Men like wind:so old
无非是NTFS流(2000年就有29A牛人写过流的概念病毒) + 传统驱动保护
winhex是完全可以找到的, 因为流只是放在正常文件中的一部分而已, 正常文件一般有至少一个noname $DATA, 而这个带流的文件就多了一个name $DATA, 而这个$DA...(2007-03-07 11:22)
imaoge:卸载之后能用WinHex看见根目录下的
.:unreal.sys
看后面的属性是(ADS)
即是Alternate Data Streams
微软:How To Use NTFS Alternate Data Streams
http://support.microsoft.co...(2007-02-15 05:02)