Всё, я поехала. Руткит или Каспер ? ( на посошок )
11-02-2007 00:00
к комментариям - к полной версии
- понравилось!
Функция ZwCreateProcess (2F) перехвачена (805B4A28->AACB82C0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwCreateProcessEx (30) перехвачена (8058B5EC->AACB8440), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwCreateSection (32) перехвачена (8056EE25->AACB8EE0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwCreateSymbolicLinkObject (34) перехвачена (805A98D1->AACB8B2E), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwCreateThread (35) перехвачена (80586CE6->AACB9830), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwDeleteKey (3F) перехвачена (8059C6B6->AACAD340), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwDeleteValueKey (41) перехвачена (8059B19A->AACAD3C0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwDuplicateObject (44) перехвачена (805817D4->AACB8710), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwEnumerateKey (47) перехвачена (8057A69E->AACAD450), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwEnumerateValueKey (49) перехвачена (80590C93->AACAD500), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwFlushKey (4F) перехвачена (805E7F28->AACAD5B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwInitializeRegistry (5C) перехвачена (805AED5A->AACAD630), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwLoadKey (62) перехвачена (805D2BEC->AACADE00), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwLoadKey2 (63) перехвачена (805D2A3A->AACAD650), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwNotifyChangeKey (6F) перехвачена (80598444->AACAD6F0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwOpenFile (74) перехвачена (8057F719->F7A44028), перехватчик kl1.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwOpenKey (77) перехвачена (80573F1D->AACAD7D0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwOpenProcess (7A) перехвачена (80581C68->AACB8050), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwOpenSection (7D) перехвачена (8057B7EA->AACB8D2E), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwQueryKey (A0) перехвачена (8057A29E->AACAD870), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwQueryMultipleValueKey (A1) перехвачена (80655B40->AACAD920), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwQuerySystemInformation (AD) перехвачена (805860EF->AACB94C6), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwQueryValueKey (B1) перехвачена (80574361->AACAD9D0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwReplaceKey (C1) перехвачена (8065647A->AACADA80), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwRestoreKey (CC) перехвачена (80654F9E->AACADB10), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwResumeThread (CE) перехвачена (8058735D->AACB97A0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwSaveKey (CF) перехвачена (80655045->AACADBA0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwSetContextThread (D5) перехвачена (80635CAF->AACB9B80), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwSetInformationFile (E0) перехвачена (805822C9->AACBA270), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwSetInformationKey (E2) перехвачена (806556A3->AACADC30), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwSetInformationProcess (E4) перехвачена (8057BDC9->AACBCCD0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwSetSystemPowerState (F1) перехвачена (8066F64D->F75C64F0), перехватчик Vax347b.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwSetValueKey (F7) перехвачена (80584921->AACADCD0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwSuspendThread (FE) перехвачена (8063795B->AACB9750), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwTerminateProcess (101) перехвачена (8058CE75->AACB9300), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwUnloadKey (107) перехвачена (80655273->AACADDC0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwWriteVirtualMemory (115) перехвачена (805880B7->AACB85D0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 284, перехвачено: 40, восстановлено: 40
вверх^
к полной версии
понравилось!
в evernote
Функция ZwCreateProcess (2F) перехвачена (805B4A28->AACB82C0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwCreateProcessEx (30) перехвачена (8058B5EC->AACB8440), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwCreateSection (32) перехвачена (8056EE25->AACB8EE0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwCreateSymbolicLinkObject (34) перехвачена (805A98D1->AACB8B2E), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwCreateThread (35) перехвачена (80586CE6->AACB9830), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwDeleteKey (3F) перехвачена (8059C6B6->AACAD340), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwDeleteValueKey (41) перехвачена (8059B19A->AACAD3C0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwDuplicateObject (44) перехвачена (805817D4->AACB8710), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwEnumerateKey (47) перехвачена (8057A69E->AACAD450), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwEnumerateValueKey (49) перехвачена (80590C93->AACAD500), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwFlushKey (4F) перехвачена (805E7F28->AACAD5B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwInitializeRegistry (5C) перехвачена (805AED5A->AACAD630), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwLoadKey (62) перехвачена (805D2BEC->AACADE00), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwLoadKey2 (63) перехвачена (805D2A3A->AACAD650), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwNotifyChangeKey (6F) перехвачена (80598444->AACAD6F0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwOpenFile (74) перехвачена (8057F719->F7A44028), перехватчик kl1.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwOpenKey (77) перехвачена (80573F1D->AACAD7D0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwOpenProcess (7A) перехвачена (80581C68->AACB8050), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwOpenSection (7D) перехвачена (8057B7EA->AACB8D2E), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwQueryKey (A0) перехвачена (8057A29E->AACAD870), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwQueryMultipleValueKey (A1) перехвачена (80655B40->AACAD920), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwQuerySystemInformation (AD) перехвачена (805860EF->AACB94C6), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwQueryValueKey (B1) перехвачена (80574361->AACAD9D0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwReplaceKey (C1) перехвачена (8065647A->AACADA80), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwRestoreKey (CC) перехвачена (80654F9E->AACADB10), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwResumeThread (CE) перехвачена (8058735D->AACB97A0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwSaveKey (CF) перехвачена (80655045->AACADBA0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwSetContextThread (D5) перехвачена (80635CAF->AACB9B80), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwSetInformationFile (E0) перехвачена (805822C9->AACBA270), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwSetInformationKey (E2) перехвачена (806556A3->AACADC30), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwSetInformationProcess (E4) перехвачена (8057BDC9->AACBCCD0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwSetSystemPowerState (F1) перехвачена (8066F64D->F75C64F0), перехватчик Vax347b.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwSetValueKey (F7) перехвачена (80584921->AACADCD0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwSuspendThread (FE) перехвачена (8063795B->AACB9750), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwTerminateProcess (101) перехвачена (8058CE75->AACB9300), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwUnloadKey (107) перехвачена (80655273->AACADDC0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция ZwWriteVirtualMemory (115) перехвачена (805880B7->AACB85D0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 284, перехвачено: 40, восстановлено: 40
Комментарии (6):
Инчик-бывшая_Биллькина_Я
11-02-2007-00:15
удалить
эээээээ....ну.....это чего такое???
Dark_Vortex
11-02-2007-13:40
удалить
Вот что говорят по этому поводу Мудрые:)
"Рассмотрим один из вариантов такой технологии, примененный в ряде опасных троянских программ семейства Trojan-Spy.Win32.Banker. Этот вариант основан на внедрении руткит-перехватчика из драйвера. В этом случае в систему устанавливается драйвер небольшого размера, содержащий машинный код перехватчиков для режима UserMode. Драйвер перехватывает функции ядра, отвечающие за запуск процессов:
Функция ZwCreateProcess (2F) перехвачена (805B3543->F9E57219), перехватчик C:\WINDOWS\system32\iesprt.sys
Функция ZwCreateProcessEx (30) перехвачена (805885D3->F9E57280), перехватчик C:\WINDOWS\system32\iesprt.sys
Обнаружив запуск процесса, драйвер внедряет в него машинный код руткита и перехватывает функцию LdrLoadDll. Это позволяет ему следить за загрузкой других библиотек и в момент загрузки библиотеки wininet.dll произвести перехват ее функции HttpSendRequestA (функции WriteProcessMemory и ZwWriteVirtualMemory при этом не применяются).
Более сложная (и менее заметная) технология вмешательства в работу процессов из режима ядра описана на сайте rootkit.com и сводится к установке функции мониторинга режима ядра при помощи PsSetLoadImageNotifyRoutine. Установленная таким образом функция вызывается системой после каждой загрузки образа исполняемого файла, что делает ее идеальным местом для размещения машинного кода, модифицирующего загруженный модуль. Как и в случае с Trojan-Spy.Win32.Banker, для модификации памяти программы или ее модулей из режима ядра можно обойтись без использования функции ZwWriteVirtualMemory."
"Рассмотрим один из вариантов такой технологии, примененный в ряде опасных троянских программ семейства Trojan-Spy.Win32.Banker. Этот вариант основан на внедрении руткит-перехватчика из драйвера. В этом случае в систему устанавливается драйвер небольшого размера, содержащий машинный код перехватчиков для режима UserMode. Драйвер перехватывает функции ядра, отвечающие за запуск процессов:
Функция ZwCreateProcess (2F) перехвачена (805B3543->F9E57219), перехватчик C:\WINDOWS\system32\iesprt.sys
Функция ZwCreateProcessEx (30) перехвачена (805885D3->F9E57280), перехватчик C:\WINDOWS\system32\iesprt.sys
Обнаружив запуск процесса, драйвер внедряет в него машинный код руткита и перехватывает функцию LdrLoadDll. Это позволяет ему следить за загрузкой других библиотек и в момент загрузки библиотеки wininet.dll произвести перехват ее функции HttpSendRequestA (функции WriteProcessMemory и ZwWriteVirtualMemory при этом не применяются).
Более сложная (и менее заметная) технология вмешательства в работу процессов из режима ядра описана на сайте rootkit.com и сводится к установке функции мониторинга режима ядра при помощи PsSetLoadImageNotifyRoutine. Установленная таким образом функция вызывается системой после каждой загрузки образа исполняемого файла, что делает ее идеальным местом для размещения машинного кода, модифицирующего загруженный модуль. Как и в случае с Trojan-Spy.Win32.Banker, для модификации памяти программы или ее модулей из режима ядра можно обойтись без использования функции ZwWriteVirtualMemory."
Perseph0na
13-02-2007-12:29
удалить
Dark_Vortex, А ты прав, черт тебя не дери!
Perseph0na
13-02-2007-12:32
удалить
Dark_Vortex, Это "внутриядерный" руткит , "сидящий на Каспере", потому не советую использовать этот якобы "антивирус"
Dark_Vortex
13-02-2007-13:44
удалить
amentet, я знал! Я знал это!!! ))) Каспер кстати на моем компе с тремя штуками оперативки (1Gbx3) сканировал винт около 6 часов... Сразу после этого я его удалил.
Perseph0na
13-02-2007-13:51
удалить
Dark_Vortex, Пришли мне письмо на admin@hroft.ru c любого своего ящика, кстати и в заголовке мой IP - новый, переезд - 3 пожара, так, а комплекс "ТОР" по дешевке не желаем?)))
Комментарии (6):
вверх^
Вы сейчас не можете прокомментировать это сообщение.
Дневник Всё, я поехала. Руткит или Каспер ? ( на посошок ) | Perseph0na - ||| ~PERSEPHONA~ ||| |
Лента друзей Perseph0na
/ Полная версия
Добавить в друзья
Страницы:
раньше»