Nesu tikras, ar tai, ką aš ieškau, bet radau šį įrankį iš "Microsoft".
http://support.microsoft.com/kb/102870
Jis sukuria daug C++ failų. Tikėtinai pranešimą apie Master Boot Record. Aš galvojau, kad paleisti ant švaraus komputeras tada daryti palyginimą po infekcijos. Aš esu susirūpinęs, kad ši priemonė gali būti apgaulė su gera rootkit.
kaip GMER atkreipia dėmesį į savo straipsnį į šią nuorodą http://www2.gmer.net/mbr/
"Norėdami paslėpti realaus turinio MBR ir kitų sektorių iš AV skaitytuvams Rootkit kabliukų" \ Driver \ diske "IRP_MJ_READ. Paprastai, kai API glasis sektorius 0 (MBR) rootkit pakeičia diskas IRP_MJ_READ skambinti ir grąžina kopiją originalios MBA saugomi sektoriuje 62 . Antras kabliu (IRP_MJ_WRITE) apsaugo nuo Išbraukta / perrašyti. "
Taigi, jei \ Driver \ disko IRP_MJ_READ yra hooked pateikė gerą rootkit. Ši priemonė gali būti neveiksminga.
Ir jis taip pat nebuvo aišku straipsnį, jei GMer reguliariuosiuose skaitytuvas gali aptikti šią arba
Ar kas nors čia žino apie tai?
No comments:
Post a Comment