у кого вин7 32х разрядная. просканьте с рку! у кого нет - вот http://www.sendspace.com/file/86pp7c вопрос такой. после перезагрузки и буквально через 5-6 минут после логина в систему на вкладке Stealth Code появляется неизвестный поток. само по себе антивирус, вмваря, виртуалдиски разные уже работают. я уже винду изза паранойи сносил - но тоже самое и на свежей голой системе. уж не руткит ли какой?
sn0w Надо открыть еще 100500 тем и тогда тебе обязательно помогут. Я тебе уже сказал ответ в SOFTWARE.
Скорее всего, ТС увидел потоки TpWorkerThread от Thread Pool новой подсистемы в Win7 Они и у меня есть Это ничего не означает. Короче, sn0w, расслабься
Я такое видел только как след от выгруженного spsys.sys (если взять его базовый адрес и длину + посмотреть стартовый адрес этого чудо потока). То что я видел имело еще и Terminatated state. Сей крап будет задавлен в следующем билде.
Я ProcessExplorer'ом видел кучу потоков с точкой входа ntdll!TpWorkerThread, которые относятся к новой подсистеме Thread Pool, судя по префиксу. И бывают они без всяких spsys.sys. Я просто говорю ТС, что это не руткит, просто потребности ntdll
Нет. Ничего паблик не будет, внутренние инструменты давно разработаны. Из доступных альтернатив учитесь пользоваться отладчиком windbg (см. статью моего друга Френка http://www.reconstructer.org/papers/Hunting%20rootkits%20with%20Windbg.pdf). Мое личное мнение, антируткиты должны умереть вместе с 32 битами. Чем быстрее канет в лету это кошмарное legacy тем лучше. Проблемы которые они решали должны и будут решаться на другом уровне. Это оффтоп в оффтопе.
Подписываюсь под каждым словом. Для детектирования аномалий и всяческих перехватов - рулят отладчики со специальными скриптами. Для детектирования объектов (скрытые/подменяемые файлы и бутсектора, реестр, итд.) - есть более подходящие способы, от которых by design невозможно скрыться.
