восстановление удаленный информация

Поиск восстановление удаленный информация удаление вирусов вручную - LiteNet - масса информации о компьютерах восстановление удаленный информация околокомпьютерном мире! Будь IT-продвинутым!!! Главное менюГлавная Новости Форум Microsoft Windows Семейство Unix Software (ПО) Hardware (Железо) Мобилка Network (Сети) Кодинг Хакинг Игротека Разное Юмор на LiteNet.ru Download Флэш!!! Электронные книги Обратная связь Чат Поиск по сайту Карта сайта MP3 Коллекция!!! Как качать музыку Новое на сайтеоо да Hold 'Em-по... [24.04.08]Долбаные маньяки! ... [24.04.08]с с ис мис... [24.04.08]блин, не могу ключ... [24.04.08]А я сам icq тырю, ... [24.04.08]:shock:Я в шоке!... [23.04.08]Ну восстановление удаленный информация чем нас хотел... [23.04.08]:D :sleep: :sle... [23.04.08]Вышел Service Pack 3 для Windows XP [22.04.08]люди у меня угнали... [22.04.08]:o :wink: :) 8... [21.04.08]Microsoft будет сдавать Office в аренду [21.04.08]возьму на заметку(... [21.04.08]Чем грозит модульный Windows 7? [20.04.08]:( восстановление удаленный информация у меня такая... [19.04.08]Прога для генериро... [17.04.08]Уменя угнали Аську... [17.04.08]БЛАГОДАРЮ. ДОСТУПН... [17.04.08]:roll: ппц я вот ... [17.04.08]СВЕРШИЛОСЬ! Windows Vista Service Pack 1 Final RUS доступен для загрузки! [15.04.08]300 доменов Microsoft в Рунете [15.04.08]Microsoft заявляет, что UAC был создан с целью раздражать пользователей [15.04.08]Компьютеры с несколькими ОС сталкиваются с проблемами при установке Vista SP1 [15.04.08]Родители предпочли насилие в играх сексу [15.04.08]Свыше 100 тысяч человек попросили Microsoft сохранить Windows XP [15.04.08]Это значит я не мо... [13.04.08]История повторяетс... [12.04.08]Да скорость здесь ... [12.04.08]Выпущена финальная версия Windows Vista SP1 с русским интерфейсом [10.04.08]:D :) :lol: 8)... [08.04.08]Новая Windows появится в следующем году [07.04.08]Microsoft подарила Windows XP Home еще два года жизни [06.04.08]NVIDIA ответственна за 30% сбоев Windows Vista [01.04.08]Самой защищенной от хакеров ОС оказалась Ubuntu Linux [01.04.08]Apple снизит цены на ноутбуки в России [01.04.08]В Grand Theft Auto IV можно будет покупать настоящую музыку [01.04.08]Интернет-зависимость – это болезнь [25.03.08]Обнаружен способ подбора активационного ключа для Windows Vista [25.03.08]QiP Infium RC1 [25.03.08]Новой Windows предсказали сборно-разборное будущее [24.03.08] Доска объявлений:Уважаемые посетители. Проект LiteNet объявляет о пополнении команды! Все справки в ICQ # 274501. Стучите, не стесняйтесь. Внесите свой вклад в развитие Рунета!!! Последняя пятерка новостейВышел Service Pack 3 для Windows XP Microsoft будет сдавать Office в аренду СВЕРШИЛОСЬ! Windows Vista Service Pack 1 Final RUS доступен для загрузки! 300 доменов Microsoft в Рунете Microsoft заявляет, что UAC был создан с целью раздражать пользователей Поиск восстановление удаленный информация удаление вирусов вручную 28.03.2006Источник: www.virusinfo.infoПока что я не знаю никого, кто бы прямо или косвенно не пострадал от действий компьютерных вирусов. Антивирусные компании много хотят за свои продукты, которые так восстановление удаленный информация не обеспечивают надлежащей защиты. Спрашивается, зачем вообще тогда покупать антивирусное ПО? Все что создано человеком может быть уничтожено, это относится как к антивирусам, так восстановление удаленный информация к вирусам. Человека обмануть намного сложнее, чем программу. Поэтому эта статья посвящена описанию методики обнаружения восстановление удаленный информация деактивации вирусного программного обеспечения без антивирусного продукта. Запомните есть только одна вещь, ценность которую невозможно обойти/сломать/обмануть - это Знание, собственное понимание процесса.Сегодня я расскажу на реальных примерах как обнаружить восстановление удаленный информация поймать у себя на компьютере Интернет-червей восстановление удаленный информация шпионское ПО. Конечно есть еще много видов, но я взял самые распространенные восстановление удаленный информация решил написать про то, что было у меня на практике, дабы не сказать чего лишнего. Если повезет в поиске расскажу про макро-вирусы, бэкдоры восстановление удаленный информация руткиты. Итак перед тем как приступись, отмечу, в данной статье рассматриваю только операционную систему семейства NT, подключенную к интернету. У меня самого стоит Win2000 SP4, вирусы ловлю на WinXP PE. Итак перейдем к беглому, восстановление удаленный информация затем восстановление удаленный информация детальному анализу системы на предмет червей восстановление удаленный информация шпионов. Беглым осмотром мы просто обнаружаем наличие программы восстановление удаленный информация локализуем ее, детальный анализ уже идет на уровне файла восстановление удаленный информация процессов. Там я расскажу о прекрасной программе PETools, впрочем всему свое время. Анализ системыЛогично, что для того чтобы обнаружить восстановление удаленный информация обезвредить вредоносную программу необходимо существование таковой программы. Профилактика остается профилактикой, о ней поговорим позже, однако надо первым делом определить есть ли на компьютере вообще вирусы. Для каждого типа вредоносных программ соответственно есть свои симптомы, которые иногда видны невооруженным глазом, иногда незаметны вовсе. Давайте посмотрим, какие вообще бывают симптомы заражения. Поскольку мы ведем речь о компьютере, подключенном к глобальной сети, то первым симптомом является чрезмерно быстрый расход, как правило, исходящего трафика, это обуславливается тем, что очень многие интернет-черви выполняют функции DDoS-машин или просто ботов. Как известно , при DDoS атаке величина исходящего трафика равна максимальной величине трафика за единицу времени. Конечно, на гигабитном канале это может быть восстановление удаленный информация не так заметно если проводится DdoS атака шириной с диалап соединение, но как правило бросается в глаза заторможенность системы при открытии интернет ресурсов (Еще хотелось бы отметить, что речь пойдет о вирусах, которые хоть как то скрывают себя системе, ведь не надо объяснять ничего если у вас в папке Автозагрузка лежит файл kfgsklgf.exe который ловится фаерволлом восстановление удаленный информация т.д.). следующее по списку, это невозможность зайти на многие сайты антивирусных компаний, сбои в работе платных программ типа CRC-error, это уже обусловлено тем, что достаточно многие коммерческие протекторы поддерживают функцию проверки четности или же целости исполняемого файла (и не только протекторы, но восстановление удаленный информация сами разработчики защит), что сделано для защиты программы от взлома. Не будем говорить об эффективности данного метода против крякеров восстановление удаленный информация реверсеров, однако сигнализацией к вирусному заражению это может сработать идеально. Плата начинающих вирмейкеров за не убиваемые процессы, то что при выключении или перезагрузке компьютера идет длительное завершение какого нибудь-процесса, или же вообще компьютер зависает при завершении работы. Думаю про процессы говорить не надо, восстановление удаленный информация так же про папку автозагрузка, если там есть что-то непонятное или новое, то, возможно, это вирус, однако про это попозже. Частая перезагрузка компьютера, вылет из интеренета, завершение антивирусных программ, недоступность сервера обновления системы microsoft, недоступность сайтов антивирусных компаний, ошибки при обновлении антивируса, ошибки вызванные изменением структуры платных программ, сообщение windows, что исполняемые файлы повреждены, появление неизвестных файлов в корневом каталоге, это лишь краткий перечень симптомов зараженной машины. Помимо прямых вредоносных программ существует так называемое шпионской программное обеспечение, это всевозможные кейлоггеры, дамперы электронных ключей, нежелательные "помощники" к браузеру. Честно говоря, по методу обнаружения их можно разделить на два противоположных лагеря. Допустим кейлоггер, присоединенный динамической библиотекой к оболочке операционной системы обнаружить на лету крайне сложно, восстановление удаленный информация наоборот, невесть откуда взявшийся помощник (плагин, строка поиска восстановление удаленный информация т.д.) к internet Explorer'у (как правило) бросается в глаза сразу же. Итак, я думаю, настало время оставить эту пессимистическую ноту восстановление удаленный информация перейти к реалистичной практике обнаружения восстановление удаленный информация деактивации вредоносного программного обеспечения. Обнаружение вирусов на летуПервым делом мы научимся обнаруживать восстановление удаленный информация уничтожать интернет-черви. Про почтовые черви я рассказывать не буду, алгоритм он один для всех, однако метод распространения почтовых червей настолько банален, что если вы умудрились запустить файл из аттача, то эта статья вам не поможет все равно. Для наглядности приведу пример из жизни, как обнаружил недектируемый ни одним антивирусом (до сих пор) IRC-bot, на уязвимой машине. Принцип распространения таких червей довольно прост, через найденную уязвимость в операционной системе. Если подумать головой то можно понять, что основным способом забросить себя на уязвимую машину является вызов ftp-сервера на этой машине. По статистике уязвимостей это печально известный tftp.exe (который, кстати, я не разу не использовал восстановление удаленный информация думаю, что восстановление удаленный информация создан он был только для вирусописателей). Первый симптом таких червей это исходящий трафик восстановление удаленный информация не только из-за DDoS атак, просто вирус, попадая на машину, начинает поиск другой уязвимой машины в сети, то есть попросту сканирует диапазоны IP-адресов. Далее все очень просто, первым делом смотрим логи в журнале событий ОС, что находится по адресу Панель управления->Администрирование->Журнал событий. Нас интересуют уведомления о запущенных службах восстановление удаленный информация главное уведомления об ошибках. Уже как два года черви лезут через ошибку в DCOM сервере, поэтому любая ошибка, связанная с этим сервером уже есть повод полагать о наличие вируса в системе. Чтобы точно убедится в наличии последнего, в отчете об ошибке надо посмотреть имя восстановление удаленный информация права пользователя допустившего ошибку. Если на этом месте стоит "пользователь неопределен" или что-то подобное то радуйтесь, вы заражены! восстановление удаленный информация вам придется читать дальше. Я именно так восстановление удаленный информация обнаружил своего первого вируса на специальной сборочной машине (просто компьютер подключенный к сети с win2000, безо всяких пакетов обновление, экранов восстановление удаленный информация т.д. специально для сбора таких программ =)). Если действовать по логике, восстановление удаленный информация не по инстинкту, то первым делом вы должны закрыть дыру в системе для последующих проникновений, восстановление удаленный информация потом уже локализовывать вирусы. Как я уже говорил, такие вирусы обычно лезут через tftp.exe, поэтому (если он вам действительно не нужен! если никогда его не видели, значит, не нужен) просто удаляем его из системы. Для этого сначала удаляем его из архива %WINDIR%\Driver Cache\driver.cab затем из папок обновления ОС, если таковые имеются, после этого из %WINDIR%\system32\dllcache\ восстановление удаленный информация уже потом просто из %WINDIR%\system32\ Возможно, ОС скажет, что файлы повреждены восстановление удаленный информация попросит диск с дистрибутивом, не соглашайтесь! А не то он восстановится восстановление удаленный информация опять будет открыта дыра. Когда вы проделаете этот шаг можно приступать к локализации вируса. Посмотреть какие приложения используют сетевое подключение, помогает маленькая удобная программа TCPView, однако некоторые черви имеют хороший алгоритм шифрации или хуже того, прикрепляются к процессам либо маскируются под процессы. Самый распространенный процесс для маскировки - это, несомненно, служба svhost.exe, в диспетчере задач таких процессов несколько, восстановление удаленный информация что самое поразительное, можно создать программу с таким же именем восстановление удаленный информация тогда отличить, кто есть кто практически невозможно. Но шанс есть восстановление удаленный информация зависит от внимательности. Первым делом посмотрите в диспетчере задач (а лучше в программе Process Explorer) разработчика программ. У svhost.exe это как не странно M$, конечно можно добавить подложную информацию восстановление удаленный информация в код вируса, однако тут есть пара нюансов. Первый восстановление удаленный информация наверное главный состоит в том, что хорошо написанный вирус не содержит не таблицы импорта, не секций данных. Поэтому ресурсов у такого файла нет, а, следовательно, записать в ресурсы создателя нельзя. Либо можно создать ресурс, однако тогда появится лишний объем файла, что крайне нежелательно вирмейкеру. Еще надо сказать про svhost.exe, это набор системных служб восстановление удаленный информация каждая служба - это запущенный файл с определенными параметрами. Соответственно в Панели управления -> Администрирование -> Службы, содержатся все загружаемые службы svhost.exe, советую подсчитать количество работающих служб восстановление удаленный информация процессов svhost.exe, если не сходиться , то уже все понятно (только не забудьте сравнивать количество РАБОТАЮЩИХ служб). Подробнее в приложении А. Надо так же отметить, что возможно восстановление удаленный информация среди служб есть вирус, на это могу сказать одно, список служб есть восстановление удаленный информация на MSDN восстановление удаленный информация еще много где в сети, так что просто взять восстановление удаленный информация сравнить проблемы не составит. После таких вот действий вы сможете получить имя файла, который возможно является вирусом. О том, как определять непосредственно вирус или нет, я расскажу чуть дальше, восстановление удаленный информация сейчас оторвемся от рассуждений восстановление удаленный информация посмотрим еще несколько моментов. Как вы, наверное, уже знаете, для нормальной работы ОС необходимо всего 5 файлов в корневом каталоге, поэтому все остальные файлы вы можете смело удалять, если конечно вы не умудряетесь ставить программы в корневой каталог. Кстати файлы для нормальной работы, вот они: ntldr boot.ini pagefile.sys Bootfont.bin NTDETECT.COM Больше ничего быть не должно. Если есть восстановление удаленный информация вы не знаете, откуда оно там появилось то переходите к главе [Детальный анализ].Приаттачивание к процессам мы так же рассмотрим в главе [детальный анализ], восстановление удаленный информация сейчас поговорим про автозапуск. Естественно вирус должен как-то загружаться при старте системы, как правило. Соответственно смотрим следующие ключи реестра на предмет подозрительных программ. (А если вы уже нашли вирус, то ищите имя файла везде в реестре восстановление удаленный информация удаляйте): HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\SharedTaskSchedulerHKLM\ SOFTWARE\Microsoft\Windows\CurrentVersion\ShellSer viceObjectDelayLoad HKCU\Software\Microsoft\Windows\CurrentVersion\Run Это все было сказано про детектирование простых червей. Конечно, вычислить хороший скрытый вирус сложно. Обнаружение этого червя восстановление удаленный информация его деативация заняли у меня около 10 минут времени, конечно, я знал, где искать, это упростило задачу. Однако допустим на обнаружение хорошего бэкдора, кейлоггера, стелс-вируса, или же просто вируса, в котором используется перехват вызовов API-функций файловой системы (тогда вирус получается действительно невидимым), потокового вируса, в общем, есть еще ряд нюансов, однако таких творений действительно мало, мало настоящих вирмейкеров в наши дни. Огорчает... Постараюсь рассказать о них в следующих статьях. теперь перейдем к шпионским программам, или, как их называют буржуи SpyWare. Объяснять буду опять же на примерах шпионов, которых я ловил сам лично, чтобы мои слова не казались пустой фантазией. Начну я свой рассказ с самых распространенных шпионов. В одном небезызвестном журнале один хороший программист правильно назвал их блохами ослика. Простейший шпион очень часто скрывается за невинным на вид тулбаром. Знайте, что если у вас, вдруг, откуда не возьмись, появилась новая кнопка или же строка поиска в браузере то считайте, что за вами следят. Уж очень отчетливо видно, если у вас вдруг изменилась стартовая страница браузера, тут уж восстановление удаленный информация говорить нечего. Конечно, прошу простить меня за некоторую некорректность в терминах. Вирусы, меняющие стартовые страницы в браузере вовсе не обязательно будут шпионами, однако, как правило, это так восстановление удаленный информация поэтому позвольте здесь в этой статье отнести их к шпионам. рассмотрим пример из жизни, когда я пришел на работу восстановление удаленный информация увидел на одном компьютере странного вида строку поиска в браузере, на мой вопрос откуда она взялась я так ничего восстановление удаленный информация не получил. пришлось разбираться самому. Как вообще может пролезть шпион в систему? Есть несколько методов, как вы уже заметили речь идет про Internet Explorer, дело в том, что самый распространенный метод проникновения вируса в систему через браузер - это именно посредством использование технологии ActiveX, саму технологию уже достаточно описали восстановление удаленный информация зацикливаться я на ее рассмотрении не буду. Так же заменить стартовую страницу, к примеру, можно простым Java-скриптом, расположенным на странице, тем же javascript можно даже закачивать файлы восстановление удаленный информация выполнять их на уязвимой системе. Банальный запуск программы якобы для просмотра картинок с платных сайтов известного направления в 98% случаев содержат вредоносное ПО. Для того чтобы знать, где искать скажу, что существует три наиболее распространенных способа, как шпионы располагаются восстановление удаленный информация работают на машине жертвы. Первый - это реестр восстановление удаленный информация ничего более, вирус может сидеть в автозагрузке, восстановление удаленный информация может восстановление удаленный информация вообще не присутствовать на компьютере, но цель у него одна - это заменить через реестр стартовую страницу браузера. В случае если вирус или же скрипт всего лишь однажды заменил стартовую страницу, вопросов нет, всего лишь надо очистить этот ключ в реесре, если же после очищения, через некоторое время ключ снова появляется, то вирус запущен восстановление удаленный информация постоянно производит обращение к реестру. Если вы имеете опыт работы с отладчиками типа SoftIce то можете поставить точку останова на доступ к реестру (bpx RegSetValueA, bpx RegSetValueExA) восстановление удаленный информация проследить, какая программа, кроме стандартных, производит обращении к реестру. Дальше по логике уже. Второй - это именно перехватчики системных событий, так назваемые хуки. Как правило, хуки используются больше в кейлоггерах, восстановление удаленный информация представляют собой библиотеку, которая отслеживает восстановление удаленный информация по возможности изменяет системные сообщения. Обычно есть уже сама программа восстановление удаленный информация прикрепленная к ней библиотека, поэтому исследуя главный модуль программы вы ничего интересного не получите. Подробнее об этом восстановление удаленный информация следующем способе смотрите ниже в главе детальный анализ. И, наконец, третий способ это прикрепление своей библиотеки к стандартным программам ОС, таким как explorer.exe восстановление удаленный информация iexplorer.exe, проще говоря написание плагинов к этим программам. Тут опять же есть пара способов, это прикрепление с помощью BHO (об самом способе прикрепления писал Gorlum, пользуясь случаем привет ему восстановление удаленный информация почет) восстановление удаленный информация просто внедрение своей библиотеки в исполняемый файл. разница, какой понимаю ее я в том что Browser Helper Object описано восстановление удаленный информация предложено самой корпорацией M$, восстановление удаленный информация используется как плагин к браузеру, восстановление удаленный информация внедрение библиотек - это уже не столько плагин, сколько как самодостаточная программа, больше напоминающая файловый вирус прошлых лет. Предоставлю вам для общего обучения ключи реестра, куда могут прописаться недоброкачественные товары, в виде тулбаров, кнопок восстановление удаленный информация стартовых страниц браузера. Стартовая страница HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main параметр StartPage. HKEY_USERS\S-1-5-21-....\Software\Microsoft\Internet Explorer\Main параметр StartPage (S-1-5-21-.... этот ключ может быть разный на разных машинах) Регистрирование объектов типа кнопок, тулбаров восстановление удаленный информация т.д. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\ Вот тут регистрируется все "помошники" восстановление удаленный информация если у вас таковых нет то ключ должен быть пуст, если не пуст, то удаляйте. Итак, если у вас не все в порядке с этими ключами, восстановление удаленный информация вы хотите разобраться дальше, то смотрим дальше. Ищем вирусы получшеПоскольку к моменту написания данной статью я хотел сделать ее понятной всем, то эта глава может восстановление удаленный информация показаться некоторым людям непонятной, но я старался упростить все как мог. Я не буду объяснять вас архитектуру PE-файла, хотя мы будем к ней обращаться. Подробнее есть множество мануалов в сети, восстановление удаленный информация про PE-файлы хорошо было написано Iczelion'ом. Может быть, когда ни будь, да опишу тоже. Итак, приступая к детальному анализу нам потребуются некоторые инструменты, я использую в этом случае восстановление удаленный информация советую использовать PETools by NEOx восстановление удаленный информация PEiD (Можно вообще обойтись одним Soft Ice'ом, но лучше побольше инструментов да попроще, для реверсеров отмечу, что сейчас пойдет речь о просмотре таблицы импорта восстановление удаленный информация упакованности файла, поэтому пропустите мимо ушей то извращение, которое вы сейчас увдите) Значит, как я уже говорил, был такой случай, что в браузере появилась непонятно откуда строка поиска восстановление удаленный информация стартовая страница. Проверив реестр, я не нашел изменения статовой страницы, восстановление удаленный информация так же не нашел регистрации плагинов в браузере. При детальном осмотре оказалась, что данная строка поиска (тулбар проще) появляется во всех окнах ОС. Это уже немного меняло суть дела. Я предположил, что занимаются этим два независимых друг от друга шпиона восстановление удаленный информация именно методом внедрения динамической библиотеки. При этом надо различать, что если тулбар был бы только в браузере, значит, внедрился он в процесс iexplorer.exe, но у нас был он везде, следовательно, проверять надо было в explorer.exe. Я начал проерять браузер. Для этого я запустил PETools восстановление удаленный информация просто посмотрел, какие библиотеки использует браузер. Мне подвернулась удача в лице нерадивого вирмейкера, на фоне системных библиотек из %SYSTEMROOT% красовалась некая smt.dll с путем, уходящем, куда то в TEMP. Перезагрузка в безопасном режиме восстановление удаленный информация удаление этой библиотеки, восстановление удаленный информация все в норме, шпион убит. Осталось только опять вызвать PETools, кликнуть правой кнопкой мыши на нашем процессе восстановление удаленный информация произвести пересборку файла. Это самый простой случай в моей практике. Перейдем к следующему, находим восстановление удаленный информация убиваем тулбар. Тем же образом я посмотрел процесс explorer.exe восстановление удаленный информация ничего бросающегося в глаза, не нашел. Из этого следует два варианта, либо я не знаю наизусть всех библиотек, восстановление удаленный информация тулбар затерялся среди них, либо мне не дано по знаниям его обнаружить. К счастью вышло первое. Но как же тогда отличить настоящую библиотеку от подложной. я скажу, восстановление удаленный информация вы уже поймете сами. Как известно вирмейкеры гонятся за минимализацией восстановление удаленный информация зашифрованостью кода. То есть не один тулбар как правило не будет лежать в открытом виде, во-первых код можно уменьшить, восстановление удаленный информация значит нужно, восстановление удаленный информация во-вторых если кто нибудь (чаще даже не антивирус, восстановление удаленный информация конкурент) обнаружит данную библиотеку то ему незашифрованный код легче понять. Поэтому берем PEiD восстановление удаленный информация производим массовое сканирование импортируемых библиотек. Библиотеки от microsoft естественно написаны на visual C++ восстановление удаленный информация ничем не упакованы, поэтому если мы видим (а я как раз увидел подозрительную seUpd.dll упакованную UPX) упакованную или зашифрованную библиотеку то 99% это, то, что мы искали. Проверит она это или нет очень просто, переместите в безопасном режиме ее восстановление удаленный информация посмотрите результат. Конечно, можно было бы распаковать, посмотреть дизасм листинг восстановление удаленный информация подумать, что же она делает, но не бдем в то углубляться. Если вы не нашли все-таки упакованную библиотеку, то полезно редактором ресурсов типа Restorator посмотреть версии файла, как я уже говорил у всех библиотек от M$ там так восстановление удаленный информация написано. Вот на таких делах прокалываются вирмейкеры. Стыдно должно быть им вообще писать такие вирусы. На последок хочу еще заметить, что библиотека *.dll не обязательно может внедрятся в процессы. В ОС Windows есть такое полезное приложение, как rundll32.exe, восстановление удаленный информация я могу запускать с помощью этого процесса любую библиотеку. И при этом не обязательно в автозагрузке писать rundll32.exe myspy.dll, достаточно прописать это внутри зараженного файла. Тогда вы будете видеть только свои (зараженные файлы, которые маловероятно будут детектироваться антивирусом) восстановление удаленный информация процесс rundll32.exe, восстановление удаленный информация больше ничего. Как быть в таких случаях? Здесь уже придется углубляться в структуру файла восстановление удаленный информация ОС, поэтому оставим это за рамками данной статьи. Насчет упакованности/зашифрованности вируса относится не только к библиотекам, но восстановление удаленный информация ко всем системным файлам. На этой приятной ноте я хочу закончить главную часть статьи, написано было много, однако это только 1% всех способов обнаружения. Мой способ пускай восстановление удаленный информация не лучший, но я им пользуюсь сам восстановление удаленный информация довольно продуктивно (хорошо только не на своем компьютере). По возможности если получится, напишу продолжение про макро-вирусы, кейлоггеры восстановление удаленный информация бэкдоры, словом про то, что я уже ловил. приложение А Список системных служб svhost.exe (WinXP) DHCP-клиентsvchost.exe -k netsvcs DNS-клиент svchost.exe -k NetworkService Автоматическое обновление svchost.exe -k netsvcs Вторичный вход в систему svchost.exe -k netsvcs Диспетчер логических дисков svchost.exe -k netsvcs Запуск серверных процессов DCOM svchost -k DcomLaunch Инструментарий управления Windows svchost.exe -k netsvcs Клиент отслеживания изменившихся связей svchost.exe -k netsvcs Модуль поддержки NetBIOS через TCP/IP svchost.exe -k LocalService Обозреватель компьютеров svchost.exe -k netsvcs Определение оборудования оболочки svchost.exe -k netsvcs Рабочая станция svchost.exe -k netsvcs Сервер svchost.exe -k netsvcs Служба восстановления системы svchost.exe -k netsvcs Служба времени Windows svchost.exe -k netsvcs Служба регистрации ошибок svchost.exe -k netsvcs Службы криптографии svchost.exe -k netsvcs Справка восстановление удаленный информация поддержка svchost.exe -k netsvcs Темы svchost.exe -k netsvcs Уведомление о системных событиях svchost.exe -k netsvcs Удаленный вызов процедур (RPC) svchost -k rpcss Центр обеспечения безопасности svchost.exe -k netsvcs Диспетчер авто-подключений удаленного доступа svchost.exe -k netsvcs Протокол HTTP SSLsvchost.exe -k HTTPFilter Расширения драйверов WMI svchost.exe -k netsvcs Служба загрузки изображений (WIA)svchost.exe -k imgsvc Служба обеспечения сетиsvchost.exe -k netsvcs Служба серийных номеров переносных устройств мультимедиа svchost.exe -k netsvcs Совместимость быстрого переключения пользователей svchost.exe -k netsvcs Съемные ЗУsvchost.exe -k netsvcs Узел универсальных PnP-устройствsvchost.exe -k LocalService Управление приложениямиsvchost.exe -k netsvcs Фоновая интеллектуальная служба передачиsvchost.exe -k netsvcs Диспетчер подключений удаленного доступаsvchost.exe -k netsvcs Сетевые подключенияsvchost.exe -k netsvcs Система событий COM+svchost.exe -k netsvcs Служба обнаружения SSDP svchost.exe -k LocalService Служба сетевого расположения (NLA)svchost.exe -k netsvcs Службы терминаловsvchost -k DComLaunch Телефонияsvchost.exe -k netsvcs Windows Audiosvchost.exe -k netsvcs Доступ к HID-устройствамsvchost.exe -k netsvcs Маршрутизация восстановление удаленный информация удаленный доступsvchost.exe -k netsvcs Оповещатель svchost.exe -k LocalService Планировщик заданийsvchost.exe -k netsvcs Служба сообщений svchost.exe -k netsvcs ------ Итого шесть процессов при работе всех служб ------- Оставленные комментарии:Всего 0 комментариевВведите Ваше имя: Не используйте HTML восстановление удаленный информация ВВ-коды - не работает. Пользуйтесь смайликами :) В этом поле Вы можете ввести тект комментария: До конца всего осталось символов Код на БОТливость: Введите код: ОпросЗависимы ли Вы от Интернета?ДаНетИногдаЧто такое Интернет?РезультатыКто он-лайнСейчас на сайте 6 гостей онлайн Поиск по сайтуПопулярноеКак сделать загрузочный диск Windows XP Как создать загрузочную дискету в Windows XP/2K/NT Полная информация о BIOS Обзор встроенных игр Windows Vista DVD-RW vs DVD+RW Взлом cgi скриптов Миллион раз "Thank you" Экстремальный разгон DDR памяти FAQ по разгону процессоров восстановление удаленный информация памяти Угнать ICQ UIN Тонкая настройка брандмауэра Windows Firewall в WinXP SP2 Хитрые настройки BIOS Как корректно удалить Windows XP/2k Взлом сайтов pwl: расшифровка восстановление удаленный информация подбор пароля Ускоряем NTFS Прикольные надписи в маршрутках. Boot.ini - обзор возможностей Где разместить свой сайт (обзор зарубежных серверов) Этикет ICQ Surgeon XP Идем домой! :) Интегрируем второй сервис пак в дистрибутив Windows XP Популярное введение в пиринговые сети: eMule Певчая птичка Php include уязвимость: от теории к практике BSD (Blue Screen Of Death) FAQ по разгону видеокарт Сумасшедший дом Windows XP: восстановление забытого пароля ACDSee 8 сборка 39. Windows Movie Maker 2.6 Microsoft Office System 2007 Beta 2 Mandriva Linux 2006 Будущее ICQ Переустановка Windows DNS: Частые вопросы восстановление удаленный информация ответы на них Восстановление загрузчика Linux Новые скриншоты из Unreal Tournament 2007 Half-Life 2: Episode 2 уже в разработке! Теория защиты программ от взлома 10 способов, как заполучить любимый номер Аси. Настройка свойств протокола TCP/IP Восстановление удаленной информации - 2 Способы настройки восстановление удаленный информация восстановления Windows 95/98/2000/ME/XP/2003 Server Разгон процессоров Celeron Dark Basic: что нам дает этот язык? Места для загрузки трояна Принц Персии Mitsubishi выпускает первый в мире лазерный телевизор Copyright © 2006-2008 LiteNet.Ru разделы ваза 2115 золотник 264-27-00 акриловый пряжа геомаш-центр организация похорон восстановление удаленный информация