сёдня боролся с одним буткитом на компе с вынь хр. долго. эта зараза съела каспера, не давала запускаться практически никаким антивирям (каспер, дрвеб (включая) курит). avz последний запускался, но, даже с установленным драйвером, ничего не видел.

свежий курит, запущенный с лайв-сиди, тоже ничего не увидел.
пришлось применить старый дедовский способ, и сделать fixboot и fixmbr с консоли.

сначала попробовал fixboot - он сказал, что загрузочный сектор на разделе D (что странно), но при попытке переписать выдал ошибку. сделал fixmbr (успешно), потом опять попробовал fixboot - начал ругаться, что запись не найдена.
перегрузил консоль, опять сделал fixboot (на этот раз запись нашлась корректно на разделе C). после этого ещё пришлось делать восстановление системы с помощью avz (вирь много чего нахреновертил в системе), после этого система пришла в нормальное состояние.

так, собственно, вопрос - какое сейчас самое эффективное средство по обнаружению буткитов, кроме руктей? есть ли такие программки, которые работают корректно (ну хотя бы обнаружение) в заражённой системе? а то обычные антивири что-то пасуют пока перед буткитами, несмотря на громкие заявления

fdisk /mbr

не?

(1) ты думаешь, все до сих пор в ДОСе сидят?

ну блиин

ну вообще fixboot и fixmbr должно бы помочь... Если нет - то херачить загрузочный сектор с "живого" жиска в HEX при помощи утилит типа HEX-editor, он вроде умеет блоки копировать-вставлять...

(4) да это всё понятно, читай сабж. я про то, есть ли такой софт, который хорошо хотя бы детектирует наличие буткитов при запуске в заражённой системе.

например, avz очень хорош в случаях скрытых длл, вирусных драйверов и пр. но буткиты он чё-то не берёт. может, придумали уже чё на эту тему?

(5) Не сидеть под рутом

(0) нет таких. Лучший способ борьбы - своевременно использовать презервативы вида (6)

(6)(7) да это понятно. мопед не мой, знакомые попросили посмотреть глючащий комп

казалось бы - в чём проблема? эвристика там, поведенческий анализ. я уже молчу про базу "чистых" MBR, не так уж их и много, имхо

(9) так это делать надо и скучно. Свистелки и перделки к интерфейсу приделывать - на порядок веселей и пипл хавает всякую муйню типа нового вида колбасы прогрессбара с гораздо большим треском, чем такие нудные технические детали.
Попробуй продать антивирус с сабжем, но с унылой колбасой или вообще без нее :)

просче и вернее пересоздать таблицу разделов вручную и переписать загрузчик в бут с рабочей

не так давно
Кто в теме "SUE NDIS Protocol Driver" ?

(9) втыкание зараженного винта в чистый комп с последующим лечением? а самое уберсредство - восстановить винду из образа :)

Бойтесь пдф, они разносят буткиты !

а владелец случаем не любитель читать ресурс "Комсомольская правда" ?

(15) не интересовался
(12) так у тебя же  не буткит, а драйвер был

нашёл какую-то утилитку: MBRWizard 3.0 CLI (бесплатна)
буткиты, конечно, не детектирует, но хотя бы умеет сохранять/восстанавливать MBR, VBR. также заявлена реконструкция MBR для xp, win7 (но этой опцией я бы пользоваться не рискнул)

хотя бы можно, не отходя от кассы, слить секторы в файл, и глянуть, насколько они отличаются от стандартных. правда, вирус ведь может и перехватить чтение диска, и подставить другие данные

во, нашёл чё-то по теме: Universal Virus Sniffer
будем посмотреть

(16) ветку перечти

(17)(18) все эти приблуды хороши когда раздел один или хотя бы все основные

Universal Virus Sniffer (uVS)
http://dsrt.dyndns.org/uvs.htm

то, что доктор прописал

идёт проверка соответствия MBR и VBR на соответствие имеющимся в списке стандартных по хэшу.

ещё проверяет какой-то IPL. кто в курсах, что за зверь? в вики говорится про какой-то устаревший загрузчик для мэнфреймов. однако они наличествуют на разделах с виндой, значит, это не то

(20) uVS проверяет диски с любым кол-вом разделов

(19) Exploit:Win32/Pdfjsc.YF    это дыра в pdf. а про буткит ты там ничего не говорил :)

(23) Кто в теме "SUE NDIS Protocol Driver" ?

(21) а как оно будет разбираться когда таблицы разделов нет, а секторов с признаками нтфсбутсектора масса ?

(24) типа, буткит перенёс PT куда-то, и считывал её, а когда его выдрали, PT оказалась в *опе?

(24) как восстановил  PT?

В любом случае гарантированно эта хрень сработает только с лайв сиди. Привыкли просто трояны с голожпыми картинками вирусами обзывать, хотя к ним они никакого отношения не имеют. А нормальная вирусня шифроваться умеет. Не панацея конечно, но вероятность заражения сильно уменьшит линуксовый загрузчик. Потому как вирусня ожидает увидеть виндовый, а этих просто в лицо не знает.

(27) "Потому как вирусня ожидает увидеть виндовый, а этих просто в лицо не знает."  рассчитанный на вынь буткит, может, и стушуется. а обычному бутовому вирусу или блокировщику по барабану - MBR - она и есть MBR

был (есть?) ещё интересный проект: Bootkit Remover (последняя отрытая версия в архивах инета: 1.0.0.3). но на оф.странице все ссылки на скачку нерабочие, и не все вынь-системы поддерживает.

(26) руками, зная что было два раздела и не вин7

(27) бред какойто

(30) как начальные сектора разделов определил? "на глазок" выбрал по сигнатурам бут-секторов?

(32) да, на глазок
инструмент - dskprob из сапарттулуз

что бы не думать - скопировал мбр с первого попавшегося, после поправил табицу разделов и смещение первого

конечно вопрос в сабже очень даже резонный

ну так чё, просветит кто-нибудь по поводу IPL?

(33) а не пробовал wiki:TestDisk ?