Не знаю как, но завелся зверь на моей машине. Зверь приватный. Открыл FTP сервер (открытый порт виден только при скане с другой машины), снял несколько перехватов антивиря/фаера. Опоссум его не видит (здесь зверю спасибо - нашел способ обхода последнего опоссума) При запуске RKU выдает, что некий удаленный тред его хочет поиметь и имеет Сейчас разбираюсь с загруженными дровами. Попутно хочу посмотреть через что сделан sdt restore у RKU (не снимает ). SDTrestore-0.2.zip смотрел.
А ключ от квартиры где деньги лежат? =) Хотя снятие SDT перехватов не такая уж и сложная вешь. Портирую STDRestore в r0. ну или можешь поискать сорцы на форуме, я что-то подоюное выкладывал.
Попробуй GMER. А вообще apple, руткит может просто восстанавливать свои хуки со скоростью света их проверяя, так что тут нужно ликвидировать хукер, а не хуки.
Удалил уже. Если вам нужен обход агнитума, то там все просто - надо анхукнуть NtCreateThread (FILTNT.SYS) - и вся проактивка отключается. У меня версия 4.0.1024.7809 (700).
apple Снятие хука с NtCreateThread должно происходить с Ring0 или можно как то анхукнуть из ЮзерМода? (извините за тупой вопрос )