How to become an author
Search
Write a publication
Pull to refresh

Comments 34

Дизассемблируя системные файлы, вы нарушили Лицензионное Соглашение (;
Total votes 38: ↑32 and ↓6+26
Какое лицензионное соглашение? Вы правда в курсе подробностей соглашений ESET и Microsoft? ;) Или вы думаете что раз Windows одинаковая — то и соглашение у всех точно такое же как в коробочных версиях?
Total votes 10: ↑6 and ↓4+2
UFO just landed and posted this here
Наше законодательство разрешает такое дело.
Total votes 5: ↑5 and ↓0+5
Читайте ГК. У него статус повыше, чем у соглашения.
Total votes 1: ↑1 and ↓0+1
UFO just landed and posted this here
Бойцовский клуб! Точно! :) вы меня избавили от мерзкого ощущения «откуда же это», спасибо
This comment wasn’t rated yet0
«достаточно велико» и «отнюдь не маленькая» это сколько в цифрах?
Total votes 3: ↑3 and ↓0+3
UFO just landed and posted this here
> руткит мог заражать и другие системные драйверы

Скоро руткиты будут заражать прошивки контроллеров на материнской плате (
Total votes 2: ↑2 and ↓0+2
уже умеют писаться в bios flash
Total votes 2: ↑2 and ↓0+2
во флеш можно писать только голову а хвост подтягивать с инета.
Total votes 1: ↑1 and ↓0+1
Во флеше свободного места нынче по пол мегабайта ) Что хочешь влезет )
Total votes 1: ↑1 and ↓0+1
скоро руткиты будут заражать прошивки на наших мозгах (
Total votes 1: ↑1 and ↓0+1
Иногда, особенно на хабре, кажется, что кое у кого это уже произошло :-|
Total votes 3: ↑3 and ↓0+3
Основная причина нежелания устанавливать себе микрочип.
This comment wasn’t rated yet0
потому надо будет ставить туда линукс.
это единственный выход.
в винде существует вероятность… а значит… это тот случай, где никакой риск недопустим.
This comment wasn’t rated yet0
На PAGE_FAULT_IN_NON_PAGED_AREA сегодня насмотрелся в течение дня. Драйвер выходит туго.
This comment wasn’t rated yet0
Наредкость качественный «скриншот» BSoD'а =)
Total votes 2: ↑2 and ↓0+2
виртуальная машина? ;)
Total votes 5: ↑0 and ↓5-5
а как вылечить-то это? Есет, вроде, ничего не нашёл, когда я поймал этот бсод два дня назад
This comment wasn’t rated yet0
Вот ссылка на решение. Там надо удалить один из патчей, а именно: KB977165.

Но в некоторых случаях запустить recovery console не удается. Все равно вылетает синий экран. В таких случаях можно загрузиться с помощью linux live cd и все сделать руками в консоле.
This comment wasn’t rated yet0
Если я правильно понял всё, что там написано, это хрень какая-то, а не решение. Вопрос в том, как убить руткит этот? Ведь не майкрософт же его в патчах рассылает. Удаление патча уберёт только последствия, но не причину. Так вот как избавиться от причины всего этого добра?
Total votes 1: ↑1 and ↓0+1
По ссылке решение проблемы синего экрана. А насчет руткита, я думаю самое лучшее решение — это переустановить систему.
This comment wasn’t rated yet0
UFO just landed and posted this here
UFO just landed and posted this here
Расскажу вам чуток поподробнее.
При заражении размер драйвера не меняется. Руткит перезаписывал часть ресурсов и устанавливал точку входа на себя. Он заражает atapi.sys(там идёт перехват диспатч таблицы irp), т.е. возможность стартовать на самом раннем этапе загрузки ОС.
В болле поздних версиях диспатч-таблица не тронута, а создается fake объект драйвера со своими диспатч функциями и перезаписывает указатель в устройстве, которое обслуживает загрузочный диск, на свой драйвер. На этом возможности не заканчиваются, для сокрытия данных он перехватывает функцию для построения очереди irp пакетов, с последующим извлечением их оттуда. Диспатч функция вызывает IoStartPacket, что в свою очередь приведёт к вызову функции StartIO которая и будет перехвачена руткитом.
Если клиент пытается считывать скрываемые сектора, руткит устанавливает свою функцию завершения, в который фильтрует данные.
Total votes 4: ↑4 and ↓0+4
Может быть я в танке, но я так и не понял, причём тут Eset? И самое главное, как вылечится?
Total votes 1: ↑0 and ↓1-1
Sign up to leave a comment.

Your account

Sections

Information

Services

Support
© 2006–2024, Habr