Есть ли некоторый файловый браузер, который использует низкоуровневые функции для просмотра жесткого диска?
У меня есть Windows 7, жесткий диск NTFS. Я обнаружил файлы руткита, но не могу удалить их через Windows Explorer, очевидно, потому что они не видимы. Есть ли некоторый другой файловый браузер, который использует низкоуровневые вызовы функции, понизьте тот API победы, так, чтобы я мог попытаться видеть и изучить эти файлы перед удалением. Я знаю точные местоположения. Я знаю, что могу загрузить некоторый живой CD и удалить их, но интересно о первом возможном решении.
3 ответа
Windows целеустремленно пытается предотвратить Вас от прямого доступа к аппаратным средствам - это - вид точки.;) Таким образом, если Windows был поставлен под угрозу Руткитом (особенно уровень ядра один) затем, в значительной степени необходимо получить доступ к файловой системе от другой ОС (Windows или не - просто не зараженная ОС), чтобы сделать что-либо с файлами заражения.
Из Википедии:
"Фундаментальная проблема с обнаружением руткита состоит в том, что, если операционная система ниспровергалась, особенно руткитом уровня ядра, ей нельзя доверять для нахождения несанкционированных модификаций к себе или его компонентам. Действиям, таким как запрос списка выполнения процессов или списка файлов в каталоге, нельзя доверять для поведения как ожидалось. Другими словами, детекторы руткита, которые работают при работе зараженных систем, являются только эффективными против руткитов, которые имеют некоторый дефект в их камуфляже или то выполнение с более низкими полномочиями непривилегированного режима, чем программа обнаружения в ядре"
От страницы RootkitRevealer MS:
"Есть ли верный способ знать о присутствии руткита?
В целом, не из рабочей системы. Руткит привилегированного режима может управлять любым аспектом поведения системы так информация, возвращенная любым API, включая необработанные чтения Структуры данных реестра, и данные файловой системы, выполненные RootkitRevealer, может быть поставлен под угрозу. В то время как сравнение сканирования онлайн системы и офлайнового сканирования от безопасной среды, такой как начальная загрузка в основанную на CD установку операционной системы более надежно, руткиты могут предназначаться для таких инструментов для уклонения от обнаружения даже ими."
Надежда, которая помогает...
Начальная загрузка с CD Ubuntu для просмотра диска
Похожая статья здесь
.
Вы были бы более обеспеченным использованием метода ниже для дезинфекции ПК
.
1.) На ПК, который Не заражен, Сделайте начальную загрузку, которую диск AV затем загружает от диска на Зараженном ПК и сканирует жесткий диск, удаляет любые заражения, которые это находит, я предпочитаю диск Kaspersky сам. Новый диск Kaspersky 2010 года может обновить dat-файлы AV, если Вы подключены к Интернету во время сканирования, и предлагается обновить перед сканированием.
http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/
2.) Затем: Установите свободный MBAM, запустите программу и перейдите к вкладке Update и обновите его, затем перейдите к Вкладке Сканера и сделайте быстрое сканирование, выберите и удалите что-либо, что это находит.
http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html
3.) Когда MBAM сделан, устанавливают бесплатную версию SAS, выполняют быстрое сканирование, удаляют то, что это автоматически выбирает. http://www.superantispyware.com/download.html
Эти последние 2 не являются программным обеспечением AV как Norton, они - по требованию сканеры, которые только сканируют для nasties, когда Вы запускаете программу и не вмешаетесь в Ваш установленный AV, они могут быть выполнены один раз в день или неделя, чтобы гарантировать, что Вы не заражены. Убедитесь, что Вы обновляете их перед каждым ежедневно-еженедельным сканированием.
.
GMER был бы хорошим началом для обнаружения то, что тут же, Вы могли загрузить Живой CD и скопировать файлы, которые Вы хотите к другому месту/разделу или карте с интерфейсом USB - инструменты на Разделенном Волшебстве помогли бы Вам сделать это.
GMER является приложением, которое обнаруживает и удаляет руткиты. Это сканирует для:
- скрытые процессы
- скрытые потоки
- скрытые модули
- скрытые сервисы
- скрытые файлы
- скрытые Альтернативные Потоки данных
- скрытые ключи реестра
- драйверы, сцепляющие SSDT
- драйверы, сцепляющие IDT
- драйверы, сцепляющие вызовы IRP
- встроенные рычаги