1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.

Нескромный вопрос по поводу фроста

Тема в разделе "Архив", создана пользователем CoarseBonePowder, 2 янв 2011.

Статус темы:
Закрыта.
  1. CoarseBonePowder

    CoarseBonePowder User

    Регистрация:
    17.03.10
    Сообщения:
    244
    Симпатии:
    14
    дело было так. после последнего обновления фроста после запуска линейки через несколько минут начинались страшенные тормоза. комп на срок до минуты замирал, только мышь двигался, и то с трудом. потом лаг заканчивался, линейка иногда продолжала работать, иногда отрывалась. на компе стоит антивитрус mse, запускатор и линейка в исключениях. что - то с этим нужно было делать,решил я перепровериться насчет вирусов. mbam выдал мне два "плохих" файла в %systemroot%\system32. файлы лежали в пассивном, незадействованном состоянии, mbam не обнаружил ссылок на их запуск. тем не менее после удаления этих файлов лаги пропали.

    в связи с этим у меня вопрос. фрост таки шарится по виндовым директориям или же он этого не делает ? точно не помню, но вроде я видел краем глаза заверения администрации, что фрост не сканирует директории, отличные от директории игры.
     
  2. Radix

    Radix Innova Group

    Регистрация:
    10.02.10
    Сообщения:
    5.539
    Симпатии:
    224
    да проще все на самом деле.
    перехвачены
    zwopenprocess
    zwquerysysteminformation
    zwqueryvirtualmemory
    zwreadvirtualmemory
    zwwritevirtualmemory
    из ntdll.dll

    также есть system-wide нотификация о создании/завершении процессов системы, а также модификация sdt (service descriptor table), т.е. перехват осуществлен на уровне ядра (вас должно интересовать то, что все приложния явно использующие sdt и не имеющие способности к ее автовосстановлению подвержены прохождению через фильтр-драйвер frost). все. даже мифов строить не нужно.

    показал бы и в исходных кодах, только зачем? да и по шапке получить можно, думаю.
     
    Последнее редактирование модератором: 2 янв 2011
  3. CoarseBonePowder

    CoarseBonePowder User

    Регистрация:
    17.03.10
    Сообщения:
    244
    Симпатии:
    14
    я тогда просто теряюсь, как можно объяснить болезненную реакцию системы на нахождение определенных файлов в системной директории. как - нибудь я все же отнесу эти два файла на заведомо чистую систему, положу в windows\system32 и посмотрю, как фрост отреагирует. то, что фрост занимается мониторингом активных действий, на мой взгляд, еще не значит, что он на досуге не сканит посторонние директории ;)
     
  4. Radix

    Radix Innova Group

    Регистрация:
    10.02.10
    Сообщения:
    5.539
    Симпатии:
    224
    не поняли вы меня. это незачем пока делать, поверьте.
    даже всеми любимые лаунчеры, как альтернатива запускатру, прекрасно попадают под его прицел (базовый функционал создан уже очень давно, но до сих пор оправдывает себя). вопрос только в том, что бан-хамер не включают ;) пока не включают.

    я не хочу сказать, что это пик защиты - наоборот, очень многое в нем очень слабо пока реализовано (к слову, те же api особенности createprocess не учтены полностью), другие элементы - деструктивны в некоторых смесях (имею в виду с другим по), и т.д. и т.п. но критиковать просто, а вот отработать этот вопрос, воплотив в новые версии - дело другое, и идет оно крайне туго пока.


    что касается файлов - если интересно, то давайте их мне в лс, проанализирую. ну а хотите - сами займитесь, потом расскажете.
     
Статус темы:
Закрыта.