечал?

"...нет антивируса, который хотябы на 80% защищал нас от всех напастей...".

Антивирус защищает нас от вирусов, а не от ламерства (грохнул блокнот - сам виноват).

интересно сколько ещё приколов там - в этой коробке из под Виндоус?!

Ой, много - поверь

FreeLSD
Так это ж не удаление, а перемещение. Ничего такого.

drood, то-то и оно Если мне надо переписать файл поверх открытого (в Документс энд Сеттингс какие-нибудь файлы, которые Аутлук не отпускает - чаще всего было нужно именно это), втупую я этого сделать не смогу. А так - получается Не знаю, баг это или фича, но пользоваться можно

без проблем могу продемонстрировать рабочесть данного фокуса

Отредактировал AGUtilities - 28 Марта, 2007, 19:24