Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | |
[NT] Не факт 24.05.03 10:13 Число просмотров: 1965
Автор: amirul <Serge> Статус: The Elderman
Отредактировано 24.05.03 11:43 Количество правок: 1
|
> Э, ребята, вы чего? Любая попытка отловитьработающий
> руткит - в чистом виде авантюризм. Поставь рядом вторую
> нтшку, и все действия по поиску/уничтожению руткита
> производи с нее.
Согласен с Imm0rtal-ом, что NTrootkit - как самый популярный руткит, в настройках по дефолту не скрывает ничего для процессов, начинающихся с _root, и скрывает эти процессы от всех остальных.
Но даже в общем случае руткиты довольно легко отлавливаются SoftICE-ом так как ему совершенно наплевать даже на пропатченную KeServiceDescriptorTable, как самый продвинутый способ сокрытия, ну а на все остальные способы и подавно. Причем это именно в системе, с работающим руткитом. Можно, конечно патчить сайс в памяти, но это чревато БСОДами и кроме того, я таких прог еще не видел (а просто скрывающих все что только можно - навалом, и не только руткиты)
|
|
<operating systems>
|
Как получить доступ к System Volume Information? 23.05.03 12:25
Автор: Duke Статус: Незарегистрированный пользователь
|
|
После некоторых манипуляций с хакерскими прогами мой антивирус mcafee часто говорит что обнаружил вирус NTRootKit в E:\System Volume Information...., в связи с этим возникает вопрос как бы мне туда зайти и все там почистить. Слышал что можно задать разрешения на эту папку, но в проводнике ее не видно, даже если включить отображение скрытых файлов. И если кто знает что это за NTRootKit?
|
|
Как получить доступ к System Volume Information? 13.06.03 22:21
Автор: beetle <beetle> Статус: Member
|
1. запускаешь службу шедулера виндовского (команда АТ) с привилегией SYSTEM
2. С помощью этой службы стартуешь любой шелл: коммандер или експлорер или консоль.
3. Открываешь папку
|
|
Как получить доступ к System Volume Information? 12.06.03 03:09
Автор: Ilich Статус: Незарегистрированный пользователь
|
> После некоторых манипуляций с хакерскими прогами мой
> антивирус mcafee часто говорит что обнаружил вирус
> NTRootKit в E:\System Volume Information...., в связи с
> этим возникает вопрос как бы мне туда зайти и все там
> почистить. Слышал что можно задать разрешения на эту папку,
> но в проводнике ее не видно, даже если включить отображение
> скрытых файлов. И если кто знает что это за NTRootKit?
Сначала поставь опцию Отображать все файлы(ну, ты меня понял), а потом лезь в папку System Volume Information. Если тебе скажу, что отказано в доступе, то залогинься под админом и разреши себе доступ к этой папке. Лично у меня работало.
|
|
не знаю почему но у меня ее в проводнике прекрасно видно и права ей ставятся без проблем. w2k serv. включено показывать все что можно. 24.05.03 10:42
Автор: Killer{R} <Dmitry> Статус: Elderman
|
|
|
|
Как получить доступ к System Volume Information? 23.05.03 15:58
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
> Слышал что можно задать разрешения на эту папку,
> но в проводнике ее не видно, даже если включить отображение
> скрытых файлов.
юзай фар
|
| |
Как получить доступ к System Volume Information? 23.05.03 16:04
Автор: Duke Статус: Незарегистрированный пользователь
|
> > Слышал что можно задать разрешения на эту папку,
> > но в проводнике ее не видно, даже если включить
> отображение
> > скрытых файлов.
> юзай фар
А в фаре резрешения нельзя менять.. :(
|
| | |
Как получить доступ к System Volume Information? 23.05.03 18:56
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
> > юзай фар
> А в фаре резрешения нельзя менять.. :(
Почему нельзя???
1. cacls из ресурс кита
2. плагины к фару. Я не видел плагина, который прямо позволяет редактировать ACLы, но у меня стоит плагин имитирующий right_mouse_button в експлорере. http://rightclick.chat.ru/
Ну и плюс можно попробовать security explorer - мощная тулза для редактирования ACLов на файлы и директории.
Удачи!
|
|
Можешь найти ntfsdos pro от winternals 23.05.03 14:29
Автор: amirul <Serge> Статус: The Elderman
|
> После некоторых манипуляций с хакерскими прогами мой
> антивирус mcafee часто говорит что обнаружил вирус
> NTRootKit в E:\System Volume Information...., в связи с
> этим возникает вопрос как бы мне туда зайти и все там
> почистить. Слышал что можно задать разрешения на эту папку,
> но в проводнике ее не видно, даже если включить отображение
> скрытых файлов. И если кто знает что это за NTRootKit?
И почистить все из доса. Только я не уверен насчет последствий. Раз папка есть, значит это кому нибудь нужно.
Можно еще получить права SYSTEM-а, но в системе с руткитом, как уже отмечалось, это может мало чего дать
|
|
[NT] ЧТобы её увидеть нужно показать защищённые системные файлы 23.05.03 12:33
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
Rootkit - это руткит :) Висит такой сервис, который не видно. Умеет всякие вещи: скрывать файлы, сервисы, ключи реестра, а также предоставляет телнет хакеру.
|
| |
А как их показать то? галочка показывать скрытые файлы у меня стоит. 23.05.03 16:06
Автор: Duke Статус: Незарегистрированный пользователь
|
> Rootkit - это руткит :) Висит такой сервис, который не
> видно. Умеет всякие вещи: скрывать файлы, сервисы, ключи
> реестра, а также предоставляет телнет хакеру.
Как бы етот руткит убить теперь?
|
| | |
[NT] Есть другая галочка, озвученная мною выше 23.05.03 19:44
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
> > Rootkit - это руткит :) Висит такой сервис, который не
> > видно. Умеет всякие вещи: скрывать файлы, сервисы,
> ключи
> > реестра, а также предоставляет телнет хакеру.
> Как бы етот руткит убить теперь?
попробуй переименовать regedit во что-нибудь, начинающееся сroot
тогда ты сможешь увидеть скрытые ключи и разделы реестра. Найди сервис, начинающияйся сroot и поставь его запуск в дизэйбл. (по-моему, значение "3").
|
| | | |
[NT] Есть другая галочка, озвученная мною выше 23.05.03 20:52
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
> > Как бы етот руткит убить теперь?
> попробуй переименовать regedit во что-нибудь, начинающееся
> сroot
> тогда ты сможешь увидеть скрытые ключи и разделы реестра.
> Найди сервис, начинающияйся сroot и поставь его запуск
> в дизэйбл. (по-моему, значение "3").
Э, ребята, вы чего? Любая попытка отловитьработающийруткит - в чистом виде авантюризм. Поставь рядом вторую нтшку, и все действия по поиску/уничтожению руткита производи с нее.
|
| | | | |
[NT] Не факт 24.05.03 10:13
Автор: amirul <Serge> Статус: The Elderman
Отредактировано 24.05.03 11:43 Количество правок: 1
|
> Э, ребята, вы чего? Любая попытка отловитьработающий
> руткит - в чистом виде авантюризм. Поставь рядом вторую
> нтшку, и все действия по поиску/уничтожению руткита
> производи с нее.
Согласен с Imm0rtal-ом, что NTrootkit - как самый популярный руткит, в настройках по дефолту не скрывает ничего для процессов, начинающихся с _root, и скрывает эти процессы от всех остальных.
Но даже в общем случае руткиты довольно легко отлавливаются SoftICE-ом так как ему совершенно наплевать даже на пропатченную KeServiceDescriptorTable, как самый продвинутый способ сокрытия, ну а на все остальные способы и подавно. Причем это именно в системе, с работающим руткитом. Можно, конечно патчить сайс в памяти, но это чревато БСОДами и кроме того, я таких прог еще не видел (а просто скрывающих все что только можно - навалом, и не только руткиты)
|
| | | | |
[NT] Не надо грязи ;) 23.05.03 23:48
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
> Э, ребята, вы чего? Любая попытка отловитьработающий
> руткит - в чистом виде авантюризм.
А я тебе говорю, чтоработающийNTrootkit, настроенныйпо-дефолтутакими методами остановить можно. Проверено практикой.
|
| | | | | |
[NT] Хорошо, не буду ;) 24.05.03 16:50
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
Мой пост носил философско-информативный характер: при отлове руткита ты работаешь с диском через интерфейсы ОС. А их этот руткит может (и должен!) фильтровать соответствующим образом. Так что единственное чему ты можешь верить - это (как мне справедливо напомнил amirul) софтайс. Но с одним софтайсом очень долго можно провозиться :(
Так что я рекомендую ("рекомендую" - то есть хочешь делай, хочешь нет) поставить рядом другую ОС с нуля и иследовать диски старой из нее. А вообще - я похоже начал флейм :) Сорри.
|
| | | | | | |
[NT] Ты прав, но сбит с толку :-))) 24.05.03 21:22
Автор: amirul <Serge> Статус: The Elderman
|
> Мой пост носил философско-информативный характер: при
> отлове руткита ты работаешь с диском через интерфейсы ОС. А
> их этот руткит может (и должен!) фильтровать
> соответствующим образом.
Именно этим по определению и занимается руткит, вот только imm0rtal писал про совершенно определенный руткит, который, если не трогать его настройки скрывает файлы, начинающиеся наroot ключи в реестре, начинающиеся так же и процессы с такими именами. Так вот при написании руткита (и вообще любого модуля сокрытия) встает одна проблема, если СОВСЕМ скрывать ключи-файлы, то лучше уж их удалить - эффект тот же - совершенно не видно. Поэтому к некоторым процессам фильтр пропускает неизмененную инфу. И в данном случае это как раз те же самые процессы, которые скрываются, то есть начинаются сroot Вот imm0rtal и предложил попробовать отловить такой руткит в дефолтовых настройках (если ставил какой то ламер-скрипткидди). Самое интересное, что это действительно прокатит :-)
> Так что единственное чему ты
> можешь верить - это (как мне справедливо напомнил amirul)
> софтайс. Но с одним софтайсом очень долго можно провозиться
> :(
Я довольно быстро разобрался. Обычно под руткитом исполняется какое-нить ring3 приложение (меня мониторил мой работодатель на рабочем компе, на котором я даже не был админом, но был девелопером, так что сайс там был :-)) А что мне еще надо :-) ). Просто посчитать количество процессов в сайсе и Task Manager-е и решать стоит ли копать дальше
> Так что я рекомендую ("рекомендую" - то есть хочешь делай,
> хочешь нет) поставить рядом другую ОС с нуля и иследовать
Это да, но быстрее загрузиться например с линуховской дискеты для работы с НТ-ями и пошарить по реестру/файлам.
> диски старой из нее. А вообще - я похоже начал флейм :)
> Сорри.
Гы :-) Ну по-крайней мере истина родится :-)
|
| | | | | | | |
ччёрт... прочитал всё внимательно. ты который раз упомянул Иммортала. Но он вроде в этом обсуждении вообще не участвует! ;) 24.05.03 22:33
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
|
| | | | | | | | |
ОЙ!!!!!!!!! Заработался, однако!!!!!!! Приношу всем обиженным свои извинения :-) 25.05.03 11:15
Автор: amirul <Serge> Статус: The Elderman
|
|
|
| | | |
[NT] disable == 4, а 3 это manual. А вообще интересная метода, я даже не подумал :-) 23.05.03 20:28
Автор: amirul <Serge> Статус: The Elderman
|
|
|
| | |
Попробуй в защищенном режиме 23.05.03 17:41
Автор: amirul <Serge> Статус: The Elderman
|
> > Rootkit - это руткит :) Висит такой сервис, который не
> > видно. Умеет всякие вещи: скрывать файлы, сервисы,
> ключи
> > реестра, а также предоставляет телнет хакеру.
> Как бы етот руткит убить теперь?
Посмотреть какие сервисы запускаются. И поставить тип запуска disabled для подозрительных. Только смотри не перемудри, а то можно наотключать так, что винду придется переставлять :-)
|
|
|
подробно о проекте
Анализ криптографических сетевых...
