-
Junior Member
- Вес репутации
- 63
Драйвер в пространстве ядра (случайное имя файла)
Вот такой странный модуль поселился на компьютере. Его видно в Sysinternals Process Explorer как подключенный модуль к процессу System. В AVZ видно в сервисе "Модули пространства ядра". Имя модуля меняется с каждой загрузкой системы.
\SystemRoot\System32\drivers\aze8lpbr.sys
ab4dl0x8.sys
a5mkgqh7.sys
awrbbqsf.sys
Размер модуля в памяти всегда 303104.
На диске, естественно, такого файла не существует.
Скормил его дамп онлайновым AVP, Dr.WEB, а также отправил сюда http://z-oleg.com/secur/avz/uploadvir.php. Антивирусы ничего не нашли. Помогите идентифицировать порцесс. Как можно поймать его "за хвост"?
Последний раз редактировалось usеr; 02.04.2007 в 11:49.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
-
-
Junior Member
- Вес репутации
- 63
Алкоголь удалил очень давно, щас попробую удалить Daemon, и проверю...
-
Junior Member
- Вес репутации
- 63
2Geser: спасибо за наводку!
Это оказался хвост от Daemon Tools. Остался вопрос, а как можно отследить, какой процесс оставляет подобные хвосты? Смотреть загрузочные логи системы или воспользоваться какой нибудь утилиткой?
-
Через диспетчер модулей пространства ядра снять дамп модуля.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
Junior Member
- Вес репутации
- 63
NickGolovko, в данном случае этот дамп совершенно ни о чём не сказал. В злонамеренном случае, думаю будет не легче. Определить присутствие кода в памяти еще как то можно, а вот кто его туда помещает уже сложнее, а мне вообще непонятно как.
-
Даже если открывать дамп Блокнотом, родительский файл в нем виден.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]