Скрытые процессы

Материал из wiki.drweb.com
Перейти к: навигация, поиск

Данная статья описывает методику и способы извлечения скрытых файлов (руткитов, драйверов) с помощью недокументированных функций антивирусного сканера Dr.Web® и дополнительных утилит сторонних разработчиков.

Сканер Dr.Web

Если известно имя драйвера в текущей сессии, то можно с помощью сканера его скопировать в карантин и отправить в вируслаб.

  • Создать в каталоге антивируса Drweb текстовый файл, например
filelist.txt

Если у вас установлена версия 5.0 и выше, то создание файла filelist.txt в каталоге антивируса будет блокировано самозащитой. В таком случае создайте файл filelist.txt в другом каталоге (см. пример).

  • Записать в него полный путь к файлу драйвера руткита, например
с:\windows\system32\drivers\driver.sys

Строк в одном файле может быть много.

  • Запустить сканер с параметрами:
drweb32w.exe /copy:filelist.txt

Например: антивирус у меня установлен в каталог C:\Program Files\DrWeb, а текстовый файл я создал в корне диска С:\filelist.txt

Теперь нажимаем кнопку "Пуск" далее выбираем "Выполнить" и вставляем вот такую строчку:

"C:\Program Files\DrWeb\drweb32w.exe" /copy:С:\filelist.txt

Внимание! Кавычки в данном случае необходимы!

  • Или если Вы используете CureIT, то
launch.exe -sp/copy:[полный_путь_к_файлу_списка]

После этого, если такой драйвер существует на диске, в карантине в папке C:\Program Files\DrWeb\Infected.!!! (или в папке %USERPROFILE%\DoctorWeb\Quarantine\ для КуреИта) будет лежать файл drivers.sys.dwq. Теперь его архивируем и отправляем в вирлаб.

Gmer

  • На вкладке Rootkit/Malware нажимаем кнопку Сканировать. Дождемся, пока программа соберет все данные.После необходимо щелкнуть мышкой по вкладке ">>>>" для того,чтобы открылись скрытые вкладки.
  • Правой кнопкой мышки выбираем необходимый модуль и через контекстное меню выбираем "Copy"
  • Если меню "Copy" не активно, то выбираем "dump module"
  • На вкладке "Processes" смотрим необходимый процесс и в поле "Command" вводим комманду cmd.exe /c copy

Например:

cmd.exe /c copy c:\drweb\spidernt.exe c:\spidernt.exe

В данном случае мы получим на диске С: исполняемый файл процесса spidernt.exe Gmer.png

Если не один из этих методов не помог, то можно попытаться найти файл.

  • Необходимо щелкнуть мышкой по вкладке ">>>>" для того,чтобы открылись скрытые вкладки.
  • Переходим на вкладку "Files"
  • Ищем файл как в Проводнике,выделяем его.
  • Нажимаем кнопку "Copy". Сохраняем файл в необходимый вам каталог.

Gmer12.PNG

RKU

  • Выбираем вкладку "Drivers" и через контекстное меню выбираем "Copy".
  • Если скопировать не получается - сделаем дамп. Для этого через контекстное меню выбираем комманду "Dump Selected".

Rku.png

RootRepeal

  • Выбираем вкладку "Process" и нажимаем кнопку "Scan"
  • Правой кнопкой мышки щелкаем по подозрительному процессу и выбираем пункт меню "Copy file..."

RootRepeal.png

Отложенное удаление с помощью HJ

Иногда возникает ситуация когда необходимо удалить файл(троян), но стандартными средствами из Проводника это не получается. Для этого воспользуемся HJ. После запуска HJ нажимаем на кнопку "Open the Misc Tools section" и далее нажимаем кнопку "Delete a file on reboot...". Появится диалоговое окно выбора файла (если файл не виден, то можно выбрать папку где он находится и вручную ввести имя файла и расширение...или же воспользоваться рекомендациями Если_что-то_отключено).

Hj moveex.PNG

После указания пути к файлу и его имени программа затребует перезагрузку ОС. Закройте все приложеня предварительно сохранив данные и нажмите кнопку "ДА" на вопрос "Выполнить перезагрузку сейчас".

Поиск и удаление ADS с помощью HJ

- Запустить HJ.

- Main menu-Open the Misc Tools section.

- Нажимаем кнопку Scan(1).

Ads.PNG

- Отмечаем все (ставим галочки нанайденом..На рисунке под цифрой 2).

- Нажимаем "Remove selected" (3). В редких случаях возможно понадобится перезагрузка.


Поиск и удаление ADS с помощью AlternateStreamView

- Запустить приложение. Автоматически появится окошко Scan Options.

- Следуя рекомендациям, полученным на форуме выбрать каталог сканирования с помощью кнопки Browse... (1)

- Нажать кнопку Scan (2) и дождаться окончания сканирования.

Alt1.PNG

- Щелкнуть по указанной строке и нажать правую кнопку мышки.

Alt21.PNG

- Для того чтобы достать данные из потока щелкаем по пункту меню Export Selected Streams To...В появившемся окошке Export Streams To... нажимаем кнопку Browse и указываем каталог в который хотим сохранить эти данные для отправки в вирлаб.

- Для удаления потока щелкаем по пункту меню Delete Selected Streams.

- Для создания файла отчета выбираем пункт HTML Report-All Items.

Ссылки