Дмитрий, добро пожаловать!
Добавлено через 1 час 43 минуты 58 секунд
Первое "но" скорость сканирования системы.... ну очень долго.
И второе... можно добавить кнопку при помощи которой можно получить дамп загрузчика, а не возможность просто посмотреть в окошечке?
Специфика наших услуг приводит к небольшой профессиональной деформации. Я в первую очередь думаю о работе с удаленной системой.Эта операция должна занять 10-15 секунд, не более. Поэтому не совсем понял, какую кнопку вы ещё хотите.
У меня сканирование заняло 19 минутСобрать лог в среднем занимает около 10 минут.
Собственно именно для облегчения удалённой техподдержки и было принято решение включать дамп основного загрузчика непосредственно в файл отчёта.Специфика наших услуг приводит к небольшой профессиональной деформации. Я в первую очередь думаю о работе с удаленной системой.
*Если в логе транслируется "дамп", то почему его сразу нельзя скачать?*
Раз ничего не сказано в чейнджлоге, то значит, что пока ничего..Dmitry Varshavsky, что с скриптовым языком?
Вот поэтому и спросилРаз ничего не сказано в чейнджлоге, то значит, что пока ничего
Пока нет.Dmitry Varshavsky, неужели нет поддержки х64 систем?
Довольно интересный вопроссколько Вы знаете способов загрузки неподписанных драйверов на х64?
Наиболее интересным является случай, если загрузчик был запущен на x64 системе. В этом случае на компьютер жертвы загружается инсталлятор бэкдора, который специально скомпилирован для работы на 64-разрядных системах. Этот бэкдор не содержит руткит, а представляет собой usermode-зловред, который повторяет работу руткита под x32 с той лишь разницей, что его компоненты представляют собой файлы и хранятся в "$windir\assembly", имея сходную структуру каталогов. Автозапуск на x64 обеспечивается ключом реестра “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems”. Само тело бэкдора расположено в системной папке system32 с именем consrv.dll. Все модули, что бэкдор выкачивает после своей инсталляции, также предназначены для 64-битной платформы. Установка x64 MAX++ достигается путем внедрения в services.exe с использованием функции ntdll!NtQueueApcThread. Трудность лечения зараженной x64 системы связана с ключом автозапуска зловреда: если удалить файл, не исправив ключ реестра, то система уже не сможет загрузиться, а вместо этого будет выдавать BSOD на определённом этапе загрузки.
- в корне неверно. Этот метод используют Necurs и Banker. А упомянутый Вами TDL4 и не упомянутый Вами Cidox используют то, что они - буткиты, и загружаются раньше компонентов системы для проверки цифровых подписей.можно отключить контроль цифровых подписей, TDL и использует этот метод
Попробуйте запустить антируткит с ключом /nodmsa. C ноутбучными контроллерами ещё, к сожалению, остаются проблемы.Dmitry Varshavsky, поскольку сервер АМ ведёт себя неадекватно, переношу свои брюзжания сюда
Не отслеживал историю появления, но последняя версия вызывает жёсткое зависание системы на ноутбуке ASUS K611C сразу после запуска. Выбор выделенного рабочего стола или не выделенного не помогает - отображается логотип и привет, Дуся. Система - W7x32 Максимальная. Подолью масла в огонь - TDSS Killer, Xuetr, RkU запустились благополучно
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?