Список разделов >> Архив оффтопика: «Ребята! срочно проверте ваши компы! Я успел его...»
|
Sergant
|
А это продолжение.Так что Вынь98 самая открытая система.
Итак, используя почти последнее что у нас осталось -- LDT, мы перешли в ring-0. Я полагаю, что вам уже известно, что обычно делают дальше. Иначе читать этот текст бесполезно. А дальше обычно выделяют память, копируют туда вирус, перехватывают обращения к файлам, портят флэш и все такое.
Проблема заключается в уже инсталлированом простеньком драйверке -- называется он SPIDER.VXD. Конечно, проблема не только в этом конкретном антивирусе, а в возможности существования таких мониторов и в возможности всяких плохих действий с их стороны. Короче, допустим, что сей файлик, подстерегая нас на доступе к IDT и GDT, таки пропустил в ring-0. И вот, ничего не подозревающий вирус делает свой первый VxDcall. И сосет. Ибо VxDcall сделан -- откуда?, и функция GetVxdName() на вопрос антивируса "а из какого вэыксдя пришел вот ентот вот вэыксдекольчик?" честно отвечает ему "а хуй его знает". И тогда антивирус орет "батя, хуйня!", тем стремая юзера, и тот, как показано на картинке, бежит к лозинскому. Помните об этом.
Собственно о том, как всего этого избежать, и написан сей текст.
Признаюсь вам честно, я преувеличил. Пока еще не на все VxDcall-ы орет sipder, и тем пользуется библиотечка KILLAVXD. Суть ее заключается в следующем: просканировать список VxDей, найти спидера(веба)/авп, и пропатчить их так, чтобы не могли открывать никакие файлы. Пока помогает.
Но дело в том, что список VxDей мы получаем VxDcall-ом, что само по себе плохо. Дальше можно долго спорить о том, что делать и кто виноват. Можно впатчить VxDcall в VMM (0xC0001000 и дальше) и вызывать системные функции оттуда. Но на это найдутся всякие Get_Cur_VM_Handle, ProcessId и прочие, и кроме того -- на каждый такой VxDcall нас могут найти поиском в памяти, и т.п. Короче говоря, так жить нельзя.
Поэтому единственно правильный путь -- убить, убить и еще раз убить антивир и только потом жить спокойно.
Как убить -- да все так же. Найти VxD, пропатчить. Дальше -- по желанию. Отгрузить, стереть на диске, etc. Но отгружать и стирать на диске плохо -- юзер явно увидит. Тогда уж эффективнее грохнуть флэш и винт.
Так что мы не будем останавливаться на этой проблеме, а решим абстрактную задачу -- как вызывать VxDcall-ы, не вызывая таковых
|
Пн Апр 22, 2002 9:52 am
| ссылка
|
|
|
|
SA
|
Ну не совсем, есть же режиме "Safe Mode" - во всех остальных случаях это не безопасно.
|
Пн Апр 22, 2002 8:32 pm
| ссылка
|
|
|
|
xemul
|
??? А что, сафе моде от вирей спасает? Заведите на компе matrix`а или что-нить из его штаммов и попробуйте изгнать хоть в сафе, хоть в ремоте...
|
Вт Апр 23, 2002 12:07 pm
| ссылка
|
|
|
|
Sergant
|
Так ведь Сафе Моде-"драйвера и вирусы не загружать"))))
|
Вт Апр 23, 2002 12:24 pm
| ссылка
|
|
|
|
Список разделов -> Архив оффтопика: «Ребята! срочно проверте ваши компы! Я успел его...» |
Powered by phpBB © 2001, 2002 phpBB Group
|