-
Junior Member
- Вес репутации
- 55
sp??.sys - Подозрение на RootKit, Перехватчик KernelMode
Никто не сталкивался с файлом spvr.sys? AVZ 4.30 подозревает, что это руткит. Может, это один из файлов Comodo Personal Firewall? Однако же поиск файлов с таким именем (spvr.sys) по всему компьютеру Тотал Командером ничего не дал.
Может ли это действительно быть руткит?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
hogward, sp??.sys это драйвер DAEMON Tools.
-
-
Junior Member
- Вес репутации
- 55
Сообщение от
AndreyKa
hogward, sp??.sys это драйвер DAEMON Tools.
Daemon Tools - перехватчик KernelMode?
Если я не ошибаюсь, у него файл называется sptd.sys
-
hogward, да, Daemon Tools - перехватчик KernelMode.
Его файл sptd.sys, а смена имени драйвера это маскировка.
Последний раз редактировалось AndreyKa; 21.06.2009 в 12:19.
-
-
Сообщение от
AndreyKa
hogward, да, Daemon Tools - перехватчик KernelMode.
Его файл sptd.sys, а смена имени драйвера это маскировка.
Добавлю "чаще всего", т.к. встречалась маскировка троев под это имя файла.
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 55
Спасибо обоим за ответы. Однако, файл sptd.sys в виндовой папке нашелся, а тот подозрительный spvr.sys не нашелся нигде.
Небольшое лирическое отступление про файлы и их имена: тема имено об именах файлов, ибо, если я не ошибаюсь опознать мы их можем исключительно по именам, по крайней мере здесь, на форуме. Никакую иную сигнатуру файла я, вроде бы, сюда не приводил, да и не смог бы, т.к. сам файл не нашел. Так что обсуждаем-то мы файл, но опознаем его исключительно по имени.
-
Сообщение от
hogward
файл sptd.sys в виндовой папке нашелся, а тот подозрительный spvr.sys не нашелся нигде.
Его нет на диске, он только в памяти существует.
-
-
Junior Member
- Вес репутации
- 55
А как тогда его отловить/проверить/убить?
-
sptd.sys убить, а те сами разбегутся...
-
-
Junior Member
- Вес репутации
- 55
Сообщение от
Гриша
sptd.sys убить, а те сами разбегутся...
Дельный совет!
-
Junior Member
- Вес репутации
- 55
У меня не установлены указанные программы,но sp??.sys вылезает после каждого сканирования с одним и тем же результатом:
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=07B180)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 80552180
KiST = 80501044 (284)
Функция NtCreateKey (29) перехвачена (80618BF8->B9EA80E0), перехватчик spzf.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (80619438->B9EC6CA2), перехватчик spzf.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (806196A2->B9EC7030), перехватчик spzf.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (80619F8E->B9EA80C0), перехватчик spzf.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (8061A2B2->B9EC710, перехватчик spzf.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (80616CB2->B9EC6F8, перехватчик spzf.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (806172B8->B9EC719A), перехватчик spzf.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован"
Проверено функций: 284, перехвачено: 7, восстановлено: 7
!!! Внимание !!! Восстановлено 7 функций KiST в ходе работы антируткита
Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер
Как избавиться от этого ?
Последний раз редактировалось Alexey P.; 21.07.2009 в 01:06.
Причина: убрал ругань и цвет
-
У меня не установлены указанные программы,но sp??.sysвылезает после каждого сканирования
На нелегальной винде они идут в комплекте...
Как избавиться от этого дерьма?
В Помогите по правилам
-
-
Junior Member
- Вес репутации
- 55
В Помогите по правилам
Оно,конечно,так,однако с таким LOGом сразу всё видно без помощи.Однако,спасибо,ведь найти толковое описание AVZ,надо было знать где.
Ещё вопрос.AVZ нарыл вот это:
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Это тоже надо через Помогите по правилам ,либо это нечто иное.
Да,забыл,ещё вопрос:sptd.sys я у себя нашёл,но DTools у меня нет???
Источником sp?? был другой файл 701КБ.
Последний раз редактировалось ages; 17.07.2009 в 20:20.
-
В последней цитате ничего зловреного, всё штатное.
sp??.sys - это виртуальное порождение sptd.sys
-
-
Junior Member
- Вес репутации
- 55
Сообщение от
pig
Его нет на диске, он только в памяти существует.
Тогда откуда он загружается в память?Либо имеется ввиду,что это лишь информация о нём?Тогда.где она и зачем хранится?
Аналогично с WDICA,PDCOMP и другие PDxxxx.На всех форумах одно и то же,а ясности нет.У кого-то они NOT FOUND,а у кого-то в LOGe AVZ.
Где же найти ясную достоверную информацию о назначении этих файлов и столь непонятной форме их проявления.
Похоже вы знаете Windows XP не по форумам.Позвольте вопрос не в тему.Нужна ссылочка на толковый форум по архитектуре WXP.Много форумов с названием ПРОГРАММИСТ далеки от сути.Если точнее,нужно прояснить тему доступа к СОМ порту под WXP (физически это СОМ2 порт с надстройкой IRDA) и тему возможности разобраться в архитектуре звука в WXP вкупе с мутным Realtek?Спрашиваю потому,что кроме трёпа и догадок ничего не видел,а если оставляю вопрос,он так и висит без ответа...
Добавлено через 10 часов 0 минут
Не Интернет,а полный отстой.Можно сутками искать и бестолку.Все выкладывают свои логи и никто почему-то не может внятно ответить,что это значит?1.1 Поиск перехватчиков API, работающих в UserMode
Анализ xxxxxxxx.dll, таблица экспорта найдена в секции .text
Думаю это тоже не совсем ясный ответ:В последней цитате ничего зловреного, всё штатное,что можете сказать?Ведь все поисковики забиты по самое некуда подобным.Ну,можно же давать ссылку,если известен толковый источник,а если нет,то таким ответом проблема не решается.
Последний раз редактировалось ages; 18.07.2009 в 16:55.
Причина: Добавлено
-
Сообщение от
ages
никто почему-то не может внятно ответить,что это значит?1.1 Поиск перехватчиков API, работающих в UserMode
Анализ xxxxxxxx.dll, таблица экспорта найдена в секции .text
Файлы *.dll являются тоже файлами "PE" как и файлы *.exe
Системные длл-ки собраны Microsoft-овским линкером. для которого имя секции ".text" - стандартное название секции кода.
Отличие длл-ки от экзешника в том, что длл-ка предоставляет функции (сервисы), которые можно вызвать из своей программы. Но что бы вызвать, надо знать расположение этих сервисов. Их адреса собраны в т.н.таблицы экспорта, которые расположены в той-же секции кода.
Таким образом, AVZ проверяет не изменена ли таблица экспорта и не перехвачены ли сервисы.. Если таблица найдена в ".text" - это нормально
sptd.sys и sp??.sys - драйвер DAEMON Tools или Alcohol
Они остаются в системе и после деинсталяции программ, т.к. могли остаться копии защищенного диска, которые иначе чем с помощью этого драйвера работать не будут.
sptd.sys присутствует в %WINDIR%\system32\drivers\ но ограничивает доступ к себе (часть обхода защит - чтоб по имени драйвера не "поймали"). Загружаясь при старте системы, создает свою копию с именем sp??.sys (для возможности взаимодействия программы и драйвера), но копия присутствует только в оперативной памяти (это тоже часть "самозащиты")
Добавлено через 13 минут
Сообщение от
ages
Аналогично с WDICA,PDCOMP и другие PDxxxx
Это "системные" записи. Самих драйверов на диске нет, т.к. нужны они не часто, но они содержатся в *.cab архивах системы (установочный диск, ServicePackFiles, DriverCache).
В случае необходимости, система сможет распаковать и загрузить нужный драйвер. Именно на это указывают такие записи.
(Это очень коротко и с многими "упрощениями")
Последний раз редактировалось Kuzz; 18.07.2009 в 18:02.
Причина: Добавлено
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 55
Таким образом, AVZ проверяет не изменена ли таблица экспорта и не перехвачены ли сервисы.. Если таблица найдена в ".text" - это нормально
Если эта информация не является результатом работы AVZ,т.е.обнаружение всякой бяки,а я уверен,AVZ много чего ещё проверяет,то зачем выносить сие как [COLOR="Cyan"]Поиск перехватчиков API, работающих в UserMode[COLOR="Red"]?Если всё в норме-зачем???
Касательно WDICA,PDCOMP и другие PDxxxx,нет их у меня в driver cache???Проверял в "голой и чистой" WXP SP2,тоже нет???Остальные,упомянутые в логе,все на месте.(те,что "путевые")
Да,вот ещё вспомнил.У меня AVZ закапывается в эти САВы где-то часа на два.Один раз только хватило терпения дождаться полного прохода.Зато без них сканируется пулей.Это тоже норма?
Что-то непонятно,почему пока пишу сбрасывается авторизация,а при отправке соответственно теряется текст?
-
ages, COLOR="Lime" читается ужасно.. А и к чему все эти цветовые игры?
Сообщение от
ages
Если эта информация не является результатом работы AVZ,т.е.обнаружение всякой бяки,
Эта информация является результатом работы AVZ, но не является обнаружением "всякой бяки"
Из нее можно получить косвенные сведения (кто понимает, о чем речь - тот получает эту инфу)
Сообщение от
ages
их у меня в driver cache
А они там лежат в *.cab а не просто так и не все.
Сообщение от
ages
У меня AVZ закапывается в эти САВы где-то часа на два...
Зато без них сканируется пулей
Это архивы. В архивах - исполняемые файлы, которые надо распаковать и проверить..
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 55
Во-первых пока пишу сбрасывается авторизация,а при отправке соответственно теряется текст?
Во-вторыхк чему все эти цветовые игры?-мне так удобнее.Лишь бы оно работало как должно.
Далее по теме.кто понимает, о чем речь - тот получает эту инфутак какого х..а её выносить на всеобщее обозрение,засуньте её туда,где только вы и ковыряетесь.
"системные" записи-это очень информативно...
они содержатся в *.cab архивах системы ,а если я эти архивы выгрузил,а файлы в логе остались,вас это не смущает?Думаю,нет.Продолжить?
Последний раз редактировалось AndreyKa; 20.07.2009 в 08:19.
Причина: убрал мат
-
...
Таким образом, AVZ проверяет не изменена ли таблица экспорта и не перехвачены ли сервисы.. Если таблица найдена в ".text" - это нормально
Майкрософтовские dll собраные при помощи стандартной директивой линкера(MERGE): link.exe /MERGE:.edata=.text;.rdata=.text
Тоесть директива /MERGE указывает компоновщику что нужно обьеденить две секции PE файла(.edata(Export Address Table(Таблица експорта функций) и .text (непосредственно секция кода.)
Для дальнейшего ознакомления со структурой исполняемого модуля Win32PE советую прочесть Спецификации PE/COFF формата для исполняемых файлов MS Windows (x86) на анг. языке
Меня интересует следующее, неужели AVZ проверяет на подмену таблицы експорта функций только секцию .text? Ведь такой же файл можно получить использовав любое Visual Studio с применением соответствующей директивы зборщика.
Кстати kernel32.dll, user32.dll, ntdll.dll, advapi32.dll, shell32.dll, version.dll для Хрюшы(XP Home/Pro) собраны при помощи Microsoft Visual Studio 6.0(98 год выпуска).