Страница 1 из 6 12345 ... Последняя
Показано с 1 по 20 из 109.

AVZ 4.16 + AVZGuard - тестирование, обсуждение, предложения по доработке

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    AVZ 4.16 + AVZGuard - тестирование, обсуждение, предложения по доработке

    Вышла новая версия AVZ - 4.16 + AVZGuard ( http://z-oleg.com/secur/avz/download.php ).
    Список доработок и модификаций:
    [++] Доработан менеджер автозапуска - добавлена масса ключей, применяемых современными троянами
    [++] Менеджер протоколов и обработчиков. Подключен к исследованию системы и автокарантину.
    [++] Функция "Стандартные скрипты". Это диалоговое окно, позволяющее выполнять стандартные операции при помощи AVZ.
    Данный режим пришел на смену скриптам, размещенным в папке SCRIPT. В раздел стандартных внесены скрипты, применяемые в разделе "Помогите" конференции VirusInfo, скрипт для автообновления различными методами, запуска антируткита
    [+] Доработан avz.sys - введена защита от атаки на драйвер посылкой ему IRP пакетов сторонними приложениями
    [+] Доработан AVZ Guard - введено несколько новых контуров защиты процесса AVZ от типовых методик закрытия процесса, применяемого распространенными троянскими программами
    [+] Параметр MiniLog=[Y|N], переключающий режим протоколирования. Если MiniLog=Y, то в протокол выводятся только значимые сообщения. По умолчанию MiniLog=N и выводится вся информация. Ключ полезен сисадминам, применяющим AVZ автоматическом режиме
    [+] Во все HTML отчеты введена информация о файле (ссылка и всплывающее окно). В случае обнаружения в имени файла национальных символов в информации о файле выводится сообщение
    [+] Новая функция скриптового движка - ClearQuarantine (очистка карантина)
    [+] В диалоге "О программе" выводится информация о базах - дата сборки для каждого из файлов
    [+] В апдейтере после анализа (стадия 2) выводится информация о том, какой объем информации требуется загрузить
    [+] Проверка архивов WinRar 3.60

    База: от 5.05.2006 22022 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, 359 микропрограмм эвристики, 49268 подписей безопасных файлов

    По многочисленным просьбам предусмотрена опция загрузки баз одним архивом в случае проблем с апдейтером - ссылка есть на странице загрузки.

    На сайте обновлена документация по AVZ, в самом AVZ обновленная справка.

    PS: В последние пару месяцев у меня не было времени на выпуск публичных версий AVZ, теперь эти версии будут выходить гораздо чаще ... в следующей версии в частности будет новый антикейлоггер, в этой версии он заблокирован ввиду "сыроватости"
    Последний раз редактировалось Зайцев Олег; 05.05.2006 в 17:23.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    Кстати, ведь не все знают, где можно скачать сие чудо (в хорошем смысле этого слова).
    А скачать его можно на сайте Олега http://z-oleg.com/secur/avz/download.php

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    Видимо, все ломанулись качать, так как открывается сайт меееедлеенноо.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Обновил базы в AVZ 4.15 через встроенный апдейтер. Как я понимаю, они уже от 4.16 и не полностью совместимы с 4.15:
    ---
    7. Эвристичеcкая проверка системы
    Ошибка микропрограммы: Undeclared identifier: 'RegKeyIntParamRead'
    Ошибка микропрограммы 350
    ---

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от anton_dr
    Видимо, все ломанулись качать, так как открывается сайт меееедлеенноо.
    ссылку я забыл прикрутить - исправлено. Да, на сайте DDoS, страшнее самого крутого бот-нета Но это временно, да и у Агавы каналы хорошие ...

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от AndreyKa
    Обновил базы в AVZ 4.15 через встроенный апдейтер. Как я понимаю, они уже от 4.16 и не полностью совместимы с 4.15:
    ---
    7. Эвристичеcкая проверка системы
    Ошибка микропрограммы: Undeclared identifier: 'RegKeyIntParamRead'
    Ошибка микропрограммы 350
    ---
    Да, есть небольшие несовместимости - базы 4.16 заточены под некоторые новые фичи скриптового движка, но общая совместимость есть. Тем не менее я включил блокиратор обновлений для версий < 4.16
    Последний раз редактировалось Зайцев Олег; 05.05.2006 в 17:42.

  8. #7
    Junior Member Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.05.2005
    Сообщений
    45
    Вес репутации
    73
    Нет, 4.16 проблемы с GameGuard-ом не решили. Так же не открыватеся менеджер процессов, так же отваливается антируткит в access violation. Т.е. если "зверь" будет использовать те же механизмы, что и GameGuard от линейки - AVZ бессилен ....

  9. #8
    Sel
    Guest
    Программа очень хорошая. Спасибо. Но вот я сталкнулся с проблеммой обновления, что старая и уже норвая версия. Повторюсь именно с обновлениями. У меня Интернет через прокси-сервер. В настройках обновления задаю параметры моего прокси, как написано в примере, программа выдаёт такую ошибку "Ошибка в ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zip - файл повреждён". Пробовал все варианты что есть обновлении, результат нулевой. все остальные программы выходят нормально.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    2 Sel
    Проблемы с обновлением через прокси есть. У меня тоже. Олег начиная с версии 4.16 выкладывает на сайте обновления баз в отдельном архиве. их нужно переписать поверх старых с заменой http://z-oleg.com/secur/avz_up/avzbase.zip

  11. #10
    Sel
    Guest
    Спасибо, всё понял. Честно не обратил внимание на отдельно обновляемые базы. Сейчас так делать буду.

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Dandy
    Нет, 4.16 проблемы с GameGuard-ом не решили. Так же не открыватеся менеджер процессов, так же отваливается антируткит в access violation. Т.е. если "зверь" будет использовать те же механизмы, что и GameGuard от линейки - AVZ бессилен ....
    Это очень легко исправить - где водится эта программа ? (желательно точный URL)

  13. #12
    Junior Member Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.05.2005
    Сообщений
    45
    Вес репутации
    73
    например тут (это официальный клиент для L2 C4) правда размер 2 гига....

  14. #13
    Full Member Репутация
    Регистрация
    30.07.2005
    Сообщений
    82
    Вес репутации
    69
    Зайцев Олег
    в следующей версии в частности будет новый антикейлоггер, в этой версии он заблокирован ввиду "сыроватости"
    Перевод уже вычеркнут из списка приоритетов?

  15. #14
    Full Member Репутация
    Регистрация
    30.07.2005
    Сообщений
    82
    Вес репутации
    69

    Thumbs up

    Сделал пробную проверку AVZ 4.16.
    Вот результаты:

    3. Сканирование дисков
    C:\Program Files\Programming\InstallShield Professional6.2\Examples\Example Visual Basic\Redist\Program Files\DEMOX.exe >>> подозрение на Trojan.Win32.Alfool ( 0042FD7A 002C0845 00098B4E 00059861 28672)
    Шло с InstallShield, ''ругался'' и раньше.

    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    C:\Program Files\Tools\Far\Plugins\drag_n_drop\DragnDrop.dll --> Подозрение на Keylogger или троянскую DLL
    C:\Program Files\Tools\Far\Plugins\drag_n_drop\DragnDrop.dll> >> Нейросеть: файл с вероятностью 99.89% похож на типовой перехватчик событий клавиатуры/мыши
    Уже посылал тебе этот плагин (DragnDrop.dll)...
    C:\Program Files\Tools\KasperskyInternetSecurity6.0\adialhk.dll --> Подозрение на Keylogger или троянскую DLL
    C:\Program Files\Tools\KasperskyInternetSecurity6.0\adialhk.d ll>>> Нейросеть: файл с вероятностью 0.93% похож на типовой перехватчик событий клавиатуры/мыши
    Как всегда, недоразумения с коллегами...


    Но вот Kaspersky нашел

    AVZ 4.16 его не ''заметил''...

    А в общем показалось, что AVZ 4.16 стал шустрее...

  16. #15
    Erick
    Guest
    Выслал последние полученные с почтой вирусы (WORM/Scano.Q.1, WORM/MyDoom.L в терминологии Avira Antivir).
    У меня вопрос. AVZ "с подозрением относится" к файлу NetView.exe. И понятно почему, нельзя ли сделать так, чтобы можно было самостоятельно добавлять файлы как безопасные, на свой страх и риск, естественно.

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Erick
    Выслал последние полученные с почтой вирусы (WORM/Scano.Q.1, WORM/MyDoom.L в терминологии Avira Antivir).
    У меня вопрос. AVZ "с подозрением относится" к файлу NetView.exe. И понятно почему, нельзя ли сделать так, чтобы можно было самостоятельно добавлять файлы как безопасные, на свой страх и риск, естественно.
    Я думаю о возможности самостоятельного добавления файлов в базу безопасных, но это палка о двух концах - с одной стороны удобно, с другой - каждому придется делать это индивидуально. С третьей - это исказит работу AVZ для раздела "Помогите". Я думаю несколько иначе - сделать возможность вести базу "Известных пользователю программ". Тогда AVZ ругаться будет, но с припиской, что это программа безопасна я точки зрения пользователя
    PS: Я тоже могу ошибиться, внося файлы в базу безопасных. Поэтому помимо изучения вручную коллекция чистых объектов постоянно проверяется тремя-четырьма антивирусами в самом параноидальном режиме - в качестве меры самоконтроля.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1822

    Question Ошибка в работе антируткита

    Здравствуйте Олег!
    Сегодня прогнал свой комп. новой версией AVZ и вот результат:

    Протокол антивирусной утилиты AVZ версии 4.16
    Сканирование запущено в 07.05.2006 0:05:41
    Загружена база: 22022 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, база от 05.05.2006 11:59
    Загружены микропрограммы эвристики: 359
    Загружены цифровые подписи системных файлов: 49268
    Режим эвристического анализатора: Максимальный уровень эвристики
    Режим лечения: выключено
    1. Поиск RootKit и программ, перехватывающих функции API
    Ошибка в работе антируткита [Access violation at address 00572064 in module 'avz.exe'. Read of address 00000000], шаг [3]
    2. Проверка памяти
    Количество найденных процессов: 0
    Количество загруженных модулей: 0
    Проверка памяти завершена
    3. Сканирование дисков
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    C:\WINDOWS\services.dll --> Подозрение на Keylogger или троянскую DLL
    C:\WINDOWS\services.dll>>> Нейросеть: файл с вероятностью 12.17% похож на типовой перехватчик событий клавиатуры/мыши
    На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    В базе 319 описаний портов
    В ходе проверки возникла ошибка. Проверка не производилась
    7. Эвристичеcкая проверка системы
    Проверка завершена
    Просканировано файлов: 88812, извлечено из архивов: 48121, найдено вредоносных программ 0
    Сканирование завершено в 07.05.2006 0:25:45
    Сканирование длилось 0004

    Что это может значить?
    Два дня назад с версией 4.15 такого не наблюдалось.

  19. #18
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    76
    C:\WINDOWS\services.dll
    Похоже на вирус, вышлите как написано в правилах
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  20. #19
    Spirit
    Guest
    Цитата Сообщение от anton_dr
    Видимо, все ломанулись качать, так как открывается сайт меееедлеенноо.
    у меня наоборот быстро

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    253
    Цитата Сообщение от Spirit
    у меня наоборот быстро
    Олег уже написал, почему было медленно. http://virusinfo.info/showpost.php?p=72560&postcount=5
    И совершенно понятно, почему у тебя сейчас быстро.
    Наше дело правое--победа будет за нами!!!

Страница 1 из 6 12345 ... Последняя

Похожие темы

  1. AVZ 3.75 - тестирование, обсуждение, предложения по доработке
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 53
    Последнее сообщение: 28.02.2007, 03:18
  2. AVZ 4.19 - 4.21 + AVZGuard - тестирование, обсуждение, предложения по доработке
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 520
    Последнее сообщение: 12.12.2006, 16:07
  3. AVZ 4.18 + AVZGuard - тестирование, обсуждение, предложения по доработке
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 55
    Последнее сообщение: 19.07.2006, 17:36
  4. AVZ 4.15 + AVZGuard - тестирование, обсуждение, предложения по доработке
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 307
    Последнее сообщение: 05.05.2006, 15:22
  5. AVZ 4.00 - тестирование, обсуждение, предложения по доработке
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 406
    Последнее сообщение: 22.02.2006, 11:37

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00160 seconds with 19 queries