Перейти к содержанию
vaber

SpiDiE или как завершить процессы Dr.Web - часть вторая

Recommended Posts

vaber

Продолжение следует :)

http://www.rootkit.com/blog.php?newsid=967

В архиве демо-пример + забавная статейка. Оказывается 2 функции в SDT не так-то просто было докторам похукать нормально ;)

З.Ы. Демо-пример можно использовать для тестирования не только доктора, но и других хипс, т.к. снятие перехватов идет до проверки запущенного доктор веба в системе.

З.Ы.Ы. Можно сказать, что зачаток HIPS у докторов как-то криво выходит, а помнится они кое-кого ругали, дескать HIPS кривой. А вот оно как выходит ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr.Belyash

http://forum.drweb.com/index.php?s=&sh...st&p=335532

:rolleyes:

{Для тех, кому не хочется регаться на форуме. Там Константин Юдин написал: "spidie 1.3 уже кто нибудь по тестил? забавно, но билд с фиксом был собран на день раньше чем была опубликована статья smile.gif"Umnik}

Отредактировал Umnik
добавил цитату

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit

тогда уж надо ссылку на скриншот было привести

1253751066-clip-318kb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Гут, быстро поправили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
тогда уж надо ссылку на скриншот было привести

Кстати говоря, достаточно пропатчить этот SpiDiE и написать к нему маленькую утилитку - и процессы можно снова прибивать :).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Winny
Продолжение следует :)

Энергию б автора да в мирных бы целях...

Очень хочется версию RKU, которая не пристреливалась бы на взлёте троями из семейства (в терминологии DrWeb) Trojan.AuxSpy

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Кстати говоря, достаточно пропатчить этот SpiDiE и написать к нему маленькую утилитку - и процессы можно снова прибивать :).

А когда я последний раз смотрел бэту вэба, то можно было пропатчить spideragent_set.exe и он тихо отключал спайдера3 после запуска. Аналог "sc pause spidernt". :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
А когда я последний раз смотрел бэту вэба, то можно было пропатчить spideragent_set.exe и он тихо отключал спайдера3 после запуска. Аналог "sc pause spidernt". smile.gif

Как же ты его пропатчить собираешься при активной самозащите? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Как же ты его пропатчить собираешься при активной самозащите? :)

А там как-то всё на соплях. Берём просто spideragent_set.exe из директории и патчим пару байтов, потом запускаем откуда-нибудь и - вуаля.

Вот для g3 из последней бэты:

убито

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black Angel

Думаю, не стоит выкладывать этот файл в открытый доступ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Думаю, не стоит выкладывать этот файл в открытый доступ.

Про "sc pause spidernt" знали разработчики на протяжении нескольких лет. И?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
А там как-то всё на соплях. Берём просто spideragent_set.exe из директории и патчим пару байтов, потом запускаем откуда-нибудь и - вуаля.

Вот для g3 из последней бэты:

Патешна :D

З.Ы. Просьба к модераторам убрать этот архив из темы.

З.Ы.Ы. 2 dr_dizel Если не станут фиксить, тогда и выкладывай. Я так понимаю, что они не в курсе сего? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Я так понимаю, что они не в курсе сего? ;)

Я думаю, что дело не в качестве кода или аккуратности, а в проектировании и ответственности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Я думаю, что дело не в качестве кода или аккуратности, а в проектировании и ответственности.

dr_dizel, файлы лучше, всё же, выкладывать в специально отведённое для этого место.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      проверил, работает, но стоит помнить что кэш используется только при массовой проверке и только для файлов не получивших статус проверенного ранее.
      для проверки отдельного файла кэш не используется по очевидным причинам.
    • PR55.RP55
      Определять время применения GPO Определять время применения GPO - с привязкой к событию. ( например запуск... скрипта ) Писать в Инфо.
    • PR55.RP55
      Настройка vtCacheDays= не работает. ( залез, а в папке сотни файлов  ) пробовал менять настройки\даты - не работает.  
    • demkd
      ---------------------------------------------------------
       4.12.3
      ---------------------------------------------------------
       o Добавлено несколько новых ключей автозапуска.  o Добавлен новый флаг запуска "Проверять весь HKCR".
         Не всегда требуется загружать и проверять все CLSID (по умолчанию флаг установлен).
         Снятие флага значительно ускорит скорость построения образа автозапуска за счет существенного сокращения файлов в списке.
         Если флаг установлен:
          o Твик #37 не исправит все проблемные пути в реестре
          o Функция удаления ссылок на отсутствующие файлы не затронет незагруженную часть HKCR.  o Улучшена функция парсинга командной строки.  o Исправлена функция восстановления реестра для неактивной системы.
         Добавлено удаление старых логов реестра, они могли препятствовать загрузке хайвов после оффлайн восстановления реестра.
         Обновлен ABR до версии 1.10, в него внесены аналогичные с uVS изменения.
          o Автозагрузка службы ABR теперь работает в отложенном режиме для устранение возможного сбоя загрузки пользовательского хайва реестра.
          o Добавлен модуль defrag для дефрагментации и устранения ошибок в сохраненной копии реестра.  o В окно информации о задаче добавлены даты создания и последнего запуска.  o Теперь в лог добавляется предупреждение о слишком длинных строках в реестре (более 2к символов).  o Исправлена ошибка в функции внесения данных из reg-файла в реестр неактивной системы.  o Добавлена поддержка кэша задач версий 1(Win8 и 8.1) и 2(некоторые серверные версии). (ранее поддерживалась только 3-я версия Win10/Win11).  o Исправлена ошибка которая могла привести к переполнению буфера.  
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 16.0.24.
×