Ещё один "сюрприз" обнаружил у сабжа: он использует так называемые NTFS Strams. Что сие означает? А означает это очень нехорошие вещи.
Дело в том, что файловая система NTFS поддерживает альтернативные потоки данных, с которыми можно обращаться как с файлами. При чём проводник windows не видит эти файлы, так как показывает только основные, дефолтные потоки, которые отображаются в проводнике в виде файлов и папок.
Например, есть файл readme.txt
Если мы в него будем писать данные, а потом откроем файл в блокноте, мы увидим, что данные попали в файл, как и должно быть.
А если мы обратимся к файлу как readme.txt:alternativniy_potok, и запишем туда данные, то после открытия файла в блокноте мы не увидим никаких изменений. Зато эти изменения замечательно и легко сохранятся в альтернативном потоке по имени "alternativniy_potok", прикреплённый к этому самому файлу readme.txt. При чём размер файла в проводнике будет тот же что и раньше (видимый эффект - лишь уменьшившееся свободное место на диске).
Так как обращаться к этим потокам можно как к обычным файлам, то некоторые программы (не будем тыкать пальцем какие) используют это чтобы хранить там свою инфу.
Удалить просто так альтернативный поток нельзя. Для этого есть спецутилиты.
К нашему текстовому документу так можно и экзешник присобачить, и запустить этот поток как прогу, при чём в диспетчере задач ничё видно не будет..
Единственная 100% контрмера - юзать FAT32..
Размещение рекламы