Скрытые процессы — различия между версиями

Материал из wiki.drweb.com
Перейти к: навигация, поиск
(Gmer)
Строка 35: Строка 35:
 
* На вкладке "Processes" смотрим необходимый процесс и в поле "Command" вводим комманду cmd.exe /c copy
 
* На вкладке "Processes" смотрим необходимый процесс и в поле "Command" вводим комманду cmd.exe /c copy
 
Например:
 
Например:
  cmd.exe /c copy c:\drweb\spidernt.exe c:\1.exe
+
  cmd.exe /c copy c:\drweb\spidernt.exe c:\spidernt.exe
 
В данном случае мы получим на диске С: исполняемый файл процесса spidernt.exe
 
В данном случае мы получим на диске С: исполняемый файл процесса spidernt.exe
 
[[Изображение:Gmer.png]]
 
[[Изображение:Gmer.png]]

Версия 22:40, 1 апреля 2009

Данная статья описывает методику и способы извлечения скрытых файлов (руткитов, драйверов) с помощью недокументированных функций антивирусного сканера Dr.Web® и дополнительных утилит сторонних разработчиков.

Сканер Dr.Web

Если известно имя драйвера в текущей сессии, то можно с помощью сканера его скопировать в карантин и отправить в вируслаб.

  • Создать в каталоге антивируса Drweb текстовый файл, например
filelist.txt

Если у вас остановлена версия 5,0 и выше, то создание файла filelist.txt в каталоге антивируса будет блокировано самозащитой. В таком случае создайте файл filelist.txt в другом каталоге (см. пример).

  • Записать в него полный путь к файлу драйвера руткита, например
с:\windows\system32\drivers\driver.sys

Строк в одном файле может быть много.

  • Запустить сканер с параметрами:
drweb32w.exe /copy:filelist.txt

Например: антивирус у меня установлен в каталог C:\Program Files\DrWeb, а текстовый файл я создал в корне диска С:\filelist.txt

Теперь нажимаем кнопку "Пуск" далее выбираем "Выполнить" и вставляем вот такую строчку:

"C:\Program Files\DrWeb\drweb32w.exe" /copy:С:\filelist.txt

Внимание! Кавычки в данном случае необходимы!

  • Или если Вы используете CureIT, то
launch.exe /copy:[полный_путь_к_файлу_списка]

После этого, если такой драйвер существует на диске, в карантине в папке infected.!!! будет лежать файл drivers.sys.dwq. Теперь его архивируем и отправляем в вируслаб.

Gmer

  • На вкладке Rootkit/Malware нажимаем кнопку Сканировать. Дождемся, пока программа соберет все данные.После необходимо щелкнуть мышкой по вкладке ">>>>" для того,чтобы открылись скрытые вкладки.
  • Правой кнопкой мышки выбираем необходимый модуль и через контекстное меню выбираем "Copy"
  • Если меню "Copy" не активно, то выбираем "dump module"
  • На вкладке "Processes" смотрим необходимый процесс и в поле "Command" вводим комманду cmd.exe /c copy

Например:

cmd.exe /c copy c:\drweb\spidernt.exe c:\spidernt.exe

В данном случае мы получим на диске С: исполняемый файл процесса spidernt.exe Gmer.png

Если не один из этих методов не помог, то можно попытаться найти файл.

  • Необходимо щелкнуть мышкой по вкладке ">>>>" для того,чтобы открылись скрытые вкладки.
  • Переходим на вкладку "Files"
  • Ищем файл как в Проводнике,выделяем его.
  • Нажимаем кнопку "Copy". Сохраняем файл в необходимый вам каталог.

Gmer12.PNG

RKU

  • Выбираем вкладку "Drivers" и через контекстное меню выбираем "Copy".
  • Если скопировать не получается - сделаем дамп. Для этого через контекстное меню выбираем комманду "Dump Selected".

Rku.png

RootRepeal

  • Выбираем вкладку "Process" и нажимаем кнопку "Scan"
  • Правой кнопкой мышки щелкаем по подозрительному процессу и выбираем пункт меню "Copy file..."

RootRepeal.png

Ссылки