Как прочитать адрес папки проводника?
Я использую AVG, и он недавно обнаружил вирус. Так было раньше;) но я впервые это заметил.
Когда я зашел в папку с вирусом, AVG сразу же автоматически обнаружил вирус, даже не щелкнув по приложению. Так что я подумал, откуда он мог знать, что там был вирус, даже когда я даже не щелкал (один клик) по нему.
Единственный возможный ответ заключается в том, что он постоянно проверяет местоположение папки проводника всех окон и сканирует все файлы в папке. Но как он видит, какая папка просматривается мной?
Пожалуйста, объясните (если возможно) программой на С, которая делает то, что когда-либо делал AVG.
Кроме того: я использую Windows, если это помогает.
Решение
Когда вы открываете папку, выполняется куча операций файловой системы (вы можете использовать такие инструменты, как FileMon или же ProcMon взглянуть на это). Ваше программное обеспечение AV контролирует доступ к файлам.
Есть несколько способов сделать этот мониторинг, например, Драйверы фильтров — Вы можете найти отличный образец на http://www.codeproject.com/Articles/43586/File-System-Filter-Driver-Tutorial
Поэтому, когда вы открыли папку, AV-программа заметила, что вы открыли каталог, сверились с его собственными данными и сообщили вам о вирусе.
Я говорю «сверился со своими собственными данными», так как AV-инструменты обычно не сканируют файлы при доступе — они делают это, когда файлы записываются, так как не имеет смысла сканировать файлы, которые были помечены как чистые, если они этого не сделали ». с момента последнего сканирования.
Другие решения
Большинство антивирусных сканеров работают по принципу API-хуки/ фильтры. Всякий раз, когда windows нужно обработать команду, например, открыть папку, щелкнуть окно, выполнить файл и т. Д., Он генерирует вызов API вместе с некоторой информацией, например, щелчком мыши по координатам окна, или строкой, представляющей файл. Другие программы могут запросить привязку к одной или нескольким из этих функций, которая в основном говорит «вместо выполнения этой функции сначала отправьте ее мне, затем я могу отправить ее обратно». Это сколько вирусов работает (например, предотвращение их удаления или копирование нажатий клавиш), количество игр / приложений (клавиатура, джойстики, перетаскивание и т. д.), а также детекторы вредоносных программ и брандмауэры.
Последняя группа перехватывает команды, проверяет любые входящие, чтобы увидеть, находятся ли они на уровне, а затем позволяет им возобновить или блокирует их. В этом примере открытие папки, вероятно, вызвало системный вызов для анализа каталога, и сканер также проанализировал его (например, «защита в реальном времени»). Чтобы просмотреть все ваши подключаемые функции, а также то, что их использует, Google для бесплатной программы под названием «санитарная проверка‘(ранее назывался’ анализатор руткит-хука ‘). Большинство красных записей будут либо из брандмауэра Windows, либо из Avg, так что не беспокойтесь о том, что вы найдете.
detector