Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
[NT] Не факт 24.05.03 10:13 Число просмотров: 1966
Автор: amirul <Serge> Статус: The Elderman
Отредактировано 24.05.03 11:43 Количество правок: 1
|
> Э, ребята, вы чего? Любая попытка отловитьработающий
> руткит - в чистом виде авантюризм. Поставь рядом вторую
> нтшку, и все действия по поиску/уничтожению руткита
> производи с нее.
Согласен с Imm0rtal-ом, что NTrootkit - как самый популярный руткит, в настройках по дефолту не скрывает ничего для процессов, начинающихся с _root, и скрывает эти процессы от всех остальных.
Но даже в общем случае руткиты довольно легко отлавливаются SoftICE-ом так как ему совершенно наплевать даже на пропатченную KeServiceDescriptorTable, как самый продвинутый способ сокрытия, ну а на все остальные способы и подавно. Причем это именно в системе, с работающим руткитом. Можно, конечно патчить сайс в памяти, но это чревато БСОДами и кроме того, я таких прог еще не видел (а просто скрывающих все что только можно - навалом, и не только руткиты)
|
|
|
подробно о проекте
Анализ криптографических сетевых...
