Re[2]: службы (каспеp)
- From
- Shurik Koudryavtsev (2:5020/400)
- To
- Vladimir V. Shirjak (2:5054/37.63)
- Date
- 2005-04-07T03:17:30Z
- Area
- RU.WINDOWS.XP
From: Shurik Koudryavtsev <sh71@avtlg.ru>
Здравствуйте, Vladimir.
Вы писали 6 апреля 2005 г., 7:25:08:
VVS> Hello, Shurik Koudryavtsev!
VVS> You wrote to (Vladimir V. Shirjak) on Wed, 06 Apr 2005 00:55:23 +0400:
VVS> [Sorry, skipped]
VVS>>> Не позволяет, если не предпринять специальных мер, которые не
VVS>>> являются стандартными для него:) SpIDer Guard в DrWeb вообще
VVS>>> реализован не как сервис, а как драйвер. Останавливая сервис ты
VVS>>> просто-напросто отрубаешь его интерфейс и не более того.
SK>> Не-а.
SK>> C:\net stop SpIDerNT
SK>> Служба "SpIDer Guard for Windows NT" останавливается..
SK>> Служба "SpIDer Guard for Windows NT" успешно остановлена.
SK>> SpIDer Guard - это именно служба. И ее останов отрубает мониторинг.
SK>> А драйвер - это "SpIDer FS Monitor for Windows NT". Вот к драйверу
SK>> останов неприменим.
SK>> Просто монитор работает _через_ драйвер.
VVS> Нет, ты полностью неправ.
VVS> Сервис обеспечивает именно интерфейс.
VVS> Поэтому я и просил того ламера, который о KAV писал, скопировать eicar.
VVS> Итак, следи за руками:
c:\>>date
VVS> The current date is: 06/04/2005
VVS> Enter the new date: (dd-mm-yy)
c:\>>time
VVS> The current time is: 8:13:09.15
VVS> Enter the new time:
c:\>>net stop "SpIDer Guard for Windows NT"
VVS> The SpIDer Guard for Windows NT service is stopping..
VVS> The SpIDer Guard for Windows NT service was stopped successfully.
VVS> А потом я попытался скопировать eicar.
VVS> Вот строка из лога spidernt.log:
VVS> 06-04-2005 08:14:25 C:\Tmp\test.com инфицирован EICAR Test File (NOT a Virus!)
VVS> - удален
VVS> Понятно?
Уже хотел было написать, что у нас разные drweb - ы :)
Так как при проведении этого же эксперимента файл остается на жестком
диске.
И когда я в свое время проверял свое утверждение - я смотрел на само
наличие файла.
Ибо: после отключения drweb-а копирование eicar выполняется. без
воплей. файл на диске существует (после copy test.txt test.com):
C:\0>dir
Том в устройстве C не имеет метки.
Серийный номер тома: 24C3-26D1
Содержимое папки C:\0
07.04.2005 02:21 <DIR> .
07.04.2005 02:21 <DIR> ..
07.04.2005 02:10 68 test.com
07.04.2005 02:10 68 test.txt
2 файлов 136 байт
2 папок 19=649=982=464 байт свободно
Но: это файл действительно блокирован:
C:\0>copy test.com test2.txt
Отказано в доступе.
Скопировано файлов: 0.
Так что - неправ, приношу извинения.
На вирусы проверяет именно драйвер.
--
С уважением,
Shurik Koudryavtsev mailto:sh71@avtlg.ru
--- ifmail v.2.15dev5.3
* Origin: Demos online service (2:5020/400)
SEEN-BY: 46/50 50/361 450/186 247 1024 461/43 132 640 469/999 4614/20 4616/3
SEEN-BY: 4625/8 4627/10 4635/4 4646/1 4652/15 5000/76 5000 5001/5001 5003/57
SEEN-BY: 5006/1 5007/1 5010/53 70 87 5011/13 5012/23 5015/10 5019/31 5020/52
SEEN-BY: 5020/118 154 175 194 400 545 639 715 758 780 830 937 1057 1604 1909
SEEN-BY: 5020/1922 2020 2238 4441 5022/128 5025/3 750 5026/14 45 5027/16
SEEN-BY: 5030/49 115 966 1339 1900 5031/70 5034/13 5035/38 5036/1 34 5041/20
SEEN-BY: 5042/13 5054/1 8 9 36 37 63 66 67 75 81 5060/90 5061/15 5062/10 18
SEEN-BY: 5063/3 5067/2 5069/7 5070/1222 5074/9 5075/5 5077/80 5079/23 5080/80
SEEN-BY: 5080/1003 5082/6 5083/21 5084/32 5085/13 5090/106 107 5092/1 5095/20
SEEN-BY: 5096/18 5099/4 11 6000/12 254 6001/3 10 6002/3 6035/9 6070/228
�PATH: 5020/400 4441 545 5054/1 37