FileDetector

Vývoj FileDetectora začal v zimním semestru prvního ročníku na matfyzu. Použil jsem jako zápočtový program do předmětů Programování I. a Programování II. Samozřejmě získání zápočtu nebylo cílem primárním, nýbrž nejvýše sekundárním. Primární účel spočíval v poznání problematiky souborových systémů a prozkoumání nedokumentovaných zákoutí systému NTFS.

FileDetector vyhledává na disku podezřelé soubory. Podezřelé soubory lze rozdělit do následujících kategorií:

  • Skryté - takové soubory a adresáře nevidíte v Průzkumníku ani jiném běžném správci souborů
  • Nepřítomné v MFT/FAT - soubory či složky je možné vidět běžnými prostředky, ale jejich obsah a struktura ještě nebyly zapsány do interních struktur souborového systému. Tento typ podezření by se neměl vyskytovat, pokud je kontrola provedena v klidu (nedochází k žádnému mazání či vytváření nových objektů souborového systému).
  • Nečitelné - soubory nelze otevřít pro čtení. Normálně je můžete spatřit na disku, ale jejich obsah si běžnými postupy nepřečtete.
  • Nezměnitelné - obsah takových souborů nelze změnit. Soubory opět můžete vidět na disku například v Průzkumíku či jiném správci souborů.
  • Velikost nesouhlasí - velikost souboru je jiná, než ukazují běžné metody. Zde se jedná většinou o falešný poplach (soubor se zvětšil či zmenšil během kontroly souborového systému). Ale již se našly i škodlivé kódy, které tajně zapisovaly data do souboru a maskovaly jeho pravou velikost (například Rustock C).
  • ADS - Soubor obsahuje více datových proudů. Tato hláška může nastat jen na discích formátovaných NTFS. Alternativní datové proudy byly v minulosti využívány viry pro uchovávání jejich dat a spustitelných souborů. Alternativní datové proudy mají tu "výhodu", že není možné standardními aplikacemi vidět. FileDetector zobrazí každý netypický alternativní datový proud.

FileDetector umožňuje obsah podezřelých objektů zkopírovat, nebo tyto objekty zničit. Program obsahuje ještě další (snad užitečné) funkce, které jsou podrobně popsány v přiložené nápovědě.

Pro základní použití stačí pouze na první záložce kliknout na tlačítko "Kontrola souborového systému" a vybrat disk, který se má prověřit. FileDetector po dokončení kontroly vytvoří soubor s výsledky, který obsahuje informace o podezřelých souborech. Pokud z výsledků analýzy nebudete moudří, klidně mi ten soubor pošlete, já se na něj rád podívám.¨

Program disponuje nápovědou fe formátu .chm, ve které byste se měli dočíst všechny potřebné informace, které jste nenašli na této stránce.

Aktuální verze: v1.0.7 Beta

Novinky ve verzi 1.0.7

  • Přidána nová funkce pro kopírování a ničení objektů. Nyní je možné místo jména zdrojového souboru zadat přímo číslo MFT záznamu. Syntaxe je: X:#Y:Z (či jen X:#Y), kde X je písmeno diskového oddílu, Y číslo záznamu a Z jméno alternativního datového proudu.
  • Kopírovat a ničit objekty lze nyní i z příkazové řádky. Formát parametrů je následující:
    filedetector --copy-file <zdrojovy_soubor> <cilovy_soubor>
    filedetector --wipe-file <zdrojovy_soubor>
  • Schonpst ničení souborů nefunguje na Windows Vista a vyšších (toto není novinka, platí už od první verze, která uměla ničit).
  • Ve výsledcích hledání podezřelých souborů se v případě skrytých objektů zobrazuje i číslo jejich MFT záznamu.
  • Opraveny menší chyby

Ke stažení

A closed mouth says nothing wrong; a closed mind does nothing right.