Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 43.

sp??.sys - Подозрение на RootKit, Перехватчик KernelMode

  1. #1
    Junior Member Репутация
    Регистрация
    20.06.2009
    Сообщений
    5
    Вес репутации
    28

    sp??.sys - Подозрение на RootKit, Перехватчик KernelMode

    Никто не сталкивался с файлом spvr.sys? AVZ 4.30 подозревает, что это руткит. Может, это один из файлов Comodo Personal Firewall? Однако же поиск файлов с таким именем (spvr.sys) по всему компьютеру Тотал Командером ничего не дал.
    Может ли это действительно быть руткит?

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    hogward, sp??.sys это драйвер DAEMON Tools.

  4. #3
    Junior Member Репутация
    Регистрация
    20.06.2009
    Сообщений
    5
    Вес репутации
    28
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    hogward, sp??.sys это драйвер DAEMON Tools.
    Daemon Tools - перехватчик KernelMode?
    Если я не ошибаюсь, у него файл называется sptd.sys

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    hogward, да, Daemon Tools - перехватчик KernelMode.
    Его файл sptd.sys, а смена имени драйвера это маскировка.
    Последний раз редактировалось AndreyKa; 21.06.2009 в 12:19.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    hogward, да, Daemon Tools - перехватчик KernelMode.
    Его файл sptd.sys, а смена имени драйвера это маскировка.
    Добавлю "чаще всего", т.к. встречалась маскировка троев под это имя файла.
    The worst foe lies within the self...

  7. #6
    Junior Member Репутация
    Регистрация
    20.06.2009
    Сообщений
    5
    Вес репутации
    28
    Спасибо обоим за ответы. Однако, файл sptd.sys в виндовой папке нашелся, а тот подозрительный spvr.sys не нашелся нигде.
    Небольшое лирическое отступление про файлы и их имена: тема имено об именах файлов, ибо, если я не ошибаюсь опознать мы их можем исключительно по именам, по крайней мере здесь, на форуме. Никакую иную сигнатуру файла я, вроде бы, сюда не приводил, да и не смог бы, т.к. сам файл не нашел. Так что обсуждаем-то мы файл, но опознаем его исключительно по имени.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Цитата Сообщение от hogward Посмотреть сообщение
    файл sptd.sys в виндовой папке нашелся, а тот подозрительный spvr.sys не нашелся нигде.
    Его нет на диске, он только в памяти существует.

  9. #8
    Junior Member Репутация
    Регистрация
    20.06.2009
    Сообщений
    5
    Вес репутации
    28
    А как тогда его отловить/проверить/убить?

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    sptd.sys убить, а те сами разбегутся...

  11. #10
    Junior Member Репутация
    Регистрация
    20.06.2009
    Сообщений
    5
    Вес репутации
    28
    Цитата Сообщение от Гриша Посмотреть сообщение
    sptd.sys убить, а те сами разбегутся...
    Дельный совет!

  12. #11
    Junior Member Репутация
    Регистрация
    17.07.2009
    Сообщений
    5
    Вес репутации
    27
    У меня не установлены указанные программы,но sp??.sys вылезает после каждого сканирования с одним и тем же результатом:

    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=07B180)
    Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
    SDT = 80552180
    KiST = 80501044 (284)
    Функция NtCreateKey (29) перехвачена (80618BF8->B9EA80E0), перехватчик spzf.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtEnumerateKey (47) перехвачена (80619438->B9EC6CA2), перехватчик spzf.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtEnumerateValueKey (49) перехвачена (806196A2->B9EC7030), перехватчик spzf.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtOpenKey (77) перехвачена (80619F8E->B9EA80C0), перехватчик spzf.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtQueryKey (A0) перехвачена (8061A2B2->B9EC710, перехватчик spzf.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtQueryValueKey (B1) перехвачена (80616CB2->B9EC6F8, перехватчик spzf.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtSetValueKey (F7) перехвачена (806172B8->B9EC719A), перехватчик spzf.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован"
    Проверено функций: 284, перехвачено: 7, восстановлено: 7

    !!! Внимание !!! Восстановлено 7 функций KiST в ходе работы антируткита
    Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер

    Как избавиться от этого ?
    Последний раз редактировалось Alexey P.; 21.07.2009 в 01:06. Причина: убрал ругань и цвет

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    У меня не установлены указанные программы,но sp??.sysвылезает после каждого сканирования
    На нелегальной винде они идут в комплекте...

    Как избавиться от этого дерьма?
    В Помогите по правилам

  14. #13
    Junior Member Репутация
    Регистрация
    17.07.2009
    Сообщений
    5
    Вес репутации
    27
    В Помогите по правилам
    Оно,конечно,так,однако с таким LOGом сразу всё видно без помощи.Однако,спасибо,ведь найти толковое описание AVZ,надо было знать где.
    Ещё вопрос.AVZ нарыл вот это:
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text

    Это тоже надо через Помогите по правилам ,либо это нечто иное.
    Да,забыл,ещё вопрос:sptd.sys я у себя нашёл,но DTools у меня нет???
    Источником sp?? был другой файл 701КБ.
    Последний раз редактировалось ages; 17.07.2009 в 20:20.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    В последней цитате ничего зловреного, всё штатное.
    sp??.sys - это виртуальное порождение sptd.sys

  16. #15
    Junior Member Репутация
    Регистрация
    17.07.2009
    Сообщений
    5
    Вес репутации
    27
    Цитата Сообщение от pig Посмотреть сообщение
    Его нет на диске, он только в памяти существует.
    Тогда откуда он загружается в память?Либо имеется ввиду,что это лишь информация о нём?Тогда.где она и зачем хранится?
    Аналогично с WDICA,PDCOMP и другие PDxxxx.На всех форумах одно и то же,а ясности нет.У кого-то они NOT FOUND,а у кого-то в LOGe AVZ.
    Где же найти ясную достоверную информацию о назначении этих файлов и столь непонятной форме их проявления.
    Похоже вы знаете Windows XP не по форумам.Позвольте вопрос не в тему.Нужна ссылочка на толковый форум по архитектуре WXP.Много форумов с названием ПРОГРАММИСТ далеки от сути.Если точнее,нужно прояснить тему доступа к СОМ порту под WXP (физически это СОМ2 порт с надстройкой IRDA) и тему возможности разобраться в архитектуре звука в WXP вкупе с мутным Realtek?Спрашиваю потому,что кроме трёпа и догадок ничего не видел,а если оставляю вопрос,он так и висит без ответа...

    Добавлено через 10 часов 0 минут

    Не Интернет,а полный отстой.Можно сутками искать и бестолку.Все выкладывают свои логи и никто почему-то не может внятно ответить,что это значит?1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ xxxxxxxx.dll, таблица экспорта найдена в секции .text

    Думаю это тоже не совсем ясный ответ:В последней цитате ничего зловреного, всё штатное,что можете сказать?Ведь все поисковики забиты по самое некуда подобным.Ну,можно же давать ссылку,если известен толковый источник,а если нет,то таким ответом проблема не решается.
    Последний раз редактировалось ages; 18.07.2009 в 16:55. Причина: Добавлено

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Цитата Сообщение от ages Посмотреть сообщение
    никто почему-то не может внятно ответить,что это значит?1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ xxxxxxxx.dll, таблица экспорта найдена в секции .text
    Файлы *.dll являются тоже файлами "PE" как и файлы *.exe
    Системные длл-ки собраны Microsoft-овским линкером. для которого имя секции ".text" - стандартное название секции кода.
    Отличие длл-ки от экзешника в том, что длл-ка предоставляет функции (сервисы), которые можно вызвать из своей программы. Но что бы вызвать, надо знать расположение этих сервисов. Их адреса собраны в т.н.таблицы экспорта, которые расположены в той-же секции кода.

    Таким образом, AVZ проверяет не изменена ли таблица экспорта и не перехвачены ли сервисы.. Если таблица найдена в ".text" - это нормально

    sptd.sys и sp??.sys - драйвер DAEMON Tools или Alcohol
    Они остаются в системе и после деинсталяции программ, т.к. могли остаться копии защищенного диска, которые иначе чем с помощью этого драйвера работать не будут.

    sptd.sys присутствует в %WINDIR%\system32\drivers\ но ограничивает доступ к себе (часть обхода защит - чтоб по имени драйвера не "поймали"). Загружаясь при старте системы, создает свою копию с именем sp??.sys (для возможности взаимодействия программы и драйвера), но копия присутствует только в оперативной памяти (это тоже часть "самозащиты")

    Добавлено через 13 минут

    Цитата Сообщение от ages Посмотреть сообщение
    Аналогично с WDICA,PDCOMP и другие PDxxxx
    Это "системные" записи. Самих драйверов на диске нет, т.к. нужны они не часто, но они содержатся в *.cab архивах системы (установочный диск, ServicePackFiles, DriverCache).
    В случае необходимости, система сможет распаковать и загрузить нужный драйвер. Именно на это указывают такие записи.

    (Это очень коротко и с многими "упрощениями")
    Последний раз редактировалось Kuzz; 18.07.2009 в 18:02. Причина: Добавлено
    The worst foe lies within the self...

  18. #17
    Junior Member Репутация
    Регистрация
    17.07.2009
    Сообщений
    5
    Вес репутации
    27
    Таким образом, AVZ проверяет не изменена ли таблица экспорта и не перехвачены ли сервисы.. Если таблица найдена в ".text" - это нормально
    Если эта информация не является результатом работы AVZ,т.е.обнаружение всякой бяки,а я уверен,AVZ много чего ещё проверяет,то зачем выносить сие как [COLOR="Cyan"]Поиск перехватчиков API, работающих в UserMode[COLOR="Red"]?Если всё в норме-зачем???
    Касательно WDICA,PDCOMP и другие PDxxxx,нет их у меня в driver cache???Проверял в "голой и чистой" WXP SP2,тоже нет???Остальные,упомянутые в логе,все на месте.(те,что "путевые")
    Да,вот ещё вспомнил.У меня AVZ закапывается в эти САВы где-то часа на два.Один раз только хватило терпения дождаться полного прохода.Зато без них сканируется пулей.Это тоже норма?
    Что-то непонятно,почему пока пишу сбрасывается авторизация,а при отправке соответственно теряется текст?

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    ages, COLOR="Lime" читается ужасно.. А и к чему все эти цветовые игры?

    Цитата Сообщение от ages Посмотреть сообщение
    Если эта информация не является результатом работы AVZ,т.е.обнаружение всякой бяки,
    Эта информация является результатом работы AVZ, но не является обнаружением "всякой бяки"
    Из нее можно получить косвенные сведения (кто понимает, о чем речь - тот получает эту инфу)

    Цитата Сообщение от ages Посмотреть сообщение
    их у меня в driver cache
    А они там лежат в *.cab а не просто так и не все.

    Цитата Сообщение от ages Посмотреть сообщение
    У меня AVZ закапывается в эти САВы где-то часа на два...
    Зато без них сканируется пулей
    Это архивы. В архивах - исполняемые файлы, которые надо распаковать и проверить..
    The worst foe lies within the self...

  20. #19
    Junior Member Репутация
    Регистрация
    17.07.2009
    Сообщений
    5
    Вес репутации
    27
    Во-первых пока пишу сбрасывается авторизация,а при отправке соответственно теряется текст?
    Во-вторыхк чему все эти цветовые игры?-мне так удобнее.Лишь бы оно работало как должно.
    Далее по теме.кто понимает, о чем речь - тот получает эту инфутак какого х..а её выносить на всеобщее обозрение,засуньте её туда,где только вы и ковыряетесь.
    "системные" записи-это очень информативно...
    они содержатся в *.cab архивах системы ,а если я эти архивы выгрузил,а файлы в логе остались,вас это не смущает?Думаю,нет.Продолжить?
    Последний раз редактировалось AndreyKa; 20.07.2009 в 08:19. Причина: убрал мат

  21. #20
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nerimash
    Регистрация
    27.09.2009
    Адрес
    Ternopil
    Сообщений
    258
    Вес репутации
    130
    ...
    Таким образом, AVZ проверяет не изменена ли таблица экспорта и не перехвачены ли сервисы.. Если таблица найдена в ".text" - это нормально
    Майкрософтовские dll собраные при помощи стандартной директивой линкера(MERGE): link.exe /MERGE:.edata=.text;.rdata=.text
    Тоесть директива /MERGE указывает компоновщику что нужно обьеденить две секции PE файла(.edata(Export Address Table(Таблица експорта функций) и .text (непосредственно секция кода.)
    Для дальнейшего ознакомления со структурой исполняемого модуля Win32PE советую прочесть Спецификации PE/COFF формата для исполняемых файлов MS Windows (x86) на анг. языке

    Меня интересует следующее, неужели AVZ проверяет на подмену таблицы експорта функций только секцию .text? Ведь такой же файл можно получить использовав любое Visual Studio с применением соответствующей директивы зборщика.

    Кстати kernel32.dll, user32.dll, ntdll.dll, advapi32.dll, shell32.dll, version.dll для Хрюшы(XP Home/Pro) собраны при помощи Microsoft Visual Studio 6.0(98 год выпуска).

Страница 1 из 3 123 Последняя

Похожие темы

  1. RootKit Перехватчик KernelMode spno.sys
    От Pradromalo в разделе Помогите!
    Ответов: 8
    Последнее сообщение: 21.10.2010, 14:51
  2. Подозрение на KernelMode Rootkit под Windows7
    От zinovik в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 23.01.2010, 16:14
  3. Ответов: 6
    Последнее сообщение: 21.09.2009, 12:37
  4. Перехватчик sp** подозрение на RootKit
    От koksinator в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 27.04.2009, 20:18
  5. Подозрение на KernelMode RootKit
    От mrS в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 10.02.2009, 13:11

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00935 seconds with 24 queries