Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
zerobyte files, veilig of niet?
15-03-2010, 13:23 door Anoniem, 7 reacties
kunnen bestanden die nul bytes groot zijn, oftewel leeg zijn, veilig worden verwijderd? en zo nee, kunnen zij dan wel, met 0 bytes groot dus, een virus, trojan of andere spyware bevatten, zodat ze toch veilig verwijderd kunnen worden.
in mijn geval kwam ik erachter dat MSDOS.SYS en IO.SYS beide 0 bytes groot zijn en heb ze wel verwijderd, maar toch maar weer teruggezet, omdat ik toch jullie deskundigen eerst wilde raadplegen.
ik heb wel zo'n beetje rond gegoogled in het begin en op de meeste fora zegt de een dat je ze absoluut niet mag verwijderen en de ander zegt dat je ze gerust veilig kunt verwijderen omdat ze te maken schijnen te hebben dat er een duo-besturingssyteem op je pc zit en in mijn geval klopt dat ook, op mn xp zit een ubuntu die ik vaak gebruik.
wat denken jullie, kun je deze bestanden gerust verwijderen, ze klinken toch best belangrijk en kun je andere 0-bytes bestanden die niet zo essentieel klinken ook gerust verwijderen?
dus in algemeen : kun je deze bestanden gewoon rustig verwijderen?
dank jullie wel allemaal
gr. een pc-amateur
in mijn geval kwam ik erachter dat MSDOS.SYS en IO.SYS beide 0 bytes groot zijn en heb ze wel verwijderd, maar toch maar weer teruggezet, omdat ik toch jullie deskundigen eerst wilde raadplegen.
ik heb wel zo'n beetje rond gegoogled in het begin en op de meeste fora zegt de een dat je ze absoluut niet mag verwijderen en de ander zegt dat je ze gerust veilig kunt verwijderen omdat ze te maken schijnen te hebben dat er een duo-besturingssyteem op je pc zit en in mijn geval klopt dat ook, op mn xp zit een ubuntu die ik vaak gebruik.
wat denken jullie, kun je deze bestanden gerust verwijderen, ze klinken toch best belangrijk en kun je andere 0-bytes bestanden die niet zo essentieel klinken ook gerust verwijderen?
dus in algemeen : kun je deze bestanden gewoon rustig verwijderen?
dank jullie wel allemaal
gr. een pc-amateur
Reacties (7)
Systeembestanden moet je niet verwijderen. Als ze wel zijn verwijderd kun je ze niet altijd zomaar terugplaatsen, bijvoorbeeld als de locatie onder een bepaalde partitiegrens moet zijn.
Bestanden die werkelijk 0 bytes groot zijn kunnen in principe geen malware bevatten. Theoretisch kan een rootkit de omvang van een bestand zoals die wordt weergegeven wijzigen. Sommige malware maakt ook bestanden aan die nul bytes groot zijn. Maar dat zegt verder niets over de aard van een bestand, het is geen reden om zulke bestanden te verwijderen.
Malware detecteer je met anti-virus.
Bestanden die werkelijk 0 bytes groot zijn kunnen in principe geen malware bevatten. Theoretisch kan een rootkit de omvang van een bestand zoals die wordt weergegeven wijzigen. Sommige malware maakt ook bestanden aan die nul bytes groot zijn. Maar dat zegt verder niets over de aard van een bestand, het is geen reden om zulke bestanden te verwijderen.
Malware detecteer je met anti-virus.
15-03-2010, 14:44 door
SirDice
Door Anoniem: en zo nee, kunnen zij dan wel, met 0 bytes groot dus, een virus, trojan of andere spyware bevatten,
En waar zou de code moeten staan dan?MSDOS.SYS en IO.SYS moet je lekker laten staan. Legacy MS-DOS bestanden.
15-03-2010, 17:23 door
Bitwiper
Door SirDice:
In een Alternate Data Stream (ADS).Door Anoniem: en zo nee, kunnen zij dan wel, met 0 bytes groot dus, een virus, trojan of andere spyware bevatten,
En waar zou de code moeten staan dan?Voorbeeld: start een commandprompt, ga naar een map waar je schrijfrechten hebt en start: notepad leeg.txt:nietleeg.txt
Tik wat tekst, sla het bestand op en sluit notepad. Als je daarna dir uitvoert zie je een bestand genaamd "leeg.txt" van 0 bytes.
Door opnieuw notepad leeg.txt:nietleeg.txt te starten zul je zien dat de gegevens nog wel degelijk bestaan. Ze blijven ook bestaan als je het bestand naar een andere NTFS partitie kopieert, maar verdwijnen als je ze naar een FAT drive kopieert.
Meer info over ADS vind je hier: http://www.heysoft.de/en/information/ntfs-ads.php?lang=EN, inclusief een verwijzing naar een tooltje (genaamd LADS) van dezelfde auteur (Frank Heyne) waarmee je kunt vaststellen welke bestanden voorzien zijn van alternate data streams.
Hier (http://blogs.sans.org/computer-forensics/2009/02/09/the-trojan-solved-it-catching-a-fraudster-with-another-criminal-myspacceexe/) een aardig verhaal van een NL forensisch onderzoeker die een frauderende werknemer kon betrappen dankzij de aanwezigheid van een keylogger die de activiteiten van de werknemer (zonder dat deze dat wist) in een ADS had opgeslagen.
MSDOS.SYS en IO.SYS moet je lekker laten staan. Legacy MS-DOS bestanden.
Klopt. Microsoft heeft ze waarschijnlijk om compatibiliteitsredenen laten staan, alhoewel ik niet verwacht dat er nog programma's bestaan die ze nodig hebben.bedankt allemaal voor jullie reactie.
dus, alle nulbestanden waar een .sys-extensie achter staat, kun je beter laten staan dus, als ik het goed heb begrepen van jullie en andere nulbestanden van toepassingen waarschijnlijk, ik had er ook een staan van hpot, deze is van mn hpscanner dat weet ik, kunnen dus gerust verwijderd worden.
bedankt allemaal voor jullie heldere uitleg
gr. pc-amateur
dus, alle nulbestanden waar een .sys-extensie achter staat, kun je beter laten staan dus, als ik het goed heb begrepen van jullie en andere nulbestanden van toepassingen waarschijnlijk, ik had er ook een staan van hpot, deze is van mn hpscanner dat weet ik, kunnen dus gerust verwijderd worden.
bedankt allemaal voor jullie heldere uitleg
gr. pc-amateur
deze site geeft je inzicht in de bestanden en in de processen.
zeer handig
http://www.processlibrary.com/
Groet Hot Burmees
zeer handig
http://www.processlibrary.com/
Groet Hot Burmees
Door Anoniem: bedankt allemaal voor jullie reactie.
dus, alle nulbestanden waar een .sys-extensie achter staat, kun je beter laten staan dus, als ik het goed heb begrepen van jullie en andere nulbestanden van toepassingen waarschijnlijk, ik had er ook een staan van hpot, deze is van mn hpscanner dat weet ik, kunnen dus gerust verwijderd worden.
dus, alle nulbestanden waar een .sys-extensie achter staat, kun je beter laten staan dus, als ik het goed heb begrepen van jullie en andere nulbestanden van toepassingen waarschijnlijk, ik had er ook een staan van hpot, deze is van mn hpscanner dat weet ik, kunnen dus gerust verwijderd worden.
Nee, je moet geen bestanden van programma's verwijderen als je wilt dat die programma's goed functioneren. Hetzelfde geldt voor systeembestanden. Die kunnen allerlei extensies hebben, niet alleen sys.
Bedenk dat je er vrijwel niets mee wint om die bestanden te verwijderen, maar wel een risico loopt op problemen.
20-03-2010, 13:47 door
deleted
[Verwijderd]
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
