1. This site uses cookies. By continuing to use this site, you are agreeing to our use of cookies. Learn More.

Нескромный вопрос по поводу фроста

Discussion in 'Архив' started by CoarseBonePowder, Jan 2, 2011.

Thread Status:
Not open for further replies.
  1. CoarseBonePowder

    CoarseBonePowder User

    Joined:
    17.03.10
    Messages:
    242
    Likes Received:
    14
    дело было так. после последнего обновления фроста после запуска линейки через несколько минут начинались страшенные тормоза. комп на срок до минуты замирал, только мышь двигался, и то с трудом. потом лаг заканчивался, линейка иногда продолжала работать, иногда отрывалась. на компе стоит антивитрус mse, запускатор и линейка в исключениях. что - то с этим нужно было делать,решил я перепровериться насчет вирусов. mbam выдал мне два "плохих" файла в %systemroot%\system32. файлы лежали в пассивном, незадействованном состоянии, mbam не обнаружил ссылок на их запуск. тем не менее после удаления этих файлов лаги пропали.

    в связи с этим у меня вопрос. фрост таки шарится по виндовым директориям или же он этого не делает ? точно не помню, но вроде я видел краем глаза заверения администрации, что фрост не сканирует директории, отличные от директории игры.
     
  2. Radix

    Radix Innova Group

    Joined:
    10.02.10
    Messages:
    6,061
    Likes Received:
    224
    да проще все на самом деле.
    перехвачены
    zwopenprocess
    zwquerysysteminformation
    zwqueryvirtualmemory
    zwreadvirtualmemory
    zwwritevirtualmemory
    из ntdll.dll

    также есть system-wide нотификация о создании/завершении процессов системы, а также модификация sdt (service descriptor table), т.е. перехват осуществлен на уровне ядра (вас должно интересовать то, что все приложния явно использующие sdt и не имеющие способности к ее автовосстановлению подвержены прохождению через фильтр-драйвер frost). все. даже мифов строить не нужно.

    показал бы и в исходных кодах, только зачем? да и по шапке получить можно, думаю.
     
    Last edited by a moderator: Jan 2, 2011
  3. CoarseBonePowder

    CoarseBonePowder User

    Joined:
    17.03.10
    Messages:
    242
    Likes Received:
    14
    я тогда просто теряюсь, как можно объяснить болезненную реакцию системы на нахождение определенных файлов в системной директории. как - нибудь я все же отнесу эти два файла на заведомо чистую систему, положу в windows\system32 и посмотрю, как фрост отреагирует. то, что фрост занимается мониторингом активных действий, на мой взгляд, еще не значит, что он на досуге не сканит посторонние директории ;)
     
  4. Radix

    Radix Innova Group

    Joined:
    10.02.10
    Messages:
    6,061
    Likes Received:
    224
    не поняли вы меня. это незачем пока делать, поверьте.
    даже всеми любимые лаунчеры, как альтернатива запускатру, прекрасно попадают под его прицел (базовый функционал создан уже очень давно, но до сих пор оправдывает себя). вопрос только в том, что бан-хамер не включают ;) пока не включают.

    я не хочу сказать, что это пик защиты - наоборот, очень многое в нем очень слабо пока реализовано (к слову, те же api особенности createprocess не учтены полностью), другие элементы - деструктивны в некоторых смесях (имею в виду с другим по), и т.д. и т.п. но критиковать просто, а вот отработать этот вопрос, воплотив в новые версии - дело другое, и идет оно крайне туго пока.


    что касается файлов - если интересно, то давайте их мне в лс, проанализирую. ну а хотите - сами займитесь, потом расскажете.
     
Thread Status:
Not open for further replies.