Внедрение в процесс. Windows XP
Есть комп с WinXP. На этом компе была запущена зловредная программа. После того как стало понятно что она зловредная, ее исполняемый файл был удален. С тех пор происходит следующее: при запуске какого либо процесса (ну в частности прикладные программы) эта зловредная программа выдает messageBox с сообщением, причем messageBox имеет пиктограмму того процесса который был запущен, то есть как бы от имени этого процесса. Я точно не представляю механизма работы.
Вот в этом и хотелось бы разобраться и как ее побороть. Есть какие либо идеи?
P.S: антивирусами она не палится...
Есть комп с WinXP. На этом компе была запущена зловредная программа. После того как стало понятно что она зловредная, ее исполняемый файл был удален. С тех пор происходит следующее: при запуске какого либо процесса (ну в частности прикладные программы) эта зловредная программа выдает messageBox с сообщением, причем messageBox имеет пиктограмму того процесса который был запущен, то есть как бы от имени этого процесса. Я точно не представляю механизма работы.
Вот в этом и хотелось бы разобраться и как ее побороть. Есть какие либо идеи?
P.S: антивирусами она не палится...
Без исполняемого файла внедрение в чужой процесс довольно сомнительно, конечно могли быть модифицированы системные библиотеки, ну или может крутиться служба.
2. Выполнение может происходить в контексте др. процесса.
3. Файл может быть скрыт на диске.
4. В реестре есть ключ AppInit_DLLs, который позволяет принудительно загружать DLL во все процессы.
Модификация системных DLL довольно хлопотное занятие, т.к. система имеет кеш этих библиотек, да и модификация исполняемых файлов во время их работы невозможна (весьма затруднительна).
2. Выполнение может происходить в контексте др. процесса.
3. Файл может быть скрыт на диске.
4. В реестре есть ключ AppInit_DLLs, который позволяет принудительно загружать DLL во все процессы.
Модификация системных DLL довольно хлопотное занятие, т.к. система имеет кеш этих библиотек, да и модификация исполняемых файлов во время их работы невозможна (весьма затруднительна).
Ну смотрите, я сразу убил exe файл. Если бы он при запуске начал заражать другие файлы, то антивирус бы среагировал. (так она была написана знакомым человеком, я сомневаюсь что уровень программы настолько высок, чтобы прятаться от АВ) Как то проще все.
Значит имеем: при запуске она что то сделала, что теперь злонамеренные действия происходят постоянно. Попробую вариант 4.
2. Выполнение может происходить в контексте др. процесса.
3. Файл может быть скрыт на диске.
4. В реестре есть ключ AppInit_DLLs, который позволяет принудительно загружать DLL во все процессы.
Модификация системных DLL довольно хлопотное занятие, т.к. система имеет кеш этих библиотек, да и модификация исполняемых файлов во время их работы невозможна (весьма затруднительна).
А как скрыть процесс без запуска драйверов \ необходимых приложений и без модификации системного ядра?
скачать