Страница 1 из 18 1234511 ... Последняя
Показано с 1 по 20 из 360.

Антивирусная утилита AVZ - 4.23 + AVZGuard/AVZPM/BootCleaner

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380

    Антивирусная утилита AVZ - 4.23 + AVZGuard/AVZPM/BootCleaner

    Вышла новая версия антивирусной утилиты AVZ - 4.23 + AVZGuard/AVZPM/BootCleaner
    Страница загрузки http://www.z-oleg.com/secur/avz/download.php
    Система учета ошибок, замечаний и предложений: http://www.z-oleg.com/secur/avz/report.php
    Архив с утилитой содержит базу вирусов от 29.12.2006 74329 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, 365 микропрограмм эвристики, 54473 подписи безопасных файлов
    Список доработок и модификаций:
    [+++] Новая подсистема AVZ - Boot Cleaner. Данная система основана на драйвере режима ядра и применяется для чистки системы в процессе загрузки компьютера. Управление системой производится при помощи скриптов AVZ. Boot Cleaner позволяет удалять ключи реестра и файлы с указанными именами, удалять и отключать драйвера и службы. Команды управления системой и примеры описаны в документации.
    [++] Сохранение настроек в виде именованных профилей. Позволяет создавать неограниченное количество профилей с возможностю их последобщей загрузки. Профиль содержит параметры, идентичные параметрам командной строки - все параметры описаны в документации
    [+] Детектирование подмены имени файла или пути к нему в PEB процесса в AVZPM
    [+] Остановка процесса из KernelMode при активном AVZ PM
    [+] Скрипты - добавлен ряд команд, в частности для проверки любого файла по базам AVZ,
    работы с файлом Hosts. Расширен раздел "Типовые примеры" в описании скриптов
    [-] Исправлен драйвер AVZPM - ряд доработок, в том числе исправлена ошибка на W2K3 SP0
    [-] Исправлен мелкий глюк с отображением окон AVZ при наличие в системе нескольких мониторов
    ----------
    Немного подробнее о BootCleaner: это драйвер KernelMode, предназначенный для чистки системы. BootCleaner может работать в двух режимах:
    1. Без перезагрузки. В этом случае просто производится попытка выполнения указанных операций из режима ядра. В этом слечае в систему устанавливается драйвер BootCleaner, производится его настройка, драйвер выполняет необходимые действия, после чего заверешает работу и самоуничтожается
    2. С перезагрузкой. В данном случае драйвер устанавливается в систему как Boot-драйвер и производится его настройка. Затем необходима перезагрузка, в ходе которой драйвер выполнить указанные операции и самоуничтожится.
    Управление драйвером производится из скриптов, все команды описаны в документации (раздел 15.20). Пара примеров:
    begin
    // Добавление в сценарий команды удаления файла

    BC_DeleteFile('c:\trojan.exe');
    // Активация драйвера

    BC_Activate;
    // Перезагрузка

    RebootWindows(true);
    end.

    В данном случае драйверу ставится задача удалить файл, производится активация системы и перезагрузка. Аналогично с удалением драйверов:
    begin
    // Добавление в сценарий команды удаления драйвера PE386

    BC_DeleteSvc('PE386');
    // Настройка протокола

    BC_LogFile(GetAVZDirectory + 'boot_clr.log'
    );
    // Активация драйвера

    BC_Activate;
    // Перезагрузка

    RebootWindows(true);
    end.

    В данном примере удаляется драйвер "PE386", и включается протоколирование.
    BootCleaner позволяет выполнять слудующие операции:
    - удаление файлов
    - удаление ключей реестра
    - удаление драйверов и служб (поддерживается два режима - удаление из реестра, или реестр + файл)
    - отключение драйверов и служб
    В именах драйверов и служб поддерживаются Unicode символы и непечатаемые символы, в частности символ с кодом 0
    ------
    В справке новые примеры. В частности, пример построения искателя файлов по именам с внешней базой и подключением AV сканера и базы безопасных файлов AVZ - см. раздел 15.40.11 справки http://www.z-oleg.com/secur/avz_doc/. Там же пример 15.40.10 - типовой пример скрипта убиения зловредов с применением сочетания "AVZGuard + отложенного удаления + эвристической чистка системы + BootCleaner".
    Последний раз редактировалось Зайцев Олег; 30.01.2007 в 14:22.

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    18.12.2006
    Сообщений
    4
    Вес репутации
    37
    не первую версию скачиваю-проблема только с последними двумя-не запускается с ярлыка на рабочем столе-невозможно загрузить папку BASE. Из системной папки работает как надо.
    Последний раз редактировалось Well; 29.12.2006 в 14:20.

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1811
    Рад видеть, что поправились переводы скриптов.

    Добавления к интерфейсу немногочисленны и переводились без моего участия, но я их одобряю.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  5. #4
    Alex5
    Guest
    Ok! Новая версия удачно удаляет процесс. А как удалить:

    1.4 Поиск маскировки процессов и драйверов
    >> Маскировка драйвера: Base=F9FD3000, размер=8192, имя = "\??\c:\Downloads\Rootkit Unhooker\rk_demo_v12\RKdemo12.sys"

    Как его удалить через AVZ?

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от Well Посмотреть сообщение
    не первую версию скачиваю-проблема только с последними двумя-не запускается с ярлыка на рабочем столе-невозможно загрузить папку BASE. Из системной папки работает как надо.
    А как создается ярлык ? Я уверен, что вместо ярлыка на рабочий стол вытаскивается сам AVZ.EXE

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от Alex5 Посмотреть сообщение
    Ok! Новая версия удачно удаляет процесс. А как удалить:

    1.4 Поиск маскировки процессов и драйверов
    >> Маскировка драйвера: Base=F9FD3000, размер=8192, имя = "\??\c:\Downloads\Rootkit Unhooker\rk_demo_v12\RKdemo12.sys"

    Как его удалить через AVZ?
    Удалить из памяти чужой загруженный драйвер, особенно если он маскируется и не желает выгружаться - задача достаточно опасная и чаще всего нереализуемая (из за того, что драйвер может создать потоки, перехватить функции и т.п. - его выгрузка приведет к BSOD). Поэтому задачей AVZPM является детект маскируемого драйвера для того, чтобы вычислить полный путь к нему и затем прибить. В случае с реальным зловредом-руткитом это можно сделать через BootCleaner скриптом:
    Код:
    begin 
    // Добавление в сценарий команды удаления файла
    BC_DeleteFile(c:\Downloads\Rootkit Unhooker\rk_demo_v12\RKdemo12.sys'); 
    // Активация драйвера 
    BC_Activate; 
    // Перезагрузка 
    RebootWindows(true); 
    end.
    А в случае с rk_demo_v12 и это не требуется - это деморуткит, для системы не опасный, в автозапуск он не прописывается ...

  8. #7
    Alex5
    Guest
    Как-то мудрено со скриптами получается. Можно, например, загрузиться со системного CD-диска, и удалить все ненужные файлы. Другой вопрос: "а если такого диска нет??..." Но в этом случае можно ответить вопросом на вопрос: "А если нет AVZ??"...

    Было бы лучше удалять драйверы в диалоге с AVZ. Конечно, возможно, у многих другое мнение, но исключительное использование скриптов для убивания реальных зловред-руткитов резко сужает рамки возможных пользователей.

    В общем, чайникам тоже нужна защита! Я могу объяснить своей сестре, что "ввойди в такое-то меню, выбери то-то...", но "напиши скрипт...." - это круто, конечно.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    544
    Цитата Сообщение от Alex5 Посмотреть сообщение
    Было бы лучше удалять драйверы в диалоге с AVZ. Конечно, возможно, у многих другое мнение, но исключительное использование скриптов для убивания реальных зловред-руткитов резко сужает рамки возможных пользователей.
    Может быть, но наличие подобного инструмента в неумелых руках может больше навредить, чем помочь, потому как на удаление с помошью Boot драйвера ограничения не распрастраняются, здесь не спасёт даже "защита системных файлов".
    Последний раз редактировалось RiC; 29.12.2006 в 21:34.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    544
    Олег а Help к английской версии пополнять есть возможность ?
    А то содержимое английского HLP файла так и "застряло" где-то посредине между 4.19 и 4.20...

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от RiC Посмотреть сообщение
    Олег а Help к английской версии пополнять есть возможность ?
    А то содержимое английского HLP файла так и "застряло" где-то посредине между 4.19 и 4.20...
    Я пока думаю, как быть с английским хелпом. Держать пареллельно два варианта (rus + eng) достаточно накладно, так как придется поддерживать их синхронность. Пока план таков - я доделываю среду полувизуальной разработки скриптов, там будет урезанная справка по командам (и она будет обновляться так-же, как базы AVZ), эту справку несложно будет локализовать.

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от Alex5 Посмотреть сообщение
    Как-то мудрено со скриптами получается.
    ....
    В общем, чайникам тоже нужна защита! Я могу объяснить своей сестре, что "ввойди в такое-то меню, выбери то-то...", но "напиши скрипт...." - это круто, конечно.
    Был такой прототип - с управлением из меню. Но он был изничтожен по тем соображениям, которые высказал RiC - слишком уж опасный инструмент получился. Предполагается, что человек или умеет писать скрипты и точно знает что удалять и как, или скрипт для него подготовит "хелпер".

  13. #12
    Alex5
    Guest
    Ну, вам, господа, видней. Как говорил Форд, мы можем для Вас сделать авто любого цвета при условии, что этот цвет черный... (примерно так)

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    226
    Олег,
    смотри, что мне AVZ пишет:
    Функция NtClose (19) перехвачена (805675D9->F6BACD00), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция NtCreateProcess (2F) перехвачена (805B3543->F6BACA20), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция NtCreateProcessEx (30) перехвачена (805885D3->F6BACB90), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция NtCreateSection (32) перехвачена (80564B1B->F6BACE40), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция NtCreateThread (35) перехвачена (8057F262->F6BAD630), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция NtOpenProcess (7A) перехвачена (8057459E->F6BAC7B0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция NtQueryInformationFile (97) перехвачена (80572D12->F6BAD2F0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция NtQuerySystemInformation (AD) перехвачена (8057CC27->F6BAD430), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция NtResumeThread (CE) перехвачена (8057F8D5->F6BAD5E0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция NtSetInformationProcess (E4) перехвачена (8056C608->F6BAF1F0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция NtSuspendThread (FE) перехвачена (805DC61B->F6BAD590), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Функция NtTerminateProcess (101) перехвачена (8058AE1E->F6BAD1C0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
    Это что же получается? Что AVZ до сих пор не знает драйвера Касперского? Или это нормально и так и должно быть?
    Если нужны копии драйверов, то вышлю по первому требованию.

    Хотелось бы внести ясность.
    Последний раз редактировалось Палыч; 30.12.2006 в 00:03. Причина: И справление опечаток
    Наше дело правое--победа будет за нами!!!

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    По моему , так должно быть , ведь каспер то перехватывает

    Однако ,можно было бы добавить выделение цветом "подписанных" драйверов , то есть полезных , которые у AVZ в базе безопасных .

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    226
    Посмотрим, что скажет Олег.
    Наше дело правое--победа будет за нами!!!

  17. #16
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1811
    У меня почему-то не сохраняются логи после выполнения скрипта сбора информации..

  18. #17
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от Палыч Посмотреть сообщение
    Посмотрим, что скажет Олег.
    А что тут можно сказать - только klif.sys значится в базе безопасных 43 раза, диапазон версий от 6.12 до 6.12.10.247. Он весьма часто изменяется, поэтому достаточно прислать его мне для включения в базу чистых объектов.

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от NickGolovko Посмотреть сообщение
    У меня почему-то не сохраняются логи после выполнения скрипта сбора информации..
    Должны сохраняться ... версия английская или русская ? Запуск c локального диска, CD, сетевой папки ?

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    226
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Он весьма часто изменяется, поэтому достаточно прислать его мне для включения в базу чистых объектов.
    Версия klif.sys -- 6.12.10.147
    Результат загрузки
    Файл сохранён как klif_459675089c300.sys
    Размер файла 129808
    MD5 a25f600e14b33a4d56081c7bba32200e
    Наше дело правое--победа будет за нами!!!

  21. #20
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    291
    Цитата Сообщение от Палыч Посмотреть сообщение
    Это что же получается? Что AVZ до сих пор не знает драйвера Касперского? Или это нормально и так и должно быть?
    Это нормально, и так должно быть, и так будет независимо от того, будет ли указанный драйвер в "базе безопасных" AVZ или нет.

    Выделение цветом безопасных модулей в основном отчете AVZ (в главном окне) - это задача, которая стоит уже достаточно давно, и, чтобы не смущать обычных пользователей, было бы неплохо поскорее это сделать. Пока же достаточно бросить беглый взгляд на список драйверов в "Модулях пространства ядра", чтобы понять, безопасный он или нет.

Страница 1 из 18 1234511 ... Последняя

Похожие темы

  1. Антивирусная утилита Калинина
    От Dr. в разделе Другие программы по безопасности
    Ответов: 8
    Последнее сообщение: 06.07.2008, 20:32
  2. Антивирусная утилита AVZ - 4.30.
    От rdog в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 03.06.2008, 10:21
  3. не активируется avzguard avzpm
    От goose0943 в разделе Публичное бета-тестирование
    Ответов: 3
    Последнее сообщение: 26.05.2007, 22:08
  4. AVZ Antiviral Toolkit 4.25 + AVZGuard/AVZPM/BootCleaner
    От NickGolovko в разделе Beta Testing
    Ответов: 0
    Последнее сообщение: 06.05.2007, 07:09
  5. Антивирусная утилита AVZ - 4.22 + AVZGuard/AVZPM
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 155
    Последнее сообщение: 29.12.2006, 10:39

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01296 seconds with 24 queries