当我研究恶意软件时,该恶意软件似乎通过使用替代数据流向 PE 文件添加了新的快捷方式属性。它无法调试,我只能从 ProcessMonitor 收集一些信息。以下是恶意软件调用的相关API:
CreateFile("C:\Test.exe:!",...)
ZwFsControlFile(.. FSCTL_SET_REPARSE_POINT ..)
是否有人知道如何通过替代数据流添加用户定义的属性? 谢谢。
最佳答案
网络上有大量信息可以回答您的问题。
Practical Guide to Alternative Data Streams in NTFS
Alternate Data Streams: Out of the Shadows and into the Light
关于c++ - 如何使用替代数据流添加新文件属性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18010936/