Судя по некоторым признакам, есть подозрение что на машине завелся троянец. По Ctrl+Alt+Del процесс не показывается. Какой утилитой можно найти файл в котором живет процесс? Или как вообще это можно сделать? И ради интереса — как программа скрывается от Ctrl+Alt+Del? (OC — WinXP)
Re: Найти скрытый процесс
От:
Аноним
Дата:
02.11.06 23:21
Оценка:
Здравствуйте, Аноним, Вы писали:
А>Судя по некоторым признакам, есть подозрение что на машине завелся троянец. По Ctrl+Alt+Del процесс не показывается. Какой утилитой можно найти файл в котором живет процесс? Или как вообще это можно сделать? И ради интереса — как программа скрывается от Ctrl+Alt+Del? (OC — WinXP)
ProcessExplorer от Руссиновича (www.sysinternals.com)
Наверняка подменяет API функции. Или драйвер свой поставил — тогда это уже RootKit будет.
Re: Найти скрытый процесс
От:
Аноним
Дата:
03.11.06 00:33
Оценка:
Здравствуйте, Аноним, Вы писали:
А>Судя по некоторым признакам, есть подозрение что на машине завелся троянец. По Ctrl+Alt+Del процесс не показывается. Какой утилитой можно найти файл в котором живет процесс? Или как вообще это можно сделать? И ради интереса — как программа скрывается от Ctrl+Alt+Del? (OC — WinXP)
Могу порекомендовать Process Hunter — рульная вещь.
Если не поможет, тогда есть соответствующие утилиты под скажем DOS, которые могут отображать содержимое реестра. Нужно просто загрузиться DOS'ом, и посмотреть соответствующие ключики на наличие в нём подозрительных записей о загрузке троянов/руткитов.
Здравствуйте, <Аноним>, Вы писали:
А>Судя по некоторым признакам, есть подозрение что на машине завелся троянец. По Ctrl+Alt+Del процесс не показывается. Какой утилитой можно найти файл в котором живет процесс? Или как вообще это можно сделать? И ради интереса — как программа скрывается от Ctrl+Alt+Del? (OC — WinXP)
Правда, Ложь — мне все одно — я имею свое мнение.
Если функция недокументированна — это не значит, что ее не используют все ваши конкуренты в своих продуктах.
Любой строй переходный и отрицать это значит быть закостенелым идиотом.
Здравствуйте, Аноним, Вы писали:
А>Судя по некоторым признакам, есть подозрение что на машине завелся троянец. По Ctrl+Alt+Del процесс не показывается. Какой утилитой можно найти файл в котором живет процесс? Или как вообще это можно сделать? И ради интереса — как программа скрывается от Ctrl+Alt+Del? (OC — WinXP)
Здравствуйте, Аноним, Вы писали:
А>Здравствуйте, Аноним, Вы писали:
А>>Судя по некоторым признакам, есть подозрение что на машине завелся троянец. По Ctrl+Alt+Del процесс не показывается. Какой утилитой можно найти файл в котором живет процесс? Или как вообще это можно сделать? И ради интереса — как программа скрывается от Ctrl+Alt+Del? (OC — WinXP)
А>http://www.safensoft.ru/security.phtml?c=150&id=1021
Совсем необязательно это должен быть именно процесс. Берётся функция API CreateRemoteThread и вперёд с песней, троян может работать как поток во внешне безвредном процессе... хотя это и продвинутая технология. Можно в процесс экплорере помониторить какие-нибудь "подозрительные" хендлы...
Re[3]: Найти скрытый процесс
От:
Аноним
Дата:
03.11.06 10:44
Оценка:
Здравствуйте, bezlepkin, Вы писали:
B>Здравствуйте, Аноним, Вы писали:
А>>Здравствуйте, Аноним, Вы писали:
А>>>Судя по некоторым признакам, есть подозрение что на машине завелся троянец. По Ctrl+Alt+Del процесс не показывается. Какой утилитой можно найти файл в котором живет процесс? Или как вообще это можно сделать? И ради интереса — как программа скрывается от Ctrl+Alt+Del? (OC — WinXP)
А>>http://www.safensoft.ru/security.phtml?c=150&id=1021
B>Совсем необязательно это должен быть именно процесс. Берётся функция API CreateRemoteThread и вперёд с песней, троян может работать как поток во внешне безвредном процессе... хотя это и продвинутая технология. Можно в процесс экплорере помониторить какие-нибудь "подозрительные" хендлы...
Здравствуйте, Аноним, Вы писали:
А>Здравствуйте, Аноним, Вы писали:
А>>Судя по некоторым признакам, есть подозрение что на машине завелся троянец. По Ctrl+Alt+Del процесс не показывается. Какой утилитой можно найти файл в котором живет процесс? Или как вообще это можно сделать? И ради интереса — как программа скрывается от Ctrl+Alt+Del? (OC — WinXP)
А>ProcessExplorer от Руссиновича (www.sysinternals.com) А>Наверняка подменяет API функции. Или драйвер свой поставил — тогда это уже RootKit будет.
Скрыть процесс от ProcessExplorer как нечего делать.
