12.05.2007, 23:43
|
|
Познавший АНТИЧАТ
Регистрация: 25.08.2006
Сообщений: 1,524
Провел на форуме:
3405508
Репутация:
1745
|
|
Process-Injection и обход проактивных защит, контролирующих WriteProcessMemroy и другие API, обычно файры ставят хуки на SST - вот их и надо снимать, правда тут тоже есть свои тонкости. если это SpyWare/Loader и т.д, то самым простым методом является, пожалуй обход через сервис BITS, встроенный по умолчанию в операционную систему для автоапдейтов Microsoft Windows. работает он "официально" в контексте svchost.exe используя для передачи данных только HTTP GET-метод. Остальные методы здесь описаны очень хорошо: http://www.wasm.ru/article.php?article=outpostk
вот это посмотри еще все:
http://hellknights.void.ru/
http://www.0x48k.cc/
http://www.wasm.ru/
http://www.rootkits.ru/
(с) Cytech
Последний раз редактировалось KPOT_f!nd; 12.05.2007 в 23:45..
|
|
|