Вопрос № 86719: Здраствуйте
Можно ли выявить вирусы которые скрывается перехватывая ZwQuerySystemInformation?
Есть ли программы показывающие список ВСЕХ процессов в системе, в том числе и подобных вирусов?...
Вопрос № 86.719
Здраствуйте
Можно ли выявить вирусы которые скрывается перехватывая ZwQuerySystemInformation?
Есть ли программы показывающие список ВСЕХ процессов в системе, в том числе и подобных вирусов?
Отправлен: 13.05.2007, 15:58
Вопрос задал: Sov (статус: 2-ой класс)
Всего ответов: 1 Мини-форум вопроса >>> (сообщений: 1)
Отвечает: Spok
Здравствуйте, Sov!
1. Перехват ZwQuerySystemInformation - достаточно глобальная вещь... на уровне ядра операционной системы. Если вы можете определить сам факт перехвата, то вам не составит труда определить, кто, что и, возможно, зачем перехватило эту функцию (отладчики уровня ядра рулят!).
2. Не обязательно эту функцию будут перехватывать вирусы. Наоборот, может, антивирус будет её перехватывать, чтобы найти такой вирус, который будет её перехватывать... Перехватывать её... или сравнивать результаты её работы с функициями более "высокого" (или даже прикладного) уровня - NtZwQuerySystemInformation, функция Toolhelp'а - для поиска простых программ, скрывающихся от Диспетчера Задач Windows (и от простых пользователей). Можно её перехватчику и другие назначения придумать... Например, отладчик,
скрывающийся от отлаживаемой программы. Или система защиты от копирования/нелегального использования. Грань очень тонка...
3. Программа, точно показывающая список всех процессов в системе, а так же множество прочих "вкусностей" (потоки (треды), библиотеки, всякую статискику, используемые объекты ядра и прочее, прочее, прочее) - Process Explorer, закачка.
4. Подобные вирусы ловятся всеми "нормальными" (Антивирус Касперского 6 (либо Kaspersky Internet Security 6) и "ненормальными" :) Panda Internet Security 2007, а так же интересным "антивирусом" AVZ. Посмотрите в сторону специальных антируткитов - строго говоря, сейчас это область не вирусов, а руткитов,
как то F-Secure BlackLight, упоминаемый выше AVZ и прочее - это сейчас "модная" тенденция - писать руткиты и ловить их.
P.S. Совет напоследок.
Если Ваша цель - просто "посмотреть" - сравните списки процессов Process Explorer'а и Диспетчера задач.
Если цель - "найти и уничтожить", и знаний хватит - посмотрите в сторону AVZ. Если задача - найти что-то "просто так из инета" - KAV6/KIS6 вам помогут, если же что-то ручной работы - только AVZ.
Ответ отправил: Spok (статус: Студент)
Ответ отправлен: 13.05.2007, 17:11 Оценка за ответ: 5 Комментарий оценки: Спасибо за подробный ответ