Доброго времени суток Надеюсь создал тему в правильном разделе, столкнулся с проблемой что вполне "белый" драйвер палиться nod32 как New PE heur virus, драйвер используется для запрещения "особо" умным сотрудникам некоторых действий. Что посоветуете?потому что на машинах так же установлен nod.
1) снести нод 2) попробовать поискать криптор для драйвера 3) в ноде должны быть настройки для исключений
Авира палит мой сэмпл к одной из статей васма как rootkit.gen чисто по функциями которые он импортирует. Чему удивляться)
немного переписать драйвер, видоизменить, оптимизоровать, и так далее довольно-таки полезный совет если nod32 установел всех компах организации, то даю 99% что он лицензионный
_int2e_ Не совсем так. Криптовать нужно только если вредонос изначально не в виде базонезависимого кода сделан. Тоесть например написал товарищ драйвер, скопипастил код откудато, а скомпилилось как обычно в импорте KeAttachProcess, IoCreateDevice.. etc. Для подобного драйвера необходима криптовка, дабы сокрыть импорт не нарушая функционала. Нормально так даже в юзермоде не делается, именно подобные вредоносы и называются поэтому гуано. Нормально код должен быть базонезависимым, весь необходимый функционал определяться динамически на лету. Это позволяет перемещать в память само тело, архивировать и криптовать его как простой массив данных, а импорт добавляется для того, чтобы не палилось как XPack.Gen и пт., но это не есть криптовка, добавляется несколько апи в импорт для обхода эмулятора, ресурсы не палятся и палится никогда не будут.
Clerk в данном случае это не руткит, по крайней мере он не юзается в какой либо малваре вот это интерессно, а есть статьи про базонезависимость кода в r0?с юзермодом всё просто, а про дрова натыкаюсь первый раз. ща заюзою поиск
Какие там статьи, ну обращайся к памяти через дельтаофсет и всё, остальное - дизасмить функции, экспорт динамически находить, всё просто.
planet ну так или иначе это можно использовать как рк в малваре, поэтому не думаю что это поможет, проблему уже криптом решил.
