Тоже как бы ничего нового но я делаю посты нацеленные на нубиков таких как я)

Интересные видосы, спасибо тебе.

У меня возник следующий вопрос: после удаления vbs файла, по сути физически он остается на диске и стирается только его заголовок в NTFS таблице, значит физическое местоположение скрипта на диске, может быть перезаписано другим файлом? Насколько стабильна работа скрипка при таком подходе?

Признаюсь честно, я не знаю как сделать то что вы предлагаете.Если у вас получится так сделать то попрошу отписаться здесь.

Почитать про NTFS потоки можно так же здесь:

Тыць

и здесь:

Тыць

кстати , интересный вопрос. На сколько я понимаю эту файловую системе. то это альтернативный поток Грамотней так назвать, (после удаления vbs файла, по сути физически он остается на диске) думаю да, но не уверен, не спец я в этом. Надо произвести форензику, следы остаются, в этом я уверен на 100%

В интернете много утилиток которые работают с NTFS потоками.Антивирусы не палят потоки...))

Единственное что хочу добавить по поводу потоков - это то что если нужно положить exe файл в поток то утилитка type тут заменить нужно утилитой cat под Windows, потому как type не отображает все непечатные символы...

Это сторонняя тулза? Моя винда не знает cat'a

Это не type не отображает, а консоль, если выводить в нее. type работает с любыми байтами.

PoC:

Возможно, в реалтайме не палят. При полном сканировании альтернативные потоки проверяются.

Перед удалением файла 1.vbs он был скопирован в альтернативный поток. test.txt:1.vbs - это отдельный файл, а не ссылка на 1.vbs. Удаленный файл нигде не используется. Имя потока может быть любым и не зависит от имени копируемого файла.