Перейти к содержанию
drmad

Поиск инфы по стелс-вирям

Recommended Posts

drmad

Не очень верю, что получу желаемый ответ, потому что перерыл уже пол-Тырнета, но...

Существуют ли Win32- или Win9X-вирусы, которые заражают KERNEL32.DLL и, перехватывая файловые операции, пытаются стать невидимыми для прог 3-го кольца защиты?

1. Меня не интересуют вири, работающие в 0 кольце защиты.

2. Меня не интересуют вири, делающие DLL-инжекцию.

3. Меня не интересуют трояны и черви, а только вири, заражающие PE-файлы.

4. Меня интересуют только имена этих вирусов (желательно, в нотации KaLab).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
drmad

Нет. Я его вскрывал, там нет искомого. Вообще, среди описанных в КаЛаб-энциклопупии, таких нет. :( Но ведь скоко ж неописанного... Знать бы приблизительно, где ковырять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

drmad, вам по-моему надо озвучить цель исследования. Тогда народу будет интереснее вам помогать.

"Не очень верю, что получу желаемый ответ, потому что перерыл уже пол-Тырнета" звучит хуже чем "я занимаюсь теорией возникновения "черных микродыр" в прикладном значении для эвристического анализа".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
drmad, вам по-моему надо озвучить цель исследования. Тогда народу будет интереснее вам помогать.

"Не очень верю, что получу желаемый ответ, потому что перерыл уже пол-Тырнета" звучит хуже чем "я занимаюсь теорией возникновения "черных микродыр" в прикладном значении для эвристического анализа".

Если моя рекомендация чего-нибудь стоит - то очень рекомендую данного гражданина-нерда :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit
"Не очень верю, что получу желаемый ответ, потому что перерыл уже пол-Тырнета" звучит хуже чем "я занимаюсь теорией возникновения "черных микродыр" в прикладном значении для эвристического анализа".
:lol:
очень рекомендую данного гражданина-нерда

Если кто-то так же, как и я, не знает, кто такой нерд, цитата из википедии:

"Нерд — это человек, не умеющий жить в обществе других людей, но при этом одержимый наукой и технологией... его экипировка - застегивающиеся карманы, очки на тесемке, толстая клетчатая рубашка и просторные штаны" :P

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
drmad

SuperBrat

Ну, я как человек крайне суеверный, не хотел бы откровенно и подробно излагать "цель исследования". А вдруг _оно_ не получится? :? Ну, могу предварительно охарактеризовать эту цель примерно так: 1) она большая и не сиюминутная; 2) она не противоречит никаким уголовным статьям и моральным ограничениям; 3) она не для меня лично, а, тысзыть, "на благо народа"; 4) это не то, о чем большинство обитателей этого форума, вероятно, сразу подумает. :wink:

А.

Проще было бы отправить народ в гугль по ключевым словам drmad+вирус. :roll:

Lemmit

Карманы без пуговиц. Очки без тесемки. Рубашка тонкая и без клеточек. Вот штаны, пожалуй, в связи с летом широковаты. 8)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
Проще было бы отправить народ в гугль по ключевым словам drmad+вирус.

Я, например, так сразу и сделал. Поэтому спросил без задней мысли, токмо помочь, чем смогу. ;)

Добро пожаловать, drmad.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      а вот это странно, надо будет почитать может еще что-то отключать надо
    • SQx
      В моем случае я кажется нашел этот - DhcpDomain папаметр: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{64846981-4885-4d8b-af0b-1097a90e00f6} EnableDHCP REG_DWORD 0x1 Domain REG_SZ NameServer REG_SZ DhcpServer REG_SZ 192.168.2.1 Lease REG_DWORD 0x3f480 LeaseObtainedTime REG_DWORD 0x6145e5fe T1 REG_DWORD 0x6147e03e T2 REG_DWORD 0x61495bee LeaseTerminatesTime REG_DWORD 0x6149da7e AddressType REG_DWORD 0x0 IsServerNapAware REG_DWORD 0x0 DhcpConnForceBroadcastFlag REG_DWORD 0x0 DhcpNetworkHint REG_SZ 8616070797 RegistrationEnabled REG_DWORD 0x1 RegisterAdapterName REG_DWORD 0x0 IPAddress REG_MULTI_SZ SubnetMask REG_MULTI_SZ DefaultGateway REG_MULTI_SZ DefaultGatewayMetric REG_MULTI_SZ DhcpIPAddress REG_SZ 192.168.2.103 DhcpSubnetMask REG_SZ 255.255.255.0 DhcpDomain REG_SZ home DhcpNameServer REG_SZ 192.168.2.1 DhcpDefaultGateway REG_MULTI_SZ 192.168.2.1 DhcpSubnetMaskOpt REG_MULTI_SZ 255.255.255.0 DhcpInterfaceOptions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hcpGatewayHardware REG_BINARY C0A8020106000000B8D94D42ED7E DhcpGatewayHardwareCount REG_DWORD 0x1 также я могу его пинговать. >ping -a home Pinging home.home [192.168.2.1] with 32 bytes of data: Reply from 192.168.2.1: bytes=32 time=1ms TTL=64 Reply from 192.168.2.1: bytes=32 time=1ms TTL=64  
    • SQx
      Мне ЛК, также написали:
        Но пользователь сказал, что не было галочки на "Автоматически определять настройки".
    • PR55.RP55
      Например есть  пакет с драйверами ( сотни... тысячи драйверов ) Предполагается использовать этот пакет для обновления системных драйверов, или WIM Часть драйверов подписана, часть нет... Хотелось бы, чтобы uVS  ( по команде в меню: Файл ) - создала из этих драйверов пакет установки\обновления. Копию только из подписанных ( прошедших проверку ( и проверенных по SHA ) драйверов. Копию по типу программы: " Double Driver" http://soft.oszone.net/program/5936/Double_Driver/ + Возможность создать копию системных драйверов, системы - но, опять таки... копировать только подписанные драйвера и те, что есть в базе SHA.  
    • demkd
      гляну, но это дыра с wpad все равно закрывается лишь отключением автонастройки прокси в браузере, больше никак.
×