Dnia Wed, 19 May 2010 18:32:19 +0200, Marek napisał(a):

>> Za to moze to robic rootkit lub trojan.
>
> Tylko jak obciążyć komputer i nie wykazać tego w pomiarach?

Pisalem o tym, przeciez jesli jest np. funkcja w winapi do pomiaru czasu
jaki proces "zjadl" procesorowi:

BOOL GetProcessTimes(

HANDLE hProcess, // specifies the process of interest
LPFILETIME lpCreationTime, // when the process was created
LPFILETIME lpExitTime, // when the process exited
LPFILETIME lpKernelTime, // time the process has spent in kernel mode
LPFILETIME lpUserTime // time the process has spent in user mode
);

to gdy rootkit zalozy hooka na te funkcje, i bedzie nia sterowal to chyba
nie jest problemem pokazac co mu pasuje, prawda? I tak z kazda funkcja moze
byc, nawet z tymi niskopoziomowym.

> Pytam trochę teoretycznie gdyż wirusa itp. od lat nie widziałem. KIS jest bardzo
> skutecznym softem - nie sądzę aby sprzęt od lat łapał w kółko te same

Nod32 tez jest skuteczny, a jednak... lapie.

>> Obciazenie moze sie rozkladac pomiedzy wszystkie procesy, bo de facto hook
>> dziala w konktekscie kazdego procesu.
> Tylko prawie wszystkie pokazują 0. Jeśli jest to nawet średnio 0.5 * ilość
> procesów = 10% maksymalnie.

Pisalem wyzej o hookowaniu, tu to samo z funkcja pokazujaca biezace
obciazenie.

> KIS w końcu wykryłby go. Kiedyś zawziąłem się i skanowałem dysk i w trybie
> awaryjnym

Nie wykrylby aktywnego rootkita, jak wyzej, wystarczy hook na funkcje
OpenFile/CreateFile/xxxFile i KIS, NOD i kazdy inny antywir widzi piekny
czysty plik, bo rootkit pokaze to co chce pokazac w pliku.


> i w zewnętrznym komputerze - czysto. Takie rzeczy to rutynowe

Tak, zewnetrzny i _czysty_ komputer jest sensownym, szybkim i skutecznym
rozwiazaniem problemu.

> działania. Gdybym tego nie zrobił to nie zanudzałbym Ciebie pytaniami :-)

A jesli nie pomoglo to zaczynam podejrzewac magie :-)

--
pozdrawiam
Norbert