-
Junior Member
- Вес репутации
- 64
Не понимаю.Кто растолкует.
Что-бы это значило?
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:GetProcAddress (40перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ADA0->7C8EDFEC
Функция kernel32.dlloadLibraryA (57 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C8EDF9C
Функция kernel32.dlloadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C8EDFB0
Функция kernel32.dlloadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->7C8EDFD8
Функция kernel32.dlloadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE4B->7C8EDFC4
Детектирована модификация IAT: LoadLibraryA - 7C8EDF9C<>7C801D77
Детектирована модификация IAT: GetProcAddress - 7C8EDFEC<>7C80ADA0
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Функция rasapi32.dll:RasDialA (21) перехвачена, метод ProcAddressHijack.GetProcAddress ->76EF6A25->3200010
Функция rasapi32.dll:RasDialW (22) перехвачена, метод ProcAddressHijack.GetProcAddress ->76EF672B->320003A
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082480)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559480
KiST = 8201FB58 (297)
>>> Внимание, таблица KiST перемещена ! (804E26A8(284)->8201FB58(297))
Функция NtClose (19) перехвачена (80566B49->F68805D0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateKey (29) перехвачена (8056E761->F6873C40), перехватчик C:\WINDOWS\system32\drivers\klif.sys
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Это - огрызок протокола AVZ неизвестной версии, с перехватами функций. По виду - перехваты похожы на монитор Касперского, но точнее можно сказать по протоколам, которые можно получить, выполнив правила (http://virusinfo.info/showthread.php?t=1235)
-
-
Junior Member
- Вес репутации
- 64
Олег спасибо что откликнулся.
Это ...
Протокол антивирусной утилиты AVZ версии 4.22
Сканирование запущено в 25.12.2006 18:34:28
Загружена база: 72858 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 23.12.2006 11:56
Но не понятно это...
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082480)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559480
KiST = 8201FB58 (297)
>>> Внимание, таблица KiST перемещена ! (804E26A8(284)->8201FB58(297))
Если не сложно ответь...
-
-
