-
RKUnhooker 3.01
Чтобы не Offtoпить в теме с ABZ, заведу отдельную по RKU -
1. Если при создании репорта отказаться от сканирования дисков то можно получить симпатичный Errorчик 0xC000005 по адресу 0x004017C7 в попытках чтения чего-то с адреса 0х0000000.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
RiC
Чтобы не Offtoпить в теме с ABZ...
Само собой... Одно дело, когда в теме AVZ обсуждается демо-руткит unreal, способности AVZ по его обнаружению и меры противодействия этому самого руткита, и совсем другое - совершенно отдельный продукт RkU. Кстати, что касается RkU, то у него уже есть своя собственная ветка, она находится в разделе Антируткиты, так что, видимо, есть смысл перенести это сообщение именно туда.
-
-
Сообщение от
aintrust
то у него уже есть своя собственная ветка, она находится в разделе
Антируткиты, так что, видимо, есть смысл перенести это сообщение именно туда.
В том разделе обсуждаются свежие релизы, а в этом свежие баги свежих релизов.
-
-
Junior Member
- Вес репутации
- 64
При переключении на закладку "Скрытые процессы" - вылетает в BSOD.
Система - 2003 Сервер корпоративка без СП. Запущен НОД32 2.70.16.
-
Full Member
- Вес репутации
- 64
Когда говорим о бсодах, неплохо бы приложить заодно minidump. Иначе мой магический шар не в состоянии дать ответ (;
Сообщение от
RiC
1. Если при создании репорта отказаться от сканирования дисков то можно получить симпатичный Errorчик 0xC000005 по адресу 0x004017C7 в попытках чтения чего-то с адреса 0х0000000.
Исправлено. Большое спасибо
Код:
FilesScanCanceled := true;
EndDialog(hwndDlg, S_OK);
exit;
end;
end;
WM_CLOSE:
begin
FilesScanCanceled := true;
EndDialog(hwndDlg, S_OK);
exit;
end;
Ring0 - the source of inspiration
-
При запуске Hidden Files Detector C:\ [NTFS], некоторое время сканировал, нашел некоторое количество ерунды (все ADS Касперского), затем выдал:
Sorry, but unhandled exception has occured
Program will be terminated
Exception code : 0xC0000005
Instruction address : 0x00405529
Attempt to write at address : 0x0439C1FE
OK
OK - и RkU3.20.130.384 вылетает. Помнится, и другими версиями я не смог полностью просканировать диск, только ошибки были другие.
-
Full Member
- Вес репутации
- 64
Ring0 - the source of inspiration
-
Давно не пользовался - система и программы работают без проблем.
Сейчас проверил - chkdsk не нашел никаких ошибок.
Снова запустил Hidden Files Detector C:\ [NTFS] в RkU3.20.130.384, некоторое время сканировал, нашел ADS Касперского, затем ;-)) (текст сообщений приводится дословно):
Приложению не удалось запуститься поскольку не был найден.
Повторная установка приложения может исправить эту проблему.
OK
OK - и:
Инструкция по адресу "0x00405529" обратилась к памяти по адресу "0x01ebc1fe". Память не может быть "written"
"OK" -- завершение приложения
"Отмена" -- отладка приложения
OK - и RkU вылетает.
Еще вспомнил, что в предыдущей версии появлялась именно эта ошибка,
а упомянутой в сообщении в 13:50 - не было.
-
Full Member
- Вес репутации
- 64
Приложению не удалось запуститься поскольку не был найден.
Повторная установка приложения может исправить эту проблему.
OK
Кидайте winsta.dll в папку с программой. Что это такое и почему такое происходит никому не известно. Насчет второго - посмотрим, полную проверку перед загрузкой Windows ставили? chkdsk /f /r /x ?
Ring0 - the source of inspiration
-
Кинул winsta.dll в папку с RkU. chkdsk /f /r /x ? Разумеется, и еще раз проверил. И снова запустил Hidden Files Detector C:\ [NTFS] в RkU3.20.130.384
Ошибка выглядит так:
Windows - Ошибка приложения
Инструкция по адресу "0x405529" обратилась к памяти по адресу (адрес меняется с каждым сканированием). Память не может быть "written".
"OK" -- завершение приложения
"Отмена" -- отладка приложения
-
Full Member
- Вес репутации
- 64
Это ошибка парсера NTFS. Какой по размеру диск, сколько на нем файлов, какой размер кластера и MFT?
Ring0 - the source of inspiration
-
Диск: C:\ [NTFS] 10 487 199 232 бaйт, D:\ [NTFS] 29 528 722 432 бaйт; файлов 33532 (на C:\), размер кластера 512 b, MFT 86,61 Mb. Сканировал только C:\ - ошибка появляется и в обычном, и в "extended mode", и с неотмеченной опцией "Use Standard DiskIO", и с отмеченной.
RkU3.20.130.388 => Hidden Files Detector C:\ [NTFS] - ошибка, упомянутая 18.02.2007, 11:25, все еще присутствует. Сканировал С:\ DarkSpy'ем 1.0.5, GMER'ом 1.0.12, IceSword'ом 1.20en version for Vista SubVer:111E3, RootkitRevealer'ом 1.7 во всех режимах - никаких ошибок не возникало.
Будут ли улучшены и/или добавлены новые методы прибития процессов?
Например, процесс C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
(Outpost Firewall Pro ver. 4.0.1007.7323 (591))
не удалось прибить не одним из методов:
Kill Process
Force Kill
Force Kill + File Erase
Процесс зависает , не реагируя ни на какие действия, требуется перезагрузка.
GMER'ом и IceSword'ом прибивается мгновенно, "не пикнув".
Последний раз редактировалось Dont.care.a.f!g; 21.02.2007 в 03:30.
-
Full Member
- Вес репутации
- 64
Сообщение от
Dont.care.a.f!g
Будут ли улучшены и/или добавлены новые методы прибития процессов?
Например, процесс C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
(Outpost Firewall Pro ver. 4.0.1007.7323 (591))
не удалось прибить не одним из методов:
Kill Process
Force Kill
Force Kill + File Erase
Процесс зависает , не реагируя ни на какие действия, требуется перезагрузка.
GMER'ом и IceSword'ом прибивается мгновенно, "не пикнув".
Нет, потому что ничего лучше вычищения виртуальной памяти процессов нет и не будет придумано с текущей реализацией Винды. Оутпост держится на своем драйвере, который вешает хук на NtTerminateProcess. При вычистке виртуальной памяти, если программа в это время прыгала в драйвер она не сможет вернуться, ибо некуда более. Поэтому окошко этого "фаервола" и висит. IceSword использует PspTerminateProcess что недокументировано, совсем не гарантирует между прочим убийство процесса и к тому же черевато бсодами при вызове/поиске этой функции.
Наш форс-килл гарантировано грохнет практически любой процесс. Окошко не уберет, но где вы видели малвару с GUI?
Ring0 - the source of inspiration
-
RkU3.30.150.400 Great work! Но ошибка, наподобие упомянутой 18.02.2007, 11:25, по прежнему появляется на моей системе (маловероятно, что только на моей).
Что касается RkU3.31.150.420
Ошибка
Sorry, but unhandled exception has occured
Program will be terminated
Exception code : 0xC0000005
Instruction address : 0x00405821
Attempt to write at address : 0x0129C1FE
Ok
И все - он не запускается.
-
Full Member
- Вес репутации
- 64
Глюки и / или баги разбора NTFS. Что поделать, она не так хорошо документирована как FAT. Раньше обещанной 4 версии они это фиксить вряд ли будут.
Ring0 - the source of inspiration
-
-
Full Member
- Вес репутации
- 64
Ring0 - the source of inspiration
-
Раньше обещанной 4 версии
они
они это кто, я думал вы писатель данной тулзы=))
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Full Member
- Вес репутации
- 64
С марта ей занимаются другие люди.
Ring0 - the source of inspiration