Всем доброго времени суток. Поймал какую то гадость. Нашел её следы в драйверах(видимо руткит)...Этот трой спёр пароли...ОООчень хочу найти адрес админки... Выкладываю сам драйвер который скорее всего скрывает исполняемый файл..Помогите пожалуйста найти всё необходимое!!! http://webfile.ru/5545284 пароль на архив 777 Заранее спасибо...
Так вот я его и хочу найти... Есть слепок диска... Сделан с помощью FTK Imager. Проверил подмонтированные диски нодом, он указал на этот драйвер. Нужно найти исполняемый файл который этим драйвером "прикрывается"... Подскажите как это сделать...
Проверь автозагрузку, скачай любой расширенный диспетчер задач, коих в нете море (я юзаю Process Explorer и Process Monitor). Также, желателен подробный просмотр интернет-трафика.
в подавляющем количестве случаев достаточно с неактивной системы скопировать файлы реестра и примонтировать их на свой системе и спокойно изучить. Также возможность загружать реестр неактивной системы есть у программы Autoruns от Марка Руссиновича http://download.sysinternals.com/Files/Autoruns.zip
Сперва мне пришла идея поискать IoCreateDevice/Symlink, и по этой строке сканить дамп диска, однако там этого плейн текстом не оказалось зато с DriverEntry идет раскриптовка: с первым PVOID pcode = ExAllocatePool(...) выделяется буфер, в который раскриптовывается код, пул соотвтественно невыгружаемый. и в конце DriverEntry, что не удивительно, передается управление на pcode + 80. что там за код - не могу сказать - вмвари нету под рукой.