87 ответов в этой теме

[RomaNNN]

А как тогда в памяти детектятся перепакованно-перекриптованные зверушки?

Там немного другая подсистема. Как уже говорил Константин в бете, в итоге все все равно проверяется сигнатурами для файлов. Сканер же помимо сканирования файлов имеет сигнатуры для процессов, типа Trojan.MayachokMEM.1

По сигнатурам конечно, как же еще, но ведь все равно процесс проверяется.

 

Не совсем. Это не проверка процесса в привычном понимании, это реалтаймовая фича, т.е. уже запущенное не поймать. Внутренняя кухня

[SergSG]

 

По сигнатурам конечно, как же еще, но ведь все равно процесс проверяется.

Не совсем. Это не проверка процесса в привычном понимании, это реалтаймовая фича, т.е. уже запущенное не поймать. Внутренняя кухня

 

Да какая там может быть кухня? Процесс в памяти проверяется, а на какой стадии исполнения его проверили - это уже не детали.

[Konstantin Yudin]

Память процессов проверяет только сканер, это КРАЙНЕ затратная по ресурсам и не очень эффективная фича. А еще на асусах ,сони завешивает напрочь комп

[SergSG]

Память процессов проверяет только сканер, это КРАЙНЕ затратная по ресурсам и не очень эффективная фича.

Значит ли это, что процессы стартовавшие, скажем, до енжино-демонов останутся не проверенными?

Значит ли это, что процессы ни фоновой, ни ресканом не перепроверяются, ни напрямую, ни косвенно?

[VVS]

Память процессов проверяет только сканер, это КРАЙНЕ затратная по ресурсам и не очень эффективная фича.

Значит ли это, что процессы стартовавшие, скажем, до енжино-демонов останутся не проверенными?
Значит ли это, что процессы ни фоновой, ни ресканом не перепроверяются, ни напрямую, ни косвенно?

Проверятся на диске все файлы, соответствующие загруженным процессам.

[SergSG]

 

 

Память процессов проверяет только сканер, это КРАЙНЕ затратная по ресурсам и не очень эффективная фича.

Значит ли это, что процессы стартовавшие, скажем, до енжино-демонов останутся не проверенными?
Значит ли это, что процессы ни фоновой, ни ресканом не перепроверяются, ни напрямую, ни косвенно?

Проверятся на диске все файлы, соответствующие загруженным процессам.

Файлы на диске могут быть и закриптованы или вообще заблокированы / перименованы / удалены после запуска.

Сообщение было изменено SergSG: 03 Май 2014 - 19:50

[Victor_koly]

Файлы на диске могут быть и закриптованы или вообще заблокированы / перименованы / удалены после запуска.

 

А как совсем параноидальный вариант - как-то прописанный через реестр автозапуск файлов нескольких создает в памяти итоговое состояние процесса.

[Konstantin Yudin]

Память процессов проверяет только сканер, это КРАЙНЕ затратная по ресурсам и не очень эффективная фича.

Значит ли это, что процессы стартовавшие, скажем, до енжино-демонов останутся не проверенными?

да

Значит ли это, что процессы ни фоновой, ни ресканом не перепроверяются, ни напрямую, ни косвенно?

да

не процессы, а память процессов, чтоб все четко учти только один момент, проверка памяти делается спец. сигнатурами для крайне малого кол-ва сусликов (современных по пальцам посчитать можно). там не используются обычные миллионы сигнатур из vdb.

[Victor_koly]

А можно ли считать, что команда такого рода просканирует почти все, что запущено или может запустится:

"start E:\archive\cureit.exe /P:H /TB /TM /TS"?

В том числе, содержимое папок типа "...\microsoft\windows\start menu\programs\startup\".

[Konstantin Yudin]

/fast - проверить все активное и потенциально запускаемое. ваш вариант это то же самое.

[Victor_koly]

Konstantin Yudin, это чуть больше, добавочно сканируются:

- C:\Windows\system32\

 - C:\Windows\SysWOW64\

 - C:\Users\%user_name%\Documents\

 - C:\Windows\TEMP\

 - C:\Users\%user_name%\AppData\Local\Temp\

 

Вышел неплохой скан за 25 минут. По сравнению с XP правда не так явно затронута область Microsoft\Windows\Start Menu\Programs\Startup, но (как я писал выше), она и так идет перед сканом процессов. Так что это действительно скан основных заражаемых мест и редкий зверь сможет запустится по другому.

[Victor_koly]

А собственно может же так быть, что вирус при запуске заражает именно процессы, а не их файлы. И если эти процессы антивирус "вылечит", то с файлами ничего не случится?

[Dmitry_rus]

Может и так быть. Но обычно антивирусы проявляют нездоровый интерес к инжектам. Процесс (память процесса) и файл - это сущности, которые не настолько сильно связаны друг с другом, как может показаться.

[Anmawe]

Curelt не проверяет dll, которые используют процессы ? KVRT проверяет .

 

-----------------------------------------------------------------------------
Start scanning
-----------------------------------------------------------------------------
Command line used:-rpcep:\pipe\10E3185D0 -rpcpr:np

Object(s) to scan:
 - Scan processes in memory


Process :0 - read error - 0ms, 0 bytes
Process System:4 - Ok - 0ms, 0 bytes
Process \SystemRoot\System32\smss.exe:616 - Ok - 0ms, 0 bytes
Process \??\C:\WINDOWS\system32\csrss.exe:672 - Ok - 0ms, 0 bytes
Process \??\C:\WINDOWS\system32\winlogon.exe:696 - Ok - 0ms, 0 bytes
Process C:\WINDOWS\system32\services.exe:740 - Ok - 0ms, 0 bytes
Process C:\WINDOWS\system32\lsass.exe:752 - Ok - 0ms, 0 bytes
Process C:\WINDOWS\system32\svchost.exe:908 - Ok - 0ms, 0 bytes
Process C:\WINDOWS\system32\svchost.exe:988 - Ok - 0ms, 0 bytes
Process C:\WINDOWS\System32\svchost.exe:1080 - Ok - 0ms, 0 bytes
Process C:\WINDOWS\system32\svchost.exe:1140 - Ok - 0ms, 0 bytes
Process C:\WINDOWS\system32\svchost.exe:1328 - Ok - 0ms, 0 bytes
Process C:\WINDOWS\system32\ctfmon.exe:1760 - Ok - 0ms, 0 bytes
Process C:\WINDOWS\system32\svchost.exe:1848 - Ok - 0ms, 0 bytes
Process C:\WINDOWS\system32\nvsvc32.exe:1920 - Ok - 0ms, 0 bytes
Process C:\WINDOWS\System32\alg.exe:1300 - Ok - 0ms, 0 bytes
Process C:\Program Files\Mozilla Firefox\firefox.exe:112 - Ok - 0ms, 0 bytes
Process C:\WINDOWS\explorer.exe:1192 - Ok - 0ms, 0 bytes
Process C:\Documents and Settings\Admin\ \\bli8bqz0.exe:344 - Ok - 0ms, 0 bytes
Process c:\documents and settings\admin\local settings\temp\4E786E08-78151B46-BB87F5FC-C28BC7D6\0XQkdWSXLR7.exe:236 - Ok - 0ms, 0 bytes
Process c:\documents and settings\admin\local settings\temp\4E786E08-78151B46-BB87F5FC-C28BC7D6\0J2V1xEsa5Q.exe:1552 - Ok - 0ms, 0 bytes
Process c:\documents and settings\admin\local settings\temp\4E786E08-78151B46-BB87F5FC-C28BC7D6\tEnDb3nTbxIxyH.exe:1656 - Ok - 0ms, 0 bytes
Process C:\WINDOWS\system32\taskmgr.exe:1712 - Ok - 0ms, 0 bytes

Total 0 bytes in 23 files scanned
Total 22 files are clean
There are no infected objects detected
Total 1 file are raised error condition
Scan time is 00:00:07.843
 

[Victor_koly]

Anmawe, действительно, Др.Веб не включает в сканирование памяти файлов dll и sys, которые прописаны в реестре. Как конкретно вредоносные файлы внедряются например в загружаемую dll - это я не знаю.

[pig]

Память процесса включает в себя и память библиотек, в него загруженных. И код, внедрённый другими процессами.

[Anmawe]

Память процесса включает в себя и память библиотек, в него загруженных

Наверно, правильнее будет, если в логе будут записаны, какие dll были проверены ? В логе kaspersky virus removal tool записаны все проверяемые exe и dll  при проверке RAM .

[Victor_koly]

Я сильно ошибусь, если скажу, что их было бы вон тех 1800 штук, что PID как-то с этим связан?

[SergSG]

Наверно, правильнее будет, если в логе будут записаны, какие dll были проверены ? В логе kaspersky virus removal tool записаны все проверяемые exe и dll  при проверке RAM .

Кто "папа" и "мама" у "ребенка" конечно интересно, но какое отношение это имеет к RAM?

[pig]

Я сильно ошибусь, если скажу, что их было бы вон тех 1800 штук, что PID как-то с этим связан?

PID - идентификатор процесса. Достаточно случайное число.