Список вредоносных процесов
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Список вредоносных процесов - 2010-06-16 13:52:57.860000
|
|
|
Lauri
Сообщений: 1096
Оценки: 73
Присоединился: 2010-01-04 14:03:18.723333
|
Не знаю или в этот раздел, но всё же. Подскажите все вредоносные процесы какие знаете. Пишу прогу для защиты.
Знаю пока что только r_server - клиент радмина
|
|
|
|
|
RE: Список вредоносных процесов - 2010-06-16 14:00:09.676666
|
|
|
lockdock
Сообщений: 201
Оценки: 0
Присоединился: 2010-06-03 06:37:40.766666
|
explorer.exe
|
|
|
|
|
RE: Список вредоносных процесов - 2010-06-16 14:04:37.190000
|
|
|
Lauri
Сообщений: 1096
Оценки: 73
Присоединился: 2010-01-04 14:03:18.723333
|
quote:
ORIGINAL: lockdock
explorer.exe
хех) не думаю что случится что то хорошее если убить этот процес)
|
|
|
|
|
RE: Список вредоносных процесов - 2010-06-16 14:09:12.910000
|
|
|
Родригес
Сообщений: 444
Оценки: 0
Присоединился: 2010-04-16 20:28:58.240000
|
svchost.exe
Такой метод вряд ли даст хорошие результаты, процессов разных есть на свете много, свех не учесть, к тому же вредоносные приограммы любят маскироваться под легальные процессы.
quote:
Пишу прогу для защиты.
Антивирус Попова?
|
|
|
|
|
RE: Список вредоносных процесов - 2010-06-16 14:16:10.326666
|
|
|
Lauri
Сообщений: 1096
Оценки: 73
Присоединился: 2010-01-04 14:03:18.723333
|
Родригес про маскировку знаю, тем не мение, даже замаскировавшиеся процессы можно оприделить по тому количеству памяти сколько они берут. А программу пишу сугубо для себя;)
|
|
|
|
|
RE: Список вредоносных процесов - 2010-06-16 14:20:15.836666
|
|
|
lockdock
Сообщений: 201
Оценки: 0
Присоединился: 2010-06-03 06:37:40.766666
|
siski.exe
piski.exe
unnamed.exe
fake.exe
VIRUS.EXE
VirusTut.exe
zhope.exe
zdes'virusanet.exe
их очень много:)
|
|
|
|
|
RE: Список вредоносных процесов - 2010-06-16 14:30:17.573333
|
|
|
Sunzer
Сообщений: 253
Оценки: 31190
Присоединился: 2007-06-15 19:23:32.436666
|
quote:
ORIGINAL: Lauri
Не знаю или в этот раздел, но всё же. Подскажите все вредоносные процесы какие знаете. Пишу прогу для защиты.
Знаю пока что только r_server - клиент радмина
А ничего что малваре может инжектиться в сис. процессы в тот же explorer.exe
|
|
|
|
|
RE: Список вредоносных процесов - 2010-06-16 14:32:48.496666
|
|
|
Lauri
Сообщений: 1096
Оценки: 73
Присоединился: 2010-01-04 14:03:18.723333
|
2 Sunzer Для этого и создал топ что б знать что к чему
|
|
|
|
|
RE: Список вредоносных процесов - 2010-06-16 14:37:58.326666
|
|
|
Sunzer
Сообщений: 253
Оценки: 31190
Присоединился: 2007-06-15 19:23:32.436666
|
Судя по всему ты пишешь программу которая обходит список процессов и прибивает процессы из черного списка. Дурная идея.
|
|
|
|
|
RE: Список вредоносных процесов - 2010-06-16 14:46:57.016666
|
|
|
xLordx
Сообщений: 608
Оценки: 0
Присоединился: 2010-05-04 17:59:11.626666
|
quote:
ORIGINAL: Родригес
quote:
Пишу прогу для защиты.
Антивирус Попова?
хДДД :D Ну вредные процессы, трои и т.д. часто имеют имена типо "klfa1kfa.exe" и т.д.
|
|
|
|
|
RE: Список вредоносных процесов - 2010-06-16 15:52:32.266666
|
|
|
FriLL
Сообщений: 2539
Оценки: 335
Присоединился: 2007-08-11 17:14:26.703333
|
quote:
ORIGINAL: xLordx
quote:
ORIGINAL: Родригес
quote:
Пишу прогу для защиты.
Антивирус Попова?
хДДД :D Ну вредные процессы, трои и т.д. часто имеют имена типо "klfa1kfa.exe" и т.д.
Часто они вообще не имеют своего имени
|
|
|
|
|
RE: Список вредоносных процесов - 2010-06-16 16:23:14.023333
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Тупая малварь аттачась к легальному процессу оставляет хендл (иногда специально некорректный), обойдя их можно прибить малварь по имени экзешника.
Лучше составить список легальных процесов, путей их размещения и вероятного размера, и уже от обратного искать нелегальные.
Тем более то что щас твориться в семерке и висте, таких имен в xp нет небыло и не будет.
Ну по тем из последних:
тупо цифры - системных таких нет в принципе
explorer - добавляют в конце букву или ещё встречал что буквы "е" меняют на русские, эх я долго искал
svchost с двойными буквами, с русскими "с" и "о"
csrss (это легальное имя) коверкают как угодно меняя одну букву или удваивая (утраивая) другие
smss - аналогично
wininit (легальное имя) - тупо переставляют буквы местами
services (легальное имя) - подделывают путем замены на русские буквы или меняя буквы местами
ctfmon (тоже любимец) - коверкают путем перестановки букв
трехбуквенные процессы из папки отличной от windows и в неё входящих.
Это за последний месяц встречал, из тех что в диспечере задач не сразу глаз режут.
|
|
|
|
|
RE: Список вредоносных процесов - 2010-06-16 17:54:59.396666
|
|
|
Refresh
Сообщений: 606
Оценки: 0
Присоединился: 2006-04-08 20:00:54
|
quote:
Родригес про маскировку знаю, тем не мение, даже замаскировавшиеся процессы можно оприделить по тому количеству памяти сколько они берут. А программу пишу сугубо для себя
Сколько памяти будет жрать процесс зависти от кучи всего… взять например svchost. Тебе тогда надо будет запускать прогу что бы она собирала статистику на ТВОЕЙ, заведомо незараженной машине. Потом анализировала потребление памяти и опираясь на собранную статистику делала вывод о правильном поведении процесса, а это уже нечто типа "проактивной защиты".ИМХО.
UPD: возможно тут найдешь что нить интересное и нужное http://www.securitylab.ru/processinfo/
|
|
|
|
|
RE: Список вредоносных процесов - 2010-06-16 20:14:50.963333
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Начнём с того, что писать защиту основываясь на имени процесса, глупость несусветная. Любой процесс, как легальный, так и не легальный может иметь любое имя. И это имя зависит часто только от фантазии создателя. Как правильно заметил Ltonid, уж куда правильней отслеживать имена легальных процессов. Но тут тоже не без ложки дерьма. Можно спокойно заметить легальный файл, на нелегальный, или же добавить в поток легального процесса свой нелегальный сервис.
Что бы было понятней, предлагаю самому сделать простой опыт. Скачать отсюда http://technet.microsoft.com/ru-ru/sysinternals/bb896653.aspx Process Explorer, и запустить его. Достаточно щелкнуть про любому процессу svchost , перейти в его свойства и посмотреть на вкладки Службы и Потоки. Сразу станет понятней, что и как можно попытаться внедрить в данный процесс. При этом, заметь, имя процесса не меняется, и твоя защита в таком случае будет пролетать.
Нужно делать защиту на действие. На изменение отдельного файла, на изменение параметров оси, например сетевых параметров, на запуск каких-то процессов, которые в данной конфигурации не должны выполняться.
|
|
|
|
|
RE: Список вредоносных процесов - 2010-06-16 20:59:36.516666
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Отстойная идея.
|
|
|
|
|
RE: Список вредоносных процесов - 2010-06-16 21:29:21.290000
|
|
|
Lauri
Сообщений: 1096
Оценки: 73
Присоединился: 2010-01-04 14:03:18.723333
|
Я пишу лиш для того, что б посмотреть на что я способен, ради интереса zzsnn, Refresh,Ltonid спасибо за достойные ответы!
|
|
|
|
|
RE: Список вредоносных процесов - 2010-06-17 17:01:45.143333
|
|
|
DeSTRo
Сообщений: 1885
Оценки: 20
Присоединился: 2008-01-17 14:28:02.940000
|
я думаю такая прога уже есть)))) интуитивно показывает "хреновые" процессы.
Если в сабж, то обычно вредный процесс это всегда набор букв. Редко когда связное слово. Например Ltonid.exe :)
|
|
|
|
|
|
