Skocz do zawartości


tablety.pl
- - - - -

Podmiana zainfekowanych plików




  • Zamknięty Temat jest zamknięty
5 odpowiedzi w tym temacie

#1 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 15 02 2010 - 11:43

Copyright @picasso searchengines.pl Powielanie tej pracy zabronione.

Dołączona grafika

Uwaga: Taki BSOD może być także z innych poza infekcyjnych przyczyn i proszę nie utożsamiać go tylko i wyłącznie z infekcją rootkitem.


Aneks do infekcji rootkitem w wariancie TDL3. Może się zdarzyć, że komputer zainfekowany tym typem rootkita w pewnych okolicznościach zderzeniowych przestanie w ogóle bootować wypluwając BSOD (np. PAGE_FAULT_IN_NONPAGED_AREA). Problem to podmienione sterowniki kontrolerów. Typowym plikiem za który się bierze infekcja jest systemowy atapi.sys, a także ndis.sys. Jednakże na innych konfiguracjach zarażeniu mogą ulec pliki sterowników producentów trzecich, takie jak: iaStor.sys / idechndr.sys (Intel), jraid.sys (JMicron), nvata.sys (nVidia), vmscsi.sys (VMware) .....
Na forum wystąpiło to po zamontowaniu ostatnich poprawek do XP (łata KB977165, która wymienia jądro). Co ciekawe, autorzy rootkita zdążyli już go "zaktualizować", by nie tworzył konfliktu z poprawkami MS: KLIK.

Wymiana takich plików na niestartującym Windows jest utrudniona. Można to zrobić tylko i wyłącznie przez bootowanie z alternatywnego nośnika, ewentualnie przepięcie dysku na cudzy komputer... Poniżej metody ogólne wymiany plików w przypadku zupełnie niestartującego komputera. W przykładzie jest użyty modelowy atapi.sys, ale to się aplikuje także do innych plików, i nie tylko zaatakowanych przez TDL. Zresztą za pomocą Metod 2+3 można także uratować osobiste dane z niestartującego Windows i w nogi.







#2 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 17 02 2010 - 08:04

Jak pozyskać czyste pliki nie posiadając płyt Windows / instalatorów:

W razie problemów my posłużymy pomocą dając czystą kopię. Ew. szukać kolegi z taką samą wersją systemu operacyjnego i od niego skopiować plik. Podaję metody zamienne do samodzielnych robótek:


Windows XP:
Pliki XP (np. atapi.sys, ndis.sys i inne) łatwo uzyskać pobierając pełną paczkę Service Pack. Wersja pobieranego SP powinna być zgodna z wersją SP zainstalowaną w danym systemie. Dwa podstawowe linki:

--------> Dołączona grafika Sieciowy pakiet instalacyjny dodatku Service Pack 3 (~300MB)
--------> Dołączona grafika Sieciowy pakiet instalacyjny dodatku Service Pack 2 (~260MB)

Wystarczy daną pobraną paczkę EXE wyekstraktować za pomocą 7-zip. W środku jest katalog i386, a w nim cabowane pliki o rozszerzeniu *.EX_, *.SY_ etc.:

Dołączona grafika

I te pliki wystarczy rozpakować via 7-zip, by uzyskać plik wynikowy.





Windows Vista:
Pliki Vista/7 to już inna historia. Opis metody ekstraktowania plików z płyt DVD Vista/7 jest w przyklejonym w dziale Windows: Ręczna wymiana plików z DVD. Metoda ta wymaga posiadania pełnej płyty DVD z instalatorem systemu. Jeśli nie ma w ogóle DVD i nie ma skąd brać plików jest jeszcze jeden sposób, tzn. pobranie Service Pack (SP1 lub SP2) w wersji oraz języku pasującym do zdefektowanego systemu:

--------> Dołączona grafika How to obtain the latest Windows Vista service pack (Metoda 3, paczki wagi ~480-550MB)

---------------------------------------------------------------


Service Pack wymaga specjalnej dwustopniowej ekstrakcji z poziomu linii poleceń.

1. Załóżmy, że plik Service Pack został pobrany do katalogu E:\Download i tam też zostanie rozpakowany:

Dołączona grafika E:\Download
-------- Dołączona grafika windows6.0-kb948465-x86.exe

2. Uruchamiamy linię komend. Domyślnie jest ustawiona na katalog użytkownika. Wstępne komendy polegają na przejściu linią komend do katalogu, w którym jest instalator SP. Jeśli katalog jest na innym dysku niż systemowy, w linii poleceń należy jako pierwszą komendę dać literę dysku z dwukropkiem oznaczającą zmianę napędu (tutaj E:):

C:\Users\Moje konto>E:


Linia poleceń ustawi się na dysk - tu E:. Następnie przechodzimy do folderu, w którym leży EXE, poprzez komendę "CD ścieżka dostępu do pliku":

E:>CD E:\Download

3. Wywołujemy polecenie właściwe ekstrakcji:

[ścieżka do NazwaServicePack.exe] /X:[Katalog docelowy]

W przykładzie SP leży w E:\Download\windows6.0-kb948465-x86.exe i chcę go rozpakować do tego samego katalogu. Pełne ścieżki w tym przypadku nie są konieczne, gdyż linia komend jest już ustawiona na katalog "E:\Download", ale wypisuję całym zdaniem, by unaocznić jak to dostosować pod siebie:

E:\Download>E:\Download\windows6.0-kb948465-x86.exe /X:E:\Download

4. Wynikową tej operacji jest grupa plików. Interesuje nas tylko najgrubszy plik CAB:

Dołączona grafika E:\Download
-------- Dołączona grafika windows6.0-kb948465-x86.exe
-------- Dołączona grafika windows6.0-kb948465-X86.cab

Plik ten jest rozpakowywany innym poleceniem:

expand -F:* [ścieżka do NazwaPliku.cab] [Katalog docelowy wypakowania]

W przykładzie plik leży w ścieżce E:\Download\windows6.0-kb948465-X86.cab i chcę go rozpakować do podkatalogu E:\Download\SP:

E:\Download>expand -F:* E:\Download\windows6.0-kb948465-X86.cab E:\Download\SP

5. W oknie komend przelecą linie właśnie wyodrębnianych plików i finałowo otrzymamy zawiadomienie:

Trwa rozpakowywanie plików...
Postęp: 4996 z 4998 plików
Rozpakowywanie plików ukończone...
Ogółem plików: 4998.



Dołączona grafika E:\Download
-------- Dołączona grafika windows6.0-kb948465-x86.exe
-------- Dołączona grafika windows6.0-kb948465-X86.cab
-------- Dołączona grafika SP
------------ (w tym katalogu są wszystkie pliki *)

* W folderze docelowym znajdziecie ogłuszającą liczbę katalogów o "kryptograficznych" nazwach. Tu już trzeba się posłużyć wyszukiwarką na nazwę szczególnego pliku. Przykładowo w tej konkretnej paczce SP2:
atapi.sys jest w folderze x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8
ndis.sys w x86_microsoft-windows-ndis_31bf3856ad364e35_6.0.6002.18005_none_a9b2a4d31930d864



Sterowniki firm trzecich:
Inne pliki kontrolerów mass storage pozyskamy ściągając pełne paczki od producentów. Tu już zależy od producenta. Podam tylko przykład na popularnego Intela, jak wyekstraktować z niego plik iastor.sys. Plik ten jest w pakiecie:

--------> Intel Matrix Storage Manager

Pakiet wymaga szczególnych instrukcji wypakowujących. Pobrany plik IATA*ENU.exe (gdzie * to kolejne wersje numeryczne) należy umieścić w jakiejś dogodnej krótkiej ścieżce dostępu. W przykładzie założę, że jest to po prostu katalog główny dysku C:\. Należy także utworzyć katalog dla plików, które mają się rozpakować. Załóżmy, że będzie to C:\Intel. Następnie uruchamiamy linię komend i wpisujemy polecenie:

C:\Users\Moje konto>C:\IATA89ENU.exe -A -A -PC:\Intel

(Proszę zauważyć, że parametr -P jest przyklejony do ścieżki C:\Intel, nie ma tam spacji)

To uruchomi wizard. Nie ma się co obawiać, to tylko ekstrakcja i poczekać do zgłoszenia o jej ukończeniu. Końcowe lokalizacje się nieco nie zgadzają z dokumentacją Intela .... Wynikowo w katalogu C:\Intel znajdziecie tylko log, a prawdziwą czystą postać sterowników, w tym plik iastor.sys, w C:\Program Files\Intel\Intel Matrix Storage Manager\winall\Driver:

Dołączona grafika








#3 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 17 02 2010 - 08:04

METODA 1 - KONSOLA ODZYSKIWANIA

Dla platformy: Windows XP


--------> Dołączona grafika Opis Konsoli Odzyskiwania i pobieranie gotowej płyty


WADY METODY:
  • Konsola Odzyskiwania, czy to uruchomiona z CD XP, czy z obrazu który sama zrobiłam, natrafi na przeszkodę: dyski SATA. Niestety płyty CD XP (a także dyski rozruchowe udostępniane przez MS) są dość archaiczne i nie wyposażone w odpowiednie repozytorium sterowników. To oznacza, że startując z tej płyty na dysk pracujący w takim trybie, dysk nie zostanie znaleziony i dalsze operacje nie są możliwe. Podanie sterowników SATA Konsoli teoretycznie jest możliwe na samym początku jej inicjacji przez F6 i wskazanie sterowników INF z nośnika zewnętrznego. Niestety ta metoda może być całkowicie niemożliwa na lapkach bez flopów, bez alternatywnego napędu / lub wykrycia go. Ostatecznie jest metoda z BIOS: użytkownik, który wie o co chodzi może w BIOS na czas startu z Konsoli przekonfigurować tryb pracy kontrolera dysku na standardowy, a po ukończeniu operacji z Konsolą przywrócić oryginalny ...
  • Podawanie nośnika alternatywnego to także kłopot: musi być alternatywny napęd CD/DVD skąd podamy plik, jeżeli plik nie jest na CD z której uruchamiano Konsolę. Teoretycznie Konsola umie wykrywać i napędy USB, ale może się zdarzyć, że nie zostanie to namierzone.
  • Konsola to bardzo limitowane środowisko. Tylko określone ścieżki wchodzą w grę.

INSTRUKCJE - START Z PEŁNEJ CD XP
Płyta instalacyjna Windows XP posiada wszystkie pliki instalacyjne Windows, więc z tej płyty będzie równocześnie start do Konsoli Odzyskiwania + wyciąganie pliku. Wyjątek od reguły: podanie sterownika firmy trzeciej np. Intel wymaga wskazania pliku z innego źródła, gdyż CD XP tego nie posiada -> patrz na wariant numer dwa, gdyż poleceniem nie jest EXPAND lecz COPY.

---------------------------------------------------------------

1. Startujemy z płyty CD XP do Konsoli. Linia poleceń ustawi się na katalog Windows. Pierwsze z poleceń pozwoli się zorientować pod jaką literą występuje CD-ROM, w którym siedzi płyta. Wklepujemy:

C:\WINDOWS>MAP

Jako wynik uzyskamy spis urządzeń wraz z ich liternictwem, szukamy CD-ROMu - tutaj jest pod literką E:

Dołączona grafika


2. Wywołujemy polecenie właściwe równoczesnej ekstrakcji + podstawienia pliku z płyty CD:

C:\WINDOWS>EXPAND E:\i386\atapi.sy_ C:\WINDOWS\system32\drivers

(Zauważcie, że pierwszy plik to archiwum mające kreskę na końcu. Pod E:\i386\plik.sy_ podstawiacie oczywiście literę pod jaką widać Wasz CD-ROM)

Zostanie zwrócone pytanie czy zastąpić pliki, w zależności od wersji językowej Konsoli wklepujemy Y (ang.) lub T (pol.):

Zastąpić atapi.sys? (Tak/Nie/Wszystkie/Zakończ):T

Pomyślnie wykonane zadanie zostanie obwieszczone w następujący sposób:

atapi.sys
Zdekompresowano 1 plik(ów).


W linii poleceń wklepujemy EXIT, komputer się zresetuje i próbujemy wejść do Windows ....




INSTRUKCJE - START Z MINI PŁYTY TYLKO Z KONSOLĄ
Posługując się moją wersją mini Konsoli należy pamiętać, że płyta ta nie kolportuje żadnych dodatkowych plików Windows i musi być podany dodatkowy nośnik zawierający skombinowany skądś czysty plik do zamiany. Jeden wyjątek: akurat plik atapi.sys jest na tej płytce i można wykonać w tej mini Konsoli to samo co opisane wyżej. W przykładzie użyję więc inny plik - Intela, a jako nośnik jest użyty pendrive.

---------------------------------------------------------------

1. Startujemy z mini płyty zawierającej tylko Konsolę. Podobnie jak przy pierwszym przypadku należy sprawdzić czy widać nasze urządzenie i pod jaką literą, poprzez wpisanie komendy:

C:\WINDOWS>MAP

W spisie szukamy urządzenia które "wygląda" jak nasz USB, choćby po rozmiarze to można ocenić (często i samo FAT jest znakiem). Tutaj USB widać pod literą D:

Dołączona grafika

2. Krok właściwy, czyli przekopiowanie pliku z nośnika USB do katalogu Windows:

C:\WINDOWS>COPY D:\iastor.sys C:\WINDOWS\system32\drivers

(Pod D:\iastor.sys podstawiacie oczywiście literę pod jaką widać Wasz USB)

3. Podobnie jak we wcześniejszym scenariuszu, padnie pytanie o nadpisanie:

Zastąpić iastor.sys? (Tak/Nie/Wszystkie):T

Dobrze wykonane zadanie to odpowiedź:

Skopiowano 1 plik(ów).

W linii poleceń wklepujemy EXIT ....








#4 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 17 02 2010 - 08:04

METODA 2 - WINRE

Dla platformy: Windows XP, Windows Vista, Windows 7


--------> Dołączona grafika Opis środowiska WinRE i pobieranie gotowej płyty

---------------------------------------------------------------

ZALETY METODY:
  • Płyta jest wytworzona z nowoczesnego podkładu i na standardowych konfiguracjach z dyskami SATA nie powinna mieć problemu z widzeniem dysku. A nawet gdyby został napotkany jakiś nietypowy kontroler, płyta umożliwia ręczne podanie sterowników opcją Load Drivers, a wskazywać można z dowolnego nośnika. Nawet jeśli jest tylko jeden napęd CD/DVD = płyta WinRE ładuje się do RAMu pod literą X, co oznacza że zwalnia normalny napęd ROM i nośniki można wymienić nie tracąc dostępu do działającego już w pamięci WinRE.
  • Płyta, choć jest stricte pod Vista lub Windows 7, może zostać użyta przy startowaniu na komputer z Windows XP. Po prostu w fazie, gdzie jest okienko wykrywania systemów operacyjnych będzie pusto, bo płyta nie umożliwia detekcji niższego systemu niż Vista, oraz po przejściu dalej wszystkie opcje z wyjątkiem Wiersza polecenia nie będą oczywiście działać dla XP.
  • WinRE ma potężną linią komend. Można w niej zrobić prawie wszystko co możliwe w cmd w takim limitowanym środowisku.
Przykład pomyślnego zastosowania tej metody na forum przy infekcji rootkitem TDL3: KLIK.

---------------------------------------------------------------


1. Na dowolnym dostępnym komputerze należy przygotować nośniki: nagrać ISO WinRE na CD za pomocą Active ISO Burner, a na alternatywnym nośniku USB lub CD umieścić czyste pliki do wymiany.

2. W już podanym linku opisowym jest dokładne przejście z obrazkami przez proces startu do WinRE. Dochodzimy do wyboru opcji i tu wybieramy Command Prompt:

Dołączona grafika

I tutaj są dwie metody przeprowadzenia wymiany plików:



Sztuczka w okienkach
1. Otworzy się wiersz poleceń ustawiony na ścieżkę X:\Sources>. W tej linii poleceń WinRE należy wklepać komendę notepad.

X:\SOURCES>notepad



2. Zostanie otworzony Notatnik. Jest to obejście umożliwiające wygodną eksplorację plików w trybie okienkowym. W Notatniku z menu File wybieramy Open:

Dołączona grafika


3. Otworzy się mini eksplorator plików proszący o wskazanie pliku do otworzenia. Plików nie będziemy otwierać, chodzi tylko o uzyskanie łatwej nawigacji po dysku. Notatnik umożliwia podgląd wszystkich typów plików (ale nie listuje ukrytych) - należy na spodzie przestawić z TXT na All files. Z lewej strony jest zlokalizowany pas miejsc szybkiego dostępu. Wybieramy Computer:

Dołączona grafika


4. Zostanie otworzony widok podobny do "Mojego komputera", który gromadzi widok wszystkich dysków twardych i wymiennych aktualnie dostępnych pod WinRE. Wybieramy dysk, na którym umieściliśmy czystą kopię pliku - w przykładzie jest to pendrive:

Dołączona grafika


5. Klikamy PPM myszki na plik i wybieramy opcję Copy (plik zostanie skopiowany do schowka):

Dołączona grafika


6. Ponownie wybieramy z lewej opcję Computer, by przejść do widoku wszystkich dysków. Wybieramy dysk, gdzie jest zainstalowany Windows:

Dołączona grafika


7. Wchodzimy do ścieżki, w której chcemy zamienić pliki. W przykładzie jest to C:\WINDOWS\system32\drivers. Namierzamy plik, który chcemy wymienić (w przykładzie jest to atapi.sys), zaznaczamy go:

Dołączona grafika


8. Z klawiatury SHIFT+DEL (to oznacza kasowanie bez przechodzenia przez Kosz). Otrzymamy komunikat, który należy potwierdzić:

Dołączona grafika


9. Następnie na pustym tle widoku folderu klikamy prawym myszki i z menu kontekstowego wybieramy opcję Paste (czyli wklej):

Dołączona grafika


10. Nasz czysty plik zostanie wklejony:

Dołączona grafika


11. Zamykamy okno eksploratora i Notatnika. Z opcji WinRE wybieramy restart. Wyciągamy płytę. Próbujemy startować normalnie do Windows....



Z poziomu linii komend
Alternatywnie wszystko można przeprowadzić tylko za pomocą old schoolowych komend. Należy się rozeznać w liternictwie dysków, który dysk jest tym z Windows, a który naszym nośnikiem z czystą kopią pliku.

1. W przykładzie dysk z Windows to C, zaś pendrive z kopią pliku to E. Pierwsza komenda to zmiana napędu na dysk z Windows, wpisanie po prostu litery dysku z dwukropkiem:

X:\SOURCES>C:

2. Linia poleceń ustawi się na dysk systemowy. Wpisujemy polecenie kopiowania pliku z pendrive (E:) do katalogu C:\WINDOWS\system32\drivers:

C:\>COPY E:\atapi.sys C:\WINDOWS\system32\drivers

3. Padnie pytanie o nadpisanie plików, które należy potwierdzić przez wprowadzenie z klawiatury literki Y:

Overwrite C:\WINDOWS\system32\drivers\atapi.sys? (Yes/No/All):Y

Jeśli polecenie będzie pomyślne, na dole pojawi się adnotacja:

1 file(s) copied









#5 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 17 02 2010 - 08:05

METODA 3 - LiveCD Linux


Jeśli z jakiś względów nie można uruchomić płyt rodziny Windows zawsze można skorzystać z płyty Linuxa. Opis przygotuję. Podam wstępnie linki do dwóch płyt, które dysponują łatwym "Pulpitem" i nie ma tu żadnej filozofii dla początkujących.

----------> Dołączona grafika PuppyLinux (~100MB)
----------> Dołączona grafika MEPIS (~600MB)

.... opis w budowie ....

#6 Natsuki Kuga

Natsuki Kuga

    Very Good Rank

  • Na emeryturze
  • 1045 postów
  • Płeć:Wybierz

Napisano 19 07 2010 - 19:12

Adnotacja dla czytających zarówno ten, jak i inne tematy przyklejone/ogłoszenia:

Jak wiemy, użytkowniczka @picasso nie gości już na tym forum. Co za tym idzie, tematy napisane przez nią tu nie pozostaną. Zostaną zastąpione nowymi, zaktualizowanymi opisami użycia programów/wykonania czynności/lekko zmienionym regulaminem działu (jak widać większość z nich jest po prostu przestarzała) już za jakiś czas. Nie zdziwcie się, jeśli na razie będą one częściowo rozwalone (np. odniesienia w pierwszym poście nie będą odnosić się do tego opisu lub podobne), będzie brakować kliku postów lub po prostu któryś wątek zniknie na kilka dni.

Miłego czytania :unsure:




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych