среда, 2 марта 2011 г.

Каталог ".." на флешке

Принесли флешку, обработанную вирусом следующим способом: вирус создал каталог ".." - две точки - и перекинул туда все файлы, что были на флешке. На их место положил собственные exe-файлы с измененными ярлыками. Антивирусная программа удалила все экземпляры вируса, но восстановить файлы из каталога с двумя точками не смогла.

В Dos/Windows восстановление таких файлов достаточно простое - dir /X e:\ и move e:\E2E2~1 c:\temp. Windows под рукой не оказалось, но Linux справился с задачей не хуже. Вернее пакет mtools. Достаточно указать путь к устройству (флешке) в конфигурационном файле:
drive c: file=/dev/sdb1
Далее командой
# mdir c:
увидеть настоящее имя каталога с двумя точками - E2E2~1. И командой
# mmove c:\E2E2~1\* c:\temp
вытащить эти файлы. После чего каталог ".." можно удалить:
# mrd c:\E2E2~1

6 комментариев:

  1. А можно по подробнее написать ,как примонтировать флешку в /dev/sdb1?
    Просто я начинающий линуксиод и это кажется таким сложным. В статье это не описывается, видимо по тому, что считается абсолютно тривиальным.

    ОтветитьУдалить
  2. В данном случае монтирование не нужно, т.к. mtools работает с файлом-устройством (/dev/sdb1).

    А вообще, в /dev/sd* не монтируют, т.к. это и есть само устройство (флешка). А вот это устройство и монтируют в любой другой каталог.
    В простейшем случае пользователь root может примонтировать флешку так:
    mount /dev/sdXY /media/disk

    где X - буква устройства, а Y - номер раздела (на флешке чаще всего один раздел).

    Увидеть наименование файла-устройства флешки можно посмотрев последние строки файла /var/log/messages сразу после втыкания флешки.

    Либо можно дать команду fdisk -l, которая выведет список всех дисков в системе, а там уж можно разобраться с названием, глядя на объемы разделов.

    ОтветитьУдалить
  3. Спасибо разобрался.
    Только вот есть еще одна проблема.
    Команда mdir c: не выводит именно эту папку. Вместе нее она выводит кракозябры.
    Хотя русские имена файлов отображает нормально.
    Система Ubuntu 10.10 i386

    ОтветитьУдалить
  4. Сейчас рядом такой флешкии нет, посмотреть не могу. Но я помню что по команде mdir выводится содержимое флешки в виде нескольких столбцов. Один - видимые имена файлов (они у меня были почему-то в какой-то неведомой кодировке). А еще столбец с реальными именами файлов и каталогов. И там видно, что у каталога с именем ".." настоящее имя E2E2~1.

    Написанное не относится к реальному каталогу "..", который является ссылкой на вышестоящий (родительский) каталог.

    ОтветитьУдалить
  5. yuri
    Спасибо за вашу помощь разобрался. У вас отличный блог.

    ОтветитьУдалить
  6. И вам спасибо за отзыв :)

    ОтветитьУдалить