-
Junior Member
- Вес репутации
- 58
Драйвер опознан как безопасный... что это значит?
Здравствуйте!
При запуске AVZ в логе появились (ещё недавно их не было) вот такие строки:
.....................................
.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=07BFA0)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 80552FA0
KiST = 80501B8C (284)
Функция NtConnectPort (1F) перехвачена (805998E8->EEC103A0), перехватчик C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный
Функция NtCreateFile (25) перехвачена (8056E27C->EEC0D410), перехватчик C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (8061A286->EEC25A34), перехватчик C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный
Функция NtCreateProcess (2F) перехвачена (805C7420->EEC24860), перехватчик C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный
Функция NtCreateProcessEx (30) перехвачена (805C736A->EEC24A80), перехватчик C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный
Функция NtCreateSection (32) перехвачена (805A06EC->EEC27770), перехватчик C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный
Функция NtDeleteFile (3E) перехвачена (8056BE1C->EEC0D8F0), перехватчик C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный
Функция NtDeleteKey (3F) перехвачена (8061A716->EEC26400), перехватчик C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный
Функция NtDeleteValueKey (41) перехвачена (8061A8E6->EEC261E0), перехватчик C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (44) перехвачена (805B384E->EEC241A0), перехватчик C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный
Функция NtLoadDriver (61) перехвачена (80579588->EEC0B3A0), перехватчик C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный
Функция NtLoadKey (62) перехвачена (8061C482->EEC265B0), перехватчик C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный
Функция NtMapViewOfSection (6C) перехвачена (805A7480->EEC279D0), перехватчик C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный
Функция NtOpenFile (74) перехвачена (8056F39A->EEC0D720), перехватчик C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный
Функция NtOpenProcess (7A) перехвачена (805C1296->EEC23FA0), перехватчик C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный
Функция NtOpenThread (80) перехвачена (805C1522->EEC23D60), перехватчик C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный
Функция NtReplaceKey (C1) перехвачена (8061C332->EEC26870), перехватчик C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный
Функция NtRequestWaitReplyPort (C
перехвачена (8059808E->EEC10070), перехватчик C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный
Функция NtRestoreKey (CC) перехвачена (8061BC3E->EEC26AF0), перехватчик C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный
Функция NtSecureConnectPort (D2) перехвачена (8059907C->EEC10550), перехватчик C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный
Функция NtSetInformationFile (E0) перехвачена (80570284->EEC0DA60), перехватчик C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (F0) перехвачена (80605E76->EEC0B210), перехватчик C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (8061880C->EEC25F90), перехватчик C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (805C8C2A->EEC24CB0), перехватчик C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный
Функция NtUnloadDriver (106) перехвачена (8057971C->EEC0B550), перехватчик C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный
Функция NtUnloadKey (107) перехвачена (80618B36->B8A786D0), перехватчик C:\WINDOWS\system32\Drivers\uphcleanhlp.sys
Проверено функций: 284, перехвачено: 26, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\driver\tcpip[IRP_MJ_CREATE] = EEC32390 -> C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный
\driver\tcpip[IRP_MJ_CLOSE] = EEC32390 -> C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный
\driver\tcpip[IRP_MJ_DEVICE_CONTROL] = EEC32390 -> C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный
\driver\tcpip[IRP_MJ_INTERNAL_DEVICE_CONTROL] = EEC32390 -> C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный
\driver\tcpip[IRP_MJ_CLEANUP] = EEC32390 -> C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный
Проверка завершена
................................................
в протоколе пишет вот так:
C:\WINDOWS\System32\vsdatant.sys;4;Перехватчик KernelMode; подозрение на RootKit
C:\WINDOWS\System32\vsdatant.sys;4;Перехватчик KernelMode; подозрение на RootKit
..........................
Подскажите пожалуйста - это нормально или нет?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
