|
|
Регистрация Восстановить пароль |
Повторная активизация e-mail |
Регистрация | Задать вопрос |
Заплачу за решение |
Новые сообщения |
Сообщения за день |
Расширенный поиск |
Правила |
Всё прочитано |
|
|
Опции темы | Поиск в этой теме |
13.05.2009, 23:53 | #11 |
Форумчанин
Регистрация: 23.11.2008
Сообщений: 237
|
Корн і Пепел Феникса, вы сказали что можно находить вирусы собствеными руками. Как вы этому научились? Ві по професии програмисты? Возможно ли этому научиться мне, простому студенту?
Если мой ответ вам понравился, поставьте позитивный отзыв
|
14.05.2009, 00:08 | #12 |
Форумчанин
Регистрация: 13.01.2009
Сообщений: 125
|
Slavik
Знание ключей автозапуска (не только ключа run) и основ работы О.С. помогут вам выявлять вредоносные объекты. Подозрительные файлы рекомендуется пропускать через поисковую систему. Есть программы, которые помогают в этом (avz, hijackthis, gmer, rsit, ice sword и т.п.). Дизассемблирование так же пригодится. |
14.05.2009, 01:11 | #13 |
Старожил
Регистрация: 28.01.2009
Сообщений: 21,000
|
Славик, я программирую(Корн как я знаю тоже)
я более предпочитаю всетаки не допускать заражения нежели лечить потом систему... из советов на эту тему: 1)отключить автозапуск 2)проверять регулярно автозагрузку 3)не запускать что попало 4)безопасный браузер(интернетом то пользуемся) 5)файвол и тд а насчет нахождения вирусов в первую очередь это умение понять(и желательно сразу) что тя поимели и там уже вычислить/удалить виноватых не трудно Хорошо поставленный вопрос это уже половина ответа. | Каков вопрос, таков ответ.
Программа делает то что написал программист, а не то что он хотел. Функции/утилиты ждут в параметрах то что им надо, а не то что вы хотите. |
14.05.2009, 04:13 | #14 |
Банхаммер
Участник клуба
Регистрация: 17.02.2007
Сообщений: 1,754
|
я работаю сисадмином и мне постоянно приносят компьютеры которые уже заражены чем либо... на большинстве компьютеров нету либо убиты антивирусы, либо вирус просто не дает запускать их... для этого я просто вооружаюсь process explorer'om и смотрю какие процессы "мне не нравятся" и начинаю их сносить... так же смотрю где находится файл... если у меня есть подозрения насчет него я его проверяю на virustotal.com
если подозрения подтверждаются то удаляю файл подчищаю реестр заливаю какой нить Cureit и сканирую... когда много практикуешься то начинаешь знать уже конкретные вирусы и как их удалять... иногда даже несколько оригинальными способами: например есть вирус который заражает explorer.exe и начинает повсюду создавать свои autoran.inf и как уго удалить если под рукой нет антивируса который его выключит7 а все очень просто... завершаем процесс и удаляем файл... а система его сама восстановит из своего дистрибутива неповрежденным... это лишь малая часть того что нужно знать... для повышения знаний я ставил систему на виртуальную машину и заливал туда всего пару программ и запускал вирус... далее я сам вычислял где он находится и что делает и пытался его удалить... после того как заканчивал я ставил антивирус и проверял систему на чистоту... еще главное быть наблюдательным... т.к. многие вирус и трояны называют себя так же как и системные процессы например csrss.exe, но находится он просто в другой папке и запущен он уже не системным процессом, а пользовательским... в общем я тебе советую так же ставить систему на виртуальную машину и там практиковаться... |
14.05.2009, 10:35 | #15 |
Старожил
Регистрация: 04.02.2009
Сообщений: 17,351
|
Конечно возможно, главное немного подумать. Я примерно такими же способами борюсь со всякой фигней. Изредка запускаю Cure It!, на всякий пожарный. И не использую постоянного вирусного монитора - только память жрет и процессорное время, такой же вирус по сути. Хоть Касперский, хоть бесплатная прога.
Маньяк-самоучка
Utkin появился в результате деления на нуль. Осторожно! Альтернативная логика |
14.05.2009, 15:24 | #16 |
Форумчанин
Регистрация: 10.07.2007
Сообщений: 104
|
без антивируса- это в падлу заморачиватся с поиском вирусов. поставил касперского и все четко!
|
14.05.2009, 18:09 | #17 | |
Банхаммер
Участник клуба
Регистрация: 17.02.2007
Сообщений: 1,754
|
Цитата:
какие все всё таки наивные |
|
14.05.2009, 18:37 | #18 |
Участник клуба
Регистрация: 03.05.2007
Сообщений: 1,189
|
Не согласен с тем, что ручной поиск вирусов является эффективным. И выявление по имени файла тоже как-то не укладывается в голове. Мало что ли вирусов которые имеют имена как и у системных файлов и ложаться в папку Windows. Не думаю, что вы всегда знаете сколько должно быть процессов svchost.exe. Антивирус должен стоять на компе. Даже по крайней мере на случай, если вам попадется вирус, который просто тупо будет затирать ваши файлы. Даже если вы заметите его действие в течении 30 секунд, то, предположим что скорость перезаписи на винте равна 10 мб/сек, вы потеряете 3 гига инфы.
|
14.05.2009, 19:24 | #19 |
Форумчанин
Регистрация: 17.09.2008
Сообщений: 349
|
Вирусы типа alman, sality, neshta и другие похожие по заражению можно найти без антивируса. Для этого нужно знать вид текста программы. Такие вирусы пишут свою копию в начало программы, а исходный текст - пишут в конец. Текст всех программ (кроме SFX архивов, оверлейных или пакованных exe пакерами кроме UPX) всегда заканчивается нулевыми байтами. Поэтому в конце заражённой программы будет текст в виде пакованных данных (например в виде текста архива) или "родное начало" программы-жертвы. Значит эта программа заражена. Но вылечить такие программы лучше антивирусом. Будет больше гарантий, что вылеченная программа будет работать. Чтобы посмотреть текст, можно воспользоваться обычным листером в total commander.
если чем помог, поставьте отзыв на весы
Последний раз редактировалось Xatr; 14.05.2009 в 19:34. |
14.05.2009, 23:42 | #20 |
я получил эту роль
Старожил
Регистрация: 25.05.2007
Сообщений: 3,694
|
Вот вам и нулевые байты - часть секции ресурсов упакована и в освободившееся место помещён вредоносный код, размер/энтропия файла не изменилась - вот это тру-вирус Совсем без антивируса плохо, у меня касперский с базами двухмесячной давности - анализатора активности хватает с головой, сигнатурный поиск фтопку
пыщь
Последний раз редактировалось JTG; 14.05.2009 в 23:55. |
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Вес баз антивируса Касперского | Терминатор | Безопасность, Шифрование | 11 | 04.08.2009 23:03 |
Процедуры без Bios и без Dos,бывают? | codeok | Assembler - Ассемблер (FASM, MASM, WASM, NASM, GoASM, Gas, RosAsm, HLA) и не рекомендуем TASM | 3 | 31.10.2008 03:17 |
без VBA | ExcArt | Microsoft Office Excel | 7 | 18.02.2008 01:23 |
Завершение процесса антивируса | Terran | Win Api | 7 | 07.12.2007 22:28 |