Разное

Где находится папка win32: что собой представляет и почему её нельзя удалять?

Содержание

что собой представляет и почему её нельзя удалять?

Читайте, что за папка «System32» и почему её нельзя удалять.

Корпорация «Microsoft» создала и наладила выпуск операционной системы «Windows» довольно давно. Регулярно получая сведения о требуемых улучшениях операционной системы и пожеланиях конечных пользователей, посредством обратной связи и выпуском тестовых сборок, «Microsoft» разрабатывает и выпускает новые версии «Windows». Каждая такая версия включает в себя все доступные обновления и улучшения основных характеристик системы, улучшение дизайна и интерфейса программной оболочки.






С каждым разом, разработчики операционной системы «Windows» увеличивают ее производительность, стараясь полностью соответствовать возрастающим требованиям, предъявляемым к работе современных персональных компьютеров.

Однако, как бы не менялась структура и конфигурация операционной системы «Windows», существуют стандартные системные папки и файлы, обеспечивающие ее безошибочную работу. Начиная с самых ранних версий «Windows» и заканчивая новейшей операционной системой «Windows 10», главные системные каталоги файлов и приложений остаются без изменений. Разработчики «Windows» верно рассудили, и не стали изменять положение системных папок и файлов с выпуском каждой новой версии операционной системы.


Перейти к просмотру

Очистка системного диска компьютера или ноутбука с Windows 10, 8 или 7 от мусора 🔥💻⛏️


Каталог «System32», расположенный на системном диске «С» в корневом каталоге «Windows», является неотъемлемой частью операционной системы, где хранятся важнейшие системные файлы. В сети Интернет довольно часто можно встретить различных шутников, рассказывающих о ненадобности каталога «System32», и предлагающих пользователям его удалить, придумывая различные причины (например, чтобы освободить место на системном диске «С», или грозят, что каталог содержит вирусы и вредоносные программы). В этой статье мы постараемся объяснить, что собой представляет каталог «System32» и какие последствия вас ожидают, если вы решите его удалить.


Содержание:

Перейти к просмотру

Ускорение загрузки и работы системы WIndows 10, 8 или 7: автозагрузка, службы, BIOS, SSD 🚀💻🖥️


Что представляет собой папка

«System32»?




Папка «System32», расположенная по адресу: «C: \ Windows \ System32», является обязательной частью всех современных версий «Windows». Она содержит важные системные файлы «Windows», необходимые для корректной и полноценной работы операционной системы, а также дополнительно установленных приложений и программ. В дополнение к основным файлам в папке находятся различные внутренние каталоги, включающие множество небольших приложений, входящих в состав операционной системы. Во многом благодаря каталогу и содержащимся в нем системным файлам, конечный пользователь может выполнять различные действия: осуществлять выход в сеть «Интернет»; получать, создавать, редактировать и оправлять электронную почту; воспроизводить любые музыкальные и видео файлы; сканировать и обрабатывать документы; отображать изображения и т.д.


Этот каталог отвечает за настройки всей операционной системы «Windows» и содержит много разных типов файлов. Наиболее распространёнными из представленных в каталоге типов файлов являются: «.DLL» и «.EXE». Файлы библиотеки динамической компоновки («.DLL») являются файлами общесистемной разделяемой динамической библиотеки, которые используются всеми программами «Windows» – как утилитами, встроенными в операционную систему «Windows», так и сторонними приложениями, которые вы устанавливаете самостоятельно по мере необходимости.


Исполняемые «.EXE-файлы» в папке «System32» представляют собой различные системные утилиты операционной системы «Windows». Например, при запуске приложения «Диспетчер задач», «Windows» открывает файл программы «Taskmgr.exe», расположенный внутри папки «System32».


Также одним их важных компонентов, представленным в папке «System32» является папка драйверов, расположенная по адресу: «C: \ Windows \ System32 \ Drivers». Она отвечает за настройку и бесперебойное функционирование всего подключенного оборудования. Другим, не менее важным элементом управления системой, являются системные файлы реестра «Windows», которые находятся в папке: «C: \ Windows \ System32 \ Config», и отвечающие за настройку всех элементов операционной системы «Windows».


Папка «System32» присутствует в «32-разрядных» и «64-разрядных» версиях операционной системы и имеет одинаково важное значение для обеих версий «Windows». В «64-разрядной» версии системы в папке «System32» содержаться все главные исполняемые файлы «.EXE», системные библиотеки динамической компоновки «.DLL», а также другие основные системные файлы для «64-разрядных» версий программ.


Дополнительно на системном диске «С» присутствует папка «SysWOW64», которая содержит все основные библиотеки и другие файлы для «32-разрядных» версий приложений. Более подробно о папке «SysWOW64» и ее отличиях от папки «System32» вы можете прочитать в нашей более ранней статье: «В чем разница между папками System32 и SysWOW64 в Windows?».


Что произойдет, если вы попытаетесь удалить свою папку

«System32»


Довольно часто на просторах Интернета можно встретить различные советы, в которых мошенники пытаются обмануть людей и заставить их самостоятельно удалить папку «System32» со своего компьютера. Вы не должны этого делать ни в коем случае, так как это окончательно и бесповоротно испортит вашу операционную систему. Единственным выходом, в этом случае, останется только полная переустановка операционной системы «Windows». Вам также придется заново переустановить все, ранее дополнительно установленные, программы и приложения, а так же выполнить пользовательскую настройку системы согласно вашим приоритетам.


Чтобы подтвердить правдивость утверждения об обязательной сохранности папки «System32», мы проведем небольшой эксперимент и продемонстрируем вам на примере, что произойдет, если вы решите удалить эту системную папку.


Предупреждение: не пытайтесь повторить этот эксперимент дома, так как он может привести вашу операционную систему к краху. Кроме того, может возникнуть ситуация, когда вам потребуется помощь компьютерного специалиста для приведения системы в рабочее состояние. Это повлечет за собой потерю времени и возникновение дополнительных финансовых расходов.


Перейти к просмотру

Как восстановить системные файлы Windows 10, 8, 7 (SFC, DISM)⚕️📁💻


На первом этапе мы попытались удалить папку в операционной системе «Windows 10» обычным способом. Мы открыли проводник файлов, отметили папку «System32», нажали клавишу «Delete» на клавиатуре и, как второй вариант, щелкнули правой кнопкой мыши по папке и выбрали раздел «Удалить». В обоих случаях система разумно отказала нам в этом и выдала сообщение: «Нет доступа к папке». Служба защиты системных файлов выдает запрет на удаление папки «System32» независимо от того, какой версией операционной системы «Windows» вы пользуетесь.




Наш эксперимент не закончен, поэтому мы настроили разрешение для нашей учетной записи пользователя «Windows» на доступ к папке «System32» и осуществление с ней любых действий.


Затем мы снова попытались удалить папку, но служба контроля «Windows» опять заблокировала процесс удаления на основании того, что файлы внутри папки «System32» были открыты в другой программе.


В итоге стало понятно, что используя стандартные методы удаления в проводнике файлов, практически невозможно удалить папку «System32». Служба контроля «Windows» ответственно следит за этим и препятствует любым попыткам удаления системной папки, даже при наличии у вашей учетной записи пользователя «Windows» соответствующего разрешения. Поэтому, когда вы услышите от кого-нибудь фразу: К сожалению, я случайно удалил свою папку «System32», вы можете быть полностью уверены, что это розыгрыш или обман. Для осуществления процесса удаления папки потребуется выполнить определенный набор действий и дополнительных настроек. Поэтому, случайно удалить ее не получится.


Не достигнув желаемого результата в проводнике файлов, мы решили запустить командную строку и использовать команду «del», чтобы удалить как можно больше файлов в папке «System32». Команда не смогла выполнить поставленную задачу полностью, это относится к файлам, которые заняты и в настоящее время используются самой операционной системой или запущенными приложениями, но смогла удалить большинство других файлов.


После завершения процесса удаления большинства файлов в папке «System32», операционная система «Windows» практически перестала функционировать. Мы нажали кнопку «Пуск», расположенную на «Панели задач» в нижнем левом углу рабочего стола, и открыли главное пользовательское меню «Windows». Далее, мы попробовали выключить компьютер, нажав на кнопку «Выключение», расположенную на боковой панели меню, но ничего не произошло. Затем, мы попытались открыть приложение «Диспетчер задач», и получили сообщение, что такого приложения больше не существует. Дополнительные попытки воспользоваться другими приложениями в главном меню заканчивались похожими сообщениями об ошибках и сбое системы.




В результате ошибок и отсутствия основных служб управления операционной системой мы не смогли правильно выключить компьютер, поэтому были вынуждены перезагрузить его принудительно. Из-за возникших повреждений системы, «Windows» попыталась загрузиться при помощи функции автоматического восстановления. Однако ее попытки были напрасны, возможно, от того, что мы удалили файлы восстановления.


В итоге, мы попытались загрузить «Windows» принудительно, нажав в окне функции восстановления кнопку «Дополнительные параметры» и указав соответствующие действия. Однако это не помогло, и компьютер снова загрузился в режим автоматического восстановления. Очевидно, что важные системные файлы, необходимые для загрузки «Windows», исчезли, и операционная система даже не может начать работу.


В результате эксперимента мы убедились, что системная папка «System32» содержит критически важные файлы для корректной работы операционной системы «Windows». И полное или частичное удаление файлов из этой папки может привести к необратимым последствиям: пропадут отдельные программы и приложения, появятся ошибки и сбои системы, полноценное функционирование «Windows» будет нарушено, операционная система перестанет загружаться или полностью выйдет из строя.


Единственно верным решением, которое вы можете принять для возврата системы в рабочее состояние и исправления возникших неполадок, является полная переустановка операционной системы «Windows».


Как проверить наличие вредоносных программ


Развитие компьютерных технологий не могло остаться без внимания различных мошенников, которые при помощи разнообразного вредоносного программного обеспечения (вирусов) пытаются нанести вред вашему компьютеру и завладеть личной информацией пользователя. Спектр действия вредоносных программ необычайно широк. Мошенники каждый раз изобретают новые способы доступа к личным данным и применяют различные варианты маскировки вредоносных программ.


Вирусы могут располагаться где угодно, и системная папка «System32» не является исключением. Это значит, что вредоносное программное обеспечение, если оно присутствует на вашем компьютере, может прятаться в папке «System32», в том числе. Поэтому, если вы обеспокоены, что компьютер может быть заражен вирусом, то вы должны выполнить сканирование системы при помощи любой антивирусной программы, которой вы доверяете.


Перейти к просмотру

100% удаление любого вируса: трояна, руткита, вымогателя, шпионской программы ☣️🛡️💻

как удалить вирус win32 или webalta инструкция

Способы заражения компьютера

Компьютер может быть заражен самыми разными способами. Самый простой заключается в том, что пользователь сам скачивает и запускает уже зараженный файл. В более сложных вариантах используются те или иные уязвимости системы. Очень часто непосредственно для заражения используется очень небольшой по размеру код-загрузчик: попав на ПК, он уже через интернет загружает полнофункциональный вирус.

Каковы признаки вирусного заражения? Они могут быть очень разными, поэтому следует обращать внимание на любые непонятные, непривычные, необычные моменты в работе ПК. Например, компьютер сам «лезет» в сеть, блокируется возможность открыть «Диспетчер задач», меняется системная дата, у папок появляется расширение исполнимого файла и т.д. и т.п. Все вирусы, написанные под 32-битные версии Windows, классифицируются как Virus.Win32, к этому обозначению добавляется указание на конкретный вредоносный код. Например, Virus.Win32.Neshta, Virus.Win32.Sality.aa и т.д. Конкретное название может меняться у разных антивирусных компаний – именно они дают наименование обнаруженным вирусам.

Удаление вируса Webalta

С вирусом Webalta сталкиваются многие пользователи. При попадании на ПК он меняет стартовую страницу браузера, вместо используемого поисковика открывает малоизвестную поисковую систему Webalta.ru. Чаще всего заражение происходит при помощи троянских программ – например, Trojan.StartPage.Win32.14997, или запуска зараженных приложений. Антивирусы далеко не всегда справляются с этим вредоносным кодом, поэтому следует знать, как удалить вирус Webalta вручную.

После попадания в систему Webalta прописывает себя в папке: C:\Documents and Settings\User\Application Data\WebaltaService\WebaltaService.exe и регистрируется под видом запускаемой при старте системы службы, для этого он создает в системном реестре ключ: HKLM\System\CurrentControlSet\Services\WebaltaService.

Description = Search Service

DisplayName=»WebaltaService»

ImagePath= «%Documents and Settings%\User\Application Data\WebaltaService\WebaltaService.exe -start»

Для удаления вируса сначала необходимо открыть: «Пуск» — «Панель управления» — «Администрирование» — «Службы». Найдите службу WebaltaService, остановите ее. После этого откройте командой regedit системный реестр и удалите указанную выше строку ключа запуска. Далее, на всякий случай, нажмите «Правка» — «Найти», введите в строке поиска Webalta. Удалите все найденные строки с этим параметром. Перезагрузите ПК.

Далеко не все вирусы удается удалить столь просто. Многие из них очень тщательно маскируются, хорошо прячут свои ключи, для их удаления требуется большой опыт. Если ваш компьютер оказался заражен и вам не удается справиться с ситуацией самостоятельно, вы всегда можете вызвать нашего мастера. Опытный специалист приедет к вам домой и быстро восстановит нормальную работу вашего ПК. Вы гарантированно останетесь довольны уровнем оказываемых нами услуг. Звоните нам прямо сейчас!

Управление приложениями Win32 с помощью Microsoft Intune



  • Чтение занимает 5 мин

В этой статье

Microsoft Intune предоставляет возможности управления приложениями Win32.Microsoft Intune allows Win32 app management capabilities. Хотя клиенты, подключенные к облаку, могут использовать для управления приложениями Win32 Microsoft Endpoint Configuration Manager, пользователи Intune будут иметь больше возможностей для управления приложениями Win32.Although it’s possible for cloud-connected customers to use Microsoft Endpoint Configuration Manager for Win32 app management, Intune-only customers will have greater management capabilities for their Win32 apps. В этой статье описаны функции управления приложениями Win32 Intune и связанная с ними информация.This topic provides an overview of the Intune Win32 app management features and related information.

Примечание

Эта функция поддерживает 32- и 64-разрядные архитектуры ОС для приложений Windows.This app management capability supports both 32-bit and 64-bit operating system architecture for Windows applications.

Важно!

Для развертывания приложений Win32 рекомендуется использовать исключительно расширение управления Intune, в особенности если применяется многофайловый установщик приложений Win32.When you’re deploying Win32 apps, consider using the Intune Management Extension approach exclusively, particularly when you have a multiple-file Win32 app installer. Если вы совместите установку приложений Win32 и бизнес-приложений во время регистрации AutoPilot, установка приложения может завершиться сбоем.If you mix the installation of Win32 apps and line-of-business apps during AutoPilot enrollment, the app installation might fail. Расширение управления Intune устанавливается автоматически, когда скрипт PowerShell или приложение Win32 назначаются пользователю или устройству.The Intune management extension is installed automatically when a PowerShell script or Win32 app is assigned to the user or device.

Предварительные условияPrerequisites

Для использования функции управления приложениями Win32 необходимо выполнить следующие условия.To use Win32 app management, be sure the following criteria are met:

  • Используйте Windows 10 версии 1607 или выше (Корпоративная, Профессиональная или для образовательных учреждений).Use Windows 10 version 1607 or later (Enterprise, Pro, or Education editions).

  • Устройства должны быть зарегистрированы в Intune и удовлетворять одному из следующих условий:Devices must be enrolled in Intune and either:

  • Размер приложения Windows не может превышать 8 ГБ.Windows application size must not be greater than 8 GB per app.

    Примечание

    Если скрипт PowerShell или приложение Win32 предназначены для пользователя или устройства, Intune автоматически установит на устройстве расширение управления Intune (IME).Intune will automatically install the Intune Management Extension (IME) on the device if a PowerShell script or a Win32 app is targeted to the user or device.

Подготовка к отправке содержимого приложения Win32Prepare the Win32 app content for upload

Прежде чем добавить приложение Win32 в Microsoft Intune, подготовьте его с помощью средства подготовки файлов Win32 (Майкрософт).Before you can add a Win32 app to Microsoft Intune, you must prepare the app by using the Microsoft Win32 Content Prep Tool. Для предварительной обработки классических приложений Windows (Win32) используйте средство подготовки файлов Win32 (Майкрософт).You use the Microsoft Win32 Content Prep Tool to pre-process Windows classic (Win32) apps. Это средство преобразует файлы установки приложения в формат .intunewin.The tool converts application installation files into the .intunewin format. Дополнительные сведения и инструкции см. в статье Подготовка содержимого приложения Win32 к отправке.For more information and steps, see Prepare Win32 app content for upload.

Добавление, назначение и мониторинг приложения Win32Add, assign, and monitor a Win32 app

Завершив подготовку приложения Win32 к отправке в Intune с помощью средства подготовки файлов Win32 (Майкрософт), вы можете добавить приложение в Intune.After you have prepared a Win32 app to be uploaded to Intune by using the Microsoft Win32 Content Prep Tool, you can add the app to Intune. Дополнительные сведения и инструкции см. в статье Добавление, назначение и мониторинг приложения Win32 в Microsoft Intune.For more information and steps, see Add, assign, and monitor a Win32 app in Microsoft Intune.

Примечание

Размер приложения Windows не может превышать 8 ГБ.Windows application size is limited to 8 GB per app.

Оптимизация доставкиDelivery optimization

Клиенты Windows 10 версии 1709 и более поздних версий будут скачивать содержимое приложения Win32 Intune с помощью компонента оптимизации доставки на клиенте Windows 10.Windows 10 1709 and later clients will download Intune Win32 app content by using a delivery optimization component on the Windows 10 client. Оптимизация доставки включает возможности одноранговой доставки, включенные по умолчанию.Delivery optimization provides peer-to-peer functionality that’s turned on by default.

Вы можете настроить агент оптимизации доставки так, чтобы он загружал содержимое приложения Win32 как в фоновом, так и в основном режиме в соответствии с назначением.You can configure the Delivery Optimization agent to download Win32 app content in either background or foreground mode based on assignment. Оптимизацию доставки можно настроить с помощью групповой политики и конфигурации устройств Intune.Delivery optimization can be configured by group policy and via Intune device configuration. См. дополнительные сведения об оптимизации доставки для Windows 10.For more information, see Delivery Optimization for Windows 10.

Примечание

Кроме того, можно установить сервер подключенного кэша Майкрософт в точках распространения Configuration Manager, чтобы кэшировать содержимое приложений Intune Win32.You can also install a Microsoft Connected Cache server on your Configuration Manager distribution points to cache Intune Win32 app content. Дополнительные сведения см. в разделе Подключенный кэш Майкрософт в Configuration Manager.For more information, see Microsoft Connected Cache in Configuration Manager.

Установка необходимых и доступных приложений на устройстваInstall required and available apps on devices

Пользователям будут отображаться уведомления Windows о необходимых и доступных установках приложений.The user will see Windows notifications for the required and available app installations. На следующем изображении показан пример уведомления, в котором указано, что установка приложения будет завершена только после перезагрузки устройства.The following image shows an example notification where the app installation is not complete until the device is restarted.

На следующем изображении уведомление сообщает пользователю, что на устройстве изменяются приложения.The following image notifies the user that app changes are being made to the device.

Кроме того, в приложении Корпоративного портала отображаются дополнительные сообщения для пользователей о состоянии установки приложения.Additionally, the Company Portal app shows more app installation status messages to users. К функциям зависимости Win32 применяются следующие условия:The following conditions apply to Win32 dependency features:

  • Не удалось установить приложение.App failed to be installed. Зависимости, определенные администратором, не соблюдены.Dependencies defined by the admin were not met.
  • Приложение успешно установлено, но требуется перезагрузка.App was installed successfully but requires a restart.
  • Приложение находится в процессе установки, но для продолжения требуется перезагрузка.App is in the process of being installed but requires a restart to continue.

Настройка доступности и уведомлений для приложений Win32Set Win32 app availability and notifications

Вы можете настроить время начала и крайний срок для установки приложения Win32.You can configure the start time and deadline time for a Win32 app. При наступлении указанной начальной даты расширение управления Intune скачает приложение и кэширует его для необходимого намерения.At the start time, the Intune management extension will start the app content download and cache it for the required intent. При наступлении крайнего срока приложение будет установлено.The app will be installed at the deadline time.

Для доступных приложений время начала будет определять появление приложения на корпоративном портале, а загрузка содержимого будет начинаться, когда пользователь запросит это приложение на корпоративном портале.For available apps, the start time will dictate when the app is visible in the company portal, and content will be downloaded when the user requests the app from the company portal. Вы можете также задать период отсрочки до перезапуска.You can also enable a restart grace period.

Важно!

Параметр Льготный период перезапуска в разделе Назначение доступен, только если для параметра Действие при перезагрузке устройства в разделе Программа установлено одно из следующих значений:The Restart grace period setting in the Assignment section is available only when Device restart behavior of the Program section is set to either of the following options:

  • Определять режим по кодам возврата;Determine behavior based on return codes
  • Intune выполнит принудительную перезагрузку устройства.Intune will force a mandatory device restart

Настройте дату и время доступности для выбранного приложения, выполнив следующие действия:Set the app availability based on a date and time for a required app by using the following steps:

  1. Войдите в Центр администрирования Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.

  2. Выберите Приложения > Все приложения.Select Apps > All apps.

  3. Выберите приложение из списка Windows (Win32) .In the Windows app (Win32) list, select an app.

  4. В области приложения рядом с разделом Назначения выберите Свойства > Изменить.From the app pane, select Properties > Edit next to the Assignments section. Затем ниже типа назначения Требуется нажмите Добавить группу.Then select Add group below the Required assignment type.

    Обратите внимание, что доступность приложения может зависеть от типа назначения.Note that app availability can be set based on the assignment type. В списке Тип назначения можно выбрать Требуется, Доступно для зарегистрированных устройств или Удалить.Assignment type can be Required, Available for enrolled devices, or Uninstall.

  5. Выберите группу на панели Выбор группы, чтобы указать группу пользователей для назначения приложению.Select a group on the Select group pane to specify which group of users will be assigned the app.

    Примечание

    Для параметра Тип назначения доступны следующие варианты:Assignment type options include the following:

    • Обязательное. Вы можете сделать это приложение обязательным для всех пользователей и (или) сделать это приложение обязательным на всех устройствах.Required: You can choose make this app required for all users and/or make this app required on all devices.
    • Available for enrolled devices (Доступно для зарегистрированных устройств). Вы можете сделать это приложение доступным для всех пользователей с зарегистрированными устройствами.Available for enrolled devices: You can choose make this app available to all users with enrolled devices.
    • Удалить. Вы можете удалить это приложение у всех пользователей и (или) удалить это приложение со всех устройств.Uninstall: You can choose uninstall this app for all users and/or uninstall this app for all devices.
  6. Чтобы изменить параметры уведомления конечных пользователей, выберите Показывать все всплывающие уведомления.To modify the End user notification options, select Show all toast notifications.

  7. В области Изменение назначения установите для параметра Уведомления для конечных пользователей значение Показывать все всплывающие уведомления.In the Edit assignment pane, set Ender user notifications to Show all toast notifications. Обратите внимание, что для параметра Уведомления для конечных пользователей доступны варианты Показывать все всплывающие уведомления, Показывать всплывающие уведомления о перезапуске компьютера или Скрывать все всплывающие уведомления.Note that you can set End user notifications to Show all toast notifications, Show toast notifications for computer restarts, or Hide all toast notifications.

  8. Задайте для параметра Доступность приложения значение Конкретные дата и время, а затем выберите дату и время.Set App availability to A specific date and time and select your date and time. Эти дата и время определяют, когда приложение будет загружено на устройство пользователя.This date and time specify when the app is downloaded to the user’s device.

  9. Задайте для параметра Крайний срок установки приложения значение Конкретные дата и время, а затем выберите дату и время.Set App installation deadline to A specific date and time and select your date and time. Эти дата и время определяют, когда приложение будет установлено на устройство пользователя.This date and time specify when the app is installed on the user’s device. Если для одного и того же пользователя или устройства установлено несколько назначений, выбирается самый ранний крайний срок установки приложения из всех возможных.When more than one assignment is made for the same user or device, the app installation deadline time is picked based on the earliest time possible.

  10. Выберите Включено рядом с параметром Льготный период перезапуска.Select Enabled next to Restart grace period. Льготный период перезапуска начинается сразу после завершения установки приложения на устройстве.The restart grace period starts as soon as the app installation has finished on the device. Если этот параметр отключен, устройство может перезапуститься без предупреждения.When the setting is disabled, the device can restart without warning.

    Здесь можно настроить следующие варианты:You can customize the following options:

    • Период отсрочки до перезапуска устройства (в минутах) . Значение по умолчанию — 1 440 минут (24 часа).Device restart grace period (minutes): The default value is 1,440 minutes (24 hours). Допускаются значения не более 2 недель.This value can be a maximum of 2 weeks.
    • Выберите, когда следует отображать диалоговое окно обратного отсчета перед перезапуском (в минутах) . Значение по умолчанию — 15 минут.Select when to display the restart countdown dialog box before the restart occurs (minutes): The default value is 15 minutes.
    • Разрешить пользователю отложить уведомление о перезапуске. Здесь можно выбрать значение Да или Нет.Allow user to snooze the restart notification: You can choose Yes or No.
      • Выберите, на сколько отложить (в минутах) . Значение по умолчанию — 240 минут (4 часа).Select the snooze duration (minutes): The default value is 240 minutes (4 hours). Это значение не может быть больше, чем период отсрочки до перезапуска.The snooze value can’t be more than the reboot grace period.
  11. Выберите Проверить и сохранить.Select Review + save.

Уведомления для приложений Win32Notifications for Win32 apps

При необходимости вы можете настроить игнорирование уведомлений пользователя для каждого назначения приложения.If needed, you can suppress showing user notifications per app assignment. В Intune выберите Приложения > Все приложения > приложение > Назначения > Включить группы.From Intune, select Apps > All apps > the app > Assignments > Include Groups.

Примечание

Приложения Win32, установленные с помощью расширения управления Intune, не будут удалены на незарегистрированных устройствах.Win32 apps installed through the Intune management extension won’t be uninstalled on unenrolled devices. Администраторы могут использовать исключение назначения, чтобы не предлагать установку приложений Win32 на BYOD-устройства.Admins can use assignment exclusion to not offer Win32 apps to Bring Your Own Device (BYOD) devices.

Дальнейшие шагиNext steps

Файлы журналов и устранение ошибок обновления — Windows Deployment



  • Чтение занимает 6 мин

В этой статье

Относится к:Applies to

Во время каждого этапа процесса обновления создаются несколько файлов журнала.Several log files are created during each phase of the upgrade process. Эти файлы журнала необходимы для устранения неполадок при обновлении.These log files are essential for troubleshooting upgrade problems. По умолчанию папки, содержащие эти файлы журнала, скрыты на компьютере, где выполняется обновление.By default, the folders that contain these log files are hidden on the upgrade target computer. Для просмотра файлов журнала включите отображение скрытых элементов в проводнике Windows или используйте средство, чтобы автоматически собирать эти журналы.To view the log files, configure Windows Explorer to view hidden items, or use a tool to automatically gather these logs. Самый полезный журнал — setupact.log.The most useful log is setupact.log. Файлы журнала находятся в разных папках в зависимости от этапа установки Windows.The log files are located in a different folder depending on the Windows Setup phase. Как мы уже знаем, вы можете определить этап из кода расширения.Recall that you can determine the phase from the extend code.

Примечание

См. также раздел «Отчеты об ошибках Windows» в этом документе для справки по поиску кодов ошибок и файлов журналов.Also see the Windows Error Reporting section in this document for help locating error codes and log files.

В следующей таблице описаны некоторые файлы журнала и способы их использования для устранения неполадок.The following table describes some log files and how to use them for troubleshooting purposes:

Файл журналаLog fileЭтап: расположениеPhase: LocationОписаниеDescriptionВарианты использованияWhen to use
setupact.logsetupact.logНижний уровень:Down-Level:
$Windows.~BT\Sources\Panther$Windows.~BT\Sources\Panther
Содержит сведения о действиях программы установки на низкоуровневом этапе.Contains information about setup actions during the downlevel phase.Все ошибки нижнего уровня и отправная точка для анализа отката.All down-level failures and starting point for rollback investigations.
Это самый важный журнал для диагностики проблем с установкой.This is the most important log for diagnosing setup issues.
Запуск при первом включении:OOBE:
$Windows.~BT\Sources\Panther\UnattendGC$Windows.~BT\Sources\Panther\UnattendGC
Содержит сведения о действиях на этапе запуска при первом включении.Contains information about actions during the OOBE phase.Исследование откатов, сбой которых произошел на этапе первого включения компьютера: 0x4001C, 0x4001D, 0x4001E и 0x4001F.Investigating rollbacks that failed during OOBE phase and operations – 0x4001C, 0x4001D, 0x4001E, 0x4001F.
Откат:Rollback:
$Windows.~BT\Sources\Rollback$Windows.~BT\Sources\Rollback
Содержит сведения о действиях во время отката.Contains information about actions during rollback.Исследование откатов общего характера: 0xC1900101.Investigating generic rollbacks — 0xC1900101.
Предварительная инициализация (до низкоуровневого этапа):Pre-initialization (prior to downlevel):
WindowsWindows
Содержит сведения об инициализации установки.Contains information about initializing setup.Если не удается запустить программу установки.If setup fails to launch.
После обновления (после первого запуска компьютера):Post-upgrade (after OOBE):
Windows\PantherWindows\Panther
Содержит сведения о действиях программы установки во время установки.Contains information about setup actions during the installation.Исследование проблем, связанных с процессами после обновления.Investigate post-upgrade related issues.
setuperr.logsetuperr.logАналогично setupact.logSame as setupact.logСодержит сведения об ошибках программы установки во время установки.Contains information about setup errors during the installation.Просмотрите все ошибки, возникающие на этапе установки.Review all errors encountered during the installation phase.
miglog.xmlmiglog.xmlПосле обновления (после первого запуска компьютера):Post-upgrade (after OOBE):
Windows\PantherWindows\Panther
Содержит сведения о том, что было перенесено во время установки.Contains information about what was migrated during the installation.Определение проблем, возникающих после переноса данных обновления.Identify post upgrade data migration issues.
BlueBox.logBlueBox.logНижний уровень:Down-Level:
Windows\Logs\MosetupWindows\Logs\Mosetup
Содержит сведения о взаимодействии setup.exe и Центра обновления Windows.Contains information communication between setup.exe and Windows Update.Используйте при возникновении ошибок WSUS и WU нижнего уровня, а также для 0xC1900107.Use during WSUS and WU down-level failures or for 0xC1900107.
Вспомогательные журналы отката:Supplemental rollback logs:
Setupmem.dmpSetupmem.dmp
setupapi.dev.logsetupapi.dev.log
Журналы событий (\*.evtx)Event logs (\*.evtx)
$Windows.~BT\Sources\Rollback$Windows.~BT\Sources\RollbackДополнительные журналы, собранные во время отката.Additional logs collected during rollback. Setupmem.dmp: если ошибка ОС проверяется во время обновления, установка попытается извлечь мини-дамп.Setupmem.dmp: If OS bug checks during upgrade, setup will attempt to extract a mini-dump.
Setupapi: проблемы с установкой устройства — 0x30018Setupapi: Device install issues — 0x30018
Журналы событий: откаты общего характера (0xC1900101) или неожиданные перезагрузки.Event logs: Generic rollbacks (0xC1900101) or unexpected reboots.

Структура записи журналаLog entry structure

Запись setupact.log или setuperr.log (файлы находятся в папке C:\Windows) содержит следующие элементы:A setupact.log or setuperr.log entry (files are located at C:\Windows) includes the following elements:

  1. Дата и время — 08-09-2016 09:20:05.The date and time — 2016-09-08 09:20:05.
  2. Уровень журнала — сведения, предупреждение, ошибка, неустранимая ошибка.The log level — Info, Warning, Error, Fatal Error.
  3. Компонент ведения журнала — CONX, MOUPG, PANTHR, SP, IBSLIB, MIG, DISM, CSI, CBS.The logging component — CONX, MOUPG, PANTHR, SP, IBSLIB, MIG, DISM, CSI, CBS.
    • Компоненты ведения журнала SP (платформы установки), MIG (модуль миграции) и CONX (сведения о совместимости) будут особенно полезны для устранения неполадок программы установки Windows.The logging components SP (setup platform), MIG (migration engine), and CONX (compatibility information) are particularly useful for troubleshooting Windows Setup errors.
  4. Сообщение — Операция успешно завершена.The message — Operation completed successfully.

См. перечисленные ниже примеры.See the following example:

Дата и времяDate/TimeУровень журналаLog levelКомпонентComponentСообщениеMessage
2016-09-08 09:23:50,2016-09-08 09:23:50,ПредупреждениеWarningMIGMIGНе удалось заменить объект C:\Users\name\Cookies.Could not replace object C:\Users\name\Cookies. Целевой объект не может быть удален.Target Object cannot be removed.

Анализ файлов журналаAnalyze log files

Следующие инструкции предназначены для специалистов по ИТ.The following instructions are meant for IT professionals. См. также раздел Коды ошибок обновления данного руководства, чтобы ознакомиться с кодами результатов и кодами расширения.Also see the Upgrade error codes section in this guide to familiarize yourself with result codes and extend codes.

Анализ файлов журнала установки WindowsTo analyze Windows Setup log files:

  1. Определите код ошибки программы установки Windows.Determine the Windows Setup error code. Этот код должен быть возвращен программой установки Windows в случае сбоя в процессе обновления.This code should be returned by Windows Setup if it is not successful with the upgrade process.
  2. На основе кода расширения в коде ошибки определите тип и расположение файлов журналов для изучения.Based on the extend code portion of the error code, determine the type and location of a log files to investigate.
  3. Откройте файл журнала в текстовом редакторе, например в «Блокноте».Open the log file in a text editor, such as notepad.
  4. Найдите код результата из кода ошибки программы установки Windows, выполните поиск кода результата в файле и найдите последний экземпляр кода.Using the result code portion of the Windows Setup error code, search for the result code in the file and find the last occurrence of the code. Кроме того, можно найти и отменить текстовые строки, описанные на » » » шаге 7 ниже.Alternatively search for the «abort» and abandoning» text strings described in step 7 below.
  5. Поиск последнего экземпляра кода результатаTo find the last occurrence of the result code:
    1. Прокрутите до конца файла и щелкните после последнего символа.Scroll to the bottom of the file and click after the last character.
    2. Нажмите кнопку Изменить.Click Edit.
    3. Нажмите кнопку Найти.Click Find.
    4. Введите код результата.Type the result code.
    5. В разделе Направление выберите Вверх.Under Direction select Up.
    6. Нажмите кнопку Найти далее.Click Find Next.
  6. После нахождения последнего экземпляра кода результата прокрутите файл на несколько строк вверх и просмотрите процессы, которые вызвали ошибку перед созданием кода результата.When you have located the last occurrence of the result code, scroll up a few lines from this location in the file and review the processes that failed just prior to generating the result code.
  7. Найдите следующие важные текстовые строки:Search for the following important text strings:
    • «Приложение оболочки запросило отмену»;Shell application requested abort
    • «Отмена применения из-за ошибки объекта».Abandoning apply due to error for object
  8. Декодируйте ошибки Win32, которые отображаются в этом разделе.Decode Win32 errors that appear in this section.
  9. Запишите метку времени наблюдаемых ошибок в этом разделе.Write down the timestamp for the observed errors in this section.
  10. Выполните поиск дополнительных сведений, соответствующих этим меткам времени или ошибкам, в других файлах журналов.Search other log files for additional information matching these timestamps or errors.

Например, предположим, что код ошибки — 0x8007042B — 0x2000D.For example, assume that the error code for an error is 0x8007042B — 0x2000D. Если выполнить поиск «8007042B», мы обнаружим следующее содержимое из файла setuperr.log:Searching for «8007042B» reveals the following content from the setuperr.log file:

Некоторые строки в тексте ниже сокращены для удобства.Some lines in the text below are shortened to enhance readability. Дата и время в начале каждой строки (например, 2016-10-05 15:27:08) сокращены до минут и секунд, а имя файла сертификата, которое задано как длинная текстовая строка, сокращено до «CN».The date and time at the start of each line (ex: 2016-10-05 15:27:08) is shortened to minutes and seconds, and the certificate file name which is a long text string is shortened to just «CN.»

Содержимое файла setuperr.log:setuperr.log content:

27:08, Error           SP     Error READ, 0x00000570 while gathering/applying object: File, C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18 [CN]. Will return 0[gle=0x00000570]
27:08, Error           MIG    Error 1392 while gathering object C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18 [CN]. Shell application requested abort![gle=0x00000570]
27:08, Error                  Gather failed. Last error: 0x00000000
27:08, Error           SP     SPDoFrameworkGather: Gather operation failed. Error: 0x0000002C
27:09, Error           SP     CMigrateFramework: Gather framework failed. Status: 44
27:09, Error           SP     Operation failed: Migrate framework (Full). Error: 0x8007042B[gle=0x000000b7]
27:09, Error           SP     Operation execution failed: 13. hr = 0x8007042B[gle=0x000000b7]
27:09, Error           SP     CSetupPlatformPrivate::Execute: Execution of operations queue failed, abandoning. Error: 0x8007042B[gle=0x000000b7]

В первой строке указано, что произошла ошибка 0x00000570 с файлом C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18 [CN] (как показано ниже):The first line indicates there was an error 0x00000570 with the file C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18 [CN] (shown below):

27:08, Error           SP     Error READ, 0x00000570 while gathering/applying object: File, C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18 [CN]. Will return 0[gle=0x00000570]

0x00000570 — это код ошибки Win32, соответствующий ошибке «ERROR_FILE_CORRUPT. Файл или папка повреждены. Чтение невозможно».The error 0x00000570 is a Win32 error code corresponding to: ERROR_FILE_CORRUPT: The file or directory is corrupted and unreadable.

Поэтому программе установки Windows не удалось перенести поврежденный файл C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\ [CN].Therefore, Windows Setup failed because it was not able to migrate the corrupt file C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18[CN]. Этот файл — локальный сертификат системы, и его можно удалить.This file is a local system certificate and can be safely deleted. После поиска в файле setupact.log дополнительных сведений найдена фраза «Приложение оболочки запросило отмену» в расположении с такой же меткой времени, как у строк в файле setuperr.log.Searching the setupact.log file for additional details, the phrase «Shell application requested abort» is found in a location with the same timestamp as the lines in setuperr.log. Это подтверждает наши подозрение, что этот файл — причина сбоя обновления:This confirms our suspicion that this file is the cause of the upgrade failure:

Содержимое файла setupact.log:setupact.log content:

27:00, Info                   Gather started at 10/5/2016 23:27:00
27:00, Info [0x080489] MIG    Setting system object filter context (System)
27:00, Info [0x0803e5] MIG    Not unmapping HKCU\Software\Classes; it is not mapped
27:00, Info [0x0803e5] MIG    Not unmapping HKCU; it is not mapped
27:00, Info            SP     ExecuteProgress: Elapsed events:1 of 4, Percent: 12
27:00, Info [0x0802c6] MIG    Processing GATHER for migration unit: <System>\UpgradeFramework (CMXEAgent)
27:08, Error           SP     Error READ, 0x00000570 while gathering/applying object: File, C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18 [CN]. Will return 0[gle=0x00000570]
27:08, Error           MIG    Error 1392 while gathering object C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18 [CN]. Shell application requested abort![gle=0x00000570]
27:08, Info            SP     ExecuteProgress: Elapsed events:2 of 4, Percent: 25
27:08, Info            SP     ExecuteProgress: Elapsed events:3 of 4, Percent: 37
27:08, Info [0x080489] MIG    Setting system object filter context (System)
27:08, Info [0x0803e5] MIG    Not unmapping HKCU\Software\Classes; it is not mapped
27:08, Info [0x0803e5] MIG    Not unmapping HKCU; it is not mapped
27:08, Info            MIG    COutOfProcPluginFactory::FreeSurrogateHost: Shutdown in progress.
27:08, Info            MIG    COutOfProcPluginFactory::LaunchSurrogateHost::CommandLine: -shortened-
27:08, Info            MIG    COutOfProcPluginFactory::LaunchSurrogateHost: Successfully launched host and got control object.
27:08, Error                  Gather failed. Last error: 0x00000000
27:08, Info                   Gather ended at 10/5/2016 23:27:08 with result 44
27:08, Info                   Leaving MigGather method
27:08, Error           SP     SPDoFrameworkGather: Gather operation failed. Error: 0x0000002C

Содержимое setupapi.dev.log: setupapi.dev.log content:

>>>  [Device Install (UpdateDriverForPlugAndPlayDevices) - PCI\VEN_8086&DEV_8C4F]
>>>  Section start 2019/09/26 20:13:01.623
      cmd: rundll32.exe "C:\WINDOWS\Installer\MSI6E4C.tmp",zzzzInvokeManagedCustomActionOutOfProc SfxCA_95972906 484 ChipsetWiX.CustomAction!Intel.Deployment.ChipsetWiX.CustomActions.InstallDrivers
     ndv: INF path: C:\WINDOWS\TEMP\{15B1CD41-69F5-48EA-9F45-0560A40FE2D8}\Drivers\lynxpoint\LynxPointSystem.inf
     ndv: Install flags: 0x00000000
     ndv: {Update Device Driver - PCI\VEN_8086&DEV_8C4F&SUBSYS_05BE1028&REV_04\3&11583659&0&F8}
     ndv:      Search options: 0x00000081
     ndv:      Searching single INF 'C:\WINDOWS\TEMP\{15B1CD41-69F5-48EA-9F45-0560A40FE2D8}\Drivers\lynxpoint\LynxPointSystem.inf'
     dvi:      {Build Driver List} 20:13:01.643
     dvi:           Searching for hardware ID(s):
     dvi:                pci\ven_8086&dev_8c4f&subsys_05be1028&rev_04
     dvi:                pci\ven_8086&dev_8c4f&subsys_05be1028
     dvi:                pci\ven_8086&dev_8c4f&cc_060100
     dvi:                pci\ven_8086&dev_8c4f&cc_0601
     dvi:           Searching for compatible ID(s):
     dvi:                pci\ven_8086&dev_8c4f&rev_04
     dvi:                pci\ven_8086&dev_8c4f
     dvi:                pci\ven_8086&cc_060100
     dvi:                pci\ven_8086&cc_0601
     dvi:                pci\ven_8086
     dvi:                pci\cc_060100
     dvi:                pci\cc_0601
     sig:           {_VERIFY_FILE_SIGNATURE} 20:13:01.667
     sig:                Key      = lynxpointsystem.inf
     sig:                FilePath = c:\windows\temp\{15b1cd41-69f5-48ea-9f45-0560a40fe2d8}\drivers\lynxpoint\lynxpointsystem.inf
     sig:                Catalog  = c:\windows\temp\{15b1cd41-69f5-48ea-9f45-0560a40fe2d8}\drivers\lynxpoint\LynxPoint.cat
     sig:                Success: File is signed in catalog.
     sig:           {_VERIFY_FILE_SIGNATURE exit(0x00000000)} 20:13:01.683
     dvi:           Created Driver Node:
     dvi:                HardwareID   - PCI\VEN_8086&DEV_8C4F
     dvi:                InfName      - c:\windows\temp\{15b1cd41-69f5-48ea-9f45-0560a40fe2d8}\drivers\lynxpoint\lynxpointsystem.inf
     dvi:                DevDesc      - Intel(R) QM87 LPC Controller - 8C4F
     dvi:                Section      - Needs_ISAPNP_DRV
     dvi:                Rank         - 0x00ff2001
     dvi:                Signer Score - WHQL
     dvi:                DrvDate      - 04/04/2016
     dvi:                Version      - 10.1.1.18
     dvi:      {Build Driver List - exit(0x00000000)} 20:13:01.699
     ndv:      Searching currently installed INF
     dvi:      {Build Driver List} 20:13:01.699
     dvi:           Searching for hardware ID(s):
     dvi:                pci\ven_8086&dev_8c4f&subsys_05be1028&rev_04
     dvi:                pci\ven_8086&dev_8c4f&subsys_05be1028
     dvi:                pci\ven_8086&dev_8c4f&cc_060100
     dvi:                pci\ven_8086&dev_8c4f&cc_0601
     dvi:           Searching for compatible ID(s):
     dvi:                pci\ven_8086&dev_8c4f&rev_04
     dvi:                pci\ven_8086&dev_8c4f
     dvi:                pci\ven_8086&cc_060100
     dvi:                pci\ven_8086&cc_0601
     dvi:                pci\ven_8086
     dvi:                pci\cc_060100
     dvi:                pci\cc_0601
     dvi:           Created Driver Node:
     dvi:                HardwareID   - PCI\VEN_8086&DEV_8C4F
     dvi:                InfName      - C:\WINDOWS\System32\DriverStore\FileRepository\lynxpointsystem.inf_amd64_cd1e518d883ecdfe\lynxpointsystem.inf
     dvi:                DevDesc      - Intel(R) QM87 LPC Controller - 8C4F
     dvi:                Section      - Needs_ISAPNP_DRV
     dvi:                Rank         - 0x00ff2001
     dvi:                Signer Score - WHQL
     dvi:                DrvDate      - 10/03/2016
     dvi:                Version      - 10.1.1.38
     dvi:      {Build Driver List - exit(0x00000000)} 20:13:01.731
     dvi:      {DIF_SELECTBESTCOMPATDRV} 20:13:01.731
     dvi:           Default installer: Enter 20:13:01.735
     dvi:                {Select Best Driver}
     dvi:                     Class GUID of device changed to: {4d36e97d-e325-11ce-bfc1-08002be10318}.
     dvi:                     Selected Driver:
     dvi:                          Description - Intel(R) QM87 LPC Controller - 8C4F
     dvi:                          InfFile     - c:\windows\system32\driverstore\filerepository\lynxpointsystem.inf_amd64_cd1e518d883ecdfe\lynxpointsystem.inf
     dvi:                          Section     - Needs_ISAPNP_DRV
     dvi:                {Select Best Driver - exit(0x00000000)}
     dvi:           Default installer: Exit
     dvi:      {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 20:13:01.743
     ndv:      Currently Installed Driver:
     ndv:           Inf Name       - oem1.inf
     ndv:           Driver Date    - 10/03/2016
     ndv:           Driver Version - 10.1.1.38
     ndv: {Update Device Driver - exit(00000103)}
!    ndv: No better matching drivers found for device 'PCI\VEN_8086&DEV_8C4F&SUBSYS_05BE1028&REV_04\3&11583659&0&F8'.
!    ndv: No devices were updated.


Этот анализ показывает, что ошибку обновления Windows можно устранить, удалив файл C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\ [CN].This analysis indicates that the Windows upgrade error can be resolved by deleting the C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18[CN] file. Примечание. В этом примере полное имя файла — C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\be8228fb2d3cb6c6b0ccd9ad51b320b4_a43d512c-69f2-42de-aef9-7a88fabdaa3f.Note: In this example, the full, unshortened file name is C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\be8228fb2d3cb6c6b0ccd9ad51b320b4_a43d512c-69f2-42de-aef9-7a88fabdaa3f.

Windows 10: вопросы и ответы для ИТ-специалистовWindows 10 FAQ for IT professionals
Требования к системе для Windows 10 КорпоративнаяWindows 10 Enterprise system requirements
Технические характеристики Windows 10Windows 10 Specifications
Windows10для ИТ-специалистовWindows 10 IT pro forums
Устранение ошибок обновления Windows с помощью DISM или средства проверки готовности системы к обновлениюFix Windows Update errors by using the DISM or System Update Readiness tool

win32.exe Устранить ошибку

Файл win32.exe относится к программе неизвестно производителя неизвестно. Его задача: win32.exe неизвестно
Обычно win32.exe находится в каталоге неизвестно. Если этот файл находится в другой папке на Вашем компьютере, возможно, Вы выбрали такое расположение во время установки данного программного обеспечения. Однако это может указывать и на заражение вирусами.

win32.exe Устранить ошибку

Если win32.exe вызывает ошибки в, причиной могут быть поврежденные записи реестра.
В большинстве случаев достаточно проверить реестр Windows на наличие ошибок win32.exe!

Если ошибки win32.exe не удалось устранить, рекомендуется удалить программу с помощью «Панели управления», а затем повторно проверить реестр Windows.

win32.exe замедляет мой компьютер!

Программы и файлы могут сильно ограничить производительность Windows. В некоторых случаях такой эффект вызывает и файл win32.exe. В сомнительном случае следует удалить соответствующую программу.
Если win32.exe в перечне автозагрузки Windows, это может привести к замедлению работы компьютера. Рекомендуется удалить эту программу.
Наш совет: AVG TuneUp™ отключает излишние автоматически загружаемые программы, а также процессы Windows, уменьшая тем самым нагрузку на компьютер.

Представляет ли win32.exe опасность для моего компьютера?

win32.exe считается Опасно. Немедленно проверьте компьютер с помощью актуальной антивирусной программы и удалите этот файл! Наш совет: AVG Anti-Virus Free.

Вся информация о win32.exe:

У нас имеется следующая информация о win32.exe.

Имя продукта: неизвестно

Имя процесса: StartPa-GH

Производитель: неизвестно

Интернет-сайт Производитель: неизвестно

Путь к файлу по умолчанию: неизвестно

Категория: ПРЕДУПРЕЖДЕНИЕ: опасная программа (троянская программа)!

Оценка: Опасно

Новости по тегу win32, страница 1 из 1


31.05.2019 [14:40],
Андрей Галадей

С момента запуска Windows 8 и Windows Store в 2012 году компания Microsoft пытается вывести на рынок универсальные приложения (UWP), но говорить об успехе не приходится. В компании пока не заявили о полном отказе от этой платформы, но неофициально признали, что разработчики и пользователи не особенно заинтересованы в ней.

Чтобы поддержать систему, Microsoft анонсировала появление в магазине приложений и игр формата Win32. Как сообщил в блоге Xbox вице-президент корпорации Фил Спенсер (Phil Spencer): «[В компании] признают, что Win32 — это формат приложений, который разработчики любят использовать [для игр], а геймеры любят запускать [игры в этом виде]», поэтому для собственных игр Win32 в Microsoft Store будет обеспечена полная совместимость.

Таким образом, в Редмонде готовы пожертвовать некоторыми преимуществами универсальной платформы Windows, вроде безопасности и единого API для разных устройств. Также «за бортом» наверняка останется автоматическая подстройка под разные разрешения экранов и некоторые другие возможности.

С другой стороны, хорошая новость заключается в том, что в скором времени пользователи увидят расширение списка игр в магазине приложений Windows. Их можно будет купить и запустить на разных ПК, по аналогии с Steam, GOG или Epic Games Store. При этом, скорее всего, программный гигант не сможет поначалу конкурировать с другими магазинами. 

Что касается UWP, то в наши дни даже сама Microsoft не уделяет этому продукту большого внимания. Универсальная версия MS Office есть давно, но компания не расширяет её функциональность, а работает над версиями для Android, iOS, Win32 и веб. 


09.05.2018 [11:30],
Константин Ходаковский

На прошлогодней конференции разработчиков Microsoft Build 2017 компания представила новый стиль дизайна интерфейсов — Fluent Design System (прежде он носил имя Project Neon и был основан на концепции Acrylic). Это первый серьёзный шаг по переосмыслению и унификации дизайна интерфейсов после внедрения плиточно-текстовой концепции Metro в Windows Phone 7 и Windows 8. Он призван сделать интерфейсы более «материальными» за счёт градиентов, эффектов матового стекла, теней, объёмов, динамических эффектов и так далее.

За прошедший год компания начала постепенно внедрять элементы Fluent Design в свою операционную систему Windows 10 и другие программные продукты — этот стиль применяется, в том числе, на веб-сайтах. Но на этом Microsoft, похоже, не собирается останавливаться: новый дизайн призван стать поистине универсальным.

На Build 2018 компания сообщила, что Fluent Design будет расширен за пределы магазина Microsoft Store на сторонние Win32-программы. Другими словами, разработчики смогут добавлять в свои приложения соответствующие эффекты, даже если речь идёт о «традиционном» ПО, которое не распространяется через Microsoft Store. Это призвано сделать окружение Windows 10 более единообразным.

Microsoft сообщает: «Обновления в рамках Microsoft 365 помогают с поддержкой Fluent Design System, так что разработчики могут создавать захватывающие окружения с помощью обновлённого языка оформления интерфейсов. Теперь каждая организация будет способна выпускать привлекательные решения, которые помогают клиентам работать эффективнее. С помощью UWP XAML Islands разработчики получают доступ к более гибким и мощным элементам управления XAML независимо от того, какой стек пользовательского интерфейса используется: Windows Forms, WPF или родной Win32».

Следующим крупным обновлением Windows 10 станет осеннее Redstone 5, поэтому есть шанс, что разработчики начнут тестировать первые версии обычных Win32-приложений с новым дизайном интерфейсов в ближайшие месяцы, в рамках программы Windows Insiders. Если Microsoft действительно реализовала максимально упрощённую процедуру использования Fluent Design в Win32-программах, то мы наверняка сможем увидеть первые примеры таковых уже осенью.


15.05.2017 [12:00],
Константин Ходаковский

Один из самых крупных и потенциально важных анонсов, которые сделала Microsoft во время конференции разработчиков BUILD 2017, произошёл не на сцене или в рамках значимого пресс-релиза, а был просто озвучен на 13-минутном видео, опубликованном на сайте Microsoft Channel 9. Этот ролик подтвердил раз и навсегда, на что надеялись все разработчики и, вероятно, пользователи платформ Windows. Windows 10 на чипах ARM будет полностью поддерживать «традиционные» настольные программы Win32/x86 без необходимости перекомпиляции или внесения иных изменений в само ПО.

Это делает Windows 10 для ARM принципиально более совершенной и развитой платформой, чем печально известная Windows RT (ARM-версия Windows 8). Последняя разрабатывалась по сути с нуля и потому поддерживала только новые приложения, специально созданные под процессоры с архитектурой ARM. Более того, Microsoft тогда ввела дополнительное ограничение, запретив компилировать настольные ARM-программы: разрабатывать и устанавливать на ОС можно было лишь приложения из Windows Store. Вся эта концепция и похоронила в итоге Windows RT. К счастью, Microsoft сделала выводы из горького урока.

Разумеется, речь идёт о программной эмуляции: другого способа запускать написанные для x86-процессоров программы на чипах ARM нет. Но при этом Microsoft говорит, что эмуляция x86 на ARM использует по сути те же идеи и технологии, которые применялись ранее для обеспечения совместимости старого 32-битного ПО с новыми 64-битными операционными системами (WoW, Windows on Windows). Более того, по словам компании, эмуляция будет работать очень эффективно, приближаясь по скорости к исполнению родного кода ARM. Для ускоренной работы часто запрашиваемые инструкции x86 будут переводиться средой выполнения в код ARM64 (ARMv8) и кешироваться на накопителе.

Стоит отметить, что у Microsoft есть отличные наработки по эмуляции аппаратных архитектур. Например, Xbox One c относительно слабым 8-ядерным 1,75-ГГц процессором AMD Jaguar x86-64 в рамках режима обратной совместимости довольно эффективно эмулирует 3,2-ГГц 6-поточный процессор с архитектурой PowerPC (Xbox 360). Sony такая задача оказалась пока не по зубам: на PS4 обратной совместимости с играми PS3 нет, что лишь частично компенсируется платной потоковой службой PS Now.

Microsoft также обещает, что технология эмуляции x86 на ARM совершенно прозрачна для пользователей и разработчиков, так что разрабатывать, устанавливать и запускать программы x86 на ARM-компьютерах с Windows 10 можно будет точно так же, как и на обычных Windows-системах с чипами Intel или AMD. То есть скачивать и устанавливать программы можно будет как из Windows Store, так и с любого другого сайта. Ядро, все встроенные в ОС программы и драйверы, разумеется, будут скомпилированы под чипы ARM и исполняться без всякой эмуляции. Без эмуляции будут исполняться и те приложения из Windows Store, которые были скомпилированы под ARM. Для компиляции универсальных приложений Windows (UWP) под чипы ARM от разработчиков не требуется внесения каких бы то ни было изменений в код.

Производительность будет целиком зависеть от используемого чипа: в настоящее время даже самые мощные однокристальные системы ARM всё-таки создаются с прицелом прежде всего на смартфоны, где ключевой показатель — энергоэффективность. Любопытно будет сравнить флагманский чип ARM вроде Qualcomm Snapdragon 835 с каким-нибудь Intel Core M3-7Y30 в одних и тех же задачах. Хватит ли мощностей Snapdragon 835 для полноценной работы в таких «тяжёлых» программах, как Adobe Photoshop или Premiere?

Так или иначе, Windows 10 для ARM имеет все шансы обеспечить давно назревшее наступление Microsoft на Android и iOS в мобильном секторе, где программный гигант уже многие годы по сути лишь обороняется и сдаёт позиции. Чипы ARM могут дать возможность создавать более тонкие и лёгкие ноутбуки с неплохой производительностью, длительным временем автономной работы, расширенными средствами подключения вроде LTE и при этом доступной ценой. Также полноценная эмуляция x86 позволяет сделать режим Continuum ключевой функцией Windows-смартфонов: многим может понравиться идея иметь в кармане устройство, умеющее превращаться при подключении к большому экрану в полноценный компьютер.

На официальном видео Microsoft показала работу Windows 10 Pro Insider Preview на тестовой системе с чипом Snapdragon 835. Система успешно использовала все восемь CPU-ядер этого чипа. Было продемонстрировано подключение обычной периферии (веб-камеры, клавиатуры, мыши), установка и работа x86-программ вроде открытого архиватора 7-Zip, а также установку и работу ARM-приложений из Windows Store вроде iHeartRadio:

Появление первых ARM-компьютеров (и, возможно, смартфонов) на базе полноценной Windows 10 ожидается уже в этом году. Первыми устройствами станут, согласно слухам, гибридные ноутбуки самой Microsoft и китайской Lenovo.


12.05.2017 [12:14],
Константин Ходаковский

В первый день ежегодной конференции разработчиков Build корпорация Microsoft сообщила, что уже более тысячи «традиционных» Win32-приложений на данный момент портированы в магазин Windows Store, отметив, что ошеломлена откликом разработчиков в последнее время. Напомним, что набор инструментов Project Centennial для помощи разработчикам по преобразованию Win32-программ в универсальные приложения был анонсирован 8 месяцев назад.

Перенос программ в магазин Windows Store даёт разработчикам не только новые возможности вроде хранения настроек в облаке, поддержки голосового помощника Cortana, покупки внутри приложений или живых плиток, но собственно и новую площадку для продаж, а также упрощённый выход на платформы вроде Xbox One и Windows 10 Mobile.

Именно поэтому, по словами инженеров Microsoft, разработчикам нравится Project Centennial. Во время Build был показан слайд под заголовком «истории успеха». Он включал несколько настольных программ, которые уже появились в Windows Store и дали разработчикам новый импульс. Речь идёт о таких приложениях, как Kodi, Evernote, Musicmatch и Magix. Учитывая эти имена, есть некоторое сомнение, что большинство из заявленной тысячи программ были перенесены именно из среды Win32, а не Android.

Рост количества предложений в Windows Store, в том числе за счёт портирования настольного ПО, — отличная новость для Microsoft и конечных пользователей. Однако не секрет и то, что многие значимые компании пока сторонятся Windows Store — прежде всего, речь идёт, конечно, о браузерах. В настоящее время в магазине приложений Microsoft нет веб-обозревателей ни от Mozilla, ни от Google. В своё время обе компании предпринимали шаги по переносу своих браузеров в Windows Store, но вначале Google, а затем и Mozilla отказались от этой идеи.


28.02.2017 [07:07],
Евгений Лазовский

В грядущем обновлении Creators Update для Windows 10 появится новая функция, предотвращающая установку на компьютер нежелательных приложений. Возможность уже тестируется в последней инсайдерской сборке операционной системы: она позволяет сделать так, чтобы в Windows 10 устанавливались только приложения из Windows Store, а установка Win32-программ блокировалась. В частности, при активации нововведения пользователь будет получать предупреждение об установке Win32-программ, в котором говорится о том, что приложения из официального магазина «безопасны и надёжны».

По умолчанию функция отключена, однако активировать её очень просто. Microsoft предлагает два варианта её включения: можно полностью предотвратить установку Win32-приложений, а можно оставить возможность продолжать установку после появления предупреждения.

Нововведение, несомненно, является очень важным: оно помогает предотвратить установку на компьютер различного рода вредоносных и нежелательных программ. Особенно функция будет полезна пользователям начального уровня, предпочитающим использовать стандартное программное обеспечение и не нуждающимся в Win32-программах вроде Adobe Photoshop и Google Chrome. И даже если у такого пользователя вдруг возникнет необходимость в каком-то дополнительном программном обеспечении, он всегда может воспользоваться Windows Store или средством Desktop App Converter для конвертации классических приложений в универсальные.

Выход обновления Creators Update для Windows 10, предположительно, состоится в апреле — тогда вышеописанная функция станет доступна всем и каждому.


11.02.2017 [12:57],
Евгений Лазовский

Windows 10 Cloud ещё даже не была анонсирована, однако умельцы уже научились запускать на операционной системе Win32-программы, которые на ней не должны работать. Официально ОС, как и Windows RT, должна поддерживать только универсальные приложения — только если Microsoft собственноручно не внесёт программу в список исключений. Тем не менее, Windows 10 Cloud может быть обновлена до профессиональной версии операционной системы — это означает, что поддержка Win32-программ в ней всё же присутствует, однако заблокирована разработчиком.

Как сообщает сайт woafre.tk, для блокировки неподписанных приложений в Windows 10 Cloud используется технология определения целостности кода пользовательского режима (UMCI). Это означает, что операционная система блокирует доступ к функциям вроде cmd, powershell, cscript, regedit и reg, которые могли бы использоваться для обхода ограничения.

С помощью появившегося в Сети джейлбрейка можно обойти это ограничение, используя слой совместимости для запуска Linux-приложений Windows Subsystem for Linux (WSL) — через встроенную командную оболочку Bash на Windows 10 Cloud можно запускать Win32-приложения. Так, разработчику джейлбрейка удалось запустить на операционной системе браузер Chrome.

Поскольку официального анонса Windows 10 Cloud ещё даже не состоялось, велика вероятность, что Microsoft исправит эту уязвимость ещё до того, как операционная система станет доступна по всему миру. Тем не менее, использованная разработчиком методика оставляет возможность появления новых обходных путей запуска Win32-программ.


05.05.2016 [17:14],
Дмитрий Приходько

Благодаря проекту «Centennial», курируемому Microsoft, разработчики программного обеспечения получили в свои руки простой и функциональный инструмент для адаптации приложений на Win32 под современные системы. В рамках инициативы по созданию универсальной платформы Universal Windows Platform, которая должна стать базовой основой при переходе к единому стандарту Universal Windows Applications, первые Win32-программы уже появились в фирменном цифровом магазине Microsoft.

Отныне среди представленного в Windows Store ПО можно обнаружить и хорошо знакомые «олдскульным» пользователям WordPad (текстовый процессор для редактирования документов) утилиту Character Map (быстрый доступ к таблице символов), а также приложение для сканирования документации Windows Fax and Scan. Возможность их теоретического использования в среде Windows 10 стала реальной благодаря механизму «Project Centennial», однако рассчитывать на ПО пока могут лишь владельцы настольных систем. Обладателям смартфонов с Windows 10 Mobile перечисленные приложения останутся недоступными ещё неопределённое время. 

В любом случае, загрузить и опробовать в действии WordPad, Character Map или Windows Fax and Scan до выхода обновления Windows 10 Anniversary Update не получится. Тем не менее, сам факт размещения ПО в Windows Store говорит о дееспособности проекта «Centennial». 

К слову, простые пользователи могут поупражняться в преобразовании Win32-программ на собственном опыте благодаря тестовой версии утилиты Desktop App Converter, которую Microsoft выпустила в «свободное плавание». 


07.09.2009 [09:00],
Сергей и Марина Бондаренко

«Лаборатория Касперского» представила вниманию пользователей рейтинг вредоносных программ. По итогам работы Kaspersky Security Network в августе 2009 года сформированы две вирусные двадцатки. В первой из них зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы и обезврежены при первом обращении к ним — то есть в рамках работы программного компонента on-access-сканер.

Постоянные лидеры – Net-Worm.Win32.Kido.ih и Virus.Win32.Sality.aa – сохранили свои позиции. В августе в первой двадцатке появились сразу шесть новичков, среди которых есть довольно примечательные.

Наиболее интересен Virus.Win32.Induc.a. Для своего размножения Virus.Win32.Induc.a использует механизм двушагового создания исполняемых файлов, реализованный в среде Delphi: исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows-файлы. Учитывая, что множество программных продуктов еще на этапе компиляции было заражено этим вирусом, неудивительно, что он сразу же после обнаружения прорвался на десятое место рейтинга.

Еще выше — сразу на третьей позиции — в рейтинге оказался другой новичок not-a-virus:AdWare.Win32.Boran.z – компонент популярной в Китае панели инструментов Baidu Toolbar для Internet Explorer. В нем используются различные руткит-технологии для затруднения удаления этой панели пользователем с помощью стандартных методов.

Trojan.Win32.Swizzor.b и Packed.Win32.Katusha.b, занявшие соответственно 14-е и 15-е места, – последователи первых версий этих зловредов, ранее попадавших в рейтинг. Причем оба эти новичка отличаются крайне вычурными и усовершенствованными по сравнению с прошлыми модификациями методами обфускации исполняемого кода.

Появившегося в мае червя P2P-Worm.Win32.Palevo.ddm сменил его родственник Palevo.jaj, занявший последнюю позицию в рейтинге. Надо признать, что это довольно опасный зловред: помимо распространения по файлообменным сетям, он заражает сменные носители и рассылается по службам мгновенных сообщений. Более того, у него также есть внушительный backdoor-функционал, который позволяет злоумышленнику гибко управлять зараженными компьютерами.

В целом, наиболее ярким впечатлением месяца было появление Virus.Win32.Induc, который обозначил инновационный подход к заражению компьютеров пользователей.

Вторая двадцатка составлена на основе данных, полученных в результате работы веб-антивируса, и характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые делали попытку загрузиться с веб-страниц.

Вторая двадцатка в августе больше чем наполовину состоит из новых образцов творчества злоумышленников. На первом месте все тот же not-a-virus:AdWare.Win32.Boran.z, о котором рассказано выше.

В интернете существует множество страниц, с которых распространяются поддельные антивирусы. Один из скриптов, с помощью которых это делается, оказался на 12 месте рейтинга. Антивирус Касперского детектирует его как Trojan-Downloader.JS.FraudLoad.d. При посещении сайта, на котором размещен такой скрипт, пользователя извещают о том, что его компьютер якобы заражен множеством зловредных программ, и предлагают их удалить. Если пользователь соглашается, ему на компьютер загружается поддельный антивирус – FraudTool.

Функциональность троянца Redirector.l заключается в перенаправлении поисковых запросов пользователя на определенные серверы для накрутки числа посещений, загрузчик же Iframe.bmu является типичным контейнером, содержащим внутри себя набор различных эксплойтов, в данном случае для продуктов Adobe.

Тенденции июля сохраняются: злоумышленники так же активно используют уязвимости к популярным программным продуктам. Также очень динамично распространяются поддельные антивирусы и тривиальные iframe-кликеры. Можно предположить, что ситуация сохранится, ведь эти схемы являются практически беспроигрышными для злоумышленников.

Материалы по теме:

— Kaspersky Internet Security 2009: новый щит от современных угроз;
— Антивирус Касперского и его конкуренты.


17.06.2009 [12:15],
Сергей и Марина Бондаренко

«Лаборатория Касперского» сообщила об обнаружении 25-миллионной вредоносной компьютерной программы.

Каждый год число компьютерных угроз увеличивается в несколько раз. «Лаборатория Касперского» прогнозировала десятикратный рост количества вредоносных программ: с 2,2 млн. в 2007 г. до 20 млн. в 2008. Однако темпы развития киберпреступной индустрии опередили даже самые смелые прогнозы.

Экспертами «Лаборатории Касперского» девятого июня был обнаружен сетевой червь, ставший 25-миллионной вредоносной программой, добавленной в антивирусные базы компании. «Юбилейным» червем стала очередная модификация Koobface, Net-Worm.Win32.Koobface, нацеленного на пользователей популярных социальных сетей Facebook и MySpace.

Для распространения червь использует простой метод. Пользователь социальной сети получает якобы от своего друга ссылку на некий видеоролик, хранящийся на неизвестном сайте, затем, при попытке просмотреть видео, ему сообщается о необходимости обновить Flash Player. Однако вместо обновления на компьютер пользователя устанавливается червь Koobface, который содержит в себе бэкдор-функционал, позволяющий получать команды от сервера управления.

Материалы по теме:

— Kaspersky Internet Security 2009: новый щит от современных угроз;
— Антивирус Касперского и его конкуренты.


08.05.2009 [18:34],
Сергей и Марина Бондаренко

«Лаборатория Касперского»сообщила о детектировании и лечении нового варианта уникального MBR-руткита.

Новый вариант вредоносной программы Sinowal, обладающей функционалом скрытия своего присутствия в системе при помощи заражения главной загрузочной записи (MBR, Master Boot Record) жесткого диска, был обнаружен экспертами компании в конце марта 2009 года.

Однако новый вариант стал настоящим сюрпризом для исследователей. В отличие от прошлых версий, новая модификация Backdoor.Win32.Sinowal для предотвращения своего обнаружения использует гораздо более глубокий уровень внедрения в систему. Метод скрытия, реализованный в данном варианте, использует перехваты на уровне объектов устройств — самом «глубоком» уровне работы операционной системы. Никогда ранее злоумышленники не обращались к таким продвинутым технологиям. Из-за этого ни один из существовавших антивирусных продуктов на момент появления новой модификации Sinowal не был в состоянии не только вылечить пораженные Backdoor.Win32.Sinowal компьютеры, но и даже обнаружить проблему. После проникновения в систему буткит обеспечивает скрытое функционирование главного модуля, ориентированного на кражу персональных данных пользователей и их различных аккаунтов.

По данным экспертов «Лаборатории Касперского», буткит активно распространяется на протяжении последнего месяца с ряда вредоносных сайтов, использующих набор уязвимостей Neosploit. Одним из основных способов проникновения в систему является использование уязвимости в Adobe Acrobat Reader, вызывающей исполнение вредоносного PDF-файла, загруженного без ведома пользователя.

Обнаружение и лечение данного буткита, который до сих пор распространяется в Интернете, является наиболее сложной задачей из всех, с которыми приходилось сталкиваться специалистам антивирусной индустрии на протяжении нескольких лет. «Лаборатория Касперского» одной из первых среди ведущих антивирусных компаний реализовала в своих существующих персональных антивирусных решениях не только детектирование, но и успешное лечение данного варианта Sinowal.

Для того чтобы проверить компьютер на наличие заражения, пользователям персональных продуктов необходимо обновить антивирусные базы и провести полную проверку системы. В случае обнаружения буткита в ходе лечения потребуется перезагрузка компьютера. Кроме этого, эксперты «Лаборатории Касперского» рекомендуют всем пользователям установить необходимые патчи, закрывающие уязвимости в Acrobat Reader и используемых браузерах.

Материалы по теме:

— Kaspersky Internet Security 2009: новый щит от современных угроз.


27.04.2009 [19:33],
Сергей и Марина Бондаренко

Специалисты компании ESET предупреждают о распространении в глобальной сети новой троянской программы Win32/Hexzone.AP. Вредоносная программа зафиксирована с помощью технологии раннего обнаружения новых угроз ThreatSense.Net. Троян взаимодействует с командно-контрольным сервером, используя протокол HTTP. Зараженный компьютер становится частью подконтрольного вирусописателям бот-нета, который может использоваться для рассылки спама, DDoS-атак и загрузки другого вредоносного ПО.

Win32/Hexzone.AP упакован с помощью стандартного упаковщика, который используется для безобидных файлов. Программа инициирует множественные обращения к графическому интерфейсу API, что может ввести в заблуждение системы защиты и вирусных экспертов, поскольку подобное поведение свойственно легитимным приложениям.

Источник распространения Win32/Hexzone.AP находится в Великобритании. В этой же стране обнаружен командно-контрольный сервер, с которым взаимодействуют зараженные ПК. Однако оба сервера используют доменные имена, зарегистрированные в России. Специалисты ESET уже зафиксировали случаи, когда Hexzone.AP инсталлировал на компьютеры пользователей вредоносное ПО с русским интерфейсом. Основная функция данного ПО – вымогательство.

На данный момент троянская программа успешно детектируется эвристическими методами. По данным статистики ESET, троян пока не входит в двадцатку самых распространенных мировых угроз. Однако только за прошлую неделю специалисты компании зафиксировали 140 тыс. случаев детектирования данной угрозы в сети Интернет.

Материалы по теме:

— Kaspersky Internet Security 2009: новый щит от современных угроз;
— Norton 360: защита на 360 градусов.


16.01.2009 [17:38],
Арсений Герасименко

Специалисты «Доктор Веб» недавно опубликовании информацию о широком распространении опасного сетевого червя Win32.HLLW.Shadow.based, который использует несколько альтернативных методов распространения, один из которых — уязвимости операционной системы Windows, которой подвержены Windows 2000 и более поздние версии, вплоть до бета-версии Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет постоянно видоизменяющийся (полиморфный) упаковщик, что затрудняет его анализ.

Данная вредоносная программа была создана с целью формирования очередной бот-сети. В ходе работы вируса делаются запросы на загрузку исполняемых файлов со специально созданных для этого серверов, установку и запуск этих программ на компьютерах, входящих в эту бот-сеть. Целью преступников может быть как самостоятельное извлечение прибыли из построенной бот-сети, так и её продажа. К сожалению, недостатка в спросе на работающие бот-сети в настоящее время нет.

Процедура лечения системы от Win32.HLLW.Shadow.based и меры по профилактике подобных методов заражений выглядит так: для начала нужно установить патчи, указанные в следующих информационных бюллетенях Microsoft:

Затем нужно отключить компьютер от локальной сети и от интернета. Если компьютеры подсоединены к локальной сети, то вылеченный ПК необходимо подключать обратно к локальной сети лишь после того, как будут вылечены все компьютеры, находящиеся в сети. В самом конце необходимо скачать текущую версию утилиты Dr.Web CureIt! и просканировать все диски.

Материалы по теме:

— Опасный вирус-шантажист: будьте внимательны!;
— McAfee AVERT Stinger 10: поиск вирусов.


16.01.2009 [15:26],
Сергей и Марина Бондаренко

Компания «Доктор Веб» информирует о широком распространении опасного сетевого червя Win32.HLLW.Shadow.based, который использует несколько альтернативных методов распространения, один из которых — уязвимости операционной системы Windows, которой подвержены Windows 2000 и более поздние версии, вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет постоянно видоизменяющийся (полиморфный) упаковщик, что затрудняет его анализ.
Сетевой червь Win32.HLLW.Shadow.based, некоторые образцы которого также могут определяться антивирусом Dr.Web как Win32.HLLW.Autorunner.5555, использует для своего распространения сразу несколько способов. Прежде всего — съёмные носители и сетевые диски посредством встроенного в Windows механизма автозапуска. В этом случае имя вредоносного файла является случайным и содержится в папке вида RECYCLERS-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx. Такую же структуру папок использует Корзина Windows для хранения удалённых файлов, что позволяет вирусу оставаться незаметным для пользователя.

Кроме того, червь может распространяться по сети с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также пароли из своего словаря. При положительном результате поиска червь копирует себя в системную папку компьютера-жертвы и создаёт задание на запуск через определённый промежуток времени.

Наконец, вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению буфера. В результате данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP.

После запуска Win32.HLLW.Shadow.based проверяет, в каком процессе он находится, и если это процесс rundll32.exe, то внедряет свой код в системные процессы svchost.exe и explorer.exe. Затем вирус открывает в Проводнике текущую папку и прекращает свою работу.

Если Win32.HLLW.Shadow.based определяет, что он находится не в процессе rundll32.exe, то он создает свою копию со случайным именем и прописывает её в качестве службы Windows, а также в реестр для обеспечения автозапуска после перезагрузки компьютера и останавливает работу службы обновления Windows. Далее в системе устанавливается собственная реализация HTTP-сервера, с помощью которого начинается распространение вируса по сети.

Если вирус определяет, что он находится в процессе svchost.exe, запущенном в качестве DNS-клиента, то внедряет свой код в функции работы DNS на компьютере, тем самым блокируя доступ к сайтам множества антивирусных компаний.

В состав Win32.HLLW.Shadow.based входит драйвер, который изменяет в памяти системный файл tcpip.sys с целью увеличения стандартного ограничения системы на количество одновременных сетевых подключений.

Данная вредоносная программа была создана с целью формирования очередной бот-сети. В ходе работы вируса делаются запросы на загрузку исполняемых файлов со специально созданных для этого серверов, установку и запуск этих программ на компьютерах, входящих в эту бот-сеть. Целью преступников может быть как самостоятельное извлечение прибыли из построенной бот-сети, так и её продажа. К сожалению, недостатка в спросе на работающие бот-сети в настоящее время нет.

Для лечения системы от Win32.HLLW.Shadow.based и профилактики заражения рекомендуется установить патчи, указанные в следующих информационных бюллетенях Microsoft: MS08-067, MS08-068, MS09-001. Также необходимо отключить компьютер от локальной сети и от Интернета. Если компьютеры подсоединены к локальной сети, то вылеченный компьютер необходимо подключать обратно к локальной сети лишь после того, как будут вылечены все компьютеры, находящиеся в сети. Лечение системы можно произвести при помощи бесплатной утилиты Dr.Web CureIt!.

Материалы по теме:

— Dr.WEB для Windows — Антивирус + Антиспам.


17.07.2008 [09:45],
Сергей и Марина Бондаренко

«Лаборатория Касперского» сообщила об обнаружении вредоносной программы, заражающей аудиофайлы формата WMA. Целью заражения является загрузка троянской программы, позволяющей злоумышленнику установить контроль над компьютером пользователя.

Червь, получивший название Worm.Win32.GetCodec.a, конвертирует mp3-файлы в формат WMA (при этом сохраняя расширение mp3) и добавляет в них маркер, содержащий в себе ссылку на зараженную web-страницу. Активация маркера осуществляется автоматически во время прослушивания файла и приводит к запуску браузера Internet Explorer, который переходит на инфицированную страницу, где пользователю предлагается скачать и установить некий файл, выдаваемый за кодек. Если пользователь соглашается на установку, то на его компьютер загружается троянская программа Trojan-Proxy.Win32.Agent.arp, с помощью которой злоумышленник может получить контроль над атакованным ПК.

До этого формат WMA использовался троянскими программами только в качестве маскировки, то есть зараженный объект не являлся музыкальным файлом.

Особенностью же данного червя является заражение чистых аудиофайлов, что, по мнению вирусных аналитиков «Лаборатории Касперского», является первым случаем подобного рода и повышает вероятность успешной атаки, так как пользователи обычно с большим доверием относятся с собственным медиафайлам и не связывают их с опасностью заражения.

Стоит особо отметить, что файл, который находится на подложной странице, обладает электронной цифровой подписью компании Inter Technologies и определяется выдавшим ЭЦП ресурсом www.usertrust.com как доверенный.

Материалы по теме:

— Антивирус Касперского 7.0;
— Антивирус Касперского и его конкуренты.


14.05.2008 [18:44],
Сергей и Марина Бондаренко

Компания «Доктор Веб» опубликовала обзор вирусной активности за апрель. Специалисты компании отмечают, что главным событием месяца стало обнаружение новой модификации вредоносной программы, получившей по классификации Dr.Web наименование BackDoor.MaosBoot. Данная вредоносная программа относится к новому классу вирусов, представляя собой комбинацию из загрузочного вируса и руткита. BackDoor.MaosBoot нацелен, в основном, на проникновение в компьютеры пользователей с целью извлечения конфиденциальной финансовой информации. Вирус обладает обширным списком программ класса «банк-клиент». Усовершенствованная версия вируса с легкостью похищает с зараженных компьютеров по данному списку конфиденциальную финансовую информацию.

В середине апреля службой вирусного мониторинга «Доктор Веб» был зафиксирован всплеск спам-рассылки загрузчика уже подзабытой вредоносной программы Win32.HLLM.Limar. И, хотя данный всплеск не носил эпидемический характер, однако дал понять, что, в будущем, возможно, будет более масштабное распространение этой вредоносной программы.

Однако по-настоящему знаковым событием стало развенчание службой вирусного мониторинга мифа о несуществовании варианта вредоносной программы, известной как Rustock.C. Данная вредоносная программа получила наименование Win32.Ntldrbot по классификации Dr.Web. Главное предназначение Win32.Ntldrbot – заражать ПК, превращая их в боты, с которых впоследствии можно рассылать спам, и создавать из таких зараженных компьютеров ботнеты – гигантские сети по рассылке спама. Но не только заражать, а еще и оставаться абсолютно невидимым. Что с успехом и делал этот руткит предположительно с октября 2007 года! По оценке компании Secure Works, бот-сеть, созданная Rustock, стоит на третьем месте среди крупнейших бот-сетей и способна рассылать ежедневно до 30 миллиардов спам-сообщений. Основная область «специализации» этой сети — ценные бумаги и фармацевтика.

Материалы по теме:

— Dr.WEB для Windows — Антивирус + Антиспам.

Kaspersky Threats — Kido

При запуске червь внедряет свой код в адресное пространство одного из запущенных системных процессов “svchost.exe”. Внедренный код выполняет основной деструктивный функционал червя:

  • отключает следующие службы:
    wuauserv
    
    
    
    BITS
  • блокирует доступ к адресам, содержащим следующие строки:
    indowsupdate
    
    
    
    wilderssecurity
    
    
    
    threatexpert
    
    
    
    castlecops
    
    
    
    spamhaus
    
    
    
    cpsecure
    
    
    
    arcabit
    
    
    
    emsisoft
    
    
    
    sunbelt
    
    
    
    securecomputing
    
    
    
    rising
    
    
    
    prevx
    
    
    
    pctools
    
    
    
    norman
    
    
    
    k7computing
    
    
    
    ikarus
    
    
    
    hauri
    
    
    
    hacksoft
    
    
    
    gdata
    
    
    
    fortinet
    
    
    
    ewido
    
    
    
    clamav
    
    
    
    comodo
    
    
    
    quickheal
    
    
    
    avira
    
    
    
    avast
    
    
    
    esafe
    
    
    
    ahnlab
    
    
    
    centralcommand
    
    
    
    drweb
    
    
    
    grisoft
    
    
    
    eset
    
    
    
    nod32
    
    
    
    f-prot
    
    
    
    jotti
    
    
    
    kaspersky
    
    
    
    f-secure
    
    
    
    computerassociates
    
    
    
    networkassociates
    
    
    
    etrust
    
    
    
    panda
    
    
    
    sophos
    
    
    
    trendmicro
    
    
    
    mcafee
    
    
    
    norton
    
    
    
    symantec
    
    
    
    microsoft
    
    
    
    defender
    
    
    
    rootkit
    
    
    
    malware
    
    
    
    spyware
    
    
    
    virus

Также червь может скачивать файлы по ссылкам вида:

http:///search?q=

где rnd2 – случайное число, URL – ссылка, сфромированная по специальному алгоритму в зависимости от текущей даты. Текущую дату червь запрашивает с одного из следующих сайтов:

http://www.w3.org



Home
http://www.msn.com http://www.yahoo.com http://www.google.com http://www.baidu.com

Скачанные файлы сохраняются в системный каталог Windows (%System%) с оригинальными именами.

Например Net-Worm.Win32.Kido.ir:

Данный скрипт используется для запуска библиотеки червя из семейства Kido при подключении к компьютеру съемных носителей. Содержимое файла скрипта обфусцировано путем добавления случайного набора символов. Восстановив обфусцированные данные получаем следующий код скрипта автозапуска:

[AUTorUN]

AcTION=Open folder to view files

icon=%syStEmrOot%sySTEM32sHELL32.Dll,4

OpEn=RunDll32.EXE .RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665jwgkvsq.vmx,ahaezedrn

sHEllExECUTe=RUNdLl32.ExE .RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665jwgkvsq.vmx,ahaezedrn

useAuTopLAY=1

Подразумевается, что библиотека червя находится в следующей папке на съемном носителе:

.RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665jwgkvsq.vmx

Данная версия скрипта отображает фразу “Открыть папку для просмотра файлов” на английском языке в диалоговом окне автозапуска.

c ++ — Где моя программа win32 должна хранить свои файлы?

Наши приложения win32 (написанные на C ++) существуют уже более 10 лет и не обновлялись в соответствии с «передовой практикой» в отношении того, где они хранят файлы. По умолчанию приложение устанавливается в папку «C: \ AppName» и хранит созданные приложением файлы, файлы конфигурации, загруженные файлы и сохраненные пользовательские документы во вложенных папках этой папки.

По-видимому, в настоящее время «лучшие практики» по умолчанию устанавливаются в папку «c: \ Program Files \ AppName».Но если мы это сделаем, где мы должны хранить остальные наши файлы? Начиная с Vista, запись в папку программных файлов проблематична, и, похоже, существует миллион других мест, куда можно поместить разные файлы, и я запутался.

Где-то есть ссылка на то, что куда идет?


Edit: Чтобы расширить вопросы, которые люди уже задавали:


Я знаком с функцией SHGetFolderPath, но есть много-много параметров, которые вы можете получить от нее, и я не могу найти ресурс, в котором говорится: «Вот именно для чего используется каждый из этих параметров, и когда вы, возможно, захотите его использовать «.

До сих пор мы выполняли функцию «Все файлы, включая сохраненные пользовательские файлы, в одной папке», и она работала нормально, но не тогда, когда люди хотят установить приложение в папку Program Files. По какой-то причине виртуализация, которой занимается Vista, не работает для нашего приложения; если мы все равно собираемся вносить изменения, мы могли бы также приложить усилия, чтобы сделать что-то «правильным» способом, поскольку мы не хотим менять его снова через 12 месяцев.


Дополнительный вопрос:


Мы включаем в наше приложение несколько «образцов» документов, которые мы время от времени обновляем.Уместно ли устанавливать их в Мои документы, если мы будем перезаписывать их каждые несколько месяцев? Или предполагается, что Мои документы полностью безопасны для пользователей?

Если мы не можем установить их в Мои документы, где мы должны их разместить, чтобы пользователи могли легко их увидеть?

Что это такое и почему его нельзя удалить

Проведите некоторое время в Интернете, и вы, вероятно, встретите шутника, который советует вам удалить папку Windows System32 на вашем компьютере.Но что это за загадочная папка Windows и почему кто-то скажет вам удалить ее?

А что будет, если вы действительно удалите System32? Вот факты.

Что такое System32?

System32 — это папка, включенная в каждую версию Windows, начиная с Windows 2000.Он расположен по адресу C: \ Windows \ System32 и включает в себя всевозможные файлы и папки, которые жизненно важны для правильной работы Windows.

В System32 слишком много файлов, чтобы обсуждать их индивидуально, хотя пользователь на форумах Symantec объяснил многие из них, если вам интересно.В общем, вы можете разбить большую часть содержимого System32 на две группы:

  • Файлы DLL (библиотеки динамической компоновки) позволяют программам получать доступ к частям Windows и выполнять стандартные задачи.Например, один файл DLL может позволять компьютеру воспроизводить звук, а другой может включать автоматические обновления Windows. Многие библиотеки DLL запускаются, как только вы загружаете компьютер. Windows не могла запуститься без них, поэтому исправление ошибок DLL — такая боль.
  • EXE (исполняемые) файлы — это программные приложения и утилиты. Вы запускаете исполняемый файл каждый раз, когда открываете программное обеспечение, такое как Word или Chrome. Но файлы EXE в System32 более важны: помимо утилит Windows, таких как Event Viewer ( eventvwr.exe ), в их число входят исполняемые файлы для жизненно важных процессов диспетчера задач, таких как winlogon.exe . Без этого вы даже не смогли бы войти в свой компьютер.

Помимо этого, System32 также содержит папку drivers (содержимое которой позволяет вашему компьютеру взаимодействовать с различным оборудованием), языковые файлы и многое другое.

Как удалить папку System32 в Windows

Несмотря на шутки в Интернете, удаление System32 — это не дело одного щелчка мыши.Поскольку это защищенная системная папка, Windows откажет вам в доступе, если вы попытаетесь ее удалить. Этого достаточно, чтобы неопытные пользователи случайно не удалили папку.

Однако, если вы настойчивы, вы можете продолжить свой путь разрушения.Принятие права владения папкой позволяет вам попытаться удалить ее, но Windows снова блокирует это, поскольку она активно использует многие файлы внутри System32.

Чтобы обойти это, вы можете начать удаление отдельных файлов внутри System32 или использовать командную строку для более эффективного удаления.Если вы это сделаете, Windows позволит вам удалить файлы, которые в данный момент не используются.

Что происходит при удалении System32?

Если вы продолжите удаление случайных файлов в System32, ваш компьютер начнет медленно разрушаться.Основные функции, такие как запуск программ, поиск через меню «Пуск» и открытие утилит Windows, больше не будут работать, поскольку вы удалили файлы, от которых они зависят. Нет ни одного захватывающего момента, когда System32 «взорвется» — вместо этого она рассыпается за короткое время.

В зависимости от того, что вы удаляете, вы, вероятно, даже не сможете нормально выключить свой компьютер.После того, как вы выполните принудительное выключение и перезагрузку, вы, вероятно, обнаружите, что Windows не загружается без этих критически важных DLL. Очевидно, что на этом этапе ваша установка Windows уже на высоте.

Если вы зашли так далеко, вам придется переустановить Windows, чтобы все снова работало правильно.Такие функции, как восстановление системы, скорее всего, будут испорчены вашими действиями, поэтому вам придется переустанавливать заново.

Глядя на все это, очевидно, что Windows не зря защищает эту папку.Если она не была защищена и кто-то не знал, что лучше, они могут попытаться удалить папку, чтобы сэкономить место, и в конечном итоге получат неприятный сюрприз.

System32 vs.SysWOW64: В чем разница?

В 64-битных версиях Windows вы заметите несколько отличий папок, например отдельный каталог Program Files (x86).Нечто подобное происходит с System32. В папке C: \ Windows в 64-разрядной системе вы найдете папку с именем SysWOW64 в дополнение к System32.

Взгляните, и вы увидите, что две папки содержат много файлов с одинаковыми именами.Как и Program Files (x86) , Windows включает эти два отдельных каталога для совместимости с 32-разрядными программами. Если 32-разрядная программа попытается загрузить 64-разрядную DLL, произойдет сбой.

Но что странно, в 64-битных системах System32 имеет 64-битные файлы, а SysWOW64 содержит 32-битные файлы.Как оказалось, WoW64 означает W, , 32-битный или , W, , 64, -битный. Это служба, которая позволяет ОС правильно запускать 32-битные программы даже в 64-битной системе.

Частично это достигается путем автоматического перенаправления 32-битных процессов на использование соответствующих папок.32-битная программа, даже не зная о существовании 64-битного программного обеспечения, естественно попытается получить доступ к папке System32 . Но WoW перенаправляет его на использование SysWOW64 вместо этого. То же самое происходит с Program Files .

Поскольку многие старые 32-разрядные программы были жестко запрограммированы для доступа к System32 и Program Files, этот метод перенаправления позволяет 32-разрядным и 64-разрядным программам легко работать в одной системе.Это немного сбивает с толку, но теперь вы знаете причину.

А как насчет вирусов System32?

Возможно, в System32 может скрываться вирус или другое вредоносное ПО.Руткит может попытаться вторгнуться в папку и замаскироваться под законный процесс, что вы можете заметить из-за необычно высокой загрузки ЦП.

Если вы подозреваете, что у вас есть вирус System32, не пытайтесь удалить или изменить какие-либо затронутые файлы.У вас больше шансов случайно повредить вашу систему, чем вы очищаете инфекцию таким способом.

Вместо этого вы должны сканировать с помощью надежной антивирусной программы, а затем использовать антивирусный сканер, такой как Malwarebytes.

Знакомство с System32 в Windows

Теперь вы знаете все о System32, о том, что она делает и что произойдет, если вы ее удалите.

Если вы ничего не помните, просто знайте, что System32 содержит набор жизненно важных файлов, необходимых Windows для правильной работы.Вы не можете удалить System32 без намеренного обхода встроенных средств защиты, и вам почти наверняка придется переустановить Windows, если вы уничтожите папку.

Чтобы узнать больше, ознакомьтесь с решениями, позволяющими разгадывать загадки Windows.

6 лучших приложений для организации файлов в Windows и программы для организации файлов

Организация файлов в Windows утомительно.Позвольте этим замечательным приложениям для организации файлов Windows сделать это за вас!

Об авторе

Бен Штегнер
(Опубликовано 1659 статей)

Бен — заместитель редактора и менеджер по адаптации в MakeUseOf.Он оставил свою работу в сфере ИТ, чтобы писать полный рабочий день в 2016 году, и никогда не оглядывался назад. В качестве профессионального писателя он освещал технические руководства, рекомендации по видеоиграм и многое другое уже более шести лет.

Более
От Бена Стегнера

Подпишитесь на нашу рассылку новостей

Подпишитесь на нашу рассылку, чтобы получать технические советы, обзоры, бесплатные электронные книги и эксклюзивные предложения!

Еще один шаг…!

Подтвердите свой адрес электронной почты в только что отправленном вам электронном письме.

Certutil и альтернативные потоки данных

Эта статья является частью серии «Жизнь за пределами земли с Microsoft». Ознакомьтесь с остальным:

Нам не нравится думать, что основные двоичные файлы Windows на наших серверах представляют собой замаскированные вредоносные программы, но это не такая уж странная идея. Инструменты ОС, такие как regsrv32 и mshta (LoL-ware), являются эквивалентом в невиртуальном мире садовых инструментов и стремянок, оставленных возле кухонного окна.Конечно, эти инструменты полезны для работы во дворе, но, к сожалению, они также могут быть использованы плохими парнями.

Например, приложение HTML или HTA, о котором я писал в прошлый раз. В какой-то момент был полезным инструментом разработки, который позволял ИТ-специалистам использовать HTML и JavaScript или VBScript для создания веб-приложений (без всякого браузера Chrome). Это было еще в начале нулевых.

Получите бесплатное тестирование на проникновение в средах Active Directory EBook

«Это действительно открыло мне глаза на безопасность AD, чего никогда не делала защитная работа.”

Microsoft больше не поддерживает HTA, но они оставили лежащий в основе исполняемый файл, mshta.exe, валяться на виртуальной лужайке Windows — в папке Windows \ System32.

И хакеры слишком хотели этим воспользоваться. Что еще хуже, на слишком многих установках Windows расширение файла .hta все еще связано с mshta. Жертва phishmail, которая получает вложения с файлом .hta, автоматически запускает приложение, если щелкает по нему.

Конечно, вам придется сделать больше, чем просто отсоединить.hta, чтобы остановить все атаки — см., например, защиту брандмауэра Windows в предыдущем посте. Для удовольствия я попробовал напрямую , выполнив файл .hta с помощью mshta, и вы можете увидеть результаты ниже:

Все еще сумасшедший после стольких лет: mshta .and .hta

Работало нормально.

В сценарии взлома, когда злоумышленник уже находится на компьютере жертвы, она может загрузить следующую фазу, используя, скажем, curl, wget или DownloadString PowerShell, а затем запустить встроенный JavaScript с помощью mshta.

Но хакеры слишком умны, чтобы раскрыть то, что они делают, с помощью очевидных команд передачи файлов! Весь смысл жизни за пределами земли с использованием существующих двоичных файлов Windows заключается в том, чтобы скрыть действия.

Удаленная загрузка Certutil и Curl-free

Это приводит к certutil, еще одному двоичному файлу Windows, который служит двойным целям. Его функция состоит в том, чтобы выгружать, отображать и настраивать информацию центра сертификации (ЦС). Вы можете прочитать больше об этом здесь.

В 2017 году Кейси Смит, тот же исследователь информационной безопасности, который рассказал нам о рисках, связанных с regsrv32, обнаружил двойное применение certutil.Смит заметил, что certutil можно использовать для загрузки удаленного файла.

Это инструмент сертификации. Нет, это скрытый способ загрузки вредоносного ПО. Certutil — это и то, и другое!

В этом нет ничего удивительного, поскольку certutil имеет удаленные возможности, но явно не проверяет формат файла — эффективно превращая certutil в версию curl для LoL -ware.

Как оказалось, хакеры намного опередили исследователей. Сообщается, что бразильцы уже некоторое время используют certutil.

Таким образом, если хакеры получают доступ к оболочке, скажем, посредством атаки с использованием SQL-инъекции, они могут использовать certutil для загрузки, скажем, удаленного сценария PowerShell для продолжения атаки — без запуска каких-либо сканеров вирусов или вредоносных программ, которые ищут очевидные инструменты взлома.

Скрытие исполняемых файлов с помощью альтернативных потоков данных (ADS)

Могут ли нападающие стать еще более незаметными? К сожалению, да!

У удивительно умного Оддвара Мо есть отличная статья об альтернативных потоках данных и о том, как их можно использовать для сокрытия вредоносных скриптов и исполняемых файлов в файле.

ADS был ответом Microsoft на поддержку совместимости с файловой системой Apple McIntosh. Говоря языком Mac, файлы содержат множество метаданных в дополнение к обычным данным, с которыми они связаны. Чтобы можно было хранить эти метаданные в Windows, Microsoft создала ADS.

Например, я могу сделать что-то вроде этого:

Омг, я направил текст в файл, и размер файла не изменился! Куда оно делось? Это в ADS. #stealthy

На первый взгляд может показаться, что я направляю текст своего.hta в файл «stuff.txt».

Внимательно посмотрите на приведенный выше снимок экрана и обратите внимание на прикрепленный «: evil.ps1». А затем сместите фокус на размер «stuff.txt»: он остается равным 0 байтам!

Что случилось с текстом, который я направил в файл? Это , скрытый в части ADS файловой системы Windows. Оказывается, я могу напрямую запускать сценарии и двоичные файлы, которые тайно хранятся в ADS-части файловой системы.

и еще одна вещь

В следующий раз мы подробнее рассмотрим ADS.Более важным моментом является высокий уровень скрытности, которого можно достичь с помощью подхода LoL к взлому. Существуют и другие двоичные файлы, которые обслуживают двойные мастера, и вы можете найти их полный список на github.

Например, существует класс двоичных файлов Windows — например, esentutil, extrac32 и другие — который действует как средство копирования файлов. Другими словами, злоумышленникам необязательно раскрывать себя с помощью очевидной команды Windows «копировать».

Таким образом, программное обеспечение для обнаружения безопасности, основанное на сканировании журнала событий Windows в поисках обычных файловых команд Windows, пропустит скрытую хакерскую активность файлов на основе LoL.

Урок заключается в том, что вам нужна, кхм, платформа безопасности, которая может анализировать необработанную активность файловой системы, чтобы определить, что на самом деле происходит. А затем уведомите свою группу безопасности, когда она обнаружит необычный доступ к базовым файлам и каталогам.

Вас немного пугает подход Lolware к взлому? Наша платформа безопасности данных Varonis может обнаружить то, что хакеры не хотят, чтобы вы видели. Узнайте больше!

chef / win32-dir: серия констант и дополнительных или переопределенных методов для класса Dir в Windows

.

Ряд дополнительных констант для класса Dir, которые определяют специальные папки в системах MS Windows, а также методы для создания и обнаружения пересечений, т.е.е. символические ссылки для каталогов.

Установка

  gem установить win32-dir
  

Краткое содержание

 требует win32 / dir


# C: \ WINNT или C: \ WINDOWS
помещает Dir :: WINDOWS

# C: \ Documents and Settings \ Daniel \ Start Menu \ Programs \ Administrative Tools
помещает Dir :: ADMINTOOLS


Dir.mkdir ('C: \ from')
Dir.create_junction ('C: \ to', 'C: \ from') 

Константы

Не все из них гарантированно будут определены в вашей системе. Также обратите внимание, что каталоги просто определены.Это не обязательно означает, что они действительно существуют.

Должны быть определены следующие константы:

Директория :: ADMINTOOLS

Каталог файловой системы, который используется для хранения административных инструментов отдельного пользователя. Консоль управления Microsoft (MMC) сохранит настроенные консоли в этот каталог и будет перемещаться вместе с пользователем.

Директория :: COMMON_ADMINTOOLS

Каталог файловой системы, содержащий инструменты администрирования для всех пользователей компьютера.

Директ :: APPDATA

Каталог файловой системы, служащий общим хранилищем данных для конкретных приложений. Типичный путь — C: \ Documents and Settings \

.

\ Данные приложения.

Этот CSIDL поддерживается распространяемым файлом shfolder.dll для систем, в которых не установлена ​​интегрированная оболочка Microsoft Internet Explorer 4.0.

Директория :: COMMON_APPDATA

Каталог файловой системы, содержащий данные приложения для всех пользователей. Типичный путь — C: \ Documents and Settings \ All Users \ Application Data.

Директория :: COMMON_DOCUMENTS

Каталог файловой системы, содержащий документы, общие для всех пользователей. Типичный путь — C: \ Documents and Settings \ All Users \ Documents.

Директ :: COOKIES

Каталог файловой системы, который служит общим хранилищем файлов cookie в Интернете. Типичный путь — C: \ Documents and Settings \

.

\ Файлы cookie.

Директор :: ИСТОРИЯ

Каталог файловой системы, который служит общим хранилищем для элементов истории Интернета.

Директория :: INTERNET_CACHE

Каталог файловой системы, который служит общим хранилищем временных файлов Интернета. Типичный путь — C: \ Documents and Settings \

.

\ Local Settings \ Temporary Internet Files.

Директория :: LOCAL_APPDATA

Каталог файловой системы, служащий хранилищем данных для локальных (не роуминговых) приложений. Типичный путь — C: \ Documents and Settings \

.

\ Локальные настройки \ Данные приложения.

Dir :: MYPICTURES

Каталог файловой системы, служащий общим хранилищем файлов изображений.Типичный путь — C: \ Documents and Settings \

.

\ Мои документы \ Мои рисунки.

Директ :: ЛИЧНЫЙ

Виртуальная папка, представляющая элемент рабочего стола «Мои документы». Это эквивалент Dir :: MYDOCUMENTS.

Директория :: PROGRAM_FILES

Папка Program Files. Типичный путь — C: \ Program Files.

Директория :: PROGRAM_FILES_COMMON

Папка для компонентов, совместно используемых приложениями. Типичный путь — C: \ Program Files \ Common.

Директория :: SYSTEM

Системная папка Windows.Типичный путь — C: \ Windows \ System32.

Директория :: WINDOWS

Каталог Windows или SYSROOT. Это соответствует переменным среды% windir% или% SYSTEMROOT%. Типичный путь — C: \ Windows.

Могут быть определены или не определены следующие константы:

Директор :: ALTSTARTUP

Каталог файловой системы, соответствующий нелокализованной группе программ запуска пользователя.

Директ :: BITBUCKET

Виртуальная папка, содержащая объекты в корзине пользователя.

Директория :: CDBURN_AREA

Каталог файловой системы, служащий промежуточной областью для файлов, ожидающих записи на компакт-диск.

Директория :: COMMON_ALTSTARTUP

Каталог файловой системы, соответствующий нелокализованной группе программ запуска для всех пользователей.

Директория :: COMMON_DESKTOPDIRECTORY

Каталог файловой системы, содержащий файлы и папки, которые отображаются на рабочем столе для всех пользователей. Типичный путь — C: \ Documents and Settings \ All Users \ Desktop.

Директ :: COMMON_FAVORITES

Каталог файловой системы, который служит общим хранилищем избранных элементов, общих для всех пользователей.

Директ :: COMMON_MUSIC

Каталог файловой системы, служащий хранилищем музыкальных файлов, общих для всех пользователей.

Директ :: COMMON_PICTURES

Каталог файловой системы, служащий хранилищем файлов изображений, общих для всех пользователей.

Директ :: ОБЩИЕ ПРОГРАММЫ

Каталог файловой системы, содержащий каталоги для общих групп программ, которые отображаются в меню «Пуск» для всех пользователей.

Директ :: COMMON_STARTMENU

Каталог файловой системы, содержащий программы и папки, которые отображаются в меню «Пуск» для всех пользователей.

Директория :: COMMON_STARTUP

Каталог файловой системы, содержащий программы, которые появляются в папке автозагрузки для всех пользователей.

Директория :: COMMON_TEMPLATES

Каталог файловой системы, содержащий шаблоны, доступные всем пользователям.

Директ :: COMMON_VIDEO

Каталог файловой системы, который служит хранилищем видеофайлов, общих для всех пользователей.

Директ :: КОНТРОЛЬ

Виртуальная папка, содержащая значки приложений Панели управления.

Директ :: DESKTOP

Виртуальная папка, представляющая рабочий стол Windows, корень пространства имен.

Директория :: DESKTOPDIRECTORY

Каталог файловой системы, используемый для физического хранения файловых объектов на рабочем столе (не путать с самой папкой рабочего стола).

Директ :: ПРИВОДЫ

Виртуальная папка, представляющая «Мой компьютер», содержащая все на локальном компьютере: устройства хранения, принтеры и панель управления.Папка также может содержать подключенные сетевые диски.

Директ :: ИЗБРАННОЕ

Каталог файловой системы, который служит общим хранилищем избранных элементов пользователя.

Директ :: ШРИФТЫ

Виртуальная папка со шрифтами.

Директ :: ИНТЕРНЕТ

Виртуальная папка, представляющая Интернет.

Директ :: MYDOCUMENTS

Виртуальная папка, представляющая элемент рабочего стола «Мои документы». См. Также Dir :: PERSONAL.

Директ :: MYMUSIC

Каталог файловой системы, служащий общим хранилищем музыкальных файлов.

Директор :: MYVIDEO

Каталог файловой системы, служащий общим хранилищем видеофайлов.

Директор :: NETHOOD

Каталог файловой системы, содержащий объекты ссылок, которые могут существовать в виртуальной папке «Мое сетевое окружение». Это не то же самое, что Dir :: NETWORK, который представляет корень сетевого пространства имен.

Директ :: СЕТЬ

Виртуальная папка, представляющая сетевое окружение, корень иерархии сетевого пространства имен.

Директ :: ПРИНТЕРЫ

Виртуальная папка, содержащая установленные принтеры.

Директ :: PRINTHOOD

Каталог файловой системы, содержащий объекты ссылок, которые могут существовать в виртуальной папке «Принтеры».

Директ :: ПРОФИЛЬ

Папка профиля пользователя.

Директор :: ПРОФИЛИ

Каталог файловой системы, содержащий папки профиля пользователя.

Директор :: ПРОГРАММЫ

Каталог файловой системы, содержащий группы программ пользователя (которые сами являются каталогами файловой системы).

Директ :: ПОСЛЕДНИЕ

Каталог файловой системы, содержащий ярлыки для последних использованных пользователем документов.

Директ :: SENDTO

Каталог файловой системы, содержащий пункты меню «Отправить».

Директ :: STARTMENU

Каталог файловой системы, содержащий элементы меню «Пуск».

Директ :: ЗАПУСК

Каталог файловой системы, соответствующий группе программ запуска пользователя.

Директ :: ШАБЛОНЫ

Каталог файловой системы, служащий общим хранилищем для шаблонов документов.

Заметки разработчика

Документация SHGetFolderPath () в MSDN несколько расплывчата относительно того, какие константы CSIDL гарантированно будут определены.Однако есть 15, из которых следует определить (см. Документы выше). За остальное я не ручаюсь.

Некоторые из этих папок являются виртуальными, и значением будет только отображаемое имя, а не фактический путь.

Известные ошибки

Методы Dir.create_junction и Dir.read_junction не работают с JRuby.

Пожалуйста, регистрируйте любые сообщения об ошибках на странице проекта по адресу http://www.github.com/chef/win32-dir

Планы на будущее

Предложения приветствуются.

Благодарности

Shashank Date и Zach Dennis за предложение и вспомогательные комментарии к списку рассылки.

Тимоти Берду и Аутриджусу Тангу за помощь (прямо или косвенно) в методах соединения. Тимоти предоставил чистую версию кода соединения на Ruby, которую я позже позаимствовал.

Большая часть документации была скопирована с веб-сайта MSDN.

Лицензия

Художественный 2.0

Авторские права

(C) 2003-2015 Дэниэл Дж.Бергер, Все права защищены

Гарантия

Этот пакет предоставляется «как есть» без каких-либо явных или подразумеваемых гарантий, включая, помимо прочего, подразумеваемые гарантии товарной пригодности и пригодности для определенных целей.

Авторы

  • Дэниел Дж. Бергер
  • Парк Хисоб

Почему в 64-битной операционной системе есть папка system32?

Причина : для обеспечения обратной совместимости

Что такое обратная совместимость?
Обратная совместимость — это термин, используемый для описания программного или аппаратного обеспечения, совместимого с предыдущими версиями программного обеспечения или операционных систем.Без обратной совместимости программа, работающая с одним процессором компьютера или операционной системой, перестанет работать с новой версией. 32-разрядная версия медиаплеера VLC может без проблем работать в 64-разрядной операционной системе Windows, или компьютерная игра, разработанная для Windows XP, может без проблем запускаться в Windows 10, все благодаря обратной совместимости.

Но как 64-разрядная ОС Windows обеспечивает обратную совместимость?
Microsoft гарантирует, что как 32-битные (x86), так и 64-битные (x64) приложения могут работать в 64-битных операционных системах Windows.Когда 32-битная программа запускается в 64-битной Windows, 32-битный эмулятор будет вызываться для обработки 32-битной программы. Эмулятор заставит 32-битное приложение думать, что оно работает в 32-битной Windows, и те же функции, которые доступны в 32-битной Windows, также будут доступны для программы в 64-битной Windows.

64-разрядная версия Windows имеет две разные версии папки программных файлов и системной папки Windows (системный каталог). Одна версия предназначена для 32-битных файлов, а другая версия предназначена для 64-битных файлов.Имя этих папок и разрядность, для которой они предназначены, показаны в таблице ниже:

Папка Бит Описание
System32 64 Системная папка Windows (системный каталог) для 64-битных файлов
SysWow64 32 Системная папка Widows (системный каталог) для 32-битных файлов
Программные файлы 64 Папка для 64-битных программных файлов
Программные файлы (x86) 32 Папка для 32-битных программных файлов

Теперь возникает вопрос, почему папка, в которой хранятся двоичные файлы, необходимые для 64-разрядных приложений, называется System32, и почему Microsoft решила назвать папку, содержащую файлы, необходимые для 32-разрядных приложений, «SysWOW64» (Windows в Windows 64 )?

Что ж, это, конечно, кажется нелогичным, но у этого есть объяснение.Это связано с совместимостью. Первоначально Microsoft намеревалась переименовать папку, но не стала этого делать, потому что многие разработчики жестко указали путь к системной папке в исходном коде своих приложений. Они включили «System32» в путь к папке. И для сохранения совместимости, если приложение преобразовано в 64-битный код, 64-битная системная папка по-прежнему будет называться System32.

Но как насчет 32-битных приложений, у которых системный путь жестко запрограммирован и которые работают в 64-битной Windows? Вы можете подумать, как им найти новую папку SysWOW64 без изменения программного кода.Ответ заключается в том, что эмулятор прозрачно перенаправляет вызовы в папку System32 в папку SysWOW64, поэтому, даже если папка жестко закодирована в папку System32 (например, C: \ Windows \ System32), эмулятор будет следить за тем, чтобы вместо нее использовалась папка SysWOW64. . Таким образом, тот же исходный код, который содержит путь с включенной папкой System32, может быть скомпилирован как в 32-битный, так и в 64-битный программный код без каких-либо изменений.

Подводя итог, Microsoft хотела избавиться от имени System32 для этой папки, но не сделала этого, иначе все 64-разрядные версии Windows (начиная с Windows 7) не смогли бы запускать огромное количество приложений и видеоигр. .

Онлайн-документация для значков папок для Win32

Folder Icons для Win32 — это простая программа, которая позволяет назначить индивидуальный значок
в любую папку в вашей системе.

Установка

Поскольку большинство компонентов, необходимых для этой функции, уже установлено в вашей системе,
установка значков папок для Win32 довольно проста. Просто создайте папку и
скопируйте в него файл «Иконки папок для Win32.exe».Вот и все. Если хочешь
к, вы также можете создать ярлык для исполняемого файла на рабочем столе или в любом другом месте
в меню «Пуск», но, как вы увидите позже, в этом нет необходимости. я буду
назовите папку, в которую вы скопировали исполняемый файл, установочной папкой .

Иконки начальной папки для Win32

Иконки папок

для Win32 можно запустить двумя способами. Один из способов — дважды щелкнуть значок
файл программы в установочной папке .Значки папок для Win32 затем запрашивают
папку, значок которой вы хотите изменить. Просто перейдите к папке и нажмите
на кнопке ОК.
Другой способ — использовать контекстное меню проводника, если у вас включена эта опция.
в значках папок для настройки Win32. Просто щелкните правой кнопкой мыши любую папку и выберите
Пункт меню «Значок …» из всплывающего контекстного меню. Исследователь
Затем запустит значки папок для Win32 для выбранной папки.

Использование значков папок для Win32

На главном экране значков папок для Win32 представлен набор опций:

  • В верхнем левом углу отображается текущий значок папки.
  • Имя файла, отображаемое в разделе «Текущий файл значка», является файлом
    которые отображаются значки ниже. Это « \ SYSTEM32 \ Shell32.DLL»
    для неизмененных папок.
  • Кнопка справа от имени текущего файла значка позволяет выбрать
    другой файл в качестве источника.Просто перейдите к библиотеке значков или файлу значков, который вы
    хотите использовать вместо этого и выберите его.
  • В большой области под именем файла отображаются все значки, содержащиеся в текущем
    выбранный файл значка.
  • Кнопка «Настройка» отображает некоторую информацию о значках папок для
    Win32, а также позволяет установить контекстное меню для проводника. Я рекомендую
    что вы делаете это — это значительно облегчает жизнь.
  • Кнопки «Применить», «ОК» и «Отмена» работают как
    вы ожидаете от них этого.Обратите внимание, что «Применить» активируется только тогда, когда есть
    какие-либо фактические изменения должны быть применены, и «ОК» и «Применить» активируются только тогда, когда
    в списке значков выше есть выбранный значок. Распространенная ошибка заключается в
    забудьте отметить значок, который вы хотите использовать, из списка значков.
  • Для вашего удобства размер главного окна можно изменить, но если вы измените его размер
    при слишком маленьком размере кнопки будут перекрываться. Просто не делай этого, если не
    нравится.

Длинные имена файлов — Windows CMD

Длинные имена файлов — Windows CMD — SS64.com

Имена длинных путей

Если имя файла содержит пробелы, вы должны окружить его
в двойных кавычках: «my file.txt»
Имена файлов, содержащие кавычки или круглые скобки (‘), являются допустимыми именами файлов, но они все равно могут вызывать проблемы, особенно в пакетных файлах, где эти символы имеют особое значение.

Пространства имен файлов Win32

Файловая система NTFS поддерживает большие пути и имена файлов до 32 767 символов Unicode, обычно это ограничено 260 символами * MAX_PATH пределом, установленным Windows Win32 API.Это означает, что иногда возможно при перемещении файлов и каталогов или сопоставлении дисков создать путь, который слишком длинный для обработки Win32.

Существует альтернатива для доступа к очень длинным именам файлов: для файлового ввода-вывода префикс «\\? \» В строке пути указывает API-интерфейсам Windows отключить весь синтаксический анализ строки и отправить строку, которая следует за ней, прямо в файл. система.

каталог «\\? \ UNC \ Server64 \ Teams \ Personnel \ some-very-long-file-name.txt»

Поскольку он отключает автоматическое раскрытие строки пути, префикс «\\? \» Также позволяет использовать «.. «и». «в именах путей, что может быть полезно, если вы пытаетесь выполнять операции с файлом с этими зарезервированными в противном случае описателями относительного пути как часть полного пути. Этот синтаксис можно использовать как в CMD, так и в PowerShell.

Начиная с Windows 10 версии 1607, ограничения MAX_PATH были сняты с общих функций файлов и каталогов Win32. Однако вы должны согласиться на новое поведение.

* Ограничение в 260 символов имеет несколько предостережений, оно включает нулевой символ конца, и каждая папка должна иметь возможность хранить файл размером 8.Длина 3 символа (8 + 3 + ‘.’ = 12 символов). Это означает, что самая длинная папка , которую вы можете создать, составляет 260 — 12 — 1 = 247 символов.

Этот синтаксис можно использовать, чтобы обойти многие ограничения именования, присущие Win32 (которые перечислены внизу этой страницы), хотя он может быть полезен для доступа к другим нечитаемым данным, а также иногда используется для обфускации файлов и каталогов.

См. Страницу DEL для получения дополнительной информации об удалении очень длинных имен файлов.

Пространства имен устройств Win32

Префикс «\\. \» Будет обращаться к пространству имен устройства Win32, а не к пространству имен файлов Win32. Таким образом, доступ к физическим дискам и томам осуществляется напрямую, без прохождения через файловую систему, если API поддерживает этот тип доступа.
например
«\\. \ COM1»
«\\. \ COM56»

Краткие имена файлов

До Windows 95 в 1995 году Windows поддерживала только короткий 8.3 имени файла.

Microsoft отключила генерацию коротких имен файлов (8.3) по умолчанию, начиная с Windows 8 / Server 2012. Если они существуют, вы можете использовать расширения параметра% ~ sp1, чтобы раскрыть% 1 и вернуть путь в формате 8.3.

В любом каталоге, содержащем более 25000 файлов, есть значительные затраты на производительность ~ 6000 файлов в час против 2 миллионов файлов в час.

Если он существует, можно использовать старое короткое имя файла 8.3 для обхода ограничения в 260 символов.

Порядок, в котором вы создаете файлы, будет влиять на короткие
8.3 названия
например
echo abc> «длинный файл 1.txt»
echo abc> «длинный файл 3.txt»
echo abc> «длинный файл 2.txt»
DIR / x
:: произведет это:
ALONGF ~ 1.TXT «длинный файл 1.txt»
ALONGF ~ 3.TXT «длинный файл 2.txt»
ALONGF ~ 2.TXT «длинный файл 3.txt»

Если эти файлы теперь копируются в другую папку, то файл 8.Изменится 3 имени файла,
это наиболее вероятно при обновлении хранилища сервера или восстановлении данных
из резервной копии.

Аналогично для папок
md «длинная папка 1»
мкр «длинная папка 3»
мкр «длинная папка 2»
DIR / x
:: произведет это:
ALONGF ~ 1 «длинная папка 1»
ALONGF ~ 3 «длинная папка 2»
ALONGF ~ 2 «длинная папка 3»

Повторное копирование в другое место изменит 8.3 имени для:
ALONGF ~ 1 «длинная папка 1»
ALONGF ~ 2 «длинная папка 2»
ALONGF ~ 3 «длинная папка 3»

См. Страницу с подстановочными знаками для получения более подробной информации о длинных / коротких именах файлов.

Включение или отключение имен файлов 8.3 в NTFS

Если имена файлов 8.3 отключены, старые 16-разрядные программы (например, WordPerfect 3) по-прежнему смогут читать / записывать короткие имена файлов, но не будут видеть короткие эквиваленты для длинных имен файлов.

Отключение 8.3 имени файла обеспечат небольшое улучшение производительности перечисления каталогов. Стоит применить на совершенно новом файловом сервере, но не стоит рисковать возможной поломкой на устаревшей системе.

Функция FILESTREAM SQL Server рекомендует отключить поддержку имени файла 8.3.

Отключить создание имен файлов формата 8.3:

Набор поведения FSUTIL.exe disable8dot3 1

или в реестре (см. Q121007):

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ FileSystem]
NtfsDisable8dot3NameCreation = 1

Разрешить создание 8.3 имени файла:

Набор поведения FSUTIL.exe disable8dot3 0

или в реестре:
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ FileSystem]
NtfsDisable8dot3NameCreation = 0

Пакетные файлы .BAT или .CMD?

Пакетные файлы могут быть сохранены с расширением .BAT или .CMD
Расширение .BAT будет работать под Windows 95 / MSDOS или новее, но расширение .CMD будет работать только под NT, XP или новее.

Одно из ключевых различий между сценариями .CMD и .BAT (работающими под CMD.EXE) заключается в том, что при включенных расширениях такие команды, как PATH / APPEND / PROMPT / SET / ASSOC, сбрасывают ERRORLEVEL на 0 в случае успеха. В файле .BAT старого стиля ошибка ERRORLEVEL
не будет изменен, если не появится новая ошибка (источник).

Старое поведение, при котором некоторые команды сбрасывают
ERRORLEVEL, а некоторые нет, не считаются полезными и могут привести к ошибкам в коде — вы проверяете одну ошибку, но на самом деле получаете другую, не связанную с этим ошибку.

Файловая система NTFS

Допустимые символы в NTFS:

! []. ; = ()

Недопустимые символы: Следующие символы не разрешены в именах файлов или каталогов Windows:

/ \: *? «<> |

Управляющие символы (0x00-0x1F, 0x7F) также недопустимы в FAT и NTFS Windows.
Проводник Windows не будет создавать файлы с точкой (.) в качестве первого или единственного символа в имени файла, хотя NTFS (и многие инструменты командной строки) это поддерживают.

Длинное имя файла (LFN) может содержать до 255 символов.
NTFS поддерживает пути длиной до 32768 символов, но только при использовании Unicode API.

При использовании очень длинных имен путей добавьте к пути символы \\? \ И используйте версии Unicode функций времени выполнения C.

Имена файлов формата 8.3

Эти
Имя файла может содержать от 1 до 8 символов.Короткие имена файлов имеют формат 8.3 и совместимы с MS-DOS и другими устаревшими операционными системами.
Имя должно начинаться с буквы или цифры и может содержать любые символы, кроме следующих:

/ \: *? «[] | =,.; (пробел)

Имя файла формата 8.3 обычно имеет расширение имени файла от одного до трех символов с теми же ограничениями на символы. Точка отделяет имя файла от расширения имени файла.

Некоторые символы недопустимы в 8.3 формата файлов, но они действительны в именах файлов NTFS, а также являются допустимыми разделителями. Обычно графический интерфейс Windows при необходимости автоматически меняет имя 8.3 для таких файлов, например DE = MO.TXT станет DE_MO ~ 1.TXT

Вы можете использовать длинные имена файлов как в NTFS, так и в FAT-томах (обычно на съемных флэш-дисках и картах памяти).

Зарезервированные имена

Не используйте следующие зарезервированные имена для имени файла или папки:
CON, PRN, AUX, NUL, conIN $, conOUT $

СОМ1, СОМ2, СОМ3, СОМ4, СОМ5, СОМ6, СОМ7, СОМ8, СОМ9,
LPT1, LPT2, LPT3, LPT4, LPT5, LPT6, LPT7, LPT8, LPT9.

Также избегайте этих имен, за которыми сразу следует любое расширение; например, не рекомендуется использовать NUL.txt. Источники: [x] [x]

Не заканчивайте имя файла или каталога пробелом или точкой.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *