Dnia Wed, 19 May 2010 18:32:19 +0200, Marek napisał(a):
>> Za to moze to robic rootkit lub trojan.
>
> Tylko jak obciążyć komputer i nie wykazać tego w pomiarach?
Pisalem o tym, przeciez jesli jest np. funkcja w winapi do pomiaru czasu
jaki proces "zjadl" procesorowi:
BOOL GetProcessTimes(
HANDLE hProcess, // specifies the process of interest
LPFILETIME lpCreationTime, // when the process was created
LPFILETIME lpExitTime, // when the process exited
LPFILETIME lpKernelTime, // time the process has spent in kernel mode
LPFILETIME lpUserTime // time the process has spent in user mode
);
to gdy rootkit zalozy hooka na te funkcje, i bedzie nia sterowal to chyba
nie jest problemem pokazac co mu pasuje, prawda? I tak z kazda funkcja moze
byc, nawet z tymi niskopoziomowym.
> Pytam trochę teoretycznie gdyż wirusa itp. od lat nie widziałem. KIS jest bardzo
> skutecznym softem - nie sądzę aby sprzęt od lat łapał w kółko te same
Nod32 tez jest skuteczny, a jednak... lapie.
>> Obciazenie moze sie rozkladac pomiedzy wszystkie procesy, bo de facto hook
>> dziala w konktekscie kazdego procesu.
> Tylko prawie wszystkie pokazują 0. Jeśli jest to nawet średnio 0.5 * ilość
> procesĂłw = 10% maksymalnie.
Pisalem wyzej o hookowaniu, tu to samo z funkcja pokazujaca biezace
obciazenie.
> KIS w końcu wykryłby go. Kiedyś zawziąłem się i skanowałem dysk i w trybie
> awaryjnym
Nie wykrylby aktywnego rootkita, jak wyzej, wystarczy hook na funkcje
OpenFile/CreateFile/xxxFile i KIS, NOD i kazdy inny antywir widzi piekny
czysty plik, bo rootkit pokaze to co chce pokazac w pliku.
> i w zewnętrznym komputerze - czysto. Takie rzeczy to rutynowe
Tak, zewnetrzny i _czysty_ komputer jest sensownym, szybkim i skutecznym
rozwiazaniem problemu.
> działania. Gdybym tego nie zrobił to nie zanudzałbym Ciebie pytaniami :-)
A jesli nie pomoglo to zaczynam podejrzewac magie :-)
-- pozdrawiam NorbertReceived on Wed May 19 19:15:02 2010
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Wed 19 May 2010 - 19:51:02 MET DST