Каталог ".." на флешке

Принесли флешку, обработанную вирусом следующим способом: вирус создал каталог ".." - две точки - и перекинул туда все файлы, что были на флешке. На их место положил собственные exe-файлы с измененными ярлыками. Антивирусная программа удалила все экземпляры вируса, но восстановить файлы из каталога с двумя точками не смогла.

В Dos/Windows восстановление таких файлов достаточно простое - dir /X e:\ и move e:\E2E2~1 c:\temp. Windows под рукой не оказалось, но Linux справился с задачей не хуже. Вернее пакет mtools. Достаточно указать путь к устройству (флешке) в конфигурационном файле:

drive c: file=/dev/sdb1

Далее командой

# mdir c:

увидеть настоящее имя каталога с двумя точками - E2E2~1. И командой

# mmove c:\E2E2~1\* c:\temp

вытащить эти файлы. После чего каталог ".." можно удалить:

# mrd c:\E2E2~1

Изменение метки тома FAT32 из Linux

Принесли флешку, метка тома которой (label) состояла из различных служебных символов. Возможно побочный эффект какого-нибудь вируса. Изменить эту метку на разделе FAT32 можно командой mlabel из пакета mtools. Установка:

# emerge mtools

Настройка:
/etc/mtools/mtools.conf

drive c: file="/dev/sdc1"

Запускаем:

# mlabel c:

Изменение DOS-атрибутов файлов из Linux

Имеется flash-накопитель, побывавший в usb-порту зараженной вирусами Windows-машины. Кроме записи обычных autorun.inf, Recycled и System Volume Information, вирус выставил каталогам с этого носителя DOS-атрибут Hidden, т.е. скрытый, создав exe-файлы с названиями этих каталогов. Удалить созданные вирусом файлы и каталоги легко. Но нужные каталоги остались скрытыми. Владельцу флешки необходимо использовать её на других машинах Windows, которые в данный момент вне досягаемости. Поэтому снимать DOS-атрибут Hidden мы будем из-под Linux.