vaber

SpiDiE или как завершить процессы Dr.Web - часть вторая

В этой теме 14 сообщений

Продолжение следует :)

http://www.rootkit.com/blog.php?newsid=967

В архиве демо-пример + забавная статейка. Оказывается 2 функции в SDT не так-то просто было докторам похукать нормально ;)

З.Ы. Демо-пример можно использовать для тестирования не только доктора, но и других хипс, т.к. снятие перехватов идет до проверки запущенного доктор веба в системе.

З.Ы.Ы. Можно сказать, что зачаток HIPS у докторов как-то криво выходит, а помнится они кое-кого ругали, дескать HIPS кривой. А вот оно как выходит ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

http://forum.drweb.com/index.php?s=&sh...st&p=335532

:rolleyes:

{Для тех, кому не хочется регаться на форуме. Там Константин Юдин написал: "spidie 1.3 уже кто нибудь по тестил? забавно, но билд с фиксом был собран на день раньше чем была опубликована статья smile.gif"Umnik}

Отредактировал Umnik
добавил цитату

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

тогда уж надо ссылку на скриншот было привести

1253751066-clip-318kb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
тогда уж надо ссылку на скриншот было привести

Кстати говоря, достаточно пропатчить этот SpiDiE и написать к нему маленькую утилитку - и процессы можно снова прибивать :).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Продолжение следует :)

Энергию б автора да в мирных бы целях...

Очень хочется версию RKU, которая не пристреливалась бы на взлёте троями из семейства (в терминологии DrWeb) Trojan.AuxSpy

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кстати говоря, достаточно пропатчить этот SpiDiE и написать к нему маленькую утилитку - и процессы можно снова прибивать :).

А когда я последний раз смотрел бэту вэба, то можно было пропатчить spideragent_set.exe и он тихо отключал спайдера3 после запуска. Аналог "sc pause spidernt". :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А когда я последний раз смотрел бэту вэба, то можно было пропатчить spideragent_set.exe и он тихо отключал спайдера3 после запуска. Аналог "sc pause spidernt". smile.gif

Как же ты его пропатчить собираешься при активной самозащите? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Как же ты его пропатчить собираешься при активной самозащите? :)

А там как-то всё на соплях. Берём просто spideragent_set.exe из директории и патчим пару байтов, потом запускаем откуда-нибудь и - вуаля.

Вот для g3 из последней бэты:

убито

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Думаю, не стоит выкладывать этот файл в открытый доступ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Думаю, не стоит выкладывать этот файл в открытый доступ.

Про "sc pause spidernt" знали разработчики на протяжении нескольких лет. И?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А там как-то всё на соплях. Берём просто spideragent_set.exe из директории и патчим пару байтов, потом запускаем откуда-нибудь и - вуаля.

Вот для g3 из последней бэты:

Патешна :D

З.Ы. Просьба к модераторам убрать этот архив из темы.

З.Ы.Ы. 2 dr_dizel Если не станут фиксить, тогда и выкладывай. Я так понимаю, что они не в курсе сего? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я так понимаю, что они не в курсе сего? ;)

Я думаю, что дело не в качестве кода или аккуратности, а в проектировании и ответственности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я думаю, что дело не в качестве кода или аккуратности, а в проектировании и ответственности.

dr_dizel, файлы лучше, всё же, выкладывать в специально отведённое для этого место.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • kostepanych
      Доброго время суток, Посоветуйте плз бесплатный антивирус для старенького ноута k50c, который работает офлайн постоянно.  Нужно, чтобы была возможность качать базы на другом компе, а на этом просто их накатывать. (Для офлайн пк считаю антивирус также нужен, т.к. всяких клонов пети и васи можно подцепить и с флешки)
    • santy
      RP55, смысл добавления для dll статуса "в автозапуске"? данный dll запускается только в том случае, если запущен исходный exe в образ автозапуска этот файл попадает, в списке загружаемых dll он есть, C:\USERS\POWER\APPDATA\ROAMING\GOOGLEUPDATE.DLL файл проверен при создании образа автозапуска и помечен как "НЕИЗВЕСТНЫЙ". В итоге Uvs присваивает ему статус: АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ DLL по этому статусу можно добавить критерий, чтобы подобные файлики попадали в отсек "ВИРУСЫ и подозрительные" для последующего анализа. (СТАТУС ~ АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ DLL )(1) [auto (0)]  
    • Marina35
      Одним вирусом меньше https://dr-world.ru/fbr-zaderjala-komputershika-symevshego-naiti-kluch-k-wannacry/
    • PR55.RP55
        По крайне мере некоторые устаревшие версии файла способны запускать любые соответствующие файлы\библиотеки Так например легальный\подлинный файл: GOOGLEUPDATE.EXE  прописывается в автозапуск. В каталог с файлом GOOGLEUPDATE.EXE помещается файл:  GOOPDATE.DLL Файл:  GOOPDATE.DLL  не имеет подписи - или подписан левым сертификатом и может иметь статус скрытый\системный и т.д. Таким образом файл GOOPDATE.DLL в автозапуске... А вот в логах его в автозапуске не будет. ---------- Нужно доработать uVS и считать все файлы: GOOGLEUPDATE.EXE  +++ как находящиеся в автозапуске. Тем более, что случай исключительный.    
    • AM_Bot
      Генеральный директор ГК «ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ» Руслан Рахметов рассказал читателям Anti-Malware.ru о рынке SGRC и IRP, истории бренда Security Vision и порассуждал о том, какой должна быть первоклассная SGRC-система. Читать далее