-3

当我研究恶意软件时,似乎该恶意软件使用替代数据流向 PE 文件添加了新的快捷方式属性。它无法调试,我只能从 ProcessMonitor 收集一些信息。以下是恶意软件调用的相关 API:

CreateFile("C:\Test.exe:!",...)

ZwFsControlFile(.. FSCTL_SET_REPARSE_POINT ..)

有没有人知道如何通过替代数据流添加用户定义的属性?谢谢。

4

1 回答 1

0

网上有很多信息可以回答你的问题..

NTFS 中替代数据流实用指南

备用数据流:走出阴影,走进光明

于 2013-08-02T07:25:54.867 回答