Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

RusFAQ.ru: Защита информации


РАССЫЛКИ ПОРТАЛА RUSFAQ.RU

/ КОМПЬЮТЕРЫ И ПО / Защита информации / Защита информации

Выпуск № 244
от 18.05.2007, 16:05

Администратор:Калашников О.А.
В рассылке:Подписчиков: 622, Экспертов: 66
В номере:Вопросов: 1, Ответов: 1


Вопрос № 86719: Здраствуйте Можно ли выявить вирусы которые скрывается перехватывая ZwQuerySystemInformation? Есть ли программы показывающие список ВСЕХ процессов в системе, в том числе и подобных вирусов?...

Вопрос № 86.719
Здраствуйте
Можно ли выявить вирусы которые скрывается перехватывая ZwQuerySystemInformation?
Есть ли программы показывающие список ВСЕХ процессов в системе, в том числе и подобных вирусов?
Отправлен: 13.05.2007, 15:58
Вопрос задал: Sov (статус: 2-ой класс)
Всего ответов: 1
Мини-форум вопроса >>> (сообщений: 1)

Отвечает: Spok
Здравствуйте, Sov!
1. Перехват ZwQuerySystemInformation - достаточно глобальная вещь... на уровне ядра операционной системы. Если вы можете определить сам факт перехвата, то вам не составит труда определить, кто, что и, возможно, зачем перехватило эту функцию (отладчики уровня ядра рулят!).
2. Не обязательно эту функцию будут перехватывать вирусы. Наоборот, может, антивирус будет её перехватывать, чтобы найти такой вирус, который будет её перехватывать... Перехватывать её... или сравнивать результаты её работы с функициями более "высокого" (или даже прикладного) уровня - NtZwQuerySystemInformation, функция Toolhelp'а - для поиска простых программ, скрывающихся от Диспетчера Задач Windows (и от простых пользователей). Можно её перехватчику и другие назначения придумать... Например, отладчик, скрывающийся от отлаживаемой программы. Или система защиты от копирования/нелегального использования. Грань очень тонка...
3. Программа, точно показывающая список всех процессов в системе, а так же множество прочих "вкусностей" (потоки (треды), библиотеки, всякую статискику, используемые объекты ядра и прочее, прочее, прочее) - Process Explorer, закачка.
4. Подобные вирусы ловятся всеми "нормальными" (Антивирус Касперского 6 (либо Kaspersky Internet Security 6) и "ненормальными" :) Panda Internet Security 2007, а так же интересным "антивирусом" AVZ. Посмотрите в сторону специальных антируткитов - строго говоря, сейчас это область не вирусов, а руткитов, как то F-Secure BlackLight, упоминаемый выше AVZ и прочее - это сейчас "модная" тенденция - писать руткиты и ловить их.
P.S. Совет напоследок.
Если Ваша цель - просто "посмотреть" - сравните списки процессов Process Explorer'а и Диспетчера задач.
Если цель - "найти и уничтожить", и знаний хватит - посмотрите в сторону AVZ. Если задача - найти что-то "просто так из инета" - KAV6/KIS6 вам помогут, если же что-то ручной работы - только AVZ.
Ответ отправил: Spok (статус: Студент)
Ответ отправлен: 13.05.2007, 17:11
Оценка за ответ: 5
Комментарий оценки:
Спасибо за подробный ответ


Отправить вопрос экспертам этой рассылки

Приложение (если необходимо):

* Код программы, выдержки из закона и т.п. дополнение к вопросу.
Эта информация будет отображена в аналогичном окне как есть.

Обратите внимание!
Вопрос будет отправлен всем экспертам данной рассылки!

Для того, чтобы отправить вопрос выбранным экспертам этой рассылки или
экспертам другой рассылки портала RusFAQ.ru, зайдите непосредственно на RusFAQ.ru.


Форма НЕ работает в почтовых программах The BAT! и MS Outlook (кроме версии 2003+)!
Чтобы отправить вопрос, откройте это письмо в браузере или зайдите на сайт RusFAQ.ru.


© 2001-2007, Портал RusFAQ.ru, Россия, Москва.
Авторское право: ООО "Мастер-Эксперт Про"
Email: support@rusfaq.ru, тел.: +7 (926) 535-23-31
Хостинг: "Московский хостер"
Поддержка: "Московский дизайнер"
Авторские права | Реклама на портале
Версия системы: 4.52 от 02.05.2007
Яндекс Rambler's Top100

В избранное