-

Сообщение от
aintrust
А что в вашем понимании есть "подгрузка" драйвера, его "установка" и "регистрация"? Мне не совсем понятна такая терминология. Как, по вашему мнению, динамически загружаетя драйвер? В какой последовательности идут действия, отвечающие за озвученные вами термины, и в чем конкретно они выражаются? И как, по вашему мнению, грузит драйверы AVZ, он выполняет все указанные вами действия или же нет? И что изменилось в версии 4.20 с точки зрения выполнения или невыполнения этих действий, что дало возможность неким HIPS начать его "ловить"?
"Установка" или "регистрация" - действие, после которого драйвер отображается в диспетчере устройств, то есть прописка в реестре. Это ловится, например, проактивкой KIS. Текущую версию не тестировал, но знаю, что по крайней мере до двадцатой версии этот детект был.
"Подгрузка" - функция LoadDriver. Это ловится, к примеру, SSM.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
to NickGolovko:
Ладно, я понял и не вижу больше смысла вас "мучить" и задавать вопросы, в особенности если вы не хотите или затрудняетесь на них отвечать...
-
-
ОК
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-

Сообщение от
aintrust
to
NickGolovko:
Ладно, я понял и не вижу больше смысла вас "мучить" и задавать вопросы, в особенности если вы не хотите или затрудняетесь на них отвечать...

Вероятно, для предметности нужна техническая справка
дыбы суть спора была понятна всем. В AVZ (да и где угодно еще) использование драйвера предполагает 3 основных шага
1. Драйвер должен быть помещен на диске, причем в папке, откуда системе разрешено грузить драйвера и соответственно куда приложению можно писать
Далее возможно две стратегии
-- через SCM --
2. при помощи SCM производится регистрация драйвера
3. с помощью того же SCM драйвер загружается
-- вручную --
2. В реестре создается ключик с описанием драйвера
3. Драйвер грузится функций ZwLoadDriver
По сути, шаги 2-3 идентичны, но SCM более кривой и глючный.
Теперь смотри на это глазами HIPS. Правильная HIPS мониторит все потенциально опасные действия, в частности:
1. Создание на диске драйвера (причем не обязательно драйвера – может давиться создание любого файла в системной папке, создание PE файла, создание файла с расширение SYS и т.п.). Надо будет кстати дать драйверу в версии 4.22 расширение txt смеха ради
2. Создание ключа в реестре, в соотв. разделе
3. Операция загрузки драйвера.
Но не все HIPS делают все эти проверки - некоторые мониторят только создание файлов, некоторые – только реестр. Иногда бывают вообще чудные перекосы – где-то (кажется в HIPS от StarForse, но точно не помню) я видел перехват API в UserMode, относящиеся к SCM. Т.е. загрузка драйвера не через SCM у них не мониторилась.
-
-

Сообщение от
Зайцев Олег
Есть вероятность, что прокси отдает AVZ некорректный файл с описанием баз (не актуальный, а из кеша). Я советую сравнить файлы, полученные обоими путями и то, что пишет AVZ в описании базы и в начале протокола.
Олег, вы были совершенно правы. Проблема в прокси. Тенденцию удалось переломить, выбрав другое зеркало для закачки.
Опыт — это слово, которым люди называют свои ошибки.
-
-
К слову, о Haxdoor'e. Где-то на _http://www.xakepy.ru по-моему мне попались сокрушения одного из главных пинчестроителей по поводу того, что автор вышеупомянутого трояна A311 отошел от былых дел. Так что есть вероятность, что противостояние AVZ и haxdoor наконец прекратится. Новые варианты бэкдора мне что-то не попадались в последнее время.
-
-

Сообщение от
Зайцев Олег
...
В AVZ (да и где угодно еще) использование драйвера предполагает 3 основных шага
1. Драйвер должен быть помещен на диске, причем в папке, откуда системе разрешено грузить драйвера и соответственно куда приложению можно писать
Далее возможно две стратегии
...
А странно...
-
-

Сообщение от
stor
PxHelp20.sys файл NERO
Кстати, stor, жаль, что вы не прислали файл с конфигурацией вашего компьютера, как я просил (результат работы утилиты msconfig) - это позволило бы быстрее разобраться с проблемой падения вашей системы при работе AVZ. Но теперь это уже неважно - проблема локализована, и, я полагаю, в следующей версии все уже будет ОК, падения не будет.
-
-
Плагин для Бата
Помогите не работают настройки в плагине изменяешь путь или ставиш галочку в протоколировании плагин сбрасывает все настройки, как можно настроить плагин???
-
-

Сообщение от
NikVA
Помогите не работают настройки в плагине изменяешь путь или ставиш галочку в протоколировании плагин сбрасывает все настройки, как можно настроить плагин???
В данном случае проще выкинуть существующий планин и установить новый. Новый будет помещен у меня в разделе Download в ближайшие день-два, в нем есть окно настройки со всеми опциями.
-
-
По поводу глюка с антируткитом - в очередном обновлении AVZ (которое было размещено вчера в 15.00) и последующих обновились ядреные компоненты AVZ - теперь BSOD в ходе поиска руткитов возникать не должен.
-
-
Опыт — это слово, которым люди называют свои ошибки.
-
-

Сообщение от
SuperBrat
Участвует - но он там так, за компанию
Я знаю об этом тестировании и помог авторам тестов подборкой различных трудноубиваемых ITW зловредов из моей коллекции.
-
-

Сообщение от
Зайцев Олег
...и помог авторам тестов подборкой различных трудноубиваемых ITW зловредов из моей коллекции.
Значит, только чудо не позволит KAV-у занять первое место!
Но если серьезно, то включение AVZ в этот "скорбный список" вызывает некоторое недоумение - это не только не антивирус по-определению (несмотря на название), но он еще и не обладает необходимым условием для проведения теста, а именно модулем on-access. Авторам теста надо или ставить утилиты в примерно равные условия, или дополнительно обговаривать этот момент, или вообще рассматривать участие AVZ как "внеконкурсное".
PS. Ну вот, они там "поправились" уже, что AVZ будет участвовать только в одном из тестов.
Последний раз редактировалось aintrust; 14.11.2006 в 21:11.
-
-
Читаю форум Sysinternals, а именно вот это: Rootkit Detectors Bypassing/Overview, начиная со страницы 75 и дальше (в общем, EP_X0FF vs. AVZ). Ржачка просто улетная!!! Там, кстати, и по-русски есть, с цитатами из вот этой самой ветки по поводу упоминавшегося тут недавно демо-руткита (производства EP_X0FF & Co) и его полной невидимости в AVZ... В общем, спешите видеть!
-
-

Сообщение от
aintrust
Значит, только чудо не позволит KAV-у занять первое место!

В качестве "чуда" можно добавить в коллекцию - PE386, Hostfix, Goldun, Gromozon ну и ещё что-нибудь "весёлое"
-
-

Сообщение от
RiC
В качестве "чуда" можно добавить в коллекцию - PE386, Hostfix, Goldun, Gromozon ну и ещё что-нибудь "весёлое"

Там как раз всего понемногу. Причем все ITW - т.е. реальные звери, которые пойманы на реальных ПК. Цель теста собственно интересна - продетектировать и корректно прибить зверя.
-
-

Сообщение от
aintrust
Читаю форум
Sysinternals, а именно вот это:
Rootkit Detectors Bypassing/Overview, начиная со страницы 75 и дальше (в общем,
EP_X0FF vs.
AVZ). Ржачка просто улетная!!! Там, кстати, и по-русски есть, с цитатами из вот этой самой ветки по поводу упоминавшегося тут недавно демо-руткита (производства
EP_X0FF & Co) и его полной невидимости в AVZ... В общем, спешите видеть!

Я читал - цирк. Причем это не совсем руткит ... маскируемый процесс ничего не делает, в том числе не прописывается в автозапуск ... Поймать его легко, но это снизит мобильноть AVZ ...
-
-

Сообщение от
aintrust
Значит, только чудо не позволит KAV-у занять первое место!
Надеюсь, Олег не по этому признаку (находит только KAV) выбирал зловредов. По опыту заочного общения с Олегом, могу сказать, что он добавляет в базу AVZ всех зловредов. Многое из того, что я ему присылал, тестировали и другие антивирусы. Если Олег не добавлял зловреда, то всегда аргументированно отвечал - почему. У меня претензий нет.
Опыт — это слово, которым люди называют свои ошибки.
-
-

Сообщение от
SuperBrat
Надеюсь, Олег не по этому признаку (находит только KAV) выбирал зловредов. По опыту заочного общения с Олегом, могу сказать, что он добавляет в базу AVZ всех зловредов. Многое из того, что я ему присылал, тестировали и другие антивирусы. Если Олег не добавлял зловреда, то всегда аргументированно отвечал - почему. У меня претензий нет.
Образцы отбирал не я, а мой анализатор - машина как известно беспристрастна и критирий "детектируется KAV" тут не показатель. Критерии -
1. ITW. Т.е. всевозможные коллекционные образцы, лабораторные "руткиты" и т.п. отсечены
2. трудноудаляемость в любой форме (отбирал сам анализатор, там около сотни критериев)
3. Распространенность - зловред должен быть хорошо распространен, не менее 50-ти обнаружений в живой природе за квартал
4. Время отлова - с момента отлова должно пройти не менее 2х недель. Причина - для данного теста нужны звери, которые попали в вирлабы и детектятся изучаемыми антиврусами.
Если кто-то из тестируемых AV что-то не детектит, то я полагаю, что авторы теста пошлют образцы в вирлаб соответствующего антивиря - в данном стесте с точки зрения сигнатурного детекта все антивири должны быть на равных.
-