Среда, 09.10.2024, 03:46
Приветствую Вас, Гость | RSS
Вход на сайт
Поиск
Главная » Статьи » Компьютерная хирургия

Хинты при лечении вирусов
То что посоветую, вряд ли пригодится многим, так как требует некоторой квалификации.
Так что читайте только те,кому надо и кто поймёт, о чём речь.

В последние пару лет для получения монопольного доступа к павшей винде очередного пострадавшего я пользуюсь исключительно собранным мной и сотоварищами диском на базе барта у которого ничего лишнего нет, кроме жизненно важных внедренных полутора сотен дрофчиков сата-рейд (чтобы, все винты виделись) + скирдятник акронисов + сборка тотала моего полива с кучкой утилит и плагинов+корректная русификация шрифтов.
Другие плагины и рюшечки мне не впали.
Что ещё использую? Пять портативных версий антивирусов (мастерил сам, а для каспера конструктор вообще написан собственноручно). Таскаю их на флехе. Ессно обновляю и генерю новые портаблы каждый день.
Итак, сценарий (на любой стадии может прерваться):

1) грузимся на жертве с барта.
2) получаем монопольный доступ к убитой винде, и загаженному винту.
3) сканим винт на предмет ошибок акронисом (у акрониса для этого отличный и незаслуженно редко используемый многими инструментарий). иногда на этой стадии заканчиваются проблемы, так как либо банальные ошибки фиксятся и винт "оживает", либо обнаруживаем жуткие бэды и винт отправляем на колбасу.
4) запускаем тотал и делаем первый проход ручками, убивая явно тупорыльную и очевидную даже для невооруженного взгляда вирусню.
5) второй ручной проход тоталом. хитрим с масками поиска файлов. согласитесь,что если, например, вы видите, что через каждую папку в каталогах лежат экзешники с именем папки и одинаковым размером, то оусуществив поиск по маске "exe+размер 128 кб" вы отшелушим море примитивного вирусного г...? (вывод на панель+шифтдилит). ну и в тому подобном стиле.
6) теперь копаем глубже.
салитиофф на старт. салити есть у всех редисок. это факт!
быстренько выносим с винта эту заразу. попутно плагинчиками для тотала разблокируем реестр, диспетчер задач и т.д.
7) теперь настало время глубокого скана. напомню, у меня 5 аверов. можно рехнуться, ожидая пока каждый просканит винт.
но я это не делаю. тут есть мою ноу-хау :-)
МАСКИ ПОИСКА МАКСИМАЛЬНО СКЛОННЫХ К ЗАРАЖЕНИЮ ФАЙЛОВ!
все очень просто. раньше все аверы умели быть консольными. и умели работать с максами. сейчас таких мало. а если и остались такие, что умеют работат консольно, то только не в среде барта. ему гуи подавай для скорости работы. а в гуи не всегда с масками удобно.
но я хитрю.
последовательно : тотал, папка докэндсет, програмфайлес, винда. в каждой отсеиваем файло по групповой маске:
*.EXE;*.COM;*.DLL;*.SYS;*.VXD;*.BAT;*.DRV;*.SCR;*.CMD;*.VB;*.JS;*.INF;
*.SWF;*.DOC

и результат поиска выводим на панель.
дальше все обалденно просто.
помечаем все и скармливаем по очереди портабельным аверам и получаем возможность раз в 5 сократить время поиска вирусов, сохранив 99 процентную вероятность непропускания действительно потенциально зараженных файлов.
кто в танке, тот поймёт мой финт.

8) ну и по мелочи после всего вышенаписанного приводим всё в порядок.

в принципе, часто этого достаточно, хотя бывает и много нюансов.


Источник: http://cracklover.livejournal.com/6150.html
Категория: Компьютерная хирургия | Добавил: truvo (06.02.2011)
Просмотров: 692 | Рейтинг: 0.0/0
На сайте
Онлайн всего: 1
Гостей: 1
Пользователей: 0