Конференция VBStreets

[Vovik]

Заранее извиняюсь, если плохо рыл, но оч срочно нуна. как отследить запуск файла, кем запущен (пользователь, приложение), копирование файла, открытие каталога. Если можно, то примерчиком. Заранее благодарен.
P.S. А можно как-нть заблокировать запуск файла (как в антивирусах)?

[Хакер]

Антивирусы правят ячейки SST. Серьёзные антивирусы, по крайней мере.

[Vovik]

Антивирусы правят ячейки SST. Серьёзные антивирусы, по крайней мере.

А что за оно?

[Хакер]

Таблица такая ядерная.

[ANDLL]

Если вдруг SST это(хотя даже гугл не знает что это) system services table, то откуда такие сведения об их работе?

[Хакер]

Отсюда, например:

rkussdt.PNG (49.12 Кб) Просмотров: 2104

[Vovik]

А что же з хуками?

[ANDLL]

Отсюда, например:

Ну это один. Вообще довольно странно, ведь и за ядерными файловыми операциям следить надо... Есть подозрения что эти сервисы(особенно учитывая что там их дофига) перезаписаны просто для эврестического анализа.

[Хакер]

Почему просто для эвристики? Для подавления любых нехороших/нежеланных действий со стороны юзермодных процессов. Например, попыток убить тот же процесс kav.exe.

Вот ещё примечательная статья о положении дел в kav7. Как оно сейчас, не знаю.

[Antonariy]

Для подавления любых нехороших/нежеланных действий со стороны юзермодных процессов.

Всколыхнуло неприятные воспоминания недельной давности.

Все уже привыкли к баннерам, которые ползают по страницам вслед за скроллом, они, как правило, содержат закрывающую кнопку, которая, как правило, их таки закрывает. Но иногда наоборот. Мне попался как раз такой баннер. Он открыл новое окно, вслед за которым в трее появилась явовская иконка с сообщением об инсталляции чего-то сановского. Я сразу понял, что дело нечисто, однако обладая опытом ручной чистки системы от всякой гадости, решил подождать пока система отвиснет и посмотреть, что же я зацепил. Любопытство сгубило кошку После установки часть сервисов посыпалась с разнообразными ошибками, а секунд через тридцать появилось черное гламурно-полупрозрачное окно (такой бы дизайн да в мирных целях) с предложением заплатить смской за регистрацию на порносайте, название которого каждый раз при показе окна менялось. Ага, оконо висело не постоянно, а периодически, раз в пару минут появлялось секунд на 30. И естественно блокировало все, что под ним, и не сворачивалось. SAV был вырезан накорню и не подавал признаков жизни. Порноряд из трех картинок своим содержимым как бы недвусмысленно намекал: чувак, тебя поимели, лососни тунца и жди новых гостей в количестве 3-4х штук. Эта штука обладает двумя критическими свойствами: интегрируется в шелл и задорно приветствует в безопасном режиме, а так же завершает процессы, пытающиеся получить список процессов или получить доступ к автозагрузочным ключам реестра (поэтому посыпались сервисы). То есть обламывался не только таск менеджер, но и вообще все аналогичные утилиты, cmd в том числе. При загрузке с подержкой коммандной строки ничего, кроме пустого синего экрана, не было. На другом винте была установлена еще одна система, из под которой я попытался восстановить основную. Фиг там. Удаление всех файлов, созданных во время заражения, ничего не дало, а бесплатные сканнеры не обнаружили ничего криминального. Конец немного предсказуем — я вынужденно перешел на семерку. Лег спать в 4 утра.

Итак, если вы вдруг увидите в трее явовскую иконку, которой там быть не должно, немедленно ЖМИТЕ РЕЗЕТ!!11 И грузитесь в безопасном режиме, а лучше с другой системы, может пронесет.

PS. Извините за офф.

[Хакер]

RkU надо было пробовать.

[Денис]

RkU надо было пробовать.

А еще надо было попробовать AvZ
А еще, если нет возможности просканировать систему извне, зайти под пользователем или под гостем (эсэмэсочники против этого бессильны), а потом запускать от имени админской учетной записи диспетчеры задач, редакторы реестра, автозагрузки и т.п.

[Twister]

За ядерными файловыми операциями, как вы их тут назвали, следят обычно либо установкой драйвера-фильтра, либо перехватом irp-обработчиков драйверов файловых систем. Свой пример первого варианта я могу предоставить, да боюсь, что он будет не по силам топик-стартеру. Пример второго метода найдете в каком-нибудь более или менее нормальном ядерном рутките.

[ANDLL]

Вот к чему я - нафига перехватывать пользовательский системный вызов если можно все сделать простым фильтром?

[Twister]

А еще надо было попробовать AvZ

В данном случае, как уже было сказано, надо было юзать РкУ. Убить его из юзермода мало кто сможет, а все что надо для устранения вредятины (ну почти все) в нем есть. AVZ же славится своей эвристикой, но для искоренения заразы мало пригоден.

[Twister]

перехватывать пользовательский системный вызов

Ты уж определись. Если пользовательский - то это какой-нить сплайс какой-нить функции в kernel32 Если системный, то это хук SSDT. Тут все зависит от задачи - если контролировать реестр, к примеру, то надо лезть в SSDT, если следить за файлами, то я назвал два варианта. Первый (фильтр) вполне документированный.

[arvitaly]

Свой пример первого варианта я могу предоставить, да боюсь, что он будет не по силам топик-стартеру.

Если не сложно выложи, пожалуйста

[Twister]

Ну что же, держите. Это сорцы коммерческого проекта в самом его зачаточном состоянии. С вопросами по ним можно сюда же.

ЗЫ. По идее под Win7 работать не должно.