> Э, ребята, вы чего? Любая попытка отловитьработающий > руткит - в чистом виде авантюризм. Поставь рядом вторую > нтшку, и все действия по поиску/уничтожению руткита > производи с нее. Согласен с Imm0rtal-ом, что NTrootkit - как самый популярный руткит, в настройках по дефолту не скрывает ничего для процессов, начинающихся с _root, и скрывает эти процессы от всех остальных.
Но даже в общем случае руткиты довольно легко отлавливаются SoftICE-ом так как ему совершенно наплевать даже на пропатченную KeServiceDescriptorTable, как самый продвинутый способ сокрытия, ну а на все остальные способы и подавно. Причем это именно в системе, с работающим руткитом. Можно, конечно патчить сайс в памяти, но это чревато БСОДами и кроме того, я таких прог еще не видел (а просто скрывающих все что только можно - навалом, и не только руткиты)
После некоторых манипуляций с хакерскими прогами мой антивирус mcafee часто говорит что обнаружил вирус NTRootKit в E:\System Volume Information...., в связи с этим возникает вопрос как бы мне туда зайти и все там почистить. Слышал что можно задать разрешения на эту папку, но в проводнике ее не видно, даже если включить отображение скрытых файлов. И если кто знает что это за NTRootKit?
Как получить доступ к System Volume Information?13.06.03 22:21 Автор: beetle <beetle> Статус: Member
1. запускаешь службу шедулера виндовского (команда АТ) с привилегией SYSTEM
2. С помощью этой службы стартуешь любой шелл: коммандер или експлорер или консоль.
3. Открываешь папку
Как получить доступ к System Volume Information?12.06.03 03:09 Автор: Ilich Статус: Незарегистрированный пользователь
> После некоторых манипуляций с хакерскими прогами мой > антивирус mcafee часто говорит что обнаружил вирус > NTRootKit в E:\System Volume Information...., в связи с > этим возникает вопрос как бы мне туда зайти и все там > почистить. Слышал что можно задать разрешения на эту папку, > но в проводнике ее не видно, даже если включить отображение > скрытых файлов. И если кто знает что это за NTRootKit?
Сначала поставь опцию Отображать все файлы(ну, ты меня понял), а потом лезь в папку System Volume Information. Если тебе скажу, что отказано в доступе, то залогинься под админом и разреши себе доступ к этой папке. Лично у меня работало.
не знаю почему но у меня ее в проводнике прекрасно видно и права ей ставятся без проблем. w2k serv. включено показывать все что можно.24.05.03 10:42 Автор: Killer{R} <Dmitry> Статус: Elderman
> > Слышал что можно задать разрешения на эту папку, > > но в проводнике ее не видно, даже если включить > отображение > > скрытых файлов. > юзай фар А в фаре резрешения нельзя менять.. :(
Как получить доступ к System Volume Information?23.05.03 18:56 Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
> > юзай фар > А в фаре резрешения нельзя менять.. :( Почему нельзя???
1. cacls из ресурс кита
2. плагины к фару. Я не видел плагина, который прямо позволяет редактировать ACLы, но у меня стоит плагин имитирующий right_mouse_button в експлорере. http://rightclick.chat.ru/
Ну и плюс можно попробовать security explorer - мощная тулза для редактирования ACLов на файлы и директории.
Удачи!
Можешь найти ntfsdos pro от winternals23.05.03 14:29 Автор: amirul <Serge> Статус: The Elderman
> После некоторых манипуляций с хакерскими прогами мой > антивирус mcafee часто говорит что обнаружил вирус > NTRootKit в E:\System Volume Information...., в связи с > этим возникает вопрос как бы мне туда зайти и все там > почистить. Слышал что можно задать разрешения на эту папку, > но в проводнике ее не видно, даже если включить отображение > скрытых файлов. И если кто знает что это за NTRootKit? И почистить все из доса. Только я не уверен насчет последствий. Раз папка есть, значит это кому нибудь нужно.
Можно еще получить права SYSTEM-а, но в системе с руткитом, как уже отмечалось, это может мало чего дать
[NT] ЧТобы её увидеть нужно показать защищённые системные файлы23.05.03 12:33 Автор: ZloyShaman <ZloyShaman> Статус: Elderman
Rootkit - это руткит :) Висит такой сервис, который не видно. Умеет всякие вещи: скрывать файлы, сервисы, ключи реестра, а также предоставляет телнет хакеру.
А как их показать то? галочка показывать скрытые файлы у меня стоит.23.05.03 16:06 Автор: Duke Статус: Незарегистрированный пользователь
> Rootkit - это руткит :) Висит такой сервис, который не > видно. Умеет всякие вещи: скрывать файлы, сервисы, ключи > реестра, а также предоставляет телнет хакеру. Как бы етот руткит убить теперь?
[NT] Есть другая галочка, озвученная мною выше23.05.03 19:44 Автор: ZloyShaman <ZloyShaman> Статус: Elderman
> > Rootkit - это руткит :) Висит такой сервис, который не > > видно. Умеет всякие вещи: скрывать файлы, сервисы, > ключи > > реестра, а также предоставляет телнет хакеру. > Как бы етот руткит убить теперь? попробуй переименовать regedit во что-нибудь, начинающееся сroot тогда ты сможешь увидеть скрытые ключи и разделы реестра. Найди сервис, начинающияйся сroot и поставь его запуск в дизэйбл. (по-моему, значение "3").
[NT] Есть другая галочка, озвученная мною выше23.05.03 20:52 Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
> > Как бы етот руткит убить теперь? > попробуй переименовать regedit во что-нибудь, начинающееся > сroot > тогда ты сможешь увидеть скрытые ключи и разделы реестра. > Найди сервис, начинающияйся сroot и поставь его запуск > в дизэйбл. (по-моему, значение "3"). Э, ребята, вы чего? Любая попытка отловитьработающийруткит - в чистом виде авантюризм. Поставь рядом вторую нтшку, и все действия по поиску/уничтожению руткита производи с нее.
[NT] Не факт24.05.03 10:13 Автор: amirul <Serge> Статус: The Elderman Отредактировано 24.05.03 11:43 Количество правок: 1
> Э, ребята, вы чего? Любая попытка отловитьработающий > руткит - в чистом виде авантюризм. Поставь рядом вторую > нтшку, и все действия по поиску/уничтожению руткита > производи с нее. Согласен с Imm0rtal-ом, что NTrootkit - как самый популярный руткит, в настройках по дефолту не скрывает ничего для процессов, начинающихся с _root, и скрывает эти процессы от всех остальных.
Но даже в общем случае руткиты довольно легко отлавливаются SoftICE-ом так как ему совершенно наплевать даже на пропатченную KeServiceDescriptorTable, как самый продвинутый способ сокрытия, ну а на все остальные способы и подавно. Причем это именно в системе, с работающим руткитом. Можно, конечно патчить сайс в памяти, но это чревато БСОДами и кроме того, я таких прог еще не видел (а просто скрывающих все что только можно - навалом, и не только руткиты)
[NT] Не надо грязи ;)23.05.03 23:48 Автор: ZloyShaman <ZloyShaman> Статус: Elderman
> Э, ребята, вы чего? Любая попытка отловитьработающий > руткит - в чистом виде авантюризм. А я тебе говорю, чтоработающийNTrootkit, настроенныйпо-дефолтутакими методами остановить можно. Проверено практикой.
[NT] Хорошо, не буду ;)24.05.03 16:50 Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
Мой пост носил философско-информативный характер: при отлове руткита ты работаешь с диском через интерфейсы ОС. А их этот руткит может (и должен!) фильтровать соответствующим образом. Так что единственное чему ты можешь верить - это (как мне справедливо напомнил amirul) софтайс. Но с одним софтайсом очень долго можно провозиться :(
Так что я рекомендую ("рекомендую" - то есть хочешь делай, хочешь нет) поставить рядом другую ОС с нуля и иследовать диски старой из нее. А вообще - я похоже начал флейм :) Сорри.
[NT] Ты прав, но сбит с толку :-)))24.05.03 21:22 Автор: amirul <Serge> Статус: The Elderman
> Мой пост носил философско-информативный характер: при > отлове руткита ты работаешь с диском через интерфейсы ОС. А > их этот руткит может (и должен!) фильтровать > соответствующим образом. Именно этим по определению и занимается руткит, вот только imm0rtal писал про совершенно определенный руткит, который, если не трогать его настройки скрывает файлы, начинающиеся наroot ключи в реестре, начинающиеся так же и процессы с такими именами. Так вот при написании руткита (и вообще любого модуля сокрытия) встает одна проблема, если СОВСЕМ скрывать ключи-файлы, то лучше уж их удалить - эффект тот же - совершенно не видно. Поэтому к некоторым процессам фильтр пропускает неизмененную инфу. И в данном случае это как раз те же самые процессы, которые скрываются, то есть начинаются сroot Вот imm0rtal и предложил попробовать отловить такой руткит в дефолтовых настройках (если ставил какой то ламер-скрипткидди). Самое интересное, что это действительно прокатит :-)
> Так что единственное чему ты > можешь верить - это (как мне справедливо напомнил amirul) > софтайс. Но с одним софтайсом очень долго можно провозиться > :( Я довольно быстро разобрался. Обычно под руткитом исполняется какое-нить ring3 приложение (меня мониторил мой работодатель на рабочем компе, на котором я даже не был админом, но был девелопером, так что сайс там был :-)) А что мне еще надо :-) ). Просто посчитать количество процессов в сайсе и Task Manager-е и решать стоит ли копать дальше
> Так что я рекомендую ("рекомендую" - то есть хочешь делай, > хочешь нет) поставить рядом другую ОС с нуля и иследовать Это да, но быстрее загрузиться например с линуховской дискеты для работы с НТ-ями и пошарить по реестру/файлам.
> диски старой из нее. А вообще - я похоже начал флейм :) > Сорри. Гы :-) Ну по-крайней мере истина родится :-)
ччёрт... прочитал всё внимательно. ты который раз упомянул Иммортала. Но он вроде в этом обсуждении вообще не участвует! ;)24.05.03 22:33 Автор: ZloyShaman <ZloyShaman> Статус: Elderman
> > Rootkit - это руткит :) Висит такой сервис, который не > > видно. Умеет всякие вещи: скрывать файлы, сервисы, > ключи > > реестра, а также предоставляет телнет хакеру. > Как бы етот руткит убить теперь? Посмотреть какие сервисы запускаются. И поставить тип запуска disabled для подозрительных. Только смотри не перемудри, а то можно наотключать так, что винду придется переставлять :-)
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
