Ответ
 
Опции вопроса Поиск в этом вопросе Опции просмотра
  #1  
Старый 01.10.2011, 05:27
Аватар для Guest
Guest
Вопрос
Сообщений: n/a
По умолчанию

Для дзен-параноиков. Если антивирусы молчат, а диспетчеры задач, редакторы реестра и файловые менеджеры с их API в один голос врут, что все в порядке, то пора погружаться в самые недры Нулевого Кольца и сражаться с демонами на их территории - в режиме ядра Программулина загружает свой драйвер и работает с объектами ядра windows напрямую, в обход Windows API и Native API, которые достаточно легко могут быть перехвачены зло-кодом, который при желании может скрывать такие вещи, как загруженные драйвера, файлы, процессы, порты и ключи в реестре. Позволяет вайпать заблокированные файлы и недоступные обычным способом процессы, снимать перехватчики, сбрасывать дамп нужных модулей для анализа.Умеет детектировать:- Перехватчики по SDT- Скрытые драйвера/процессы- Скрытые файлы (используя низкоуровневый интерфейс работы с диском)- Перехватчики типа detourse и IAT stealthС помощью этой штуки я например обнаружил и прибил несколько малварин, о существовании которых скромно промолчал AVP и не привел ни к чему ручной поиск. Не панацея от поноса и мигрени, но достаточно сильная вещь в умелых руках.
Ответить с цитированием
Ответ



Похожие вопросы
Тема Автор Раздел Ответов Последний вопрос или ответ
Вирус Win32:Rootkit-gen [Rtk] Guest Ещё вопросы и ответы из архива 5 0 01.10.2011 05:30
Rootkit Unhooker Guest Четвертый архив 0 30.09.2011 15:44
Вирус Rootkit.Win32.Small.bk и Касперский 6. Guest Новый архив 3 0 29.09.2011 23:50



© www.otvetnemail.ru - Форум вопросов и ответов.