Вышла новая программа, проверяющая целостность ядра операционной системы. RootKit Hook Analyzer показывает установленные на компьютере сторонние продукты, перехватывающие сервисы ядра системы. Если какие-нибудь сервисы перехвачены или модифицированы, то, возможно, безопасность подвержена риску и ваша система заражена вирусом, трояном или другими подобными программами. После анализа системы, утилита выводит информацию о модулях, ответственных за тот или иной сервис, а также их начальные адреса и описание. Изменённые сервисы выделяются красным. Все остальные системные сервисы отмечаются как неопасные. Помимо этого можно посмотреть установленные в системе программные модули и драйвера, их основные адреса, настоящее название файлов и компанию производителя того или иного программного модуля.
ОС: Windows 2000/XP/2003 | Англ. интерфейс | Бесплатно.

http://www.resplendence.com/download/hookanlz.exe

Ой, уже бегу качать. Заинтересовался я.

А кто производитель этой программы?

Resplendence Software Projects Sp.
Via Hanoi 3
40052, Baricella
Italy
Tel: +39 340 2742348
Fax: +31 84 8768066
email: [email protected]
web: http://www.resplendence.com

А кто производитель этой программы?
Реально ничего интересного в этой утилите нет - AVZ (kernel-mode anti-rootkit) все это умеет делать, плюс еще и восстанавливать системные перехваты в исходное состояние. В общем, так - баловство одно... ;)

Реально ничего интересного в этой утилите нет Да.
я вот решил поизвращаться. Включил прогу, а потом монитор KAV и пипец - полезло - Personal Pro Tray GUI Component - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.- и т.д. и т.п.

Насколько я понимаю, все эти детекты перехватов, в том числе и в AVZ, работают по аналогичной схеме, если впрямую не заимствуя общие исходники =) так что сам юзаю KProcCheck и SDARestore от какого-то китайца или корейца... забыл как зовут =)

Насколько я понимаю, все эти детекты перехватов, в том числе и в AVZ, работают по аналогичной схеме, если впрямую не заимствуя общие исходники =) так что сам юзаю KProcCheck и SDARestore от какого-то китайца или корейца... забыл как зовут =)
Не... не китайца/корейца, а сингапурца - впрочем, все они "одинаковы с лица"... ;)

Что касается "общих исходников", то, насколько мне известно, AVZ написан в этом смысле "чисто", т.е. схема примерно одинакова, но код - разный. Что до KProcCheck и SDTRestore - они тоже далеко не без греха, поэтому в свое время мне (для личных нужд) пришлось написать свой код, имеющий более расширенный функционал в сравнении с этими утилитами (ну, и с AVZ, естественно). Хотя, на мой взгляд, тема хуков через модификацию KeServiceDescriptorTable(Shadow) уже перестает (или даже "перестала еще пару лет назад", по словам Грега Хоглунда, "отца" rootkit.com (http://www.rootkit.com)) быть интересной или актуальной (для руткитов, как минимум). :P

AVZ, насколько помню, написан на Дельфи, но в плане анализа кернел-модных и юзермодных перехватов имхо много взял от упомняутых утилит (включая хтмл-отчет =))

А насчет актуальности модифая SDT Хоглунд прав б/п, DKOM руткиты рулят и нихрена толком в области противостояния им не сделано =)

Всё. Пипец. До%%%бывался, "доизвращался".
Желающим грохнуть систему - см. инструкцию вверху - мой пред. пост.
...
После перезагрузки Винда выдает kdcom.dll (Kernel Debugger HW Extension) поврежден. Ест-но берем дискету и копируем с соседней машины. Далее идет bootvid.dll. А далее файлик system... Очень печально, т.к. ERD-Commander'ы и т.д. не юзаю. Взял стандартный system из каталога Repair... Винда, конечно загрузилась, жаль только дрова специфичные переинсталлировать надо и т.д., сервисы и т.д. по дефолту, короче - RootKit Hook Analyzer + KAV - идеальная связка.
По такому же принципу грохал Винду в связке KAV + SpywareDoctor. Это типа из раздела - можно ли запускать связки софта, работающие в kernel mode.

Боян! Либо у вас на машине стоит KAV, либо что-то еще, работающее с драйверами =))

Боян! Либо у вас на машине стоит KAV, либо что-то еще, работающее с драйверами =)) Xen, я прикола не понял. Я и говорю, что стоит KAV. Я же писал в этой ветке в посте №6. Или проясните о чем речь.

Смысл мессаги в том, что, имея установленный КАВ, лучше никакого софта, работающего на низком уровне, не использовать =)

Xen, да это всем известно, это же прописные истины. Я об этом и говорю. Только есть еще нюанс - некоторые антивирусные проги, мониторы, анализаторы и т.д. все-таки позволяют работать совместно с KAV... Просто скучно было и любопытно - вот и решил поприкалываться. Ниче, сегодня на работе все уже переустановил, да и пивка попил, так что все ОК.