Greyman
04-04-2006, 10:35
GrubТак что грешить на службу как-то не хочется.
На чью службу? На службу АРМ - да, не стоит. Но вот что стучиться с сервака - это вопрос и в этом и стоит разбираться. Как вариант, это может быть штатная ситуация, но может быть и что-нить вредное, надо разбираться...Тогда почему все время протокол UDP? Что может работать на этом порту из системных служб? AnVir Task Manager родительским процессом у всех svchost.exe показывает services.exe
Я уже писал про недостаток того, что аутпост не паказывает ИД-процессов. Указанный родительский процесс говорит как раз о том, что идет запуск сужб. Ну а сам принцип работы svchost.exe вообще практически не позволяет определить, к какой конкретно службе стучится сервак. Про сам это процесс можно посмотреть у микрософта:
Описание процесса Svchost.exe в Windows XP (http://support.microsoft.com/default.aspx?scid=kb%3Bru%3B314056)
Т. о. один отображаемый в списке задач процесс запускает целую группу служб и методом отключения можно определить тоолько эту группу. Для определения же конкретной службы, а соответственно и ее подозрительной *.dll необходимо проделывать утомительную работу по проверке служб из конкретной группы, задавая их отключение и запуск и проверяя работу машины. Может у мелкомяхких и была какая-то мысль, но то, что они не могли выделить запуск отдельных библиотек в отдельные процессы, кажется большой глупостью, когда речь заходит о подобной отладке.
Т. е. варинт "трояна" таки возможен. Первый приходящий в голову - это заражение библиотеки одной из стандартный служб. Однако т. к. они все подписаны, то командой SFC подобное заражение легко ликведируется (если не рассматривать вариант руткитов). Однако возможна подсадка трояна так, что в сервисах прописывается дополнительная служба со своими параметрами, соответственно не содержащая подписи MS, возможно с "подходящим" названием, заносится в одну из групп svhosts и ставится ее автоматическая загрузка. В этом случае троянская библиотека будет грузится на равне со стандартными службами и система ничего не будет видеть в этом подозрительного.
Как вариант, можно собрать все *.dll загружаемые svhosts (определяется анализом соответствующих ключей реестра) и проверить их в инете на мультиантивирусных сканерах (ссылка есть в объявлениях в разделе ИБ). Я бы наверное начал бы именно с этого, если бы подозревал именно смою тачку, а не сервер.
На чью службу? На службу АРМ - да, не стоит. Но вот что стучиться с сервака - это вопрос и в этом и стоит разбираться. Как вариант, это может быть штатная ситуация, но может быть и что-нить вредное, надо разбираться...Тогда почему все время протокол UDP? Что может работать на этом порту из системных служб? AnVir Task Manager родительским процессом у всех svchost.exe показывает services.exe
Я уже писал про недостаток того, что аутпост не паказывает ИД-процессов. Указанный родительский процесс говорит как раз о том, что идет запуск сужб. Ну а сам принцип работы svchost.exe вообще практически не позволяет определить, к какой конкретно службе стучится сервак. Про сам это процесс можно посмотреть у микрософта:
Описание процесса Svchost.exe в Windows XP (http://support.microsoft.com/default.aspx?scid=kb%3Bru%3B314056)
Т. о. один отображаемый в списке задач процесс запускает целую группу служб и методом отключения можно определить тоолько эту группу. Для определения же конкретной службы, а соответственно и ее подозрительной *.dll необходимо проделывать утомительную работу по проверке служб из конкретной группы, задавая их отключение и запуск и проверяя работу машины. Может у мелкомяхких и была какая-то мысль, но то, что они не могли выделить запуск отдельных библиотек в отдельные процессы, кажется большой глупостью, когда речь заходит о подобной отладке.
Т. е. варинт "трояна" таки возможен. Первый приходящий в голову - это заражение библиотеки одной из стандартный служб. Однако т. к. они все подписаны, то командой SFC подобное заражение легко ликведируется (если не рассматривать вариант руткитов). Однако возможна подсадка трояна так, что в сервисах прописывается дополнительная служба со своими параметрами, соответственно не содержащая подписи MS, возможно с "подходящим" названием, заносится в одну из групп svhosts и ставится ее автоматическая загрузка. В этом случае троянская библиотека будет грузится на равне со стандартными службами и система ничего не будет видеть в этом подозрительного.
Как вариант, можно собрать все *.dll загружаемые svhosts (определяется анализом соответствующих ключей реестра) и проверить их в инете на мультиантивирусных сканерах (ссылка есть в объявлениях в разделе ИБ). Я бы наверное начал бы именно с этого, если бы подозревал именно смою тачку, а не сервер.