Принесли мне давеча флешку, заражённую троянцем, прячущим папки пользователя и заменяющим их на исполняемые файлы вредоноса с иконками папок. Обычное дело, но оказалось не всё так просто. Прошлая версия вредоноса просто-напросто делала папки пользователя скрытыми с атрибутом «системные».

Тут же оказалось всё куда интереснее: папки пользователя отсутствовали вовсе, но место на флешке явно занимали. Ни проводник, ни любые другие файловые менеджеры никаких скрытых или же системных папок не видели в упор. CHKDSK спокойно рапортовал, что с файловой системой всё в порядке. Файлов нет — а место занято.
Взялся препарировать ФС с помощью сторонних утилит. Автор вируса использовал гениальное в своей простоте решение: вирус создавал в корне флешки папку с именем из двух точек и прятал в неё файлы пользователя. Папка эта благодаря своему нетривиальному имени воспринималась как проводником, так и всеми остальными файловыми менеджерами как переход к корневой директории, а так как папка уже находилась в корне, её просто не было видно. Вуаля. Видишь файлы, юзер? Нет? А они есть!

Извлечь спрятанные данные оказалось довольно просто: понадобилось просто найти утилиту, которая сама строит древо ФС, а не полагается на функции ОС. Но какое красивое и простое решение! Респект писавшему, хоть он и засранец.