Geser
29.09.2004, 12:13
--------------------------------------------------------------------------------
Title: Re:Продвинутый просмотрщик процессов
Post by: Dr.Xmas on 28/09/2004, 15:08:54
--------------------------------------------------------------------------------
на сайте разработчиков антивирусной программы "ВирусБлокАда" выложена прога для детектирования руткитов и файлов, которые скрываются. кому интересно, посмотрите плз. ну и замечания, пожелания...
http://anti-virus.by/download_files/antikit.zip (http://anti-virus.by/download_files/antikit.zip)
--------------------------------------------------------------------------------
Title: Re:Продвинутый просмотрщик процессов
Post by: Dr.Xmas on 28/09/2004, 15:10:03
--------------------------------------------------------------------------------
Цитата от: Geser on 15/09/2004, 18:44:41
Исправлен kill. В предыдущей версии не работал :)
на NT 4.0 вылетает...
--------------------------------------------------------------------------------
Title: Re:Продвинутый просмотрщик процессов
Post by: Geser on 28/09/2004, 15:22:59
--------------------------------------------------------------------------------
Цитата от: Dr.Xmas on 28/09/2004, 15:10:03
на NT 4.0 вылетает...
Тестировал только на XP
--------------------------------------------------------------------------------
Title: Re:Продвинутый просмотрщик процессов
Post by: Dr.Xmas on 28/09/2004, 15:35:49
--------------------------------------------------------------------------------
Цитата от: Geser on 28/09/2004, 15:22:59
Тестировал только на XP
да это, наверное, к Сане больше относится...
--------------------------------------------------------------------------------
Title: Re:Продвинутый просмотрщик процессов
Post by: azza on 28/09/2004, 16:32:33
--------------------------------------------------------------------------------
А эта программа видит руткиты?
http://download.tehnofil.ru/218.zip
--------------------------------------------------------------------------------
Title: Re:Продвинутый просмотрщик процессов
Post by: Dr.Xmas on 28/09/2004, 16:58:54
--------------------------------------------------------------------------------
Цитата от: azza on 28/09/2004, 16:32:33
А эта программа видит руткиты?
http://download.tehnofil.ru/218.zip
список процессов -- пустой (NT 4.0) :o
--------------------------------------------------------------------------------
Title: Re:Продвинутый просмотрщик процессов
Post by: Geser on 28/09/2004, 20:42:21
--------------------------------------------------------------------------------
Цитата от: Dr.Xmas on 28/09/2004, 15:08:54
на сайте разработчиков антивирусной программы "ВирусБлокАда" выложена прога для детектирования руткитов и файлов, которые скрываются. кому интересно, посмотрите плз. ну и замечания, пожелания...
http://anti-virus.by/download_files/antikit.zip (http://anti-virus.by/download_files/antikit.zip)
Это дело видит hxdef100. Увидит ли что-то другое неизвестно.
--------------------------------------------------------------------------------
Title: Re:Продвинутый просмотрщик процессов
Post by: Sanja on 28/09/2004, 20:50:37
--------------------------------------------------------------------------------
218.zip руткиты невидет
антикит у меня сказал руткит фаунд... потом долго искал хидденфаилс но так ничего и ненашел
--------------------------------------------------------------------------------
Title: Re:Продвинутый просмотрщик процессов
Post by: Geser on 28/09/2004, 20:52:34
--------------------------------------------------------------------------------
Цитата от: azza on 28/09/2004, 16:32:33
А эта программа видит руткиты?
http://download.tehnofil.ru/218.zip
Этот не видит
--------------------------------------------------------------------------------
Title: Re:Продвинутый просмотрщик процессов
Post by: werewolf on Сегодня в 02:15:31
--------------------------------------------------------------------------------
Цитата от: Geser on 28/09/2004, 09:32:33
Че-то у тебя завелось видать :)
Врядли, система чистая была. И нашел он его не в архиве, а в распакованном файле. Может просто антивирь не обновленный был. Впрочем, это не важно раз и доктор и каспер молчат :)
--------------------------------------------------------------------------------
Title: Re:Продвинутый просмотрщик процессов
Post by: Dr.Xmas on Сегодня в 09:13:03
--------------------------------------------------------------------------------
Цитата от: Geser on 28/09/2004, 20:42:21
Это дело видит hxdef100. Увидит ли что-то другое неизвестно.
не согласен, уважаемый. программа ведь ищет не конкретного руткита, а тестирует систему вообще на наличие такой ситуации, когда драйвер скрывает своё присутствие. ведь первое сообщение было "обнаружен руткит" без указания конкретного названия.
--------------------------------------------------------------------------------
Title: Re:Продвинутый просмотрщик процессов
Post by: Geser on Сегодня в 09:20:34
--------------------------------------------------------------------------------
Цитата от: werewolf on Сегодня в 02:15:31
Врядли, система чистая была.
Ну это никогда нельзя гарантировать. А если у Вас стоит только NAV, то есть большие шансы что с ним мирно живут пару троянчиков.
--------------------------------------------------------------------------------
Title: Re:Продвинутый просмотрщик процессов
Post by: Geser on Сегодня в 09:23:30
--------------------------------------------------------------------------------
Цитата от: Dr.Xmas on Сегодня в 09:13:03
не согласен, уважаемый. программа ведь ищет не конкретного руткита, а тестирует систему вообще на наличие такой ситуации, когда драйвер скрывает своё присутствие. ведь первое сообщение было "обнаружен руткит" без указания конкретного названия.
Если действительно ищет скрытые драйверы, файлы и процессы то должен найти что угодно. Но после сообщения что найден руткит он слишком быстро выдал список скрытых файлов. Похоже просто знал что искать. Иначе единственная альтернатива это полное сканирование дисков.
--------------------------------------------------------------------------------
Title: Re:Продвинутый просмотрщик процессов
Post by: Dr.Xmas on Сегодня в 09:29:26
--------------------------------------------------------------------------------
Цитата от: Geser on Сегодня в 09:23:30
Если действительно ищет скрытые драйверы, файлы и процессы то должен найти что угодно. Но после сообщения что найден руткит он слишком быстро выдал список скрытых файлов. Похоже просто знал что искать. Иначе единственная альтернатива это полное сканирование дисков.
так в том-то и фишка, что за время работы были просканированы все файлы на жёстких дисках, и был получен список РЕАЛЬНЫХ файлов, которые в этот момент скрывались, используя этот драйвер. т.е. был получен список файлов через драйвер и в обход драйвера.
--------------------------------------------------------------------------------
Title: Re:Продвинутый просмотрщик процессов
Post by: Dr.Xmas on Сегодня в 09:33:59
--------------------------------------------------------------------------------
Цитата от: Sanja on 28/09/2004, 20:50:37
антикит у меня сказал руткит фаунд... потом долго искал хидденфаилс но так ничего и ненашел
Саня, можешь подарить руткита, который ты тестировал, и описАть операционную систему?
Title: Re:Продвинутый просмотрщик процессов
Post by: Dr.Xmas on 28/09/2004, 15:08:54
--------------------------------------------------------------------------------
на сайте разработчиков антивирусной программы "ВирусБлокАда" выложена прога для детектирования руткитов и файлов, которые скрываются. кому интересно, посмотрите плз. ну и замечания, пожелания...
http://anti-virus.by/download_files/antikit.zip (http://anti-virus.by/download_files/antikit.zip)
--------------------------------------------------------------------------------
Title: Re:Продвинутый просмотрщик процессов
Post by: Dr.Xmas on 28/09/2004, 15:10:03
--------------------------------------------------------------------------------
Цитата от: Geser on 15/09/2004, 18:44:41
Исправлен kill. В предыдущей версии не работал :)
на NT 4.0 вылетает...
--------------------------------------------------------------------------------
Title: Re:Продвинутый просмотрщик процессов
Post by: Geser on 28/09/2004, 15:22:59
--------------------------------------------------------------------------------
Цитата от: Dr.Xmas on 28/09/2004, 15:10:03
на NT 4.0 вылетает...
Тестировал только на XP
--------------------------------------------------------------------------------
Title: Re:Продвинутый просмотрщик процессов
Post by: Dr.Xmas on 28/09/2004, 15:35:49
--------------------------------------------------------------------------------
Цитата от: Geser on 28/09/2004, 15:22:59
Тестировал только на XP
да это, наверное, к Сане больше относится...
--------------------------------------------------------------------------------
Title: Re:Продвинутый просмотрщик процессов
Post by: azza on 28/09/2004, 16:32:33
--------------------------------------------------------------------------------
А эта программа видит руткиты?
http://download.tehnofil.ru/218.zip
--------------------------------------------------------------------------------
Title: Re:Продвинутый просмотрщик процессов
Post by: Dr.Xmas on 28/09/2004, 16:58:54
--------------------------------------------------------------------------------
Цитата от: azza on 28/09/2004, 16:32:33
А эта программа видит руткиты?
http://download.tehnofil.ru/218.zip
список процессов -- пустой (NT 4.0) :o
--------------------------------------------------------------------------------
Title: Re:Продвинутый просмотрщик процессов
Post by: Geser on 28/09/2004, 20:42:21
--------------------------------------------------------------------------------
Цитата от: Dr.Xmas on 28/09/2004, 15:08:54
на сайте разработчиков антивирусной программы "ВирусБлокАда" выложена прога для детектирования руткитов и файлов, которые скрываются. кому интересно, посмотрите плз. ну и замечания, пожелания...
http://anti-virus.by/download_files/antikit.zip (http://anti-virus.by/download_files/antikit.zip)
Это дело видит hxdef100. Увидит ли что-то другое неизвестно.
--------------------------------------------------------------------------------
Title: Re:Продвинутый просмотрщик процессов
Post by: Sanja on 28/09/2004, 20:50:37
--------------------------------------------------------------------------------
218.zip руткиты невидет
антикит у меня сказал руткит фаунд... потом долго искал хидденфаилс но так ничего и ненашел
--------------------------------------------------------------------------------
Title: Re:Продвинутый просмотрщик процессов
Post by: Geser on 28/09/2004, 20:52:34
--------------------------------------------------------------------------------
Цитата от: azza on 28/09/2004, 16:32:33
А эта программа видит руткиты?
http://download.tehnofil.ru/218.zip
Этот не видит
--------------------------------------------------------------------------------
Title: Re:Продвинутый просмотрщик процессов
Post by: werewolf on Сегодня в 02:15:31
--------------------------------------------------------------------------------
Цитата от: Geser on 28/09/2004, 09:32:33
Че-то у тебя завелось видать :)
Врядли, система чистая была. И нашел он его не в архиве, а в распакованном файле. Может просто антивирь не обновленный был. Впрочем, это не важно раз и доктор и каспер молчат :)
--------------------------------------------------------------------------------
Title: Re:Продвинутый просмотрщик процессов
Post by: Dr.Xmas on Сегодня в 09:13:03
--------------------------------------------------------------------------------
Цитата от: Geser on 28/09/2004, 20:42:21
Это дело видит hxdef100. Увидит ли что-то другое неизвестно.
не согласен, уважаемый. программа ведь ищет не конкретного руткита, а тестирует систему вообще на наличие такой ситуации, когда драйвер скрывает своё присутствие. ведь первое сообщение было "обнаружен руткит" без указания конкретного названия.
--------------------------------------------------------------------------------
Title: Re:Продвинутый просмотрщик процессов
Post by: Geser on Сегодня в 09:20:34
--------------------------------------------------------------------------------
Цитата от: werewolf on Сегодня в 02:15:31
Врядли, система чистая была.
Ну это никогда нельзя гарантировать. А если у Вас стоит только NAV, то есть большие шансы что с ним мирно живут пару троянчиков.
--------------------------------------------------------------------------------
Title: Re:Продвинутый просмотрщик процессов
Post by: Geser on Сегодня в 09:23:30
--------------------------------------------------------------------------------
Цитата от: Dr.Xmas on Сегодня в 09:13:03
не согласен, уважаемый. программа ведь ищет не конкретного руткита, а тестирует систему вообще на наличие такой ситуации, когда драйвер скрывает своё присутствие. ведь первое сообщение было "обнаружен руткит" без указания конкретного названия.
Если действительно ищет скрытые драйверы, файлы и процессы то должен найти что угодно. Но после сообщения что найден руткит он слишком быстро выдал список скрытых файлов. Похоже просто знал что искать. Иначе единственная альтернатива это полное сканирование дисков.
--------------------------------------------------------------------------------
Title: Re:Продвинутый просмотрщик процессов
Post by: Dr.Xmas on Сегодня в 09:29:26
--------------------------------------------------------------------------------
Цитата от: Geser on Сегодня в 09:23:30
Если действительно ищет скрытые драйверы, файлы и процессы то должен найти что угодно. Но после сообщения что найден руткит он слишком быстро выдал список скрытых файлов. Похоже просто знал что искать. Иначе единственная альтернатива это полное сканирование дисков.
так в том-то и фишка, что за время работы были просканированы все файлы на жёстких дисках, и был получен список РЕАЛЬНЫХ файлов, которые в этот момент скрывались, используя этот драйвер. т.е. был получен список файлов через драйвер и в обход драйвера.
--------------------------------------------------------------------------------
Title: Re:Продвинутый просмотрщик процессов
Post by: Dr.Xmas on Сегодня в 09:33:59
--------------------------------------------------------------------------------
Цитата от: Sanja on 28/09/2004, 20:50:37
антикит у меня сказал руткит фаунд... потом долго искал хидденфаилс но так ничего и ненашел
Саня, можешь подарить руткита, который ты тестировал, и описАть операционную систему?