sfc /scannow модифицированные системные файлы исключаются из списка защиты

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Хочу все знать (http://forum.oszone.net/forumdisplay.php?f=23)

- - sfc /scannow модифицированные системные файлы исключаются из списка защиты (http://forum.oszone.net/showthread.php?t=259929)

owere

04-05-2013 11:58 2144221

sfc /scannow модифицированные системные файлы исключаются из списка защиты

прочитал цитату :

Цитата:

модифицированные системные файлы исключаются из списка защиты sfc /scannow
таким образом они работают в составе системы, но функция защиты уже не реагирует на изменение этих файлов. После этого модифицированные файлы можно изменять и удалять, а модифицированная система не восстановит их на место, как сделала бы оригинальная система. Как итог — система может перестать правильно работать уже после того, как криворукий разработчик ПО установит свои версии библиотек прямо в системную папку, заменяя существующие, не говоря уже о возможностях для вредоносного ПО.

.

Возник вопрос: что если... на оригинальной системе, специально написанный троян изменит этот список защиты, команда - sfc /scannow проверит и выдаст уведомление что всё ок Но sfc /scannow не знает что троян заменил этот список так? )) Как узнать что список защиты тоже оригинальный?

Amigos

04-05-2013 21:08 2144498

Цитата:

Цитата owere

Как узнать что список защиты тоже оригинальный? »

сличить sfcfiles.dll с файлом с оригинального дистрибутива.

Цитата:

Цитата owere

специально написанный троян изменит этот список защиты »

MS нигде, никогда, не позиционировала SFC как "защиту от вирусов/троянов", но тем не менее постоянно находятся люди, для которых "любая защита"≡"защита от вирусов".
Но это не так. Опасности для системы многочисленны и разнообразны. Вирусы и трояны по опасности далеко не на первом месте.

owere

05-05-2013 06:22 2144601

Цитата:

Цитата Amigos

сличить sfcfiles.dll с файлом с оригинального дистрибутива. »

Ос win7 У меня такого файле нет в системе

Цитата:

Цитата Amigos

я, не говорил что использую средства проверки системных файлов - как основную защиту от вирусов.
да и почему она не может служить дополнительной защитой? если на вашем же форуме при лечении компьютера от заразы в каждой второй теме советуют выполнять - sfc /scannow

yurfed

05-05-2013 06:43 2144606

Цитата:

Цитата owere

на оригинальной системе, специально написанный троян изменит этот список защиты, команда - sfc /scannow проверит и выдаст уведомление что всё ок Но sfc /scannow не знает что троян заменил этот список так? ) »

Вы про какой список вообще говорите?
Мне больше представляется что SFC проверяет по хешу системных файлов, нежели по цифровой подписи этих самых файлов, которую изменить не большая проблема.

owere

05-05-2013 10:03 2144629

Цитата:

Цитата yurfed

Вы про какой список вообще говорите? »

По которому sfc /scannow проверяет системные файлы.

Цитата:

Цитата yurfed

Мне больше представляется что SFC проверяет по хешу системных файлов, нежели по цифровой подписи этих самых файлов, которую изменить не большая проблема. »

Не знал этого. 'Если это действительно так то тему можно закрыть.

Petunchicus

05-05-2013 12:36 2144708

owere, Описание механизма защиты файлов Windows.

owere

05-05-2013 13:50 2144741

В статье написано что восстанавливает по подписи а не по хешу

Цитата:

Для защиты файлов операционной системы в WFP предусмотрены два механизма. Первый механизм работает в фоновом режиме и активируется после того, как WFP получает уведомление об изменении папки для файла из защищенной папки. После получения этого уведомления WFP определяет, какой файл был изменен. Если был изменен защищенный файл, WFP находит в файле каталога подпись защищенного файла для проверки правильности версии нового файла. Если версия является неправильной, новый файл заменяется исходным из папки кэша (если он там имеется) или источника установки. Поиск файла допустимой версии производится в следующем порядке

Amigos

05-05-2013 18:45 2144891

Цитата:

Цитата owere

да и почему она не может служить дополнительной защитой? »

потому что ни вирусам ни троянам нет никакой нужды модифицировать системные файлы.
"Никакой" от слова "совсем".

cher	05-05-2013 19:59 2144929

Цитата:

Цитата Amigos

нет никакой нужды модифицировать системные файлы »

Простите...это же самое заветное место... или я как то не так понял?
Тот же "последний" rpcss.dll не входит в число оных? а тот же hosts? и уно , уно.

owere

05-05-2013 20:05 2144933

Цитата:

Цитата Amigos

потому что ни вирусам ни троянам нет никакой нужды модифицировать системные файлы. »

да что вы говорите http://virusinfo.info/showthread.php?t=51654

Amigos

05-05-2013 21:55 2145014

Цитата:

Цитата cher

Тот же "последний" rpcss.dll »

1 искдючение лишь подтверждает правило
2 95% населения - идиоты. Кто то из них и вирусы пишет через одно место, создавая неоправданные сложности и себе и заражённым.

Цитата:

Цитата cher

а тот же hosts? »

host ни коим образом не системный файл, и в контексте текущей беседы, файл host не входит в списки sfc и никак им не проверяется.

cher	07-05-2013 00:27 2145757

Цитата:

Цитата Amigos

искдючение лишь подтверждает правило »

Ну а как же всеми "любимые" Explorer.exe, Taskmgr.exe, Userinit.exe, Logonui.exe и к примеру та же библиотека sfcfiles.dll ?
А файловые "заражатели" типа Салити и Вирут, которые "вошемона" любят системные файлы?
Или тут тоже исключение?
Самый лакомый кусок для вирусописателей это системные файлы и выражение типа

Цитата:

Цитата Amigos

потому что ни вирусам ни троянам нет никакой нужды модифицировать системные файлы. »

не терпит никакой критики.

Цитата:

Цитата Amigos

Кто то из них и вирусы пишет через одно место, создавая неоправданные сложности и себе и заражённым. »

А в итоге идет заражение системных/защищенных файлов.... и создаются заплатки, и антивирусные компании создают алгоритмы лечения, а все из за глупых юзеров/вирусописателей , которые не понимают, что

Цитата:

Цитата Amigos

ни вирусам ни троянам нет никакой нужды модифицировать системные файлы »

Время: 06:25.