WiLD: SFC и хеш-сумма. Проверка системных файлов*

Dragokas · Регистрация: 25.12.2011

Author24 — интернет-сервис помощи студентам

Обсуждение части проекта: Создание комплексной утилиты противодействия вирусам семейства WinLocker (WiLD)

Dragokas · 23.08.2013, 01:19 **[ТС]**

Хотел уточнить на счет этого:

Сообщение от Koza Nozdri

А еще в ХР sfc проверяет все и не может остановиться на конкретных файлах как как в вин 7 и выполняет полную проверку,это долго.
В общем для вин 7 и 8 sfc подходит,а для ХР имхо не вариант.

и этого:

Сообщение от Koza Nozdri

Dragokas надо пробовать,если explorer.exe можно заменить завершив процесс то как поведет себя на практике юзеринит и logonui надо посмотреть.
Я у компа буду попробую завершить их и заменить,может кто раньше сможет.

Добавлено через 1 минуту
Как будем действовать для XP?
Выборочная проверка файлов SFC не поддерживается в XP?
Подменять файлы пробовал?

Добавлено через 22 минуты

Сообщение от Koza Nozdri

Итак версия с муляжом папки не годится.
SFC запускается и начинает работу,но не находит файлов и просит правильный диск,соответственно если мы в папку i386 не положим нужные файлы то и проверка не завершится из за того что файлы найдены не будут.

Сообщение от Koza Nozdri

даже если тупо вкинуть файлы в такую папку созданную в любом месте и указать к ней путь в реестре то сфц будет восстанавливать и сверять файлы из этой папки.
так же ОС семейства хр имеет папку dllcache -там копии системных длл хранятся

Так все же - муляж прокатывает или нет?

@Kиpилл · 23.08.2013, 15:30

Сообщение от Koza Nozdri

Dragokas надо пробовать,если explorer.exe можно заменить завершив процесс то как поведет себя на практике юзеринит и logonui надо посмотреть.
Я у компа буду попробую завершить их и заменить,может кто раньше сможет.

Тут имеется ввиду что нельзя заменить файл с идентичным именем пока не завершишь процесс использующий файл.

Сообщение от Dragokas

Как будем действовать для XP?
Выборочная проверка файлов SFC не поддерживается в XP?
Подменять файлы пробовал?

Выборочная проверка для ХР не подходит-нет для нее такой функции.
Сначала я подумал создать муляж папки i386 что бы обойти потребность в наличии диска для ХР при проверке SFC.
Но в таком случае потребуется клоны системных файлов в полном объеме-иначе ОС засыпет нас сообщениями об ошибке.
Для ХР можно вполне обойтись тем же VBS сравнение -хэша файлов.
Я примерно такое на паскале делал,но тут он как корове чешуя.

Принцип: считываем хэш,сравниваем в листингом эталонов и если не совпадение то ищем в резервной папке заранее припасенные файлы и производим замену.

Dragokas · 28.08.2013, 12:20 **[ТС]**

sov44, интересно, как у тебя будет с патченными файлами, если запустить проверку SFC?
Надо будет проверить.

@sov44 · 28.08.2013, 14:44

Сообщение от Dragokas

sov44, интересно, как у тебя будет с патченными файлами, если запустить проверку SFC?
Надо будет проверить.

ошибок на чистой системе нет, проверено.

Добавлено через 19 минут
В подтверждение - видос из моей сборки ХР http://yadi.sk/d/CAHSeGqn8QCbx

Dragokas · 28.08.2013, 15:56 **[ТС]**

sov44, фигасе реактивная. На Win7 она гораздо дольше выполняется.

Добавлено через 40 минут
Капец, на Windows 8 сделали юникодный вывод от некоторых консольных утилит (например, SFC),
а команду find исправлять (дополнять) никому не нужно.

Теперь, на Win 8 вообще, трудно будет сказать, что может перестать работать.

Dragokas · 29.08.2013, 13:33 **[ТС]**

В дальнейшем - нужно рассмотреть возможность конфликта со службой обновления Windows.
Пока список подконтрольных сис. файлов не так велик.
Если планируется расширения их перечня, будут проблемы, если винда решит установить заплатку на них.
Нужно автоматически "следить" за журналом обновлений (и не только) в разрезе информации об измененных файлах (не нарушая принцип - автозапуск 2 раза за сессию (логин/завершение).

@Kиpилл · 29.08.2013, 18:52

Dragokas, можно подробнее...

Dragokas · 29.08.2013, 19:04 **[ТС]**

Ну к примеру... (все персонажи ниже заведомо вымышленны

Запускаем WiLD. Она создает эталон файла explorer.exe
M$ выпускает обновление безопасности. Система обновляет файл explorer.exe
Завершение работы -> Запускается проверка WiLD -> Эталон и explorer.exe не совпадают -> автоматическая замена -> продолжение перезагрузки -> BSOD системы.

Ох, чето я разгарячился сегодня

Добавлено через 2 минуты
Тоже самое со сверкой дампов MBR (когда юзер переразмечает партитишн).

@Kиpилл · 29.08.2013, 19:52

хм...понял,сформулирую ответ.

@Kиpилл · 31.08.2013, 21:57

Думал-думал.
Предположим на время обновления утилита обновляет данные о системных файлах.
Для вин 7,виста и 8 это не проблема - обнаружена попытка доступа к файлам-запрос на наличие процесса - запуск sfc - если норм -обновляем файлы,не трогая изначальный набор в архиве укатав его в другой каталог.
А для ХР и меньше -не актуально,обновлений больше нет.
На сервер -пока лучше воздержаться.

Dragokas · 31.08.2013, 22:13 **[ТС]**

Сообщение от Koza Nozdri

обновлений больше нет.

=))) Ошибаешься. До 8 апреля 2014 г. продлиться бесплатная акция

И никто не отменял автономные обновления.

Ламать голову особо не нужно, где-то в системе логи ведь пишутся - нужно только поискать и исключать файлы, измененные во временном промежутке текущего сеанса работы системы? соответственно заменяя эталоны.

Dragokas 17996 / 7697 / 892 Регистрация: 25.12.2011 Сообщений: 11,470 Записей в блоге: 16
	29.08.2013, 13:33 [ТС]	26
	В дальнейшем - нужно рассмотреть возможность конфликта со службой обновления Windows. Пока список подконтрольных сис. файлов не так велик. Если планируется расширения их перечня, будут проблемы, если винда решит установить заплатку на них. Нужно автоматически "следить" за журналом обновлений (и не только) в разрезе информации об измененных файлах (не нарушая принцип - автозапуск 2 раза за сессию (логин/завершение). 0

@Kиpилл Особый статус 8428 / 1707 / 87 Регистрация: 15.04.2011 Сообщений: 5,515
	29.08.2013, 18:52	27
	Dragokas, можно подробнее... 0

Dragokas 17996 / 7697 / 892 Регистрация: 25.12.2011 Сообщений: 11,470 Записей в блоге: 16
	23.08.2013, 01:19 [ТС]	21
	Хотел уточнить на счет этого: Сообщение от Koza Nozdri А еще в ХР sfc проверяет все и не может остановиться на конкретных файлах как как в вин 7 и выполняет полную проверку,это долго. В общем для вин 7 и 8 sfc подходит,а для ХР имхо не вариант. и этого: Сообщение от Koza Nozdri Dragokas надо пробовать,если explorer.exe можно заменить завершив процесс то как поведет себя на практике юзеринит и logonui надо посмотреть. Я у компа буду попробую завершить их и заменить,может кто раньше сможет. Добавлено через 1 минуту Как будем действовать для XP? Выборочная проверка файлов SFC не поддерживается в XP? Подменять файлы пробовал? Добавлено через 22 минуты Сообщение от Koza Nozdri Итак версия с муляжом папки не годится. SFC запускается и начинает работу,но не находит файлов и просит правильный диск,соответственно если мы в папку i386 не положим нужные файлы то и проверка не завершится из за того что файлы найдены не будут. Сообщение от Koza Nozdri даже если тупо вкинуть файлы в такую папку созданную в любом месте и указать к ней путь в реестре то сфц будет восстанавливать и сверять файлы из этой папки. так же ОС семейства хр имеет папку dllcache -там копии системных длл хранятся Так все же - муляж прокатывает или нет? 0

@Kиpилл Особый статус 8428 / 1707 / 87 Регистрация: 15.04.2011 Сообщений: 5,515
	23.08.2013, 15:30	22
	Сообщение от Koza Nozdri Dragokas надо пробовать,если explorer.exe можно заменить завершив процесс то как поведет себя на практике юзеринит и logonui надо посмотреть. Я у компа буду попробую завершить их и заменить,может кто раньше сможет. Тут имеется ввиду что нельзя заменить файл с идентичным именем пока не завершишь процесс использующий файл. Сообщение от Dragokas Как будем действовать для XP? Выборочная проверка файлов SFC не поддерживается в XP? Подменять файлы пробовал? Выборочная проверка для ХР не подходит-нет для нее такой функции. Сначала я подумал создать муляж папки i386 что бы обойти потребность в наличии диска для ХР при проверке SFC. Но в таком случае потребуется клоны системных файлов в полном объеме-иначе ОС засыпет нас сообщениями об ошибке. Для ХР можно вполне обойтись тем же VBS сравнение -хэша файлов. Я примерно такое на паскале делал,но тут он как корове чешуя. Принцип: считываем хэш,сравниваем в листингом эталонов и если не совпадение то ищем в резервной папке заранее припасенные файлы и производим замену. 1

Dragokas 17996 / 7697 / 892 Регистрация: 25.12.2011 Сообщений: 11,470 Записей в блоге: 16
	28.08.2013, 12:20 [ТС]	23
	sov44, интересно, как у тебя будет с патченными файлами, если запустить проверку SFC? Надо будет проверить. 0

@sov44 1779 / 761 / 130 Регистрация: 09.04.2011 Сообщений: 1,325
	28.08.2013, 14:44	24
	Сообщение от Dragokas sov44, интересно, как у тебя будет с патченными файлами, если запустить проверку SFC? Надо будет проверить. ошибок на чистой системе нет, проверено. Добавлено через 19 минут В подтверждение - видос из моей сборки ХР http://yadi.sk/d/CAHSeGqn8QCbx 1

Dragokas 17996 / 7697 / 892 Регистрация: 25.12.2011 Сообщений: 11,470 Записей в блоге: 16
	28.08.2013, 15:56 [ТС]	25
	sov44, фигасе реактивная. На Win7 она гораздо дольше выполняется. Добавлено через 40 минут Капец, на Windows 8 сделали юникодный вывод от некоторых консольных утилит (например, SFC), а команду find исправлять (дополнять) никому не нужно. Теперь, на Win 8 вообще, трудно будет сказать, что может перестать работать. 1

Dragokas 17996 / 7697 / 892 Регистрация: 25.12.2011 Сообщений: 11,470 Записей в блоге: 16
	29.08.2013, 19:04 [ТС]	28
	Ну к примеру... (все персонажи ниже заведомо вымышленны Запускаем WiLD. Она создает эталон файла explorer.exe M$ выпускает обновление безопасности. Система обновляет файл explorer.exe Завершение работы -> Запускается проверка WiLD -> Эталон и explorer.exe не совпадают -> автоматическая замена -> продолжение перезагрузки -> BSOD системы. Ох, чето я разгарячился сегодня Добавлено через 2 минуты Тоже самое со сверкой дампов MBR (когда юзер переразмечает партитишн). 2

@Kиpилл Особый статус 8428 / 1707 / 87 Регистрация: 15.04.2011 Сообщений: 5,515
	29.08.2013, 19:52	29
	хм...понял,сформулирую ответ. 0

@Kиpилл Особый статус 8428 / 1707 / 87 Регистрация: 15.04.2011 Сообщений: 5,515
	31.08.2013, 21:57	30
	Думал-думал. Предположим на время обновления утилита обновляет данные о системных файлах. Для вин 7,виста и 8 это не проблема - обнаружена попытка доступа к файлам-запрос на наличие процесса - запуск sfc - если норм -обновляем файлы,не трогая изначальный набор в архиве укатав его в другой каталог. А для ХР и меньше -не актуально,обновлений больше нет. На сервер -пока лучше воздержаться. 0

Dragokas 17996 / 7697 / 892 Регистрация: 25.12.2011 Сообщений: 11,470 Записей в блоге: 16
	31.08.2013, 22:13 [ТС]	31
	Сообщение от Koza Nozdri обновлений больше нет. =))) Ошибаешься. До 8 апреля 2014 г. продлиться бесплатная акция И никто не отменял автономные обновления. Ламать голову особо не нужно, где-то в системе логи ведь пишутся - нужно только поискать и исключать файлы, измененные во временном промежутке текущего сеанса работы системы? соответственно заменяя эталоны. 0