Показано с 1 по 7 из 7.

Перехватчики API и маскировка процессов в логе AVZ (заявка № 222288)

  1. #1
    Junior Member Репутация
    Регистрация
    26.05.2010
    Сообщений
    6
    Вес репутации
    33

    Перехватчики API и маскировка процессов в логе AVZ

    Прошу объяснить,что значат эти записи в логе AVZ.
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=175B00)
    Ядро ntkrnlpa.exe обнаружено в памяти по адресу 82A07000
    SDT = 82B7CB00
    KiST = 82A72E3C (401)
    Функция NtCreateSection (54) перехвачена (82C38412->8DF6F96E), перехватчик не определен
    Функция NtCreateSymbolicLinkObject (56) перехвачена (82C16270->8DF6F946), перехватчик не определен
    Функция NtLoadDriver (9B) перехвачена (82BDA0A1->8DF6F94B), перехватчик не определен
    Функция NtOpenSection (C2) перехвачена (82C7EEC7->8DF6F941), перехватчик не определен
    Функция NtRequestWaitReplyPort (12B) перехвачена (82C53325->8DF6F97, перехватчик не определен
    Функция NtSetContextThread (13C) перехвачена (82CF584D->8DF6F973), перехватчик не определен
    Функция NtSetSecurityObject (15B) перехвачена (82C16067->8DF6F97D), перехватчик не определен
    Функция NtSetSystemInformation (15E) перехвачена (82C63C3F->8DF6F950), перехватчик не определен
    Функция NtSystemDebugControl (170) перехвачена (82C9B904->8DF6F982), перехватчик не определен
    Функция NtTerminateProcess (172) перехвачена (82C70A51->8DF6F90F), перехватчик не определен
    Проверено функций: 401, перехвачено: 10, восстановлено: 0




    1.4 Поиск маскировки процессов и драйверов
    Маскировка процесса с PID=328, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 32
    Маскировка процесса с PID=420, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 420)
    Маскировка процесса с PID=496, имя = ""

    и т.д.

    1.4 Поиск маскировки процессов и драйверов
    Маскировка процесса с PID=328, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 32
    Маскировка процесса с PID=420, имя = ""
    >> обнаружена подмена PID (текущий PID=0, реальный = 420)
    Маскировка процесса с PID=496, имя = ""

    и т.д.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,310
    Вес репутации
    350
    Уважаемый(ая) serpuh, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    98,139
    Вес репутации
    3062
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    26.05.2010
    Сообщений
    6
    Вес репутации
    33
    Запрошенный файл выслал,только почему-то это нигде и никак не отображается,что сильно напрягает!
    Думаю,надо как-то информировать о получении(неполучении)?

    - - - - -Добавлено - - - - -

    Запрошенный файл выслал,только почему-то это нигде и никак не отображается,что сильно напрягает!
    Думаю,надо как-то информировать о получении(неполучении)?

    Ух,ты,оказывается это легко проверить повторной отправкой!Как по мне,это не комильфо!

    Из "похожих тем" ничего полезного не узнал.Практически одна "вода"-сделай это,сделай то,а зачем и что это дает неизвестно...
    и ни слова о том почему "перехватчик не определен",почему "маскируется процесс"!

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    98,139
    Вес репутации
    3062
    1. Логи прикрепляют к сообщению, а не засоряют ими систему сбора карантинов.

    2. Если менять настройки сканирования по умолчанию, которых вполне достаточно, то и не такой результат можно увидеть в логах.

    3. Ничего вирусоподобного логи не показывают.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    26.05.2010
    Сообщений
    6
    Вес репутации
    33
    1.Логи и были прикреплены к первому сообщению,если Вы обратите внимание.Зачем создавать систему сбора карантинов,если отправка файла ее засоряет,как Вы выразились?И чем отличается сбор логов вручную от автоматизированного,ведь если верить описанию работы автомата,то последовательность абсолютно та же!?Или автомат собирает иную информацию?
    2.Есть совершенно четкая инструкция о настройках сканирования для обращения за помощью,что не так?Может у AVZ есть склонность ловить свой "хвост"?
    3.Опять же,где ответ на мой вопрос?(см.п 1) "Прошу объяснить,что значат эти записи в логе AVZ."По нормальной логике при отключенном антивирусе никаких скрытых (неопределяемых) процессов протекать не должно?

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    98,139
    Вес репутации
    3062
    1. Логи и карантин - это совершенно разные вещи.

    2. Нигде не было сказано в старой инструкции, по которой были собраны логи из первого сообщения, что нужно при сканировании включать AVZPM.

    3. Да Вы сказочник, если процессов и служб от Avira в логе не видите.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

Похожие темы

  1. Ответов: 6
    Последнее сообщение: 09.09.2016, 15:04
  2. Ответов: 10
    Последнее сообщение: 20.04.2014, 17:17
  3. Ответов: 10
    Последнее сообщение: 31.08.2009, 00:56
  4. Ответов: 7
    Последнее сообщение: 22.02.2009, 09:51
  5. Ответов: 12
    Последнее сообщение: 17.07.2007, 21:13

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00575 seconds with 18 queries