Куда рвётся ntoskrnl.exe? - Безопасность

Nymph · 22.08.2002, 10:06

File Version : 5.1.2600.0 (xpclient.010817-1148)
File Description : Ñèñòåìíûé ìîäóëü ÿäðà NT
File Path : C:\WINDOWS\System32\ntoskrnl.exe
Process ID : 4 (Heximal) 4 (Decimal)

Connection origin : local initiated
Protocol : ICMP
Local Address : 10.100.x.x
ICMP Type : 8 (Echo Request)
ICMP Code : 0
Remote Name :
Remote Address : 62.102.147.182

Ethernet packet details:
Ethernet II (Packet Length: 74)
Destination: 00-e0-1e-5f-f3-b3
Source: 10-00-00-00-02-12
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.0.. = Don't fragment: Not set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 32
Protocol: 0x1 (ICMP - Internet Control Message Protocol)
Header checksum: 0x79e (Correct)
Source: 10.100.32.12
Destination: 62.102.147.182
Internet Control Message Protocol
Type: 8 (Echo Request)
Code: 0
Data (36 bytes)

Binary dump of the packet:
0000: 00 E0 1E 5F F3 B3 10 00 : 00 00 02 12 08 00 45 00 | ..._..........E.
0010: 00 3C 00 2E 00 00 20 01 : 9E 07 0A 64 20 0C 3E 66 | .<.... ....d .>f
0020: 93 B6 08 00 48 5C 02 00 : 03 00 61 62 63 64 65 66 | ....H\....abcdef
0030: 67 68 69 6A 6B 6C 6D 6E : 6F 70 71 72 73 74 75 76 | ghijklmnopqrstuv
0040: 77 61 62 63 64 65 66 67 : 68 69 | wabcdefghi

Выше приведён лог, который выдаёт SyGate при попытке связи ntoskrnl с каким то удалённым компом...
Вопрос: что может нужно ntoskrnl.exe на другой машине, и может ли вообще этот модуль куда-то рваться в Инет?
Что можно узнать из этого лога помимо ip куда рвётся прога, и где можно почитать что-нить по поводу анализа подобных логов?
ЗЫ Абыдно: лог есть а чё делать не знаешь...

ctr_ka · 10.09.2011, 06:57

Всем доброго утра,
стоит win2k sp4, оттестина нормально,
кто может дать совет :

При подключении по VPN(иTP)
файл ядра ntoskrnl.exe просит коннект с ip провайдера(сейчас порт1701, бывают и другие), если disable - не авторизуется...
Подмену и вир... проверил.
Провайдер - внятно ничего не отписал,
одни теории.

т.к. файл отвечает за картинки при старте sys - подозрение на screen...?

Умидэнц · 17.09.2011, 12:58

ммм ...

Цитата:

Сообщение от ctr_ka

Провайдер - внятно ничего не отписал

Если Вы провайдеру объяснили в таких же выражениях как в Вашем посте, суть проблемы, то неудивительно, что в ответ были

Цитата:

Сообщение от ctr_ka

одни теории

Простите мою глупость, но на какой "screen" у вас подозрение ? В смысле монитор (или ЖК матрица, скрин рабочего стола и т.д.) рвётся захватить интернет, следуя из Ваших слов ?
К вопросу о подозрении на вирус - дело в том, что при заражении вирусом файла ntoskrnl.exe, нередко (а точнее всегда), заражается и файл svchost.exe, следовательно, возникает вопрос - какими антивирусами проверяли ? Отправляли на онлайн анализ ?
Возможно, всё же имеет смысл просканировать систему утилитами типа CureIT! или AVPTool. Также при помощи AVZ, если не ошибаюсь, можно проверить какие дочерние процессы и какие файлы использует сам ntoskrnl и попробовать вручную выявить, что заставляет файл ядра генерировать сетевой траффик.
З.Ы. Файл ntoskrnl.exe отвечает не столько за картинки загрузки, а за инициализацию ядра системы и являясь частью этого самого ядра является одним из управляющих компонент.

22.08.2002, 10:06	# 1
Nymph ::VIP:: Регистрация: 24.01.2002 Адрес: UF0 =) Сообщения: 4 097	Куда рвётся ntoskrnl.exe? File Version : 5.1.2600.0 (xpclient.010817-1148) File Description : Ñèñòåìíûé ìîäóëü ÿäðà NT File Path : C:\WINDOWS\System32\ntoskrnl.exe Process ID : 4 (Heximal) 4 (Decimal) Connection origin : local initiated Protocol : ICMP Local Address : 10.100.x.x ICMP Type : 8 (Echo Request) ICMP Code : 0 Remote Name : Remote Address : 62.102.147.182 Ethernet packet details: Ethernet II (Packet Length: 74) Destination: 00-e0-1e-5f-f3-b3 Source: 10-00-00-00-02-12 Type: IP (0x0800) Internet Protocol Version: 4 Header Length: 20 bytes Flags: .0.. = Don't fragment: Not set ..0. = More fragments: Not set Fragment offset:0 Time to live: 32 Protocol: 0x1 (ICMP - Internet Control Message Protocol) Header checksum: 0x79e (Correct) Source: 10.100.32.12 Destination: 62.102.147.182 Internet Control Message Protocol Type: 8 (Echo Request) Code: 0 Data (36 bytes) Binary dump of the packet: 0000: 00 E0 1E 5F F3 B3 10 00 : 00 00 02 12 08 00 45 00 \| ..._..........E. 0010: 00 3C 00 2E 00 00 20 01 : 9E 07 0A 64 20 0C 3E 66 \| .<.... ....d .>f 0020: 93 B6 08 00 48 5C 02 00 : 03 00 61 62 63 64 65 66 \| ....H\....abcdef 0030: 67 68 69 6A 6B 6C 6D 6E : 6F 70 71 72 73 74 75 76 \| ghijklmnopqrstuv 0040: 77 61 62 63 64 65 66 67 : 68 69 \| wabcdefghi Выше приведён лог, который выдаёт SyGate при попытке связи ntoskrnl с каким то удалённым компом... Вопрос: что может нужно ntoskrnl.exe на другой машине, и может ли вообще этот модуль куда-то рваться в Инет? Что можно узнать из этого лога помимо ip куда рвётся прога, и где можно почитать что-нить по поводу анализа подобных логов? ЗЫ Абыдно: лог есть а чё делать не знаешь... __________________ The sum of the intelligence on the planet is a constаnt; the population is growing!

10.09.2011, 06:57	# 2
ctr_ka Banned Регистрация: 10.09.2011 Сообщения: 1	ntoskrnl.exe connect с IP provaidera?! Всем доброго утра, стоит win2k sp4, оттестина нормально, кто может дать совет : При подключении по VPN(иTP) файл ядра ntoskrnl.exe просит коннект с ip провайдера(сейчас порт1701, бывают и другие), если disable - не авторизуется... Подмену и вир... проверил. Провайдер - внятно ничего не отписал, одни теории. т.к. файл отвечает за картинки при старте sys - подозрение на screen...?