-
Junior Member
- Вес репутации
- 63
Помогите разобраться в логах AVZ.
Здравствуйте.Пытаюсь самостоятельно анализировать логи этой замечательной программы - AVZ. Вроде все понятно, кроме следующего:
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo[00BCB542]
и т.д.
....
Анализ advapi32.dll, таблица экспорта найдена в секции .text
и т.д.
....
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0846E0)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055B6E0
KiST = 80503748 (284)
Функция NtAssignProcessToJobObject (13) перехвачена (805D4DEC->B79C4880), перехватчик d:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS
и т.д.
Проверено функций: 284, перехвачено: 34, восстановлено: 0
1. Что значит последняя строка?
2. Как анализировать эти участки лога и какие действия потом производить?
Далее
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 9 TCP портов и 11 UDP портов
Проверка завершена, подозрительные порты не обнаружены
3. А где можно посмотреть что за порты открыты и за что они отвечают?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В нюансы вникать совсем необязательно, а если термины вроде "таблица экспорта" или "KernelMode" вам ни о чем не говорят, то не стоит и пытаться. Важно знать, что функции API могут быть перехвачены различными программами, как зловредными, так и добропорядочными, поэтому просто обращайте внимание, какая именно программа является перехватчиком той или иной функции. В вашем примере это d:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS, т.е. компонент вашего любимого фаервола. Так что беспокоиться не о чем.
I am not young enough to know everything...
-
-
Можете выложить полные логи по правилам, чтобы исключить заражение.
-
-
Siller, если есть желания и знания, записывайся в хелперы. Будешь учиться читать логи, как в школе.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-