AVZ 4.15 + AVZGuard - тестирование, обсуждение, предложения по доработке

[aintrust]

Цитата:

Сообщение от kps

...
А по-моему AVZGuard нужнее монитора.
...

AVZGuard был введен в AVZ как средство борьбы с определенным классом существующих троянов (как пишет в анонсе Олег, "основное назначение - борьба с трудноудалимыми вредоносными программами, которые активно противодействуют процессу лечение компьютера (Look2me, руткиты, и т.п.)". Надеюсь, вы понимаете, что это вовсе не супер-технология, которая позволит "задавить" одним махом всю компьютерную нечисть и разом очистит от нее компьютер!

Более того, к великому сожалению, AVZGuard даже в теории не может на 100% выполнить декларированные в его анонсе функции (не буду их здесь перечислять - смотрите первое сообщение в теме). Скажу более точно: можно максимально приблизиться к выполнению того, что анонсировано в AVZGuard, при выполнении, как минимум, трех условий:
- "зверь" не должен иметь kernel-mode компонент;
- "зверь" не должен мониторить запуск средств, активно ему противодействующих (и AVZ, в частности);
- Олег заткнет ("задавит", как он говорит) существующие в AVZ и AVZGuard дыры (смотрите, в частности, мои предыдущие посты).

Много это или мало? Олег говорит, что, те "звери", что находятся у него в коллекции, ничего вышеперечисленного не делают. Означает ли это, что другие "звери" не будут это делать через, скажем, день или месяц? Конечно же нет! А сможет ли AVZGuard (пусть даже модифицированный) противостоять такого рода "зверям"? К сожалению, тоже нет!

Какое же решение? Вот тут на авансцену и выходит монитор! Помимо той функциональности, которая обычно присуща разного рода мониторам, на него также будут возложены функции, которые сейчас пытается решать AVZGuard. Только монитор позволит в полной мере выполнить все то, что анонсировано в AVZGuard, т.к. он будет контролировать системную активность от момента загрузки ОС до момента завершения работы,
1) изначально не давая загрузиться известным "зверям" (и тогда не нужно будет тратить время на лечение и более тонкое, трудоемкое и не всегда предсказуемое "долечивание"),
2) контролируя от вторжения/модификации/заражения важнейшие системные области, процессы и пр., и
3) блокируя, если потребуется, любую "звериную" и иную активность!

Конечно, монитор - это на порядок более сложная компонента, нежели чем AVZGuard, и на его дизайн, качественное написание и отладку нужно потратить довольно много времени (полагаю, что не менее полугода!), не говоря уже о том, что надо очень глубоко знать систему и kernel-mode программирование. Для меня нет сомнения, что у AVZ есть только один правильный путь - это путь в сторону создания полноценного монитора, другие же пути - это не более чем "заплатки", полумеры и полуфункциональность!

По воду DefenseWall и мониторов различных а/в программ скажу следующее: это все платные продукты, и не каждому они доступны! Бесплатность AVZ - одно из его главных достоинств (впрочем, и проблем тоже! ). Кроме того, функциональность, в них заложенная, почти никак не коррелирует с AVZ, т.е. AVZ в нужный момент не может "попросить", скажем, DW или KAV, сделать для него то-то и так-то. Ввиду этого то, что вы предлагаете относительно этих программ, вряд ли представляется в значительной мере перспективным как для AVZ, так и для пользователей.

[Dandy]

Цитата:

Сообщение от aintrust

Только монитор позволит в полной мере выполнить все то, что анонсировано в AVZGuard, т.к. он будет контролировать системную активность от момента загрузки ОС до момента завершения работы,
1) изначально не давая загрузиться известным "зверям" (и тогда не нужно будет тратить время на лечение и более тонкое, трудоемкое и не всегда предсказуемое "долечивание"),
2) контролируя от вторжения/модификации/заражения важнейшие системные области, процессы и пр., и
3) блокируя, если потребуется, любую "звериную" и иную активность!

Тогда в очередной раз упираемся в то, что позиционирование AVZ как инструмент по борьбе с "_УЖЕ ЖИВУЩИМИ_ животными" будет полностью перевернуто, о чем собственно, тут уже неоднократно говорилось

[rav]

Цитата:

Сообщение от aintrust

Конечно, монитор - это на порядок более сложная компонента, нежели чем AVZGuard, и на его дизайн, качественное написание и отладку нужно потратить довольно много времени (полагаю, что не менее полугода!)

Полгода- это только выпуск нормальной беты. А до релиза- это месяцев восемь как минимум!

Цитата:

Сообщение от aintrust

По воду DefenseWall и мониторов различных а/в программ скажу следующее: это все платные продукты, и не каждому они доступны!

Ну, я не был бы столь категоричен по поводу доступности. 499 рублей за DW- разве это много? Просто выбор невелик- или проект коммерческий (быстро развивающийся, с хорошим саппортом), или некоммерческий (медленное развитие с плохим саппортом из-за хронической нехватки времени на него). Я выбрал первый путь, Олег- второй. Проблема в том, что AVZ уже становится большим проектом, что автоматически требует добавления разработчиков к проекту. А это или опен-соурс, или коммерциализация. Или смерть проекта из-за слишком медленного развития.

Цитата:

Сообщение от aintrust

Кроме того, функциональность, в них заложенная, почти никак не коррелирует с AVZ, т.е. AVZ в нужный момент не может "попросить", скажем, DW или KAV, сделать для него то-то и так-то.

Ну, опять таки же, я бы не был столь категоричным. Если Олегу нужна будет интеграция DW и AVZ- это можно будет устроить. Больших проблем с этим я не вижу.

[aintrust]

Цитата:

Сообщение от Dandy

Тогда в очередной раз упираемся в то, что позиционирование AVZ как инструмент по борьбе с "_УЖЕ ЖИВУЩИМИ_ животными" будет полностью перевернуто, о чем собственно, тут уже неоднократно говорилось

Почему же? Вся старая функциональность, связанная с убиением/ лечением/долечиванием может быть (и, видимо, должна быть!) оставлена - просто при наличии монитора она перейдет на более высокий качественный уровень!

Не забывайте также, что режим AVZGuard не работает в Windows 9x/Me - и пусть сейчас уже не очень-то много таких установок, но они все же есть, и позиция Олега состоит, на сколько мне известно, в том, чтобы не бросать поддержку этих систем! Что же делать с этими системами? Писать под них отдельную версию монитора - накладно. AVZGuard-а? А стоит ли? Как минимум остается теперешний режим - т.е. скан, лечение, исследование и т.д., т.е. все то, что было в AVZ до введения AVZGuard!

[Geser]

Что-то я не понимаю, если трояны умудряются обойти любую установленную на компьютере защиту, хотя запускаются когда она уже установлена, неужели нельзя написать программу обходящую защиту троянов? Что-то не верится

[aintrust]

Цитата:

Ну, опять таки же, я бы не был столь категоричным. Если Олегу нужна будет интеграция DW и AVZ- это можно будет устроить. Больших проблем с этим я не вижу.

Это было бы классно, конечно, но DW при этом все равно останется платным (т.е. доступным, но не всем)! Иными словами, вряд ли AVZ станет опираться на это взаимодействие, как на основное решение - т.е. для того, чтобы обеспечить "полный комплекс бесплатных услуг", Олегу придется писать что-то свое! Замкнутый круг, в общем...

[Кузя]

Пожалуйста, разъясните, что это означает...? и что с этим sptd.sys лучше сделать?

"1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082480)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559480
KiST = 804E26A8 (284)
Функция ZwCreateKey (29) перехвачена (8056E761->FC3D0B3A), перехватчик sptd.sys
Функция ZwEnumerateKey (47) перехвачена (8056EE68->FC3D0C7E), перехватчик sptd.sys
Функция ZwEnumerateValueKey (49) перехвачена (8057EB28->FC3D0FF6), перехватчик sptd.sys
Функция ZwOpenKey (77) перехвачена (80567AFB->FC3D0A1, перехватчик sptd.sys
Функция ZwQueryKey (A0) перехвачена (8056EB71->FC3D10C0), перехватчик sptd.sys
Функция ZwQueryValueKey (B1) перехвачена (8056B0BB->FC3D0F5, перехватчик sptd.sys
Функция ZwSetValueKey (F7) перехвачена (80574C1D->FC3D114, перехватчик sptd.sys
Проверено функций: 284, перехвачено: 7, восстановлено: 0"

Спасибо.

[aintrust]

Цитата:

Сообщение от Кузя

Пожалуйста, разъясните, что это означает...? и что с этим sptd.sys лучше сделать?
...

У вас, по всей видимости, установлен Daemon Tools 4-й версии? Если это так, то ничего делать не надо - это нормальное поведение.

[rav]

Цитата:

Сообщение от Geser

Что-то я не понимаю, если трояны умудряются обойти любую установленную на компьютере защиту, хотя запускаются когда она уже установлена, неужели нельзя написать программу обходящую защиту троянов? Что-то не верится

Можно. Да только плохо это- придётся реагировать на каждую модификацию зловреда, да ещё и постфактум. Некрасиво и не очень эффективно.

[Кузя]

Цитата:

Сообщение от aintrust

У вас, по всей видимости, установлен Daemon Tools 4-й версии? Если это так, то ничего делать не надо - это нормальное поведение.

нет, Daemon Tools не установлен, но есть Alcohol 120...?

[userr]

Цитата:

Сообщение от aintrust

Какое же решение? Вот тут на авансцену и выходит монитор! Помимо той функциональности, которая обычно присуща разного рода мониторам, на него также будут возложены функции, которые сейчас пытается решать AVZGuard. Только монитор позволит в полной мере выполнить все то, что анонсировано в AVZGuard, т.к. он будет контролировать системную активность от момента загрузки ОС до момента завершения работы,
1) изначально не давая загрузиться известным "зверям" (и тогда не нужно будет тратить время на лечение и более тонкое, трудоемкое и не всегда предсказуемое "долечивание"),
2) контролируя от вторжения/модификации/заражения важнейшие системные области, процессы и пр., и
3) блокируя, если потребуется, любую "звериную" и иную активность!

Что если рассмотреть компромисс - "монитор для чрезвычайной ситуации"? Конкретно, при запуске на зараженной машине AVZ не пытается с ходу противодействовать хитрым зловредам, а только ставит свой монитор и предлагает перезагрузку. Все лечение происходит после перезагрузки, когда AVZGuard "контролирует ситуацию"
Такой "монитор", не рассчитанный на постоянную работу, думаю написать легче чем полноценный сторож.
Главный вопрос - смогут ли активные зловреды противостоять встраиванию AVZGuard в систему с расчетом его работы после перезагрузки ?

[Geser]

Цитата:

Сообщение от rav

Можно. Да только плохо это- придётся реагировать на каждую модификацию зловреда, да ещё и постфактум. Некрасиво и не очень эффективно.

Не думаю что на каждую. Количество системных функций которые можно перехватить, и количество способов перехвата конечно. Так что реагировать нужно только на каждую новую концепцию, и рано или поздно можно всё перекрыть
Другое дело что на каждый троян написанный конкретно что бы убивать АВЗ действительно прийсётся реагировать отдельно. Опять же, количество способов должно быть конечным

[aintrust]

Цитата:

Сообщение от Кузя

нет, Daemon Tools не установлен, но есть Alcohol 120...?

Ага, оно... Alcohol использует ту же технологию, что и Daemon Тools (и, видимо, те же драйверы). В общем, можете спокойно проигнорировать эти сообщения.

[aintrust]

Цитата:

Сообщение от userr

Что если рассмотреть компромисс - "монитор для чрезвычайной ситуации"? Конкретно, при запуске на зараженной машине AVZ не пытается с ходу противодействовать хитрым зловредам, а только ставит свой монитор и предлагает перезагрузку. Все лечение происходит после перезагрузки, когда AVZGuard "контролирует ситуацию"

Сценарий, который вы сейчас описали, в точности соответствует тому, как должен работать AVZ с монитором ("полнофункциональным" или "неполнофункциональным" (типа AVZGuard)) - не важно. Тут главное то, что процесс контроля за системой должен начаться именно в момент ее старта!

Цитата:

Такой "монитор", не рассчитанный на постоянную работу, думаю написать легче чем полноценный сторож.

Если и легче, то совсем ненамного! Все равно в него придется встраивать практически все функции контроля системы, а это львиная доля работы по его написанию!

Цитата:

Главный вопрос - смогут ли активные зловреды противостоять встраиванию AVZGuard в систему с расчетом его работы после перезагрузки ?

Если они "знают" про AVZ и его монитор - то да, естественно, смогут, и для такого случая AVZ придется устанавливать свой монитор не очень тривиальными способами - но вот это уже совсем близко к маловероятной (хотя и теоретически допустимой) экзотике. Для таких неординарных случаев лучше всего, наверное, подойдут чисто "ручные" методы анализа и борьбы.

[Geser]

Цитата:

Сообщение от aintrust

Если они "знают" про AVZ и его монитор - то да, естественно, смогут, и для такого случая AVZ придется устанавливать свой монитор не очень тривиальными способами - но вот это уже совсем близко к маловероятной (хотя и теоретически допустимой) экзотике. Для таких неординарных случаев лучше всего, наверное, подойдут чисто "ручные" методы анализа и борьбы.

Ну какая же экзотика, уже некоторые трояны не дают запустить АВЗ. Нельзя запустить АВЗ - нельзя будет и монитор запустить. Всё дело именно в том, что АВЗ должен уметь запуститься на зараженной машине и перехватить управление на себя. Иначе от монитора такая же польза как и от AVZGuard

[aintrust]

Цитата:

Сообщение от Geser

Ну какая же экзотика, уже некоторые трояны не дают запустить АВЗ. Нельзя запустить АВЗ - нельзя будет и монитор запустить. Всё дело именно в том, что АВЗ должен уметь запуститься на зараженной машине и перехватить управление на себя. Иначе от монитора такая же польза как и от AVZGuard

Все бы это было так, если бы не одно "но": AVZ, запущенный в процессе работы, ну вот никак не сможет полностью "перехватить управление на себя"! И в этом смысле поставить только монитор (а это может делать специальная компонента, запускаемая даже не из AVZ, а, скажем, вручную, и имя ей каждый раз можно генерить случайное - лишь бы AVZ потом про нее знал!) и попросить пользователя перегрузить компьютер будет на порядок проще, чем
1) запустить AVZ (первое противодействие, возможно уже непреодолимое),
2) в нем загрузить драйвер AVZGuard (второе противодействие, также возможно непреодолимое).
3) перехватить управление на себя (полностью это вообще не удастся - только частично, как это делает сейчас AVZGuard).

А по-хорошему, у AVZ должен быть инсталлятор, который поставит и сам AVZ, и его монитор со всеми необходимыми драйверами.

[Зайцев Олег]

... я на день "выпал" из дискуссии - работы очень много ...
Так вот, оптом резюмирую:
1. Интегрировать DW и AVZ-Guard нет никакого смысла - как правильно заметил rav, задачи совершенно различны. Задача DW - быть практически незаметным для работающих программ (работая непрерывно с момента запуска системы), но между тем пресекать их поползнования набедакурить в системе. Задача AVZ-Guard - "закрутить гайки" на время лечения, блокировав многие функции системы и по сути нарушив ее нормальную работу.
2. Я отчасти не согласен с aintrust - мы много спорили по этому вопросу, тем не менее я лично разграничиваю две ситуации:
2.1 защита ПК в рельном времени - это AV монитор, Firewall, продукты типа DW ... согласен, что проще защититься, чем бороться с последствиями. Но это в идеале - когда все грамотно установлено, настроено ... и всеравно 100% гарантию защиты никто не даст.
2.2 средства для изучения и зачистки уже зараженного ПК. Т.е. он дефакто заражен ! (т.к. на нем не было средств защиты, они были неправильно настроены, проворонили "зверя" и он прижился и т.п.) Такие случаи были, есть и будут ... и AVZ в первую очередь "заточен" именно под это. Замечу, что хороших антивирей с монитором сейчас существует тьма, но между тем в резделе "помогите" почему-то есть обращения пользователей. Причем даже без монитора грамотная настройка и администрирование Windows позволяет "вырвать зубы" большинству зловредов.
3. Сложность изготовления монитора практически ничем не отличима от сложности изготовления AVZ-Guard (при моем подходе). Принцип таков - есть подсистема мониторинга (перехват функций, иные средства мониторинга и т.п.) + средства принятия решения. Так вот мониторинг AVZ-Guard и мониторинг некоего "AVZ-Monitor" почти идентичны (или 100% идентичны - чтобы драйвера не плодить), а средство принятия решения уже есть - это сам AVZ.

Теперь о главном - AVZGuard в текущем виде создан для решения вполне конкретной задачи - имеется что-то типа знаменитых look2me или nail.exe, которые прибить штатными средствами крайне трудно, т.к. "зверь" активно сопротивляется. Следовательно, нужен инструмент для их изничтожения - вот и был создан AVZGuard. Он не строился как непробиваемая защита (такие в природе не водятся) и не ставилась самоцель перекрыть все на 100%. Поэтому собственно абстрактные рассуждения типа "а вот появится троян, работающий в KermelMode с функцией снятия перехватов и противодействия драйверу ... " - вот появится, станет массовым - тогда и будем искать пути борьбы с ним. Другое дело, что конечно нужно закрывать обнаруживаемые в защите AVZ-Gaurd дыры, чтобы повышать уровень эффективности этой самой защиты.

Текущую версию AVZ я хочу оставить как "программу без инсталляции". В случае появления монитора инсталлятор тоже появится - но этот продукт будет развиваться параллельно с AVZ в чистом виде.

[userr]

Зайцев Олег, aintrust
Вы очень точно выразили каждый свою часть моей мысли , поэтому буду разговаривать цитатами:

Цитата:

Сообщение от Зайцев Олег

Задача DW - быть практически незаметным для работающих программ (работая непрерывно с момента запуска системы), но между тем пресекать их поползнования набедакурить в системе.
AVZ+AVZ-Guard - средства для изучения и зачистки уже зараженного ПК.
Задача AVZ-Guard - "закрутить гайки" на время лечения, блокировав многие функции системы и по сути нарушив ее нормальную работу.

Т.е. AVZ-Guard - не "полноценный" монитор, но

Цитата:

Сообщение от aintrust

процесс контроля за системой должен начаться именно в момент ее старта!

[aintrust]

Цитата:

Сообщение от Зайцев Олег

... я на день "выпал" из дискуссии - работы очень много ...
Так вот, оптом резюмирую:

Не, не буду комментировать... и дискутировать тоже... скажу кратко: "прикольное резюме, мне понравилось"!

[SDA]

А кстати если AVZ дополняет функциональный антивирус, то как быть с монитором, полагаться на антивирусный монитор или запускать монитор
AVZ (когда он будет)? т.е. дело вкуса пользователя, ведь 2 монитора не уживутся или они не будут конфликтовать.Как будет работать монитор AVZ? т.е. какой принцип работы, как у обычных антивирусов или что-то типа проактивной защиты.