Страница 3 из 53 Первая 123456713 ... Последняя
Показано с 41 по 60 из 1042.

AVZ 4.30

  1. #41
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от UFANych Посмотреть сообщение
    Вот как раз попался перехватчик IRP. И не снялся... А я подумал, что будет...Пошто так? Почему нельзя снять такие перехваты?
    Сныть все можно ... у меня давно есть рабочий код снятия IRP перехватов, но это весьма опасно - а если это дравер крипто-диска к примеру, что будет ?! А будет все просто - каюк данным ...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #42
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.01.2007
    Сообщений
    70
    Вес репутации
    74
    Все, разобрался.
    Это все от C:\WINDOWS\system32\Drivers\sptd.sys
    SCSI Pass Through Direct - драйвер от Duplex Secure Ltd
    который устанавливается вместе с алкоголем или даемон тулз
    \driver\disk[IRP_MJ_READ] и т.д. тоже от него.
    Выключил в non PlugAndPlay sptd, перезагрузился - перехваты исчезли.
    Как я понял понимаю, узнать что именно поставило перехват - не тривиальная задача...

    К примеру \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89D7C0E8-> перехватчик не определен
    89D7C0E8 - это адрес перехватчика?

    Помню, AVZ и не у не всех юзермод перехватчиков показывает имена файлов.
    К примеру:
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dll:NtQuerySystemInformation (263) перехвачена, метод APICodeHijack.PushAndRet
    Функция ntdll.dll:RtlGetNativeSystemInformation (609) перехвачена, метод APICodeHijack.PushAndRet
    Функция ntdll.dll: ZwQuerySystemInformation (1072) перехвачена, метод APICodeHijack.PushAndRet, а кто перехватывает - это оставляется как дополнительное задание пользователю.
    Конечно, мне легко говорить в той области, где я не разбираюсь
    Последний раз редактировалось Mad Scientist; 08.04.2008 в 22:34.

  4. #43
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    08.05.2005
    Сообщений
    74
    Вес репутации
    82
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Сныть все можно ... у меня давно есть рабочий код снятия IRP перехватов, но это весьма опасно - а если это дравер крипто-диска к примеру, что будет ?! А будет все просто - каюк данным ...
    прискорбно конечно, но без этого снятия я сегодня лечить от драйвера... и крипто-дисков точно не было ... да даже если и были бы - размонтировать и все дела. Может, всё же сделать ??? пожааалуйста...

  5. #44
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Олег же ответил вам,что это очень опасно.

  6. #45
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    08.05.2005
    Сообщений
    74
    Вес репутации
    82
    Цитата Сообщение от Гриша Посмотреть сообщение
    Олег же ответил вам,что это очень опасно.
    А можно, я сам буду в каждом конкретном случае определять опасно это или нет, без Вашей помощи?
    Особенно, если сидит только один драйвер и защищает сам себя и немного троянов. И прямое чтение диска у AVZ сквозь эту защиту не пробивается? А?

    Да, есть драйвер SPTD, который стал такое перехватывать. Но когда надо вылечить, тут не до эмуляторов CD.

    Ещё раз прошу, Олег, пожалуйста, можно будет добавить снятие IRP хука конкретного драйвера или они обязательно снимаются только пачкой?

  7. #46
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от UFANych Посмотреть сообщение
    А можно, я сам буду в каждом конкретном случае определять опасно это или нет, без Вашей помощи?
    Особенно, если сидит только один драйвер и защищает сам себя и немного троянов. И прямое чтение диска у AVZ сквозь эту защиту не пробивается? А?

    Да, есть драйвер SPTD, который стал такое перехватывать. Но когда надо вылечить, тут не до эмуляторов CD.

    Ещё раз прошу, Олег, пожалуйста, можно будет добавить снятие IRP хука конкретного драйвера или они обязательно снимаются только пачкой?
    Нельзя. ну хорошо, снимет AVZ хук - и дальше то что ?! В логе появится запись "перехватчик нейтрализован", а дальше ? Ничего особенно видимого то не произойдет (быть может за исключением BSOD и потери всех данных на HDD, но это будет мелкий побочный эффект). Ведь заранее неизвестно, что это за драйвер, что и зачем он перехватил эти самые и сколько таких драйверов было - мы же видим верхний перехватчик в цепочке, а их в теории может быть например три штуки.

  8. #47
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    08.05.2005
    Сообщений
    74
    Вес репутации
    82
    Ну хватит уже как молитву повторять про потерю данных. Думать надо, а не молиться.

    Я исхожу из следующего -
    1. в чистой системе IRP обрабатываются как надо, драйверы fastfat/ntfs никем не патчатся и всё хорошо.
    2. нормальному драйверу в среднестатистической системе незачем перехватывать IRP так, чтобы не давать себя прочитать через прямое чтение диска. Знаменитый sptd.sys прямое чтение с диска даёт:
    Код:
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\sptd.sys)
     Карантин с использованием прямого чтения - ОК
    Файл успешно помещен в карантин (C:\WINDOWS\system32\drivers\sptd.sys)
    3. Типовые (стандартные, от MS) пути обработки IRP через драйверы fastfat и ntfs могут быть найдены на чистой системе и использованы AVZ для, по крайней мере, прямого чтения с диска минуя левые хуки и аттачи (которые ставятся выше этих драйверов, не так ли?) (вот тут я не в курсе, можно ли организовать такие асинхронные события минуя один приаттаченых драйверов) Особенно если один из перехватчиков IRP не даёт читать напрямую с диска, что ОЧЕНЬ подозрительно.

    Конечно, если даёт читать напрямую, и прочитанное напрямую отличается от прочитанного через чистый fastfat/ntfs, то тут лучше запись не устраивать ... но если чтение невозможно, левый драйвер не даёт себя читать и не даёт манипулировать с записью каталога/MFT (а с чтением соседних драйверов и манипуляцией их элементов каталога всё в порядке), то ИМХО просто необходимо либо снять все хуки IRP в fastfat/ntfs, либо напрямую сформировать IRP запросы к чистому fastfat/ntfs в обход приаттаченых драйверов и переименовать этот драйвер! Ну и в конце концов, решение всегда принимает лечащий врач!

    ЗЫ. Ну что, достаточно ли моя позиция взвешена или я что-то забыл?

  9. #48
    Junior Member Репутация
    Регистрация
    16.01.2008
    Сообщений
    83
    Вес репутации
    60

    4.30 с марсианским интерфейсом

    Всем привет!Решил обновить базы ,а не удалось-требуется новая версия.Скачал 4.30 и вместо слов,букв и пр. везде вот так: [?123?] Короче,цифры и все.Что делать-то?Хэлп,однако!

  10. #49
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Запустите AVZ с параметром lang=en

  11. #50
    Junior Member Репутация
    Регистрация
    16.01.2008
    Сообщений
    83
    Вес репутации
    60
    Это как,ежели все в цифрах?Куда ткнуть?

  12. #51
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Цитата Сообщение от gorill Посмотреть сообщение
    Это как,ежели все в цифрах?Куда ткнуть?

    1. Нажмите кнопку "Пуск" и выберите команду "Выполнить".
    2. В диалоговом окне "Обзор" найдите AVZ.exe и допишите lang=en

  13. #52
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.10.2007
    Адрес
    Владивосток
    Сообщений
    298
    Вес репутации
    98
    Создать ярлык и дописать в поле объект lang=en.
    пример, у мну так: "K:\Soft\Anti Root Kit\avz4_29.9\avz.exe" lang=en

    Добавлено через 1 минуту

    или создать в блокноте файл start.bat и написать там start avz.exe lang=en
    В папке с прогой само-собой.
    Последний раз редактировалось XiTri; 12.04.2008 в 21:04. Причина: Добавлено

  14. #53
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.01.2008
    Сообщений
    113
    Вес репутации
    0
    Всем привет.
    А кроме IRP хуков, существуют и по круче хуки.
    Вот к примеру www.gmer.net, там вышла новая версия антируткита, вот она сканит много разных хуков....

    1) К примеру какой хук или объект (объект это драйвер либо машинная длл или что то ещё) перехватывает ветку реестра HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\SAC и HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\SAI. ну ладно это фигня можно обойти через низкоуровневый доступ к диску (gmer.exe так проходит), но интересно какой объект и каким методом эти ветки перехвачены?

    2) К примеру как удалить/редактировать объект (файл/метафайл) c:\$MFT, вдруг вирус также создаться тудаже и всё капут

    Информация:
    1) www.gmer.net
    2) http://www.wasm.ru/forum/viewforum.php?id=6

    а про драйвер даемуна, старфорса, алкоголя я знал ещё год назад... увлекался сканил, в касперском 7 25 дыр находил, чёта надоело находить...так иногда залажу в инет гляжу чё там новенького...

    Вопрос Олегу Зайцеву: А в Kaspersky Internet Security 8 там есть встроенная avz 4.30? и почему бы в KIS8 не сделают просмотр реестра, дисков файлов поиск и т.д как у вас в avz ?

  15. #54
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от NikolayFirsov Посмотреть сообщение
    Всем привет.
    А кроме IRP хуков, существуют и по круче хуки.
    Вот к примеру www.gmer.net, там вышла новая версия антируткита, вот она сканит много разных хуков....

    1) К примеру какой хук или объект (объект это драйвер либо машинная длл или что то ещё) перехватывает ветку реестра HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\SAC и HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\SAI. ну ладно это фигня можно обойти через низкоуровневый доступ к диску (gmer.exe так проходит), но интересно какой объект и каким методом эти ветки перехвачены?

    2) К примеру как удалить/редактировать объект (файл/метафайл) c:\$MFT, вдруг вирус также создаться тудаже и всё капут

    Информация:
    1) www.gmer.net
    2) http://www.wasm.ru/forum/viewforum.php?id=6

    а про драйвер даемуна, старфорса, алкоголя я знал ещё год назад... увлекался сканил, в касперском 7 25 дыр находил, чёта надоело находить...так иногда залажу в инет гляжу чё там новенького...

    Вопрос Олегу Зайцеву: А в Kaspersky Internet Security 8 там есть встроенная avz 4.30? и почему бы в KIS8 не сделают просмотр реестра, дисков файлов поиск и т.д как у вас в avz ?
    Ядро AVZ и некоторый доп. функционал там есть. Но применяется он для изучения системы, сканировать диски и реестр KIS может прекрасно и без AVZ. Насчет остального вышесказанного не совсем понял его смысл - реестр это база данных, нельзя "перехватить ветку". Можно ограничить доступ к некоторым данным в реестре или замаскировать их - это зловреды давно делают. Про $MFT вообще не понятно - нужно для начала уяснить, что такое $MFT. А это попросту спец. файл, который хранит MFT - Master File Table - базу данных, описывающую все файлы и каталоги на диске с файловой системой NTFS. В MFT имеется битовый массив, показывающий, какие из записей MFT задействованы, а какие нет. Первые 16 элементов MFT зарезервированы для специальных файлов - тех самых, что начинаются с $ и показываются низкоуровневыми смотрелками в корне диска. В частности, элемент номер 5 в MFT - это корневой каталог тома. Если удалить $MFT (чего система конечно не даст сделать по доброй воле), или затереть MFT каким-то бредом, то диск "накроется" на логическом уровне - так как мы угробим индекс, описывающий, что и где на нем хранится.

  16. #55
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.01.2008
    Сообщений
    113
    Вес репутации
    0
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Ядро AVZ и некоторый доп. функционал там есть. Но применяется он для изучения системы, сканировать диски и реестр KIS может прекрасно и без AVZ. Насчет остального вышесказанного не совсем понял его смысл - реестр это база данных, нельзя "перехватить ветку". Можно ограничить доступ к некоторым данным в реестре или замаскировать их - это зловреды давно делают. Про $MFT вообще не понятно - нужно для начала уяснить, что такое $MFT. А это попросту спец. файл, который хранит MFT - Master File Table - базу данных, описывающую все файлы и каталоги на диске с файловой системой NTFS. В MFT имеется битовый массив, показывающий, какие из записей MFT задействованы, а какие нет. Первые 16 элементов MFT зарезервированы для специальных файлов - тех самых, что начинаются с $ и показываются низкоуровневыми смотрелками в корне диска. В частности, элемент номер 5 в MFT - это корневой каталог тома. Если удалить $MFT (чего система конечно не даст сделать по доброй воле), или затереть MFT каким-то бредом, то диск "накроется" на логическом уровне - так как мы угробим индекс, описывающий, что и где на нем хранится.

    1) Хотелось бы в avz и в kis8, ручной просмотрщик файлов и реестра, как сделано в новой версии gmer (для професионалов это пригодиться).
    И хотелось бы в KIS8 было всё что в авз, ну к примеру дистпечер процессов, модули пространство ядра и т.д... (для професионалов это хорошо.
    И хотелось бы в HIPS или в проактная защита была ещё лучше, к примеру есть программа System Safety Monitor вот в ней проактивка/hips лучше чем в KIS8.
    2)*Насчет остального вышесказанного не совсем понял его смысл*- ладно задам вопрос по другому:
    Существует ветка реестра HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\SAC и к ней невозможен доступ через regedit.exe (т.е каким то методом заблокировано, т.е каким то файлом заблокировано, Методы блокирования бывают разные SSDT, IRP и т.д, ну можно сказать это не методы блокирования а виды хуков)
    Так вот каким видом хуком заблокирован доступ, и каким файлом, драйвером?
    3) Про $MFT.
    К примеру вирусописатель придумал новый вирус, скрывается как $MFT. Но мне кажется через функцию "низкоуровневый доступ к диску" невозможно получит доступ к $MFT.
    4) Про бут-сектора. Мне кажется есть всякие редакторы дисков, можно вручную поставить в секторе адресс, и таким образом удалиться вирус. Либо в базе антивируса должны быть данные о бут секторах.... и к примеру антивирус нашёл бут-вирус, и он должен вылечить его.... просто антивирус берёт из базы данные и востанавливает бут сектор... ну незнаю фигню наверно я гоню.
    Про руткиты можно обнаруживать их загрузившись из СД виндовса барт сиди, хр лайф сиди и т.д..... Т.е в антивирусе нужно выгрузить или заблокировать всю старую память и загрузить оригинальные важные сис.файлы в процессе сканирования руткитов...
    5) Возможно ли в ХР, Висте програмно сменить пароль на биос, или изменить параметры биос? Ведь время/часы можно менять (а время/часы - это параметр биоса) -- я думаю теоретически можно.... а значит скора появяться вирусы которые стирают биос.
    6) Я думаю вирусы появяться такие, которые причинят железу, к примеру есть программа rivatunaer она разгоняет процессор на видеокарте, так вот придумают вирус и видеокарта будет разогнаная, и потом юзер играет играет и раз процессор на видеокарте сгарит, так же с процессором от компьютера, ведь я думаю теоретически возможно менять параметры биос в виндовсе, а значит разогнать процессор.

  17. #56
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    6. Причинить железу вред сложно, хотя байки о вирусах, убивающие HDD резонансом, сжигающие мониторы передачей особых импульсов и т.п. гуляют уже лет 10-15. Но реальнох зловредов нет и маловероятно, что будут - железо специфично, доступ к жедезу напрямую в NT системах невозможен.
    5. Стирающие биос зловреды не появятся в скором времени, так как они давно известны. Ответом на них и на любителей перешивать Bios пять раз на дню появились материнки, у которых или есть нестираемый загрузчик, или биос дублирован - на случае неуспешной прошивки или действий зловреда. Аналогично с настройками - все современные биосы как правило неплохо работают с настройкой по умолчанию, и на эту настройку можно сбросить все опции биоса. Пароль на биос меняется из самого биоса и на возможность старания биоса не влияет ...
    4. Антивирусы давно и успешно блокируют прямой доступ к диску, и умеют сканировать и лечить бут сектора, а новые буткиты и древние бут вирусы как могут противодействуют этому. Но буткит не страшен, если работать по учетной записью юзера - у него нет прав на прямую работу с диском
    3. Я все таки советую почитать на досуге доку по NTFS Служебными являются первые 16 псевдофайлов, описанные в первых 16 ячейках MFT. И доступ к ним на самом деле есть, если есть права админа. А простой файл с именем $MFT будет просто файлом с таким именем - система не блокирует доступ к нему и не прячет его
    2. А кто сказал, что доступ к нему блокирован ?! Доступ ничем не блокируется, но если внимательно посмотреть на права доступа к данной ветке реестра, то том указано, что SYSTEM (т.е. сама операционка) имеет неограниченный доступ, а скажем админ не имеет вообще никаких прав. Если уж так хочется посмотреть, что там есть - достаточно дать себе прав на этот раздел и все ...
    1. Насчет того, что проактивка лучше/хуже - это вопрос очень спорный и очень туманный. нужно понимать, что не задача антивируса разграничавать доступ и т.п. - если работать под учетной записью юзера, то сама система ограничит опасное поведение программ и процентов 80 зловредов не будет нормально работать под юзером без всякого HIPS. Но есть путь для мазохистов - сидеть под админом и мучительно заставлять проактивку сделать из учетной записи админа учетную запись юзера Начет ручных просмотрщиков - они не нужны в AVZ/KIS, для этого есть отдельные удобные инструменты, и обычно явной необходимости в таком инстументарии нет.

  18. #57
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.01.2008
    Сообщений
    113
    Вес репутации
    0
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    6. Причинить железу вред сложно, хотя байки о вирусах, убивающие HDD резонансом, сжигающие мониторы передачей особых импульсов и т.п. гуляют уже лет 10-15. Но реальнох зловредов нет и маловероятно, что будут - железо специфично, доступ к жедезу напрямую в NT системах невозможен.
    5. Стирающие биос зловреды не появятся в скором времени, так как они давно известны. Ответом на них и на любителей перешивать Bios пять раз на дню появились материнки, у которых или есть нестираемый загрузчик, или биос дублирован - на случае неуспешной прошивки или действий зловреда. Аналогично с настройками - все современные биосы как правило неплохо работают с настройкой по умолчанию, и на эту настройку можно сбросить все опции биоса. Пароль на биос меняется из самого биоса и на возможность старания биоса не влияет ...
    4. Антивирусы давно и успешно блокируют прямой доступ к диску, и умеют сканировать и лечить бут сектора, а новые буткиты и древние бут вирусы как могут противодействуют этому. Но буткит не страшен, если работать по учетной записью юзера - у него нет прав на прямую работу с диском
    3. Я все таки советую почитать на досуге доку по NTFS Служебными являются первые 16 псевдофайлов, описанные в первых 16 ячейках MFT. И доступ к ним на самом деле есть, если есть права админа. А простой файл с именем $MFT будет просто файлом с таким именем - система не блокирует доступ к нему и не прячет его
    2. А кто сказал, что доступ к нему блокирован ?! Доступ ничем не блокируется, но если внимательно посмотреть на права доступа к данной ветке реестра, то том указано, что SYSTEM (т.е. сама операционка) имеет неограниченный доступ, а скажем админ не имеет вообще никаких прав. Если уж так хочется посмотреть, что там есть - достаточно дать себе прав на этот раздел и все ...
    1. Насчет того, что проактивка лучше/хуже - это вопрос очень спорный и очень туманный. нужно понимать, что не задача антивируса разграничавать доступ и т.п. - если работать под учетной записью юзера, то сама система ограничит опасное поведение программ и процентов 80 зловредов не будет нормально работать под юзером без всякого HIPS. Но есть путь для мазохистов - сидеть под админом и мучительно заставлять проактивку сделать из учетной записи админа учетную запись юзера Начет ручных просмотрщиков - они не нужны в AVZ/KIS, для этого есть отдельные удобные инструменты, и обычно явной необходимости в таком инстументарии нет.

    6. *доступ к жедезу напрямую в NT системах невозможен*- Но часы же можно менять в виндовсе, и они меняются в биосе. Также разогнать процессор на видеокарте можно спец программами к примеру Riva Tuner--- Вывод: значит в NT возможен доступ.
    2. Вы наверно подумали про ветку hklm\security, а я говорю про ветку hklm\SECURITY\Policy\Secrets\SAC или hklm\SECURITY\Policy\Secrets\SAI

    1. Ну незнаю. К примеру вирусы скрыты и в эксплорере я немогу их увидеть, так мне помогла avz, я через поиск нашёл вирус и удалил его.

    7. А вы читали мои баги (http://www.wasm.ru/forum/viewtopic.php?id=25173) в Kaspersky Internet Security? Ну как расскажите?

    8. А находит ли avz 4.30 хуки вида .SYSENTER, INT,.text и т.д?

  19. #58
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    по поводу 8. Sysenter - http://www.z-oleg.com/secur/virlist/vir1179.php
    1.3 Проверка IDT и SYSENTER
    Анализ для процессора 1
    >>> Опасно - подозрение на подмену адреса ЦП[1].SYSENTER=806D8D2D C:\WINDOWS\system32\ntoskrnl.exe, драйвер опознан как безопасный
    ЦП[1].SYSENTER успешно восстановлен
    Проверка IDT и SYSENTER завершена
    >>>> Подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  20. #59
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от NikolayFirsov Посмотреть сообщение
    6. *доступ к жедезу напрямую в NT системах невозможен*- Но часы же можно менять в виндовсе, и они меняются в биосе. Также разогнать процессор на видеокарте можно спец программами к примеру Riva Tuner--- Вывод: значит в NT возможен доступ.
    2. Вы наверно подумали про ветку hklm\security, а я говорю про ветку hklm\SECURITY\Policy\Secrets\SAC или hklm\SECURITY\Policy\Secrets\SAI

    1. Ну незнаю. К примеру вирусы скрыты и в эксплорере я немогу их увидеть, так мне помогла avz, я через поиск нашёл вирус и удалил его.

    7. А вы читали мои баги (http://www.wasm.ru/forum/viewtopic.php?id=25173) в Kaspersky Internet Security? Ну как расскажите?

    8. А находит ли avz 4.30 хуки вида .SYSENTER, INT,.text и т.д?
    6. По поводу настройки времени - советую зайти под ограниченной учетной записью и попробовать поменять время Насчет разгона и т.п. - для этого нужно установить эту спец-программу, ей в свою очередь нужно установить драйвера и т.п., и все это должно произойти под админом ...

    2. Я думал именно о том, о чем написал. Доступ к данным ключам ограничен привилегиями. А те два означенных ключа еще содержат символ с кодом #0 в имени, и Regedit поэтому не может туда забраться (по видимому логика правильная - нечего юзеру там делать )

    1. В проводнике никто зловредов не ищет - для этого есть FAR и его аналоги

    7. Читал, смешно Описанное там - это не баги, а демонстрация непонимания принципов работы антивируса и защиты ПК в целом. Рекомендую на досуге взять чистый ПК, поставить на него KIS (под админом), затем создать ограниченную учетную запись, зайти под ней и поискать "баги". Можно поверить мне на слово, полученная картина удивит

    8. Не совсем ясно, что такое хук типа ".text"

  21. #60
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.01.2008
    Сообщений
    113
    Вес репутации
    0
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    6. По поводу настройки времени - советую зайти под ограниченной учетной записью и попробовать поменять время Насчет разгона и т.п. - для этого нужно установить эту спец-программу, ей в свою очередь нужно установить драйвера и т.п., и все это должно произойти под админом ...

    2. Я думал именно о том, о чем написал. Доступ к данным ключам ограничен привилегиями. А те два означенных ключа еще содержат символ с кодом #0 в имени, и Regedit поэтому не может туда забраться (по видимому логика правильная - нечего юзеру там делать )

    1. В проводнике никто зловредов не ищет - для этого есть FAR и его аналоги

    7. Читал, смешно Описанное там - это не баги, а демонстрация непонимания принципов работы антивируса и защиты ПК в целом. Рекомендую на досуге взять чистый ПК, поставить на него KIS (под админом), затем создать ограниченную учетную запись, зайти под ней и поискать "баги". Можно поверить мне на слово, полученная картина удивит

    8. Не совсем ясно, что такое хук типа ".text"

    6.
    a) Речь идёт не под ограниченной учётной записи, а под Администратором (ну в ХР у него RID 500) (ведь в KIS8 разработали HIPS, а значит предусматривают баги из под администратора)
    б) значит под администратором можно разогнать видеокарту, и процессор, т.е поменять параметры железа в NT - это означает что можно создать вирус который меняет параметры биоса и видиокарты (время, пароль на биос, приоритет загрузки, частоту шины на видеокарте)?
    2. *А те два означенных ключа еще содержат символ с кодом #0 в имени*---Непонял, расскажите подробнее???. К примеру я просто запускаю gmer.exe от http://www.gmer.net и он загружает свой вспомогательный драйвер и этот драйвер использует функцию "Низкоуровневый доступ к диску" и в gmer.exe можно просмотреть что храниться в этих ветках hklm\SECURITY\Policy\Secrets\SAC или hklm\SECURITY\Policy\Secrets\SAI и просмотрел и ненашёл никаких *содержат символ с кодом #0 в имени*
    Даже если посканить программой gmer.exe реестр, то увидете эти ветки реестра, а значит чем-то они блокируются, и каким то типом хука
    1. А если этот зловред скрытый на диске с помощью своего вспомогательного драйвера? и FAR может его обнаружить? к примеру в gmer.exe там он работает через "низкоуровневый доступ к диску".
    7. "а демонстрация непонимания принципов работы антивируса и защиты ПК в целом"- т.е я непонимаю как работает антивирус и защита ПК в целом? Почему вы так считаете? Ведь половина баг уже они предусмотрели в KIS 8.0.0.x - это означает что баги или я неправ?
    Ну к примеру любую багу из wasm.ru назовите, что она не
    права?
    (Речь идёт об Администраторе а не об огр.учётной записи)
    8. Скачайте программу gmer.exe от http://www.gmer.net и просканируйте систему, и увидете очень много типов хуков

Страница 3 из 53 Первая 123456713 ... Последняя

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00070 seconds with 16 queries