Имя: Пароль:
IT
Админ
Софт для борьбы с буткитами
,
0 andrewks
 
10.12.11
23:22
сёдня боролся с одним буткитом на компе с вынь хр. долго. эта зараза съела каспера, не давала запускаться практически никаким антивирям (каспер, дрвеб (включая) курит). avz последний запускался, но, даже с установленным драйвером, ничего не видел.

свежий курит, запущенный с лайв-сиди, тоже ничего не увидел.
пришлось применить старый дедовский способ, и сделать fixboot и fixmbr с консоли.

сначала попробовал fixboot - он сказал, что загрузочный сектор на разделе D (что странно), но при попытке переписать выдал ошибку. сделал fixmbr (успешно), потом опять попробовал fixboot - начал ругаться, что запись не найдена.
перегрузил консоль, опять сделал fixboot (на этот раз запись нашлась корректно на разделе C). после этого ещё пришлось делать восстановление системы с помощью avz (вирь много чего нахреновертил в системе), после этого система пришла в нормальное состояние.

так, собственно, вопрос - какое сейчас самое эффективное средство по обнаружению буткитов, кроме руктей? есть ли такие программки, которые работают корректно (ну хотя бы обнаружение) в заражённой системе? а то обычные антивири что-то пасуют пока перед буткитами, несмотря на громкие заявления
1 Grusswelle
 
10.12.11
23:23
fdisk /mbr

не?
2 andrewks
 
10.12.11
23:26
(1) ты думаешь, все до сих пор в ДОСе сидят?
3 Grusswelle
 
10.12.11
23:27
ну блиин
4 Grusswelle
 
10.12.11
23:29
ну вообще fixboot и fixmbr должно бы помочь... Если нет - то херачить загрузочный сектор с "живого" жиска в HEX при помощи утилит типа HEX-editor, он вроде умеет блоки копировать-вставлять...
5 andrewks
 
10.12.11
23:33
(4) да это всё понятно, читай сабж. я про то, есть ли такой софт, который хорошо хотя бы детектирует наличие буткитов при запуске в заражённой системе.

например, avz очень хорош в случаях скрытых длл, вирусных драйверов и пр. но буткиты он чё-то не берёт. может, придумали уже чё на эту тему?
6 tridog
 
10.12.11
23:40
(5) Не сидеть под рутом
7 Лефмихалыч
 
10.12.11
23:44
(0) нет таких. Лучший способ борьбы - своевременно использовать презервативы вида (6)
8 andrewks
 
10.12.11
23:45
(6)(7) да это понятно. мопед не мой, знакомые попросили посмотреть глючащий комп
9 andrewks
 
10.12.11
23:47
казалось бы - в чём проблема? эвристика там, поведенческий анализ. я уже молчу про базу "чистых" MBR, не так уж их и много, имхо
10 Лефмихалыч
 
10.12.11
23:52
(9) так это делать надо и скучно. Свистелки и перделки к интерфейсу приделывать - на порядок веселей и пипл хавает всякую муйню типа нового вида колбасы прогрессбара с гораздо большим треском, чем такие нудные технические детали.
Попробуй продать антивирус с сабжем, но с унылой колбасой или вообще без нее :)
11 Ковычки
 
11.12.11
00:58
просче и вернее пересоздать таблицу разделов вручную и переписать загрузчик в бут с рабочей
12 Ковычки
 
11.12.11
00:59
13 ildary
 
11.12.11
01:00
(9) втыкание зараженного винта в чистый комп с последующим лечением? а самое уберсредство - восстановить винду из образа :)
14 Ковычки
 
11.12.11
01:00
Бойтесь пдф, они разносят буткиты !
15 Ковычки
 
11.12.11
01:02
а владелец случаем не любитель читать ресурс "Комсомольская правда" ?
16 andrewks
 
11.12.11
10:22
(15) не интересовался
(12) так у тебя же  не буткит, а драйвер был
17 andrewks
 
11.12.11
10:34
нашёл какую-то утилитку: MBRWizard 3.0 CLI (бесплатна)
буткиты, конечно, не детектирует, но хотя бы умеет сохранять/восстанавливать MBR, VBR. также заявлена реконструкция MBR для xp, win7 (но этой опцией я бы пользоваться не рискнул)

хотя бы можно, не отходя от кассы, слить секторы в файл, и глянуть, насколько они отличаются от стандартных. правда, вирус ведь может и перехватить чтение диска, и подставить другие данные
18 andrewks
 
11.12.11
11:16
во, нашёл чё-то по теме: Universal Virus Sniffer
будем посмотреть
19 Ковычки
 
11.12.11
17:44
(16) ветку перечти
20 Ковычки
 
11.12.11
17:46
(17)(18) все эти приблуды хороши когда раздел один или хотя бы все основные
21 andrewks
 
11.12.11
20:03
Universal Virus Sniffer (uVS)
http://dsrt.dyndns.org/uvs.htm

то, что доктор прописал

идёт проверка соответствия MBR и VBR на соответствие имеющимся в списке стандартных по хэшу.

ещё проверяет какой-то IPL. кто в курсах, что за зверь? в вики говорится про какой-то устаревший загрузчик для мэнфреймов. однако они наличествуют на разделах с виндой, значит, это не то
22 andrewks
 
11.12.11
20:04
(20) uVS проверяет диски с любым кол-вом разделов
23 andrewks
 
11.12.11
20:05
(19) Exploit:Win32/Pdfjsc.YF    это дыра в pdf. а про буткит ты там ничего не говорил :)
24 Ковычки
 
11.12.11
20:08
(23) Кто в теме "SUE NDIS Protocol Driver" ?

(21) а как оно будет разбираться когда таблицы разделов нет, а секторов с признаками нтфсбутсектора масса ?
25 andrewks
 
11.12.11
20:11
(24) типа, буткит перенёс PT куда-то, и считывал её, а когда его выдрали, PT оказалась в *опе?
26 andrewks
 
11.12.11
20:12
(24) как восстановил  PT?
27 Дядя Васька
 
11.12.11
20:18
В любом случае гарантированно эта хрень сработает только с лайв сиди. Привыкли просто трояны с голожпыми картинками вирусами обзывать, хотя к ним они никакого отношения не имеют. А нормальная вирусня шифроваться умеет. Не панацея конечно, но вероятность заражения сильно уменьшит линуксовый загрузчик. Потому как вирусня ожидает увидеть виндовый, а этих просто в лицо не знает.
28 andrewks
 
11.12.11
20:22
(27) "Потому как вирусня ожидает увидеть виндовый, а этих просто в лицо не знает."  рассчитанный на вынь буткит, может, и стушуется. а обычному бутовому вирусу или блокировщику по барабану - MBR - она и есть MBR
29 andrewks
 
11.12.11
20:27
был (есть?) ещё интересный проект: Bootkit Remover (последняя отрытая версия в архивах инета: 1.0.0.3). но на оф.странице все ссылки на скачку нерабочие, и не все вынь-системы поддерживает.
30 Ковычки
 
11.12.11
20:45
(26) руками, зная что было два раздела и не вин7
31 Ковычки
 
11.12.11
20:46
(27) бред какойто
32 andrewks
 
11.12.11
20:47
(30) как начальные сектора разделов определил? "на глазок" выбрал по сигнатурам бут-секторов?
33 Ковычки
 
11.12.11
20:48
(32) да, на глазок
инструмент - dskprob из сапарттулуз
34 Ковычки
 
11.12.11
20:49
что бы не думать - скопировал мбр с первого попавшегося, после поправил табицу разделов и смещение первого
35 Ковычки
 
11.12.11
20:49
конечно вопрос в сабже очень даже резонный
36 andrewks
 
13.12.11
23:17
ну так чё, просветит кто-нибудь по поводу IPL?
37 andrewks
 
13.12.11
23:21
(33) а не пробовал wiki:TestDisk ?
Есть два вида языков, одни постоянно ругают, а вторыми никто не пользуется.