Наведение порчи на трояна :)

← →
Riply © (2008-03-14 22:34) [40]

> [35] Игорь Шевченко © (14.03.08 21:25)
> так ее искать надо, а MZ оно в самом начале.

То что надо искать и разбираться меня не пугает.
Главное, чтобы в результате моих действий никто, кроме этого экзешника,
не пострадал. Уж очень смущает факт, что процесс будет работать и после изменений.
Вдруг попробует считать какую-нибудь команду или адрес из измененного файла :)

← →
{RASkov} © (2008-03-14 22:50) [41]

> [40] Riply © (14.03.08 22:34)
> Уж очень смущает факт, что процесс будет работать и после
> изменений. Вдруг попробует считать какую-нибудь команду ...

Что-то может я чего и не понимаю, но что ты так за него(вредоносный процесс) переживаешь? :)
или вирус со злости начнет винт форматировать ...или еще чего? )

← →
Игорь Шевченко © (2008-03-14 22:52) [42]

Riply © (14.03.08 22:27) [39]

Заразу прибить можно и не мучаясь. Зная куда зараза прописывается - это ограниченное число мест, проверить их все, ну и вычистить.

А что до форумов - ну расскажешь ты, что нужно через MFT что-то там найти и вычистить - многие ли последуют такому совету ?

← →
Riply © (2008-03-14 23:02) [43]

> [41] {RASkov} © (14.03.08 22:50)
> Что-то может я чего и не понимаю, но что ты так за него(вредоносный процесс) переживаешь? :)
> или вирус со злости начнет винт форматировать ...или еще чего? )

Мало ли что. Например он ведет запись в реест, а имя ключа считыват из файла.
Может быть все что угодно.

[цитата]

> [42] Игорь Шевченко © (14.03.08 22:52)
> Заразу прибить можно и не мучаясь.
> Зная куда зараза прописывается - это ограниченное число мест, проверить их все, ну и вычистить.

Ну не мне Вам рассказывать, что троян может и не иметь своего личного "места прописки запуска"
Вариантов масса. "Как в Бразилии Педров" :)

> А что до форумов - ну расскажешь ты, что нужно через
> MFT что-то там найти и вычистить - многие ли последуют такому совету ?

А если я дам готовый инструмент для этого ?

← →
Игорь Шевченко © (2008-03-14 23:16) [44]

Riply © (14.03.08 23:02) [43]

> Ну не мне Вам рассказывать, что троян может и не иметь своего
> личного "места прописки запуска"

Не может. Иначе не запустится. Вирусы и трояны не возникают автомагически в системе.

> А если я дам готовый инструмент для этого ?

А чем он будет отличаться от банального антивируса, который все то же самое делает ?

И потом, кто мешает вирусу делать все те же самые действия, направленные на самовосстановление ?

В заразе все равно наибольшую роль будет играть человеческий фактор, а не механизмы.

← →
easy © (2008-03-14 23:28) [45]

<офтоп>
и почему Вы мне так Женю Бабич напоминаете, а?..
</офтоп>

← →
Riply © (2008-03-14 23:30) [46]

> [44] Игорь Шевченко © (14.03.08 23:16)
> А чем он будет отличаться от банального антивируса, который все то же самое делает ?

"Банальный антивирус" находит и убивает "известных" троянов.
А какую-нибудь дрянь, написаную Федей Синерыловым, студентом первого курса
не найдет, ибо нет ее в базе. IMHO, конечно.
А так мы видим, что появился новый процесс в системе после посещения некого сайта.
Вот и будет возможность с ним попрощаться :)

А может и действительно, еще рано думать об извлечении конкректной пользы из голой теории.

← →
Riply © (2008-03-14 23:32) [47]

> [45] easy © (14.03.08 23:28)
> и почему Вы мне так Женю Бабич напоминаете, а?..

А кто такая "Женя Бабич" ?
"В законе ? Почему не знаю ?" (с)
И кому адресован вопрос ?

← →
easy © (2008-03-14 23:42) [48]

образ такой. добивающийся истины несмотря на.
но эт отдельный разговор..

← →
Eraser © (2008-03-15 00:00) [49]

> [46] Riply © (14.03.08 23:30)

> А так мы видим, что появился новый процесс в системе после
> посещения некого сайта.

а если так и должно быть, а аннтивирь прибъет процесс.. производители процесса и юзер будут возмущаться )
вообще эврестическая защита - самая сложная область антивирусной защиты, imho. и самое сложное не обезвредить, а опознать вредителя.. в общем случае задача не решается без ИИ ))

← →
Riply © (2008-03-15 00:05) [50]

> [49] Eraser © (15.03.08 00:00)

Ну на эвристику я и не замахивалась... Пока еще :)
Я имела ввиду, что пользователь сам увидел "лишнее" и решил прибить.

← →
Германн © (2008-03-15 00:56) [51]

Да чего вы все так напали на Сашу? :)
А вдруг она своим любимым методом найдет панацею от вредоносных "чужих"? Ну или хотя бы свежую струю в борьбе с ними?

← →
Игорь Шевченко © (2008-03-15 01:11) [52]

> Я имела ввиду, что пользователь сам увидел "лишнее" и решил
> прибить.

Ну эта..."Завершить процесс" в task Manager-е...

← →
Германн © (2008-03-15 01:18) [53]

> Игорь Шевченко © (15.03.08 01:11) [52]
>
>
> > Я имела ввиду, что пользователь сам увидел "лишнее" и
> решил
> > прибить.
>
>
> Ну эта..."Завершить процесс" в task Manager-е...
>

Тут сложнее вопрос. Тут идея ещё "голая" и
> еще рано думать об извлечении конкретной пользы из голой
> теории

Пусть идея пока развивается и приобретает одёжки. Тем более, что читать её обсуждение полезнее да и интереснее, чем многое другое в "Прочее".

Германн © (15.03.08 01:18) [53]

Что может быть сложнее прибивания процесса в Task manager ? :)

Я к чему - вместо того, чтобы мучиться со всякими там записями в файл, его (файл) можно просто переименовать, благо система позволяет. В следующий раз не запустится.

Ну и эта...процесс прибить в Task manager

Я к чему критикую идею в плане "избавления от троянов" - трояны, они ж хитрые, пропишутся в svchost службой или в WinLogon notification dll - и что, EXEшники от Winlogon или Svchost будем нулями прописывать ?
Прописать-то можно, но только до первой перезагрузки и последующей переустановки.

> Игорь Шевченко © (15.03.08 01:22) [54]

Опять ты не учёл, что идея пока голая. И что это идея Riply ©.
Её методы ненаучного тыка преследуют несколько иные цели, чем выяснить что больше и что меньше.

> Я к чему критикую идею в плане "избавления от троянов" -
> трояны, они ж хитрые, пропишутся в svchost службой или
> в WinLogon notification dll - и что, EXEшники от Winlogon
> или Svchost будем нулями прописывать ?
> Прописать-то можно, но только до первой перезагрузки и последующей
> переустановки.
>

← →
Дмитрий С (2008-03-15 03:02) [56]

> его (файл) можно просто переименовать, благо система позволяет.

Я предпочитаю запретить полный доступ для всех через безопасность NTFS.

> и самое сложное не обезвредить, а опознать вредителя.. в
> общем случае задача не решается без ИИ ))
>

Тем более при наличии любопытного товарища на компе по имени Riply :)))

> Дмитрий С (15.03.08 03:02) [56]
>
>
> > его (файл) можно просто переименовать, благо система позволяет.
>
>
> Я предпочитаю запретить полный доступ для всех через безопасность
> NTFS.
>
>

Юзер - он и есть юзер! Что с него взять?

Все не совсем так, как вы трактуете :)

Читаем форумы по программированию и видим, что с завидным упорством задают вопрос типа:
"как запуститься с флехи когда ее втыкают в комп чтоб юзер не знал ?"
Не менее часто звучит такой вопрос:
"как зделать так, чтобы юзер не мог убить мой процесс, например через таскменеджер ?"
(была попытка сохранить орфографию вопросов в оригинале).

Ну и сложив два и два, можно прийти к выводу, что программа,
убивающая "неубиваемые" процессы может оказаться полезной,
особенно там где все обмениваются флешками :)

Наведение порчи на трояна :) Найти похожие ветки