Скрытые процессы — различия между версиями

Материал из wiki.drweb.com
Перейти к: навигация, поиск
м
Строка 1: Строка 1:
''Данная статья описывает методику и способы извлечения скрытых файлов(руткитов,драйверов)с помощью не документированых функций антивирусного сканера Drweb и дополнительных утилит сторонних разработчиков.''
+
''Данная статья описывает методику и способы извлечения скрытых файлов(руткитов,драйверов)с помощью не документированых функций антивирусного сканера [[Dr.Web®]] и дополнительных утилит сторонних разработчиков.''
  
== Сканер Drweb ==
+
== Сканер Dr.Web ==
Если известно имя драйвера в текущей сессии, то можно с помощью сканера его скопировать в карантин и отправить в вируслаб.<br>
+
Если известно имя драйвера в текущей сессии, то можно с помощью сканера его скопировать в карантин и отправить в вируслаб.
1.Создать в каталоге антивируса Drweb текстовый файл, например filelist.txt<br>
+
* Создать в каталоге антивируса Drweb текстовый файл, например
2.Записать в него полный путь к файлу драйвера руткита, например, с:\windows\system32\drivers\driver.sys. Строк в одном файле может быть много.<br>
+
filelist.txt
3.Запустить сканер с параметрами: drweb32w.exe /copy:filelist.txt<br>
+
* Записать в него полный путь к файлу драйвера руткита, например,
3a.Если Вы используете CureIT, то <br>
+
с:\windows\system32\drivers\driver.sys
launch.exe /copy:[полный_путь_к_файлу_списка]<br>
+
Строк в одном файле может быть много.
После этого, если драйвер такой существует на диске, в карантине в папке infected!!! будет лежать файл drivers.sys.dwq. Теперь его архивируем и отправляем в [http://vms.drweb.com/sendvirus/ вирлаб.]<br>
+
* Запустить сканер с параметрами:
<br>
+
drweb32w.exe /copy:filelist.txt<br>
 +
* Или если Вы используете CureIT, то
 +
launch.exe /copy:[полный_путь_к_файлу_списка]
 +
После этого, если драйвер такой существует на диске, в карантине в папке infected!!! будет лежать файл drivers.sys.dwq. Теперь его архивируем и отправляем в [http://vms.drweb.com/sendvirus/ вирлаб].
  
 
== Gmer ==
 
== Gmer ==
  
1.На вкладке Rootkit/Malware нажимаем кнопку Сканировать.Дождемся, пока программа соберет все данные.<br>
+
* На вкладке Rootkit/Malware нажимаем кнопку Сканировать.Дождемся, пока программа соберет все данные.
2.Правой кнопкой мышки выбираем необходимый модуль и через контекстное меню выбираем "Copy"<br>
+
* Правой кнопкой мышки выбираем необходимый модуль и через контекстное меню выбираем "Copy"
2a.Если меню "Copy" не активно, то выбираем "dump module"<br>
+
* Если меню "Copy" не активно, то выбираем "dump module"
2б.На вкладке "Processes" смотрим необхимый процесс и в поле "Command" вводим комманду cmd.exe /c copy<br>
+
* На вкладке "Processes" смотрим необхимый процесс и в поле "Command" вводим комманду cmd.exe /c copy
Например:<br>
+
Например:
cmd.exe /c copy c:\drweb\spidernt.exe c:\1.exe<br>
+
cmd.exe /c copy c:\drweb\spidernt.exe c:\1.exe
В данном случае мы получим на диске С: исполняемый файл процесса spidernt.exe<br>
+
В данном случае мы получим на диске С: исполняемый файл процесса spidernt.exe
 
[[Изображение:Gmer.png]]
 
[[Изображение:Gmer.png]]
<br>
 
  
 
== RKU ==
 
== RKU ==
  
1.Выбираем вкладку "Drivers" и через контекстное меню выбираем "Copy".<br>
+
* Выбираем вкладку "Drivers" и через контекстное меню выбираем "Copy".
2.Если скопировать не получается-сделаем дамп. Для этого через контекстное меню выбираем комманду "Dump Selected".<br>
+
* Если скопировать не получается-сделаем дамп. Для этого через контекстное меню выбираем комманду "Dump Selected".
 
[[Изображение:Rku.png]]
 
[[Изображение:Rku.png]]
  
 
== RootRepeal ==
 
== RootRepeal ==
1.Выбираем вкладку "Process" и нажимаем кнопку "Scan"<br>
+
* Выбираем вкладку "Process" и нажимаем кнопку "Scan"
2.Правой кнопкой мышки щелкаем по подозрительному процессу и выбираем пункт меню "Copy file..."
+
* Правой кнопкой мышки щелкаем по подозрительному процессу и выбираем пункт меню "Copy file..."
 
[[Изображение:RootRepeal.png]]
 
[[Изображение:RootRepeal.png]]
 
  
 
== Ссылки ==
 
== Ссылки ==
  
[http://rootrepeal.googlepages.com/RootRepeal_1.0.2.rar RootRepeal]<br>
+
*[http://rootrepeal.googlepages.com/RootRepeal_1.0.2.rar RootRepeal]
[http://mrbelyash.narod.ru/rootkit/RkUnhooker.rar RkUnhooker]<br>
+
*[http://mrbelyash.narod.ru/rootkit/RkUnhooker.rar RkUnhooker]
[http://www.gmer.net/gmer.zip Gmer]<br>
+
*[http://www.gmer.net/gmer.zip Gmer]
 +
 
 +
[[category:ЧаВо]]

Версия 22:37, 12 октября 2008

Данная статья описывает методику и способы извлечения скрытых файлов(руткитов,драйверов)с помощью не документированых функций антивирусного сканера Dr.Web® и дополнительных утилит сторонних разработчиков.

Сканер Dr.Web

Если известно имя драйвера в текущей сессии, то можно с помощью сканера его скопировать в карантин и отправить в вируслаб.

  • Создать в каталоге антивируса Drweb текстовый файл, например
filelist.txt
  • Записать в него полный путь к файлу драйвера руткита, например,
с:\windows\system32\drivers\driver.sys

Строк в одном файле может быть много.

  • Запустить сканер с параметрами:
drweb32w.exe /copy:filelist.txt
  • Или если Вы используете CureIT, то
launch.exe /copy:[полный_путь_к_файлу_списка]

После этого, если драйвер такой существует на диске, в карантине в папке infected!!! будет лежать файл drivers.sys.dwq. Теперь его архивируем и отправляем в вирлаб.

Gmer

  • На вкладке Rootkit/Malware нажимаем кнопку Сканировать.Дождемся, пока программа соберет все данные.
  • Правой кнопкой мышки выбираем необходимый модуль и через контекстное меню выбираем "Copy"
  • Если меню "Copy" не активно, то выбираем "dump module"
  • На вкладке "Processes" смотрим необхимый процесс и в поле "Command" вводим комманду cmd.exe /c copy

Например:

cmd.exe /c copy c:\drweb\spidernt.exe c:\1.exe

В данном случае мы получим на диске С: исполняемый файл процесса spidernt.exe Gmer.png

RKU

  • Выбираем вкладку "Drivers" и через контекстное меню выбираем "Copy".
  • Если скопировать не получается-сделаем дамп. Для этого через контекстное меню выбираем комманду "Dump Selected".

Rku.png

RootRepeal

  • Выбираем вкладку "Process" и нажимаем кнопку "Scan"
  • Правой кнопкой мышки щелкаем по подозрительному процессу и выбираем пункт меню "Copy file..."

RootRepeal.png

Ссылки