Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Самозащита у антивирусов

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2

Открыть новую тему     Написать ответ в эту тему

Anmawe

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
После замены системных файлов с помощью программы "Архивация данных" в XP (System State), антивирусы перестали работать после перезагрузки компа. Это значит, что вредоносная программа,запущенная с админскими правами,которой нет в антивирусной базе, тоже может так сделать? Самозащита антивируса по-моему должна не давать выгрузить антивирус, то есть защищать системные файлы.
Всего записей: 381 | Зарегистр. 23-11-2011 | Отправлено: 20:08 23-01-2012 | Исправлено: Anmawe, 22:59 31-01-2012
Temuri



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Антивирусы, они ж обновляются сами по себе. Возможно что-то и поломалось при восстановлении системы.
 
что сделать:
1. переустановить антивирь
2. провериться антивирным LiveCD от греха (Kaspersky - лучше, DrWeb)
 
и почему антивирусЫ? их у тебя сразу много что-ли?
Всего записей: 718 | Зарегистр. 11-08-2008 | Отправлено: 12:25 24-01-2012
KLASS



Moderator		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Это значит, что вредоносная программа,запущенная с админскими правами,которой нет в антивирусной базе, тоже может так сделать?

Разумеется... и не только выгрузить антивирь, но и вовсе его прибить или... систему, например, если запустить следующий батник под админом и перегрузиться, то загрузиться не получится, потому как hal'a нет:

Код:
@echo off
del %SystemRoot%\system32\hal.dll
 

и такой батник ни один антивирь не определит, как вирус, потому как в нем обычные системные команды.
Всего записей: 11721 | Зарегистр. 12-10-2001 | Отправлено: 14:40 24-01-2012 | Исправлено: KLASS, 14:41 24-01-2012
tecdoc



Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Anmawe, самозащита у антивирусов только во время работы винды работает, вернее даже не винды, а соответствующей службы антивируса, а при перезагрузке до запуска служб антивируса, с любыми файлами можно, что угодно делать...
Всего записей: 94 | Зарегистр. 09-01-2007 | Отправлено: 15:03 24-01-2012 | Исправлено: tecdoc, 15:06 24-01-2012
Anmawe

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
На форуме http://forum.kaspersky.com/index.php?showtopic=219912&st=0&start=0 мне сказали "Если самозащита будет защищаться от бэкапа системы, то система не сможет восстановиться." "Касперского делают умные люди и они научили отличать программу одну от другой. Если эта "одна" стала зараженной, она уже другая."  
Они уверены, что данный опыт не доказывает, что антивирус можно выгрузить.
 
Есть такой троян, который выгружает антивирус? Если есть ссылка - буду благодарен.
 
http://forum.drweb.com/index.php?showtopic=307067&st=0 "Типа троян-камикадзе?  
 Т.е. "покончу жизнь самоубийством, но антивирус снесу!"  
 Если серьёзно, то откуда троян возьмёт файлы реестра без установленного антивируса?"
Всего записей: 381 | Зарегистр. 23-11-2011 | Отправлено: 19:40 26-01-2012 | Исправлено: Anmawe, 11:43 17-02-2012
Anmawe

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Можно узнать, какие файлы надо изменить, чтобы удалить из автозагрузок например антивирус? Каким образом?
(как "Архивация данных сделала").
Всего записей: 381 | Зарегистр. 23-11-2011 | Отправлено: 12:23 08-02-2012
thelamb

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tecdoc
Ага, тогда как же к примеру аваст делает проверку ОС до загрузки самой ОС и забирает найденные вирусы в карантин? Как тот же аваст проверяет загрузку ОС при каждом запуске или перезагрузке? Но он не сработает если загружаться через F8 т. е. в безопасном режиме. Вот до нового года и был такой троян, который попав на комп сам загружал систему в безопасном режиме и отключал антивирус. После этого ОС загружалась как обычно, но антивирус был нерабочим.
Всего записей: 4977 | Зарегистр. 25-11-2004 | Отправлено: 17:54 08-02-2012
Anmawe

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Файлы из C:\WINDOWS\system32\config отвечают за загрузку программ? Если туда внести изменения, антивирус не загрузится?
Всего записей: 381 | Зарегистр. 23-11-2011 | Отправлено: 00:56 17-02-2012
BVV63



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Anmawe

Цитата:
Файлы из C:\WINDOWS\system32\config отвечают за загрузку программ?

Файлы оттуда очень за многое отвечают. Там системный реестр содержится.
Всего записей: 3542 | Зарегистр. 17-08-2009 | Отправлено: 07:06 17-02-2012
Anmawe

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
При попытке внести туда изменения (в файл system), мне пишут "Объект используется другим пользователем или программой". А как Архивация данных его заменяет?
Всего записей: 381 | Зарегистр. 23-11-2011 | Отправлено: 11:41 17-02-2012
BVV63



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Anmawe
Архивация работает в контексте безопасности локальной системы. У неё наивысшие привилегии. Кроме того, возможно, что при архивации файл временно освобождается. А вообще-то, если б Вам удалось внести туда изменения напрямую, то Виндуза бы накрылась.
Всего записей: 3542 | Зарегистр. 17-08-2009 | Отправлено: 11:47 17-02-2012 | Исправлено: BVV63, 11:48 17-02-2012
Anmawe

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Что надо уметь и знать, чтоб написать троян (exe файл), который сделает тоже самое, что и Архивация данных?
Всего записей: 381 | Зарегистр. 23-11-2011 | Отправлено: 12:15 17-02-2012
doktorpilulkin

BANNED		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
программирование надо учить. язык какой нибудь
Всего записей: 2341 | Зарегистр. 30-08-2010 | Отправлено: 15:29 17-02-2012
Alleras

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Что надо уметь и знать, чтоб написать троян (exe файл), который сделает тоже самое, что и Архивация данных?

 
Похоже, вы не совсем понимаете, как устроена система безопасности Windows.
 
Любая программа, запущенная ПОЛЬЗОВАТЕЛЕМ запускается с правами текущего ПОЛЬЗОВАТЕЛЯ.
Получить привелегии системного процесса она не может.
 
Для того, чтобы программа запустилась с правами системного процесса, её нужно установить как драйвер или системную службу.
 
Но любой работающий антивирус предупредит о попытке установки драйвера/службы, и не позволит установить его без явного разрешения пользователя.
 
Будучи установлена как драйвер или служба (напомню, что для этого требуется явное разрешение пользователя) - программа - да. может выгрузить антивирус. Но антивирус скорее всего вновь потребует на это подтверждение пользователя.
 
На критические системные процессы, ИЗВЕСТНЫЕ АНТИВИРУСУ, такие как архивация и восстановление данных, подтверждение не требуется, поскольку антивирус изначально обучен "узнавать" эти процессы, и "понимает", что вмешиваться в их работу нельзя. Но антивирус не позволит подменить системный процесс - в нем четко записано, какой именно программой он выполняется и контрольная сумма исполняемых файлов программы.
Всего записей: 161 | Зарегистр. 18-01-2012 | Отправлено: 15:40 17-02-2012 | Исправлено: Alleras, 15:44 17-02-2012
Anmawe

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Смотря какой антвирус. В авасте экран поведения почти молчит, в автоматическом режиме HIPS не сообщит. А в интерактивном режиме мало наверно кто антивирусом пользуется, читать, что там программа пытается  сделать.
Вы про какой системный процесс? Заменяются данные в реестре.
Всего записей: 381 | Зарегистр. 23-11-2011 | Отправлено: 16:36 17-02-2012 | Исправлено: Anmawe, 16:38 17-02-2012
Alleras

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
"смотря какие" - согласен. Не защищайтесь всякой фигнёй!
 
В наши дни любой нормальный антивирус либо блокирует доступ пользователя к критическим ключам реестра, либо автоматически их восстанавливает при изменении.
 
"Архивация данных" - здесь неподходящий пример, потому что это критическая системная служба, в работу которой антиврусу приказали не вмешиваться разработчики. (во избежание последующих разборок с майкрософт).
Всего записей: 161 | Зарегистр. 18-01-2012 | Отправлено: 21:53 17-02-2012 | Исправлено: Alleras, 21:53 17-02-2012
thelamb

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Anmawe

Цитата:
Файлы из C:\WINDOWS\system32\config отвечают за загрузку программ? Если туда внести изменения, антивирус не загрузится?

А как Вы вообще их открыли? Они все бинарные и действительно заняты. Unlocker покажет чем. Если же имеются в виду файлы типа Antiviru.evt или Antivirus.Evt то их можно посмотреть, а можно вырезать в другую папку. Имхо они вообще не нужны. Через день, проверив работу антивиря, можно удалить в корзину.
Всего записей: 4977 | Зарегистр. 25-11-2004 | Отправлено: 21:53 17-02-2012
Alleras

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Да не, изменить их можно при помощи программы Regedit.
Причем так, что никакой антивирус не спасёт, и потом не поможет.
 
Проблема-то немного в другом - Anmawe беспокоится, что какой-нибудь троян выгрузит из системы его антивирус.
Это-то как раз очень маловероятно, поскольку любой антивирус "бдит" над своими ключами реестра.
Всего записей: 161 | Зарегистр. 18-01-2012 | Отправлено: 21:59 17-02-2012 | Исправлено: Alleras, 21:59 17-02-2012
Anmawe

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Через regedit касперский не дает себя выгрузить.
Всего записей: 381 | Зарегистр. 23-11-2011 | Отправлено: 01:54 24-02-2012
Alleras

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ну так выше об этом писали:

Цитата:
В наши дни любой нормальный антивирус либо блокирует доступ пользователя к критическим ключам реестра, либо автоматически их восстанавливает при изменении.
Всего записей: 161 | Зарегистр. 18-01-2012 | Отправлено: 09:56 24-02-2012
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Самозащита у антивирусов


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2025

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru