AVZ находит перехваченные функции в KernelMode, но пишет что-то в этом роде: "Функция NtCreateThread (35) перехвачена (8057C4A1->F7DFE4B4), перехватчик не определен" Если полечить(блокировкой руткитов), то благополучно все исправляется. Но потом после перезагрузки функции опять прехвачены. Создание протокола исследования системы не помогло - до и после лечения список загруженных модулей один и тот же, и после перезагрузки тоже. Есть какой-нибудь способ найти кто перехватывает, кроме как методом тыка или копания в отладчиках? З.Ы. Уверен, что это не трояны и не руткиты, а какая-то нормальная прога, но вопрос принципа, хочется все-таки определить кто в моем компе функции ядра перехватывает. =)
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Правила читал, там надо автоматическое лечение делать. Как я понимаю там полное сканирование диска запустится. Это имхо слишком. Просто думал может есть какая-нибудь еще утилита, которая сама напишет, какие функции кем перехвачены.
Я сделал протокол до и после "блокировки руткитов".
И причину кстати нашел, это был Avira Antivir, функции перехватывались почему-то при загрузке его планировщика.
У меня к Вам еще вопрос: Можно где-нибудь скачать англоязычную версию AVZ 4.27? С сайта качается 4.25.
И еще. Можно как-нибудь настроить какие службы и модули будут показаны в протоколе. Например написано "Обнаружено модулей - 119, опознано как безопасные - 115". Как сделать чтобы безопасные тоже были добавлены?
Последний раз редактировалось Brutal; 14.10.2007 в 01:30.
Причина: добавка
уже об этом говорилось, 4.27 английской не будет, будет 4.28 мултиязычная .
Протокол специально так сделан, чтобы удобнее было читать хелперам. А что мешает посмотреть так сервис->меменджеры внедрённых длл и тд ...?
Последний раз редактировалось drongo; 14.10.2007 в 16:03.
уже об этом говорилось, 4.27 английской не будет, будет 4.28 мултиязычная .
Протокол специально так сделан, чтобы удобнее было читать хелперам. А что мешает посмотреть так сервис->меменджеры внедрённых длл и тд ...?
чтобы удобнее отслеживать изменения в системе. Допустим сделал протокол, потом запустил прогу и снова протокол собрал. А затем например сравнил два xml файла и вывел изменения. То есть по аналогии со всякими анинсталлерами.
чтобы удобнее отслеживать изменения в системе. Допустим сделал протокол, потом запустил прогу и снова протокол собрал. А затем например сравнил два xml файла и вывел изменения. То есть по аналогии со всякими анинсталлерами.
В исследовании системы AVZ есть настройка - выводить только по неопознанным или все до кучи. В 4.28 будет возможность из скрипта выхвать исследование, детально контролируя, что конкретно и как полно помещать в XML и HTML отчеты
В исследовании системы AVZ есть настройка - выводить только по неопознанным или все до кучи. В 4.28 будет возможность из скрипта выхвать исследование, детально контролируя, что конкретно и как полно помещать в XML и HTML отчеты
Спасибо. Действительно я просмотрел. Есть настройка - "Исключить из протокола файлы, опознанные как безопасные". =) Вцелом очень удобная и актуальная программа! ИМХО надо добавить ее в 100 лучших программ 2007 года. =) А нельзя случайно вручную добавить новые базы в английскую 4.25 версию? Проблема в том, что на некоторых зараженных компах возникают проблемы с локалью или шрифтами, и определенные диалоги в русской версии вместо букв крякозяблы выводят. Не то чтобы это была большая проблема, но несколько затрудняет работу.
ssmdrv.sys - вполне возможно что перехваты от него (Avira)
возможно. Либо от него, либо(мне кажется даже вероятнее) от avipbb.sys. Но прикол в том, что когда службы авиры(которые кстати запускаются отдельными процессами) не загружены, то и перехватов тоже нет. В этом и была сложность определения перехватчиков - хуки почему-то включались после загрузки sched.exe, которая есть в базе безопасных.
Кстати сейчас посмотрел в processexplorer: sched.exe обращается к драйверу avipbb.sys, а к ssmdrv.sys не обращается, так что почти наверняка виновен именно avipbb.sys. =) Эх, было бы время, тряхнул бы стариной и оттрейсил NtCreateThread.