Как определить что файлы ядра были изменены на диске?

сабж
файлы ядра изменены и кэш для восстановления тоже - как можно это определить, т е уверждать на 100% что это уже случилось?

 

как узнать что какой-то файл изменен не зная его содержания?

 

Вычисли контрольную сумму секций каждой отдельно + PE заголовка. Потом сравнить данный файл с оригиналом по етих контрольных суммах. Работает в 99.9% случаев. Если считать по CRC всего файла - вероятность будет не более 95% (смотря как его изменили)

 

с каким оригиналом? хотим узнать изменяли ли файл. где взять оригинал?

 

Гыгы ето надо заранее просчитать, когда файл оригинальный. Можно у кого-то точно-такой же файл взять напр. с одинаковой версией и с той-же версии винды.

Впрочем за оригинал сойдёт уже загруженый файл в память если конечно его не перечитали с диска (напр. файлы ядра как правило перечитываются при рестарте системы или cлужбы)

 

т е лучший вариант - это достать где-то контрольные суммы файлов ядра разных версий?
и где это достать?
а версий ядра сколько?
это вед всякие обновления могли тоже повлиять? или нет?

 

1. В ручную посчитать ImageBase
если заявленный в заголоке и просчитанный вручную не совпадает - значит с вероятностью 70% файл был дополнен чужим кодом. 30% на провал, если заголовок восстанавливается тоже

2. Попытаться вручную привести файл к исходному виду. Т.е. выделить буффер, разместить в нем секции по Physical Offset-у. Сравнить секции .text и .reloc у файла на диске и в памяти в буффере. Если более 40% несовпадения - файл был модифицирован или криптован чем-то после сборки.

3. Проверить промежуток между (BASE+0x3C) -указатель на РЕ и непосредственно РЕ. Если разный на диске и в памяти -файл 100% чем-то криптован или модифицирован после сборки.

 

Нет я имел введу, что crc надо считать програмно, потому как в заголовке PE она указывается для всего файла, а посекцыонные сrc сомневаюсь что где-нибуть можно откопать.

Сам файл скорее всего будет очень мало отличатся или вовсе не отличатся в пределах одной версии и одного и того-же сервиспака винды на разных компах. Но надо всё-таки посмотреть чтобы различия в версиях файла были минимальные.

Обновления понятно что влияют но при етом заодно меняется и версия файла.

 

Лучший вариант - достать непосредственно эти файлы, а далее сравнивать тоталом.

 

ваще тема канешно лол )
если это нада делать в каком-то софте и
если нет инсталяции виндозы (колекции оригинальных файлов) то можно вытянуть с мс сайта (с того сервера с которого символы тянуться), как-то видел kd вытягивал бинарники ядра вместе с символами

 

rain

нужно не делать софт а проверить в данный момент свою машину

 

не легче просто свежую венду поставеть?

 

Хм... почему?

Как еще проверить что на данной машине ядро было изменено?
Если знаешь подскажи - а смеяться все мастера

 

Freeman
Очень просто - но времени бывает нет - на все эти переустановки

И вообще - как обэтом узнать? При любом подозрении переустанавливать систему?) Неужели если изменить файлы и в кеше и в system фолдер, то уже и отследить не возможно
как то ведь можно

 

zoool

Что значит пощитать ImageBase? Эта база по которому если память будет свободна спроэцируется файл, как ты собрался ее щитать?

Мож ты имел ImageSize то с вероятностью 100% его при изменении файла тоже перещитают.

 

PaCHER
Блин
Ты прав
имелось ввиду ImageSize

ImageSize = LastSectionRVA + LastSectionSize

Вот только последняя секция криптора. При восстановлении образа, ImageSize в РЕ обычно не трогают. Восстанавливают только секции. А размер образа криптованного файла как правило несколько больше, чем оригинального, хотя физический размер меньше.

 

ну дык n0name ответил во втором посте, если файла оригинала нет и не сделано никаких предварительных тедлдвижений в этом направлении то понятное дело никак. А так вообще если тебе разово нужно провериться то неужели так сложно взять болванку с которой установлен дистрибутив или найти файл в сети, накрайняк уж запустить иду и проверить вытянет ли она pdb'шник (по идее если файл фейковый то не должна) и проверить?

 

rain

ага - вот это стоит попробовать - пасиб

 

UTeX


Припрямой записи на диск используя порты HDD файл меняется, только если он в кеше Widows то НИКАКИМИ обычными способами до перезагрузки эти изменения обнаружить неудасться. Проверено (2000 XP 2003 Vista)

 

На худой конец можно просто с установочного диска репейр сделать.