Страница 20 из 27 Первая ... 10161718192021222324 ... Последняя
Показано с 381 по 400 из 521.

AVZ 4.19 - 4.21 + AVZGuard - тестирование, обсуждение, предложения по доработке

  1. #381
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1842
    Цитата Сообщение от aintrust
    А что в вашем понимании есть "подгрузка" драйвера, его "установка" и "регистрация"? Мне не совсем понятна такая терминология. Как, по вашему мнению, динамически загружаетя драйвер? В какой последовательности идут действия, отвечающие за озвученные вами термины, и в чем конкретно они выражаются? И как, по вашему мнению, грузит драйверы AVZ, он выполняет все указанные вами действия или же нет? И что изменилось в версии 4.20 с точки зрения выполнения или невыполнения этих действий, что дало возможность неким HIPS начать его "ловить"?
    "Установка" или "регистрация" - действие, после которого драйвер отображается в диспетчере устройств, то есть прописка в реестре. Это ловится, например, проактивкой KIS. Текущую версию не тестировал, но знаю, что по крайней мере до двадцатой версии этот детект был.

    "Подгрузка" - функция LoadDriver. Это ловится, к примеру, SSM.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #382
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    322
    to NickGolovko:

    Ладно, я понял и не вижу больше смысла вас "мучить" и задавать вопросы, в особенности если вы не хотите или затрудняетесь на них отвечать...

  4. #383
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1842
    ОК
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  5. #384
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3416
    Цитата Сообщение от aintrust
    to NickGolovko:

    Ладно, я понял и не вижу больше смысла вас "мучить" и задавать вопросы, в особенности если вы не хотите или затрудняетесь на них отвечать...
    Вероятно, для предметности нужна техническая справка дыбы суть спора была понятна всем. В AVZ (да и где угодно еще) использование драйвера предполагает 3 основных шага
    1. Драйвер должен быть помещен на диске, причем в папке, откуда системе разрешено грузить драйвера и соответственно куда приложению можно писать
    Далее возможно две стратегии
    -- через SCM --
    2. при помощи SCM производится регистрация драйвера
    3. с помощью того же SCM драйвер загружается
    -- вручную --
    2. В реестре создается ключик с описанием драйвера
    3. Драйвер грузится функций ZwLoadDriver
    По сути, шаги 2-3 идентичны, но SCM более кривой и глючный.
    Теперь смотри на это глазами HIPS. Правильная HIPS мониторит все потенциально опасные действия, в частности:
    1. Создание на диске драйвера (причем не обязательно драйвера – может давиться создание любого файла в системной папке, создание PE файла, создание файла с расширение SYS и т.п.). Надо будет кстати дать драйверу в версии 4.22 расширение txt смеха ради
    2. Создание ключа в реестре, в соотв. разделе
    3. Операция загрузки драйвера.
    Но не все HIPS делают все эти проверки - некоторые мониторят только создание файлов, некоторые – только реестр. Иногда бывают вообще чудные перекосы – где-то (кажется в HIPS от StarForse, но точно не помню) я видел перехват API в UserMode, относящиеся к SCM. Т.е. загрузка драйвера не через SCM у них не мониторилась.

  6. #385
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    607
    Цитата Сообщение от Зайцев Олег
    Есть вероятность, что прокси отдает AVZ некорректный файл с описанием баз (не актуальный, а из кеша). Я советую сравнить файлы, полученные обоими путями и то, что пишет AVZ в описании базы и в начале протокола.
    Олег, вы были совершенно правы. Проблема в прокси. Тенденцию удалось переломить, выбрав другое зеркало для закачки.
    Опыт — это слово, которым люди называют свои ошибки.

  7. #386
    Visiting Helper Репутация Репутация Репутация Аватар для XL
    Регистрация
    25.02.2006
    Адрес
    почти Москва
    Сообщений
    157
    Вес репутации
    74
    К слову, о Haxdoor'e. Где-то на _http://www.xakepy.ru по-моему мне попались сокрушения одного из главных пинчестроителей по поводу того, что автор вышеупомянутого трояна A311 отошел от былых дел. Так что есть вероятность, что противостояние AVZ и haxdoor наконец прекратится. Новые варианты бэкдора мне что-то не попадались в последнее время.

  8. #387
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    322
    Цитата Сообщение от Зайцев Олег
    ...
    В AVZ (да и где угодно еще) использование драйвера предполагает 3 основных шага
    1. Драйвер должен быть помещен на диске, причем в папке, откуда системе разрешено грузить драйвера и соответственно куда приложению можно писать
    Далее возможно две стратегии
    ...
    А странно...

  9. #388
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    322
    Цитата Сообщение от stor
    PxHelp20.sys файл NERO
    Кстати, stor, жаль, что вы не прислали файл с конфигурацией вашего компьютера, как я просил (результат работы утилиты msconfig) - это позволило бы быстрее разобраться с проблемой падения вашей системы при работе AVZ. Но теперь это уже неважно - проблема локализована, и, я полагаю, в следующей версии все уже будет ОК, падения не будет.

  10. #389
    NikVA
    Guest

    Плагин для Бата

    Помогите не работают настройки в плагине изменяешь путь или ставиш галочку в протоколировании плагин сбрасывает все настройки, как можно настроить плагин???

  11. #390
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3416
    Цитата Сообщение от NikVA
    Помогите не работают настройки в плагине изменяешь путь или ставиш галочку в протоколировании плагин сбрасывает все настройки, как можно настроить плагин???
    В данном случае проще выкинуть существующий планин и установить новый. Новый будет помещен у меня в разделе Download в ближайшие день-два, в нем есть окно настройки со всеми опциями.

  12. #391
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3416
    По поводу глюка с антируткитом - в очередном обновлении AVZ (которое было размещено вчера в 15.00) и последующих обновились ядреные компоненты AVZ - теперь BSOD в ходе поиска руткитов возникать не должен.

  13. #392
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    607
    Олег, сегодня прочитал, что AVZ участвует в тестировании "Тест антивирусов - лечение активного заражения" на www.anti-malware.ru.
    Опыт — это слово, которым люди называют свои ошибки.

  14. #393
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3416
    Цитата Сообщение от SuperBrat
    Олег, сегодня прочитал, что AVZ участвует в тестировании "Тест антивирусов - лечение активного заражения" на www.anti-malware.ru.
    Участвует - но он там так, за компанию Я знаю об этом тестировании и помог авторам тестов подборкой различных трудноубиваемых ITW зловредов из моей коллекции.

  15. #394
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    322
    Цитата Сообщение от Зайцев Олег
    ...и помог авторам тестов подборкой различных трудноубиваемых ITW зловредов из моей коллекции.
    Значит, только чудо не позволит KAV-у занять первое место!

    Но если серьезно, то включение AVZ в этот "скорбный список" вызывает некоторое недоумение - это не только не антивирус по-определению (несмотря на название), но он еще и не обладает необходимым условием для проведения теста, а именно модулем on-access. Авторам теста надо или ставить утилиты в примерно равные условия, или дополнительно обговаривать этот момент, или вообще рассматривать участие AVZ как "внеконкурсное".

    PS. Ну вот, они там "поправились" уже, что AVZ будет участвовать только в одном из тестов.
    Последний раз редактировалось aintrust; 14.11.2006 в 21:11.

  16. #395
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    322
    Читаю форум Sysinternals, а именно вот это: Rootkit Detectors Bypassing/Overview, начиная со страницы 75 и дальше (в общем, EP_X0FF vs. AVZ). Ржачка просто улетная!!! Там, кстати, и по-русски есть, с цитатами из вот этой самой ветки по поводу упоминавшегося тут недавно демо-руткита (производства EP_X0FF & Co) и его полной невидимости в AVZ... В общем, спешите видеть!

  17. #396
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    575
    Цитата Сообщение от aintrust
    Значит, только чудо не позволит KAV-у занять первое место!
    В качестве "чуда" можно добавить в коллекцию - PE386, Hostfix, Goldun, Gromozon ну и ещё что-нибудь "весёлое"

  18. #397
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3416
    Цитата Сообщение от RiC
    В качестве "чуда" можно добавить в коллекцию - PE386, Hostfix, Goldun, Gromozon ну и ещё что-нибудь "весёлое"
    Там как раз всего понемногу. Причем все ITW - т.е. реальные звери, которые пойманы на реальных ПК. Цель теста собственно интересна - продетектировать и корректно прибить зверя.

  19. #398
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3416
    Цитата Сообщение от aintrust
    Читаю форум Sysinternals, а именно вот это: Rootkit Detectors Bypassing/Overview, начиная со страницы 75 и дальше (в общем, EP_X0FF vs. AVZ). Ржачка просто улетная!!! Там, кстати, и по-русски есть, с цитатами из вот этой самой ветки по поводу упоминавшегося тут недавно демо-руткита (производства EP_X0FF & Co) и его полной невидимости в AVZ... В общем, спешите видеть!
    Я читал - цирк. Причем это не совсем руткит ... маскируемый процесс ничего не делает, в том числе не прописывается в автозапуск ... Поймать его легко, но это снизит мобильноть AVZ ...

  20. #399
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    607
    Цитата Сообщение от aintrust
    Значит, только чудо не позволит KAV-у занять первое место!
    Надеюсь, Олег не по этому признаку (находит только KAV) выбирал зловредов. По опыту заочного общения с Олегом, могу сказать, что он добавляет в базу AVZ всех зловредов. Многое из того, что я ему присылал, тестировали и другие антивирусы. Если Олег не добавлял зловреда, то всегда аргументированно отвечал - почему. У меня претензий нет.
    Опыт — это слово, которым люди называют свои ошибки.

  21. #400
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3416
    Цитата Сообщение от SuperBrat
    Надеюсь, Олег не по этому признаку (находит только KAV) выбирал зловредов. По опыту заочного общения с Олегом, могу сказать, что он добавляет в базу AVZ всех зловредов. Многое из того, что я ему присылал, тестировали и другие антивирусы. Если Олег не добавлял зловреда, то всегда аргументированно отвечал - почему. У меня претензий нет.
    Образцы отбирал не я, а мой анализатор - машина как известно беспристрастна и критирий "детектируется KAV" тут не показатель. Критерии -
    1. ITW. Т.е. всевозможные коллекционные образцы, лабораторные "руткиты" и т.п. отсечены
    2. трудноудаляемость в любой форме (отбирал сам анализатор, там около сотни критериев)
    3. Распространенность - зловред должен быть хорошо распространен, не менее 50-ти обнаружений в живой природе за квартал
    4. Время отлова - с момента отлова должно пройти не менее 2х недель. Причина - для данного теста нужны звери, которые попали в вирлабы и детектятся изучаемыми антиврусами.
    Если кто-то из тестируемых AV что-то не детектит, то я полагаю, что авторы теста пошлют образцы в вирлаб соответствующего антивиря - в данном стесте с точки зрения сигнатурного детекта все антивири должны быть на равных.

Страница 20 из 27 Первая ... 10161718192021222324 ... Последняя

Похожие темы

  1. AVZ 3.75 - тестирование, обсуждение, предложения по доработке
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 53
    Последнее сообщение: 28.02.2007, 03:18
  2. AVZ 4.18 + AVZGuard - тестирование, обсуждение, предложения по доработке
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 55
    Последнее сообщение: 19.07.2006, 17:36
  3. AVZ 4.16 + AVZGuard - тестирование, обсуждение, предложения по доработке
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 108
    Последнее сообщение: 14.06.2006, 09:40
  4. AVZ 4.15 + AVZGuard - тестирование, обсуждение, предложения по доработке
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 307
    Последнее сообщение: 05.05.2006, 15:22
  5. AVZ 4.00 - тестирование, обсуждение, предложения по доработке
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 406
    Последнее сообщение: 22.02.2006, 11:37

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00634 seconds with 16 queries