Скрытые процессы — различия между версиями

Материал из wiki.drweb.com
Перейти к: навигация, поиск
(Сканер Drweb)
Строка 2: Строка 2:
  
 
== Сканер Drweb ==
 
== Сканер Drweb ==
Если известно имя драйвера в текущей сессии, то можно с помощью сканера его скопировать в карантин и отправить в вируслаб.
+
Если известно имя драйвера в текущей сессии, то можно с помощью сканера его скопировать в карантин и отправить в вируслаб.<br>
 
1.Создать в каталоге антивируса Drweb текстовый файл, например filelist.txt<br>
 
1.Создать в каталоге антивируса Drweb текстовый файл, например filelist.txt<br>
 
2.Записать в него полный путь к файлу драйвера руткита, например, с:\windows\system32\drivers\driver.sys. Строк в одном файле может быть много.<br>
 
2.Записать в него полный путь к файлу драйвера руткита, например, с:\windows\system32\drivers\driver.sys. Строк в одном файле может быть много.<br>

Версия 15:14, 6 октября 2008

Данная статья описывает методику и способы извлечения скрытых файлов(руткитов,драйверов)с помощью не документированых функций антивирусного сканера Drweb и дополнительных утилит сторонних разработчиков

Сканер Drweb

Если известно имя драйвера в текущей сессии, то можно с помощью сканера его скопировать в карантин и отправить в вируслаб.
1.Создать в каталоге антивируса Drweb текстовый файл, например filelist.txt
2.Записать в него полный путь к файлу драйвера руткита, например, с:\windows\system32\drivers\driver.sys. Строк в одном файле может быть много.
3.Запустить сканер с параметрами: drweb32w.exe /copy:filelist.txt
3a.Если Вы используете CureIT, то
launch.exe /copy:[полный_путь_к_файлу_списка]
После этого, если драйвер такой существует на диске, в карантине в папке infected!!! будет лежать файл drivers.sys.dwq. Теперь его архивируем и отправляем в вирлаб.

Gmer

1.На вкладке Rootkit/Malware нажимаем кнопку Сканировать.Дождемся, пока программа соберет все данные.
2.Правой кнопкой мышки выбираем необходимый модуль и через контекстное меню выбираем "Copy"
2a.Если меню "Copy" не активно, то выбираем "dump module"
2б.На вкладке "Processes" смотрим необхимый процесс и в поле "Command" вводим комманду cmd.exe /c copy
Например:
cmd.exe /c copy c:\drweb\spidernt.exe c:\1.exe
В данном случае мы получим на диске С: исполняемый файл процесса spidernt.exe
Gmer.png

RKU

1.Выбираем вкладку "Drivers" и через контекстное меню выбираем "Copy".
2.Если скопировать не получается-сделаем дамп. Для этого через контекстное меню выбираем комманду "Dump Selected".
Rku.png

RootRepeal

1.Выбираем вкладку "Process" и нажимаем кнопку "Scan"
2.Правой кнопкой мышки щелкаем по подозрительному процессу и выбираем пункт меню "Copy file..." RootRepeal.png


Ссылки

RootRepeal
RkUnhooker
Gmer