# Форум на русском языке  > Решения по информационной безопасности  > Другие программы по безопасности  > Публичное бета-тестирование  >  Антивирусная утилита AVZ - 4.22 + AVZGuard/AVZPM

## Зайцев Олег

*Вышла новая версия антивирусной утилиты AVZ - 4.22 + AVZGuard/AVZPM* 
Архив с утилитой содержит базу вирусов *от 12.12.2006 69173 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, 364 микропрограммы эвристики, 54310 подписей безопасных файлов* 
*Список доработок и модификаций:*  (http://www.z-oleg.com/secur/avz/download.php)
[++] Новая подсистема AVZPM - мониторинг процессов и драйверов из KernelMode для поиска искажений в системых структурах 
[++] AVZ доработан для совместимости в Windows Vista, в частности обновлены все KernelMode компоненты 
[++] Скрипты - новые команды для работы с драйверами и службами, управления AVZPM, вызов стандартных скриптов и 
скриптов восстановления системы, копирование и переименование файлов. Новые функции описаны в справке, 
в справку добавлен ряд типовых примеров скриптов 
[++] Проведена дефрагментация AV базы и оптимизация движка с целью повышения его производительности. 
[+] Переделан менеджер процессов - к нему подключена система AVZPM 
[+] Переделан менеджер модулей пространства ядра - к нему подключена система AVZPM, 
введена сортировка по всем столбцам, добавлен отдельный столбец с именем драйвера 
[+] Усовершенствовано автообновления - если AVZPM активен в момент обновления, то его драйвер 
автоматические обновляется при необходимости 
[+] Менеджер модулей пространства ядра - добавлена функция дампирование драйвера, 
сортировка по всем полям, раздельные поля для имени драйвера и полного имени драйвера 
[+] Поддежка распаковки и сканирования файлов в MIME формате (формат распознается по содержимому) 
[+] Опция закрытия сеанса и файлы в менеджере сетевых сеансов 
[+] Исследование системы - в конце HTML отчета добавляется код, упрощающий сборку скрипта за 
счет автоподстановки типовых команд 
[+] Скрипты - усовершенствована функция QuarantineFile - в случае указания имени файла без пути 
производится поиск файла по системному алгоритму 
[+] Менеджер автозапуска - доработан анализ и модификация AppInit_DLLs 
[+] Менеджер общих ресурсов и сетевых сеансов - добавлена функция закрытия сеанса или 
открытого по сети файла 
[+] Введена шифровка пароля прокси в INI файле 
[-] Скрипты - исправлена ошибка в работе функции AutoLSPFix; 

Немного подробнее про AVZPM. Это Boot драйвер, задачей которого является слежение за запуском/остановом процессов и загрузкой драйверов. Этот драйвер накапливает информацию, что позволяет в дальнейшем обнаруживать маскируемые процессы/драйверы и детектировать модификации системных структур, выполняемые DKOM руткитами. AVZPM подключен к диспетчеру процессов, диспетчеру модулей пространства ядра и антируткиту. После первого включения AVZPM рекомендуется перезагрузиться, чтобы драйвер собрал информацию о запускающихся процессах. Драйвер можно оставить в системе, так как он практически не потребляет ресурсов и не влияет на быстродействие ПК. В дальнейшем этот драйвер станет прототипом монитора AVZ для проверки процессов в момен их запуска.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## DimaT

> [++] Новая подсистема AVZPM - мониторинг процессов и драйверов из KernelMode для поиска искажений в системых структурах


 A можно поподробнее?



> [++] Проведена дефрагментация AV базы и оптимизация движка с целью повышения его производительности.


Со старыми базами как поступать?

----------


## Зайцев Олег

> A можно поподробнее?
> 
> Со старыми базами как поступать?


Старые базы можно выкидывать - в архиве с новой версией новая база. Про AVZPM более подробно есть в справке (раздел 8 http://www.z-oleg.com/secur/avz_doc/), и я еще тут немного позже напишу более расширенное описание.

----------


## NickGolovko

Друзья тестеры, хелперы и пользователи!

Английская версия 4.22 вышла с *частично* моей версией перевода. По всем вопросам, связанным с качеством перевода, просьба пинать меня  :Smiley:  Думаю, можно сказать, что я теперь являюсь официально ответственным за перевод  :Smiley:

----------


## Ego1st

> [+] Исследование системы - в конце HTML отчета добавляется код, упрощающий сборку скрипта за 
> счет автоподстановки типовых команд


Это очень хорошая модификация=)) 




> [-] Скрипты - исправлена ошибка в работе функции AutoLSPFix;


Это означает что NewDoNet теперь нормально лечиться?

Олег ещё вопросик, или к знающим вот примерно такие ключи
HKLM\System\CCS\Services\Tcpip\
HKLM\System\CCS\Services\Tcpip\
HKLM\System\CS1\Services\Tcpip\
за что отвечают или что означают.. 
Заранее спасибо за ответ!

----------


## santy

Олег, добрый день! Что-то непонятно с логикой исследования системы? Говорится: "Вы хотите посмотреть протокол?"  Да, а просмотр протокола не запускается.  :Smiley: .

----------


## NickGolovko

2 Ego1st: Сейчас посмотрю.  :Wink:  Tiny Firewall - Run Administration Center - System Protection - Registry. Ага. Вот оно, мое правило на HKLM/System/CurrentControlSet/Services/Tcpip. А называется оно... ну-ка... Hosts file branch.  :Wink:  

Это ветка, определяющая параметры одноименного протокола. В том числе там хранится размещение Hosts файла. Это очень опасная ветка, потому что можно ее изменить и засунуть Hosts файл неведомо куда, в то время как старый файл будет мирно лежать на месте, вводя в заблуждение юзеров и некоторые не совсем умные антишпионы  :Smiley:

----------


## Зайцев Олег

> Олег, добрый день! Что-то непонятно с логикой исследования системы? Говорится: "Вы хотите посмотреть протокол?"  Да, а просмотр протокола не запускается. .


А файл на диске сохраняется ? Дело в том, что далее делается попытка отрыть сохраненный файл дефолтной программой  ... если таковой программы нет или нарушена ассоциация с файлом htm, то он не откроется.

----------


## Geser

> 2 Ego1st: Сейчас посмотрю.  Tiny Firewall - Run Administration Center - System Protection - Registry. Ага. Вот оно, мое правило на HKLM/System/CurrentControlSet/Services/Tcpip. А называется оно... ну-ка... Hosts file branch.  
> 
> Это ветка, определяющая параметры одноименного протокола. В том числе там хранится размещение Hosts файла. Это очень опасная ветка, потому что можно ее изменить и засунуть Hosts файл неведомо куда, в то время как старый файл будет мирно лежать на месте, вводя в заблуждение юзеров и некоторые не совсем умные антишпионы


Хм... А АВЗ достаточно умный?

----------


## NickGolovko

Пару месяцев назад я спрашивал Олега, как AVZ определяет местоположение этого файла.  :Smiley:  В общем, к этому моменту AVZ должен уже быть достаточно умным  :Wink:  Можете сами проверить  :Smiley:

----------


## Зайцев Олег

> Пару месяцев назад я спрашивал Олега, как AVZ определяет местоположение этого файла.  В общем, к этому моменту AVZ должен уже быть достаточно умным  Можете сами проверить


Не факт кстати - я не помню, как оно там определяется ... сколько я помню, моя идеалогия была проверять hosts на стандартном месте + подымать тревогу при перемещении файла при помощи правки ключика в реестре.

----------


## DoggoD

А как можно узнать нформацию о кол-ве вирусных сигнатур, не начиная проверки ПК? Может поместить ее куда-нить в "Справка -> О программе"..

----------


## Irisa

Уважаемый Олег Зайцев, с вашего сайта по ссылке качается версия 4.21. А по ссылке на Рапиде выдает ошибку 406. 
А вообще Спасибо за Вашу работу!

----------


## pig

С сайта ещё вчера качалась 4.22.

----------


## Irisa

> С сайта ещё вчера качалась 4.22.


А сейчас, к сожалению, не качается - именно с сайта автора! Вернее я Скачала ( по ссылке, справа от описания обновлений в версии 4.22), но при запуске и контрольной попытке обновления баз, программа просит обновиться до версии 4.22(а это, говорит, версия 4.21!)

----------


## Зайцев Олег

> Уважаемый Олег Зайцев, с вашего сайта по ссылке качается версия 4.21. А по ссылке на Рапиде выдает ошибку 406. 
> А вообще Спасибо за Вашу работу!


судя по всему выход в Инет идет через прокси и он кеширует где-то файлы и блокирует операции. На всякий случай я перезарядил файлы на rapidshare - но вые ссылки на страничке загрузки AVZ.

----------


## Alvares

На 2003 сервере включил AVZPM, система ушла в синий экран. Драйвер ядра uz-чего-то-там.sys ля-ля-ля-ля. Активен НОД32 2.70.16. С чем конфликт?

----------


## Kuzz

Тоже W2k3. антивирь - Симантек. Все работает (в смысле АВЗ 4.22) со вчера и до теперь. А с НОДом я и раньше при проверках АВЗ нарывался на BSOD...

----------


## Зайцев Олег

> На 2003 сервере включил AVZPM, система ушла в синий экран. Драйвер ядра uz-чего-то-там.sys ля-ля-ля-ля. Активен НОД32 2.70.16. С чем конфликт?


Возможно, NOD пытается как-то вмешаться в работу драйверов AVZ и делает это не совсем корректно - у меня в драйвера кругом понаставлены обработчики ошибок, поэтому BSOD без стороннего вмешательства маловероятен.

----------


## drongo

Я предлагаю при запуске сканирования программы авз,добавления монитора -> предупреждать пользователя , что следует отключиться от интернета , и отключить активные компоненты защиты системы (антивирусы ...)во избежания конфликтов , да и сканирование намного быстрее проходит , когда другие антивирусы не мешают .

----------


## Зайцев Олег

> Я предлагаю при запуске сканирования программы авз,добавления монитора -> предупреждать пользователя , что следует отключиться от интернета , и отключить активные компоненты защиты системы (антивирусы ...)во избежания конфликтов , да и сканирование намного быстрее проходит , когда другие антивирусы не мешают .


Я об этом думал ... но 
1. AVZ PM может прекрасно уживаться с антивирусами и FW, не мешает их работе и не подтормаживает компьютер. Другое дело AVZ Guard - но там в инструкции сказано, что рекомендуется вообще закрыть все программы, кроме AVZ
2. Отключение мониторов антивирей на время сканирования действительно резко повышает скорость сканирования, но возникает опасность, в пользователь забудет потом включить монитор.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## drongo

2.ну так можно сделать поп-ап с большими  красными буквами после завершения сканирования , включить антивирус  :Smiley: 
Из раздела фантастики, можно научить авз опознавать антивирусы и фаэрволы , тогда АВЗ сможет , если пользователь того захочет , останавливать службы антивиров автоматом , а после сканирования сам включать .

----------


## Alvares

> 2.ну так можно сделать поп-ап с большими  красными буквами после завершения сканирования , включить антивирус 
> Из раздела фантастики, можно научить авз опознавать антивирусы и фаэрволы , тогда АВЗ сможет , если пользователь того захочет , останавливать службы антивиров автоматом , а после сканирования сам включать .


NOD32 просто так у меня не получалось останавливать. Только после перезагрузки возможно. Кстати, еще вопрос: kist.sys (Касперский)считается перехватчиком ядра. АВЗ его вроде обрубает. А вот НОДовский  перехватчик не может. Кстати и не видит. Хотелось бы добиться совместимости. Чтоб не пересекались. Все-таки хороший антивирь, привык я к нему  :Smiley:

----------


## Irisa

> судя по всему выход в Инет идет через прокси и он кеширует где-то файлы и блокирует операции. На всякий случай я перезарядил файлы на rapidshare - но вые ссылки на страничке загрузки AVZ.


Попробовала еще несколько раз через IE и Opera - оба выдают ту же ошибку (пардон, не 406) 403 - Forbidden... И чего мне теперь делать, как скачать Вашу программку?  :Sad:  Самое обидное, что через Рапиду.de только что без проблем скачались 2 файла...

----------


## Зайцев Олег

> Попробовала еще несколько раз через IE и Opera - оба выдают ту же ошибку (пардон, не 406) 403 - Forbidden... И чего мне теперь делать, как скачать Вашу программку?  Самое обидное, что через Рапиду.de только что без проблем скачались 2 файла...


Это очень странно, нужно разбираться с тем, как производится выход в Инет и каковы настройки. Вот для разнообразия на другом сервере - http://rapidshare.com/files/7305302/avz4.zip Просто я перезерядил в обед файлы на rapidshare.ru, по новой ссылке за пошедние два часа avz4.zip скачали 30 раз - значит, файл качается.

----------


## Irisa

> Это очень странно, нужно разбираться с тем, как производится выход в Инет и каковы настройки. Вот для разнообразия на другом сервере - http://rapidshare.com/files/7305302/avz4.zip Просто я перезерядил в обед файлы на rapidshare.ru, по новой ссылке за пошедние два часа avz4.zip скачали 30 раз - значит, файл качается.


Спасибо, через 30 минут отпишусь о результате... А интернет у меня кабельный и возможно именно из за , как вы и сказали, настроек у меня и выдает эту ошибку.

----------


## Irisa

Всеее, получилось с Рапиды.de!
Спасибо огромное! Буду и дальше пользовать Вашу программку.

----------


## Kuzz

> Другое дело AVZ Guard ...


С Guard-ом вообще ничего (синих экр.) не отображается. Мгновенная перезагрузка, но об этом предупреждают (В пункте AVZ Guard - в справке). Действительно, интересно почему не находится драйвер защиты НОДа (как руткит-подобный компонент...).

----------


## Зайцев Олег

> С Guard-ом вообще ничего (синих экр.) не отображается. Мгновенная перезагрузка, но об этом предупреждают (В пункте AVZ Guard - в справке). Действительно, интересно почему не находится драйвер защиты НОДа (как руткит-подобный компонент...).


А в папке windows\minidump формируются минидампы ? Если да, то пришлите пожалуйста пару штук. Просто очень странно, почему идет такое вылетание - особых причин для конфликта с NOD вроде бы нет.

----------


## Kuzz

Дампов нет, т.к. переставил систему.
Ребут получался при попытке запустить/завершить любую программу.
Система: W2k Pro SP4, CPU:AthlonXP, chipset:VIA KT400  :Cry:  ...

----------


## Surfer

День добрый Олег.
Не успели вы пофиксить мои предыдущие файлы , как я уже с новыми  :Smiley: 
http://up-file.com/download/e93c70796206/--New.rar.html
Всё на макс. эверистике.

С уважением.

----------


## Kuzz

> На 2003 сервере включил AVZPM, система ушла в синий экран. Драйвер ядра uz-чего-то-там.sys ля-ля-ля-ля. Активен НОД32 2.70.16. С чем конфликт?


Еще одна система - как раз Вынь2к3, никаких проблем, а о НОДе уже был мой месс.

----------


## RiC

FP - http://virusinfo.info/showthread.php?t=7127

----------


## taloran

Сегодня  AVZ  запускал, вот  чтo   мне  выдалo.                  До  этого  пользовался  уже  несколько  раз, подчистил  гадость, что  была :Smiley: .      Счас   вроде  всё  нормал, только  в  Kernel Mode  неясно, не  было   вроде  нового  ничего( а  прошлых  логов  нет, не  сохранил)...[br] Олег, спасибо, прога  :good:   :Wink:

----------


## Зайцев Олег

> FP - http://virusinfo.info/showthread.php?t=7127


Ага - ее еще VBA детектирует как Backdoor.Win32.SnooperYB.c ... Я подправил базу, спасибо. Эта DLL, насколько я помню, "проходила по делу" как подозрение на руткит - в теле функции есть код, весьма похожий на руткитный (функции MoveFileWithProgressW, GetVolumeNameForVolumeMountPointW, GetVolumePathNameW, GetLongPathNameW).

----------


## Jolly Rojer

Добрый день всем. Сегодня тоже сталкнулся на тестовой машинке Win 2003 server с проблемой AVZPM при установке драйвера машинка себя вела нормально! После попросилась перегрузиться и усе...  :Wink:  Перегружаеться непрерывно, в безопасный режим пускает . Также активно установить драйвер AVZPM, удалить драйвер не активно. Хотя судя по всему драйвер установился!

----------


## Зайцев Олег

> Добрый день всем. Сегодня тоже сталкнулся на тестовой машинке Win 2003 server с проблемой AVZPM при установке драйвера машинка себя вела нормально! После попросилась перегрузиться и усе...  Перегружаеться непрерывно, в безопасный режим пускает . Также активно установить драйвер AVZPM, удалить драйвер не активно. Хотя судя по всему драйвер установился!


А минидампы при этом создаются ? Если да, то один из них поможет определить возможные причины

----------


## Jolly Rojer

> А минидампы при этом создаются ? Если да, то один из них поможет определить возможные причины


Нет Олег к сожалению минидампа не создалось... Вообще создаються когда есть ошибки,но за сегодняшнее число минидампа нет.

----------


## Jolly Rojer

По идее не плохо бы было добавить к AVZ возможность отката(поиск,удаление и подчистка всех хвостов) установки драйвера AVZPM для машин c win 9х и для машин с отключенной системой востановления системы. Думаю это будет достаточно актуально.

----------


## Зайцев Олег

> По идее не плохо бы было добавить к AVZ возможность отката(поиск,удаление и подчистка всех хвостов) установки драйвера AVZPM для машин c win 9х и для машин с отключенной системой востановления системы. Думаю это будет достаточно актуально.


Функцию отката я сделаю - появится сегодня в стандартных скриптах. А вот драйвер под 9x наверное никогда не появится - XP уже собираются снять с поддержки, а 9x - тем более - количество ПК под этой системой стремительно сокращается.

----------


## Jolly Rojer

> Функцию отката я сделаю - появится сегодня в стандартных скриптах. А вот драйвер под 9x наверное никогда не появится - XP уже собираются снять с поддержки, а 9x - тем более - количество ПК под этой системой стремительно сокращается.


Вот и хорошо что появиться я тогда эту машинку трогать не буду, а заодно и проверим как сработает откат! По поводу 9Х это я просто написал , (все же есть люди которые еще под ней сидят) конечно же их уже единицы...! Олег как я понимаю нужно будет просто обновить базы чтоб появилась функция отката?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Numb

Windows 2000 Workstation SP4 + обновления. Из сетевого/антивирусного софта на машине - Outpost 4 + DrWeb 4.33. Установка драйвера AVZPM проходит нормально. После перезагрузки при попытке удаления драйвера средствами  AVZ - "Ошибка удаления драйвера (3)".

----------


## Зайцев Олег

> Вот и хорошо что появиться я тогда эту машинку трогать не буду, а заодно и проверим как сработает откат! По поводу 9Х это я просто написал , (все же есть люди которые еще под ней сидят) конечно же их уже единицы...! Олег как я понимаю нужно будет просто обновить базы чтоб появилась функция отката?


Да, после обеда выйдет обновленная база, там будет скрипт полной "деинсталляции" AVZ - удаление всех драйверов с диска и их регистрации из реестра.

----------


## Geser

1. Осталась проблема с путями в секции модулей пространства ядра:
\SystemRoot\System32\Drivers\dump_atapi.sys
2. Если файл не найден на диске нужно как-то помечать это в логе. Возможно перед этим следует попытаться прочитать его напрямую.

----------


## santy

> А файл на диске сохраняется ? Дело в том, что далее делается попытка отрыть сохраненный файл дефолтной программой  ... если таковой программы нет или нарушена ассоциация с файлом htm, то он не откроется.


Да, сохраняется. На шифрованный диск. Сохранил в Documents& Settings - тот же результат. Рядом с файликом - иконка от файерфокса. Поэтому, обычным нажатием файл открывается.
--------------
Установил драйвер AVZPM под Win 2000 Prof SP4+RollUp. Антивирус NOd32 2.51.26. Сканирую тестовые папки с архивной библиотекой вирусов в режиме блокировки руткитов User-Mode. Конфликта с включенным монитором НОД, вроде нет.

----------


## Зайцев Олег

> 1. Осталась проблема с путями в секции модулей пространства ядра:
> \SystemRoot\System32\Drivers\dump_atapi.sys
> 2. Если файл не найден на диске нужно как-то помечать это в логе. Возможно перед этим следует попытаться прочитать его напрямую.


Я это поправлю - я теперь придумал новую политику выпуска версий - вчера вышла 4.22, а на следующей неделе выйдет 4.22.1 - в ней я поправлю все явные баги, которые вылезут в ходе недели тестирований.
-----
Я обновил AVZ базу, можно обновиться - в стандартных скриптах появилась новая опция - "Удаление всех драйверов и ключей реестра AVZ" - выполнение этого скрипта вычищает с диска и реестра все следы AVZ. В частности, по W2K SP4 обнаружился странный глюк с драйвером AVZPM - он инсталлируется, но удаляться через меню не хочет - вот тут то подобный скрипт пригодится. В 4.22.1 этот глюк уже поправлен.

По поводу путей - в 4.22.1 это исправлено, пути отображаются как положено.

----------


## Зайцев Олег

> Да, сохраняется. На шифрованный диск. Сохранил в Documents& Settings - тот же результат. Рядом с файликом - иконка от файерфокса. Поэтому, обычным нажатием файл открывается.
> --------------
> Установил драйвер AVZPM под Win 2000 Prof SP4+RollUp. Антивирус NOd32 2.51.26. Сканирую тестовые папки с архивной библиотекой вирусов в режиме блокировки руткитов User-Mode. Конфликта с включенным монитором НОД, вроде нет.


Подобные опыты очень интересны - для меня очень полезна статистика работы AVZ и AVZPM под разными OS и совместно с различным защитным ПО.

----------


## Зайцев Олег

> Вот и хорошо что появиться я тогда эту машинку трогать не буду, а заодно и проверим как сработает откат! По поводу 9Х это я просто написал , (все же есть люди которые еще под ней сидят) конечно же их уже единицы...! Олег как я понимаю нужно будет просто обновить базы чтоб появилась функция отката?


Совершенно верно - можно пробовать откат (точнее "деинсталляцию"), Файл\Стандартные скрипты, скрипт номер 6.

----------


## Jolly Rojer

Олег деинсталяция драйвера прошла успешно машинку ребутнул операционка загрузилась в обычном режиме! Сейчас еще раз попробую установить драйвер, может мини дамп сформируется... если сформируется закину к тебе на мыло

----------


## Зайцев Олег

> Деинсталяция драйвера прошла успешна машинку ребутнул операционка загрузилась в обычном режиме!


Осталось только понять, с чем там драйвер мой законфиликтовал ...

----------


## Kuzz

Вопрос: а сохранение настроек интерфейса не предполагается?

----------


## Jolly Rojer

Ну что вопрос остается открытым... абсолютно не понятно с чем конфликтовал драйвер... повторил 3 раза результат одинаков минидамп так-же не формируется... силового софта на машинке нет ! Загадка да и только! Предложение к тем у кого есть win 2003 server, повторить мой эксперимент и сообщить о результатах. Может быть это частный случай а может и нет, в любом случае Олегу думаю интересно узнать результаты подобных тестов. Да и мне честно сказать тоже!  "ПРОШУ НЕ ПРОИЗВОДИТЬ ДАННЫЙ ЭКСПЕРИМЕНТ НА РЕАЛЬНО ДЕЙСТВУЮЩИХ СЕРВЕРАХ, дабы избежать неприятных последствий"

----------


## Muffler

*Jolly Rojer*, а минидамп у тебя включён...?

----------


## NickGolovko

> Я это поправлю - я теперь придумал новую политику выпуска версий - вчера вышла 4.22, а на следующей неделе выйдет 4.22.1 - в ней я поправлю все явные баги, которые вылезут в ходе недели тестирований.
> -----
> Я обновил AVZ базу, можно обновиться - в стандартных скриптах появилась новая опция - "Удаление всех драйверов и ключей реестра AVZ" - выполнение этого скрипта вычищает с диска и реестра все следы AVZ. В частности, по W2K SP4 обнаружился странный глюк с драйвером AVZPM - он инсталлируется, но удаляться через меню не хочет - вот тут то подобный скрипт пригодится. В 4.22.1 этот глюк уже поправлен.
> 
> По поводу путей - в 4.22.1 это исправлено, пути отображаются как положено.


Буду ждать новые функции на перевод.  :Smiley:  

Да, кстати, забыл добавить пять копеек: AVZPM установился нормально и успешно функционирует. Установка прошла незаметно.

WinXP, SP2, avast, AVG, Tiny, ZA, SSM Free  :Smiley:

----------


## Синауридзе Александр

> Подобные опыты очень интересны - для меня очень полезна статистика работы AVZ и AVZPM под разными OS и совместно с различным защитным ПО.


Вот пожалуйста. На машине Win XP Pro SP2 без заплаток и стенки. Антивирус NOD32 2.70.16. Все работает как часовой механизм. :Smiley:

----------


## Kuzz

Хм, вроде-б невозможность деинсталяции проявляется только на Вынь2к СП4. Все та-же "Ошибка удаления драйвера 3"

----------


## Синауридзе Александр

> Ну что вопрос остается открытым... абсолютно не понятно с чем конфликтовал драйвер... повторил 3 раза результат одинаков минидамп так-же не формируется... силового софта на машинке нет ! Загадка да и только! Предложение к тем у кого есть win 2003 server, повторить мой эксперимент и сообщить о результатах. Может быть это частный случай а может и нет, в любом случае Олегу думаю интересно узнать результаты подобных тестов. Да и мне честно сказать тоже!  "ПРОШУ НЕ ПРОИЗВОДИТЬ ДАННЫЙ ЭКСПЕРИМЕНТ НА РЕАЛЬНО ДЕЙСТВУЮЩИХ СЕРВЕРАХ, дабы избежать неприятных последствий"


У меня Linux-совый сервак, но я позвонил своему товарищу и он для меня все проделал (у него Windows 2003 server). Кстати на реально действующем серваке. Все прошло без каких либо проблем. :Smiley:

----------


## Kuzz

> Все прошло без каких либо проблем.


 На В2к3 тоже прошло все нормально, по-этому сеть работает (В2к3 - внутренний сервак сети..)

----------


## Jolly Rojer

> *Jolly Rojer*, а минидамп у тебя включён...?


Да включен!

----------


## Jolly Rojer

> У меня Linux-совый сервак, но я позвонил своему товарищу и он для меня все проделал (у него Windows 2003 server). Кстати на реально действующем серваке. Все прошло без каких либо проблем.


Сегодня востановлю с образа попробую на чистой машинке все же интересно изза чего такой глюк был...? Но все равно не плохо что подобное вылезло... в результате все в выигрыше заодно Олег сделал не плохую функцию как деинтсталяцию драйвера

----------


## santy

> Подобные опыты очень интересны - для меня очень полезна статистика работы AVZ и AVZPM под разными OS и совместно с различным защитным ПО.


Олег, несмотря на то, что новые версии АВЗ выходят как рабочий релиз (а значит, прошли определенные испытания), может быть, имеет смысл публиковать некоторую программу испытания АВЗ по "болевым точкам"?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> Олег, несмотря на то, что новые версии АВЗ выходят как рабочий релиз (а значит, прошли определенные испытания), может быть, имеет смысл публиковать некоторую программу испытания АВЗ по "болевым точкам"?


По стути программа испытаний есть - это список доработок. По любой доработке мне интересны комментарии по ее работоспособности и глюкам.

----------


## santy

> По стути программа испытаний есть - это список доработок. По любой доработке мне интересны комментарии по ее работоспособности и глюкам.


Ок. По запуску просмотра лога. Проверил режим исследования системы на виртуальной машине VMware - так и есть, лог запускается автоматом. А интерактивное формирование скрипта для лечения системы - это круто! Может быть в будущем, станет возможно автоматически сформировать скрипт для лечения системы в режиме исследования?  :Smiley: .

----------


## Зайцев Олег

> Ок. По запуску просмотра лога. Проверил режим исследования системы на виртуальной машине VMware - так и есть, лог запускается автоматом. А интерактивное формирование скрипта для лечения системы - это круто! Может быть в будущем, станет возможно автоматически сформировать скрипт для лечения системы в режиме исследования? .


Именно так и будет - я всячески буду развивать интерактивные функции протокола, чтобы по мере анализа можно было генерировать скрипт карантина/лечения. Кроме того, для хелперов и всех желающих скоро выходит навороченный редактор скриптов с функцией полувизуальной сборки скрипта.

----------


## Xen

> скоро выходит навороченный редактор скриптов с функцией полувизуальной сборки скрипта


остается присесть и сказать "ку" =) правда, по моему опыту, скрипты пишутся в основном админами достаточно гетерогенных локалок, так что там мало что визуализируешь и пропарсишь, особенно если админы - старые фанаты паскаля =)

----------


## Nke22

Не могу понять,куда прописывается монитор в автозагрузку? И сколько он кушает памяти?
И еще. Ну, я установил монитор. И что дальше? Никаких диалогов, никаких менюшек... Как-то не интересно

----------


## Зайцев Олег

> Не могу понять,куда прописывается монитор в автозагрузку? И сколько он кушает памяти?
> И еще. Ну, я установил монитор. И что дальше? Никаких диалогов, никаких менюшек... Как-то не интересно


У AVZ нет монитора в прямом понимании - есть драйвер мониторинга системы. Будучи драйвером он и прописан как Boot-драйвер. Потребляет он около 40 кб памяти. Диалоги и менюшки ему не нужны - AVZ при очередном сканировании сам обнаржит его, запросит у него информацию и будет использовать в антирутките, менеджере процессов и объектов пространства ядра.

----------


## NickGolovko

Олег, на моей конфигурации (указана выше) попытка удалить AVZPM заканчивается BSODом (нечто наподобие DRIVER_REMOVAL_WITHOUT_PENDING_OPERATIONS).

----------


## aintrust

> Олег, на моей конфигурации (указана выше) попытка удалить AVZPM заканчивается BSODом (нечто наподобие DRIVER_REMOVAL_WITHOUT_PENDING_OPERATIONS).


Точнее, видимо, _Bug Check 0xCE: DRIVER_UNLOADED_WITHOUT_CANCELLING_PENDING_OPERATI  ONS_. Минидамп (лучше, конечно, если их будет несколько) в студию!  :Wink:  

Конфигурация системы у вас непростая (Tiny, ZA, SSM и прочее с драйверами ядра)... Зачем, если не секрет, так много всего?

----------


## NickGolovko

Сейчас у меня в ядре только KIS и SSM.  :Smiley:  Сделайте одолжение, напомните, куда дамп залить.. еще не заливал ни разу  :Smiley:

----------


## Well

Ошибка AVZ Guard: C0000034 это что за ошибка?это функция включить AVZ Guard.

----------


## aintrust

> Сейчас у меня в ядре только KIS и SSM.  Сделайте одолжение, напомните, куда дамп залить.. еще не заливал ни разу


Да просто сюда залейте архив (вместе с сообщением)...

----------


## NickGolovko

Ловите.  :Smiley:

----------


## aintrust

> Ловите.


thanks... сейчас посмотрим.

----------


## aintrust

> thanks... сейчас посмотрим.


Ага, ситуация более-менее прояснилась. В общем, так: в данной версии SSM (которая free), вероятно, есть небольшая ошибка. Подробности описывать не буду, ибо мало кому это интересно. 

Как преодолеть?
1) удалить эту версию SSM и поставить текущую (у меня последний триал, версия 2.0.0.558, работает с AVZ без проблем);
2) если жалко удалять фришный SSM, то после загрузки драйвера AVZPM в AVZ его вообще не удалять. В принципе, драйвер AVZPM должен жить в системе, особо никому и ничему не мешая. Проблема только одна: при смене версии AVZ его все равно придется удалить, что, вероятнее всего, приведет к синьке;  :Wink:  
3) завтра подумаем с Олегом вот над чем: чтобы в дальнейшем избежать подобных "конфликтов" с SSM free, можно не сразу выгружать драйвер AVZPM, а просто удалять запись из реестра и стирать файл драйвера с диска в тот момент, когда пользователь скажет "удалить AVZPM". Иными словами, оставлять драйвер (и мониторинг) в работе до конца текущего сеанса.

----------


## unreg_stop

Если поможете, мое счастье не будет знать границ  :Smiley: 
Суть: ставил 2003 se без sp, появились некоторые подозрения, решил прогнать антивирями, в том числе avz. Запустил - проверил, все ок. Перезагрузил, не стартует Kerio Winrout Firewall 6.2.2. Смотрю журнал виндовса, обратил внимание только на эту ошибку:
#1
Тип события:	Ошибка
Источник события:	IPSec
Драйвер IPSec перешел в режим блокировки. IPSec будет отбрасывать весь входящий и исходящий сетевой трафик TCP/IP, не разрешенный исключениями политики IPSec при загрузке. Действия пользователя: Чтобы восстановить полное незащищенное подключение TCP/IP, отключите службы IPSec и перезагрузите компьютер.
Тоесть он по сети ни туда ни обратно ничего не передает
не стал разбиратся т к комп новый, все снес поставил заново.
На втором компе (рабочий сервер терминалов  :Sad:  , лог винды под рукой)
уже читал все. Ошибок всего 7 кажется, все разные и первая таже самая. Виндвос фактически еле работает. Как восстановить не знаю! Состояние шоковое.
P.S. не пойму как лог виндовса приклеить.

----------


## NickGolovko

ОК, ясно..  :Smiley:  Попробую поснимать хуки перед удалением  :Wink:  Да, вот еще кстати - прислали мне веселую статейку: http://sunbeltblog.blogspot.com/2006...s-evolved.html. Это некоторое преувеличение или впрямь серьезный вопрос? Как отреагирует AVZ?  :Smiley:

----------


## Зайцев Олег

> ОК, ясно..  Попробую поснимать хуки перед удалением  Да, вот еще кстати - прислали мне веселую статейку: http://sunbeltblog.blogspot.com/2006...s-evolved.html. Это некоторое преувеличение или впрямь серьезный вопрос? Как отреагирует AVZ?


В теории AVZ должен задетектить Громозона с включенным AVZPM - я именно потому и делал PM, что DKOM руткит - это архитривиальная штуковина с точки зрения реализации но крайне сложная с точки зрения детекта - если аккуратно все сделать, то зацепиться не за что - можно к примеру обнаружить маскируемый драйвер, но невозможно установить, кто он и откуда грузится. Аналогично с процессом - можно обраружить маскируемый процесс, но будет проблема с тем, что почти невозможно достоверно узнать его PID и имя исполняемого файла.

----------


## Зайцев Олег

> Если поможете, мое счастье не будет знать границ 
> Суть: ставил 2003 se без sp, появились некоторые подозрения, решил прогнать антивирями, в том числе avz. Запустил - проверил, все ок. Перезагрузил, не стартует Kerio Winrout Firewall 6.2.2. Смотрю журнал виндовса, обратил внимание только на эту ошибку:
> #1
> Тип события:	Ошибка
> Источник события:	IPSec
> Драйвер IPSec перешел в режим блокировки. IPSec будет отбрасывать весь входящий и исходящий сетевой трафик TCP/IP, не разрешенный исключениями политики IPSec при загрузке. Действия пользователя: Чтобы восстановить полное незащищенное подключение TCP/IP, отключите службы IPSec и перезагрузите компьютер.
> Тоесть он по сети ни туда ни обратно ничего не передает
> не стал разбиратся т к комп новый, все снес поставил заново.
> На втором компе (рабочий сервер терминалов  , лог винды под рукой)
> ...


Без логов AVZ сказать что-то трудно, но ничего убить он не может по определению - в режиме сканирования никакие изменения в системе не делаются.

----------


## aintrust

> ОК, ясно..  Попробую поснимать хуки перед удалением ...


Боюсь, что предварительно снятие хуков _SSM free_ не поможет, т.к. дело не в них, а в более глубинных вещах, а именно в мониторинге запуска процессов / загрузки образов, которые в _SSM_ и _AVZ_ делаются очень похожим способом. Я бы, если честно, советовал вам просто удалить _SSM free_ - у меня с ним, к примеру, наступают в разных местах жуткие тормоза, и мой безглючный комп вдруг начинает страшно глючить.  :Wink:   Вам решать, конечно, но, на мой взгляд, это не очень качественный продукт (не хочу обидеть автора, но перехватывать практически все вызовы в SSDT да плюс еще мониторить все подряд - это уже перебор!)

----------


## NickGolovko

У меня нормально работает  :Smiley:  Многое от него и не требуется - просто дополнение к Tiny в режиме ядра  :Smiley:  Tiny, например, не ловит LoadDriver и доступ к физической памяти  :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Geser

Кстати, такие вещи в логах 
>>>> Подозрение на RootKit ntio256 C:\WINDOWS\system32\ntio256.sys
 >>>> Подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys

наверное стоит цветом выделять. А то можно и не заметить

----------


## Зайцев Олег

> Кстати, такие вещи в логах 
> >>>> Подозрение на RootKit ntio256 C:\WINDOWS\system32\ntio256.sys
>  >>>> Подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys
> 
> наверное стоит цветом выделять. А то можно и не заметить


Я уже об оэом подумываю - можно кстати и в самом логе выделить цветом ...

----------


## Ego1st

> Кстати, такие вещи в логах 
> >>>> Подозрение на RootKit ntio256 C:\WINDOWS\system32\ntio256.sys
>  >>>> Подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys
> 
> наверное стоит цветом выделять. А то можно и не заметить


да было бы хорошо, а то я уже разок прохлопол, хорошо что поправили..

----------


## Dont.care.a.f!g

Вопрос к *Олегу Зайцеву*:
не могли бы вы размещать копию дистрибутива *AVZ* на
rapidshare.de или rapidshare.com? Я могу зайти на сайт http://www.rapidshare.ru, но никогда не мог и не могу ничего с него скачать. Также  последнее время часто по нескольку дней не могу попасть на ваш сайт, вне зависимости от времени суток. 
Последняя версия *AVZ*, которую мог скачать с вашего сайта - 4.21,
теперь при попытке скачать - каждый раз: 
Internet Explorer cannot download avz4.zip from z-oleg.com.
A connection with the server could not be established.
Качалки не помогают. С любых других сайтов могу скачать что угодно - проблем нет. Вероятно, проблема на вашей стороне.
Маловероятно, что в моей системе может присутствовать какое- либо вредоносное по, которое этому мешает -  установлено несколько антивирусов и antispyware, регулярно обновляю их базы и программные модули по мере выхода новых версий;регулярно поверяю систему; установлен firewall.

----------


## Ego1st

а может в этом топике прикреплять в первом посте AVZ я думаю администрация может 2 метра позволить выделить?

----------


## unreg_stop

Причем проверял с максимум эвристик и т п, но проверял без сканирования дисков, только память, порты и т д. Логов просто нет.  :Smiley: 
Думаю дотяну до нового года и переставлю. Фирма просто работает круглосуточно, но на новый год народу мало.
 А сама прога AVZ очень удобная и полезная. Спасибо за нее, успехов!

----------


## Ego1st

Вопрос AVZ как-нибудь мониторит шару папок (т.е. он может проверить винду есть ли расшареные папки в ней)? есть ли такая возможность?

----------


## Alex_Goodwin

> Вопрос AVZ как-нибудь мониторит шару папок (т.е. он может проверить винду есть ли расшареные папки в ней)? есть ли такая возможность?


Файл  - общие ресурсы и сетевые сеансы чем не устраивает?

----------


## Alex_Goodwin

Цитата автора Rootkit Unhooker:



> Я не совсем понимаю, как можно сравнивать антивирус с нашей программой. Rootkit Unhooker не является антивирусом и предназначен для "продвинутых пользователей", которые имеют достаточное представление о внутренностях Windows. Если касательно сравнения с "антируткитным" модулем AVZ - я очень долго смеялся над этой поделкой, уж простите меня. Все с чем она может справиться - махровый юзермод, чтобы там Олег в мой адрес не говорил. Он даже не в состоянии определить нормально состояние IDT

----------


## Зайцев Олег

> Цитата автора Rootkit Unhooker:


ну, собственно автор RU имеет право на свое мнение  :Smiley:

----------


## Зайцев Олег

> Вопрос к *Олегу Зайцеву*:
> не могли бы вы размещать копию дистрибутива *AVZ* на
> rapidshare.de или rapidshare.com? Я могу зайти на сайт http://www.rapidshare.ru, но никогда не мог и не могу ничего с него скачать. ....


Нет проблем - я залил avz4.zip на rapidshare.com. Ссылка - http://rapidshare.com/files/7305302/avz4.zip

----------


## Зайцев Олег

> а может в этом топике прикреплять в первом посте AVZ я думаю администрация может 2 метра позволить выделить?


Не стоит - трафик virusinfo лимитирован, моего сайта - нет. На закачке avz4.zip в месяц у меня расходуется более 200 ГБ трафика. Именно поэтому я кстати стал дублировать AVZ на rapidshare - для разгрузки основного сайта.

----------


## xoy

Вобщем попробовал установить  AVZPM. 
после перезагрузки синий экран.
Система Win2003Server, без сп. Из софта usergate, kav 4.5.
DRIVER_IRQL_NOT_LESS_OR_EQUAL
STOP 0x000000d1 (0xfffffffc 0x00000002 0x00000000 0xf76085ba)
uzqodiy.sys Adress- f76085ba base at f7607000, DateStamp 454e646a

дампа нет.
Смоделирую ситуацию позже(вечером) если будет дамп пришлю.

----------


## Зайцев Олег

> Вобщем попробовал установить  AVZPM. 
> после перезагрузки синий экран.
> Система Win2003Server, без сп. Из софта usergate, kav 4.5.
> DRIVER_IRQL_NOT_LESS_OR_EQUAL
> STOP 0x000000d1 (0xfffffffc 0x00000002 0x00000000 0xf76085ba)
> uzqodiy.sys Adress- f76085ba base at f7607000, DateStamp 454e646a
> 
> дампа нет.
> Смоделирую ситуацию позже(вечером) если будет дамп пришлю.


Если есть возможность смоделировать ситуацию - это очень хорошо. Мне сегодня прислали минидамп Win2003Server, кординаты места сбоя определены - интерсно сравнить с вашим минидампом.

----------


## aintrust

> ...
> DRIVER_IRQL_NOT_LESS_OR_EQUAL
> STOP 0x000000d1 (0xfffffffc 0x00000002 0x00000000 0xf76085ba)
> uzqodiy.sys Adress- f76085ba base at f7607000, DateStamp 454e646a
> 
> дампа нет.
> Смоделирую ситуацию позже(вечером) если будет дамп пришлю.


Спасибо, уже не надо! Ошибка локализована и вскоре будет исправлена, о чем будет объявлено дополнительно. 

А пока что, плиз, не включайте AVZPM на системах с Windows 2003 Server SP0!

----------


## Geser

Что-то не справляется АВЗ с этим руткитом 
'C:\WINDOWS\system32:lzx32.sys'

----------


## Alex_Goodwin

> ну, собственно автор RU имеет право на свое мнение


Тогда еще от автора:



> Олег решил вплотную заняться мониторингом как у HIPS. Ну что называется, good luck! (первую l заменить на f). Неподъемное это дело для одного человека, да и толку от такого мониторинга -  Малварные руткиты вообще идут теперь без процессов, к сожалению, Олег все ещё витает в облаках. Лучше бы занялся своей эвристикой - это у него получается лучше всего. Остальное - не дано.


Это коменты на сообщение про BSOD от использования AVZPM и RU

----------


## Liong

> Что-то не справляется АВЗ с этим руткитом 
> 'C:\WINDOWS\system32:lzx32.sys'


Подтверждаю, даже с C:\WINDOWS\system32\lzx32.sys, не то что с потоком  - не справился... вечер бился, потом прошел The Avenger - все помогло. Олег, посмотрите плиз, что-то с удалением теперь не то стало.

----------


## Зайцев Олег

> Спасибо, уже не надо! Ошибка локализована и вскоре будет исправлена, о чем будет объявлено дополнительно. 
> 
> А пока что, плиз, не включайте AVZPM на системах с Windows 2003 Server SP0!


Только что вышел апдейт баз AVZ - обновленная база содержит подправленный драйвер, который должен корректно работать на W2K3 SP0

----------


## Зайцев Олег

> Подтверждаю, даже с C:\WINDOWS\system32\lzx32.sys, не то что с потоком  - не справился... вечер бился, потом прошел The Avenger - все помогло. Олег, посмотрите плиз, что-то с удалением теперь не то стало.


Сейчас посмотрю - видимо, создатели этой штуки что-то новое придумали в новых версиях. А какой пошагово алгиритм применялся ? По идее для его убиения нужно:
1. Сканирование с нейтрализацией руткитов
2. Включение AVZ Guard
3. Удаление драйвера с диска + ключей из реестра
4. Перезагрузка. 
С изученными PE386 это проходит.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Geser

По моему пора брать на вооружение метод используемый The Avenger

----------


## aintrust

> Тогда еще от автора:
> 
> Это коменты на сообщение про BSOD от использования AVZPM и RU


Вообще, надо сказать, странную манеру общения вы придумали, *Alex_Goodwin*...  :Wink:  Типа выступаете в качестве медиума?  :Stick Out Tongue:  

А почему бы *EP_X0FF*-у самому не прийти сюда (правда, я на 100% знаю, что он читает этот форум), и высказать свое мнение? А если он не хочет этого делать, то есть ли вообще смысл приводить его цитаты?

----------


## Geser

На самом деле не очень интересно знать мнение EP_X0FF. Гораздо интереснее если бы кто-то проверил эффективность обих программ на нескольких распространённых руткитах.

----------


## Зайцев Олег

> По моему пора брать на вооружение метод используемый The Avenger


К версии 4.24-4.25 я введу подобную функциональность в AVZ - именно для убиения ключей реестра и файлов, которые не желают удаляться через отложенное удаление (с стандартным отложенным проблема в том, что оно выполняется слишком поздно - зловредный драйвер может уже страртануть и свести к нулю это удаление).

----------


## [email protected]

Geser, и AVZ и Rootkit Unhooker пока что спокойно покупаются на изменёные значения в PEB  :Wink: 
Rootkit Unhooker многое не видет, но, ИМХО, он понагляднее
ИМХО, давно стоило добаваить возможность посчёта КС секций кода  "безопасных програм"  при сканировании памяти, а не только проверку КС файла

----------


## Alex_Goodwin

> Вообще, надо сказать, странную манеру общения вы придумали, *Alex_Goodwin*...  Типа выступаете в качестве медиума?  
> 
> А почему бы *EP_X0FF*-у самому не прийти сюда (правда, я на 100% знаю, что он читает этот форум), и высказать свое мнение? А если он не хочет этого делать, то есть ли вообще смысл приводить его цитаты?


Я к нему никак не отношусь . Просто на одном из форумов сегодня появились эти коментарии. Я решил, что Олегу будет интересно и запостил.

----------


## Зайцев Олег

> Geser, и AVZ и Rootkit Unhooker пока что спокойно покупаются на изменёные значения в PEB 
> Rootkit Unhooker многое не видет, но, ИМХО, он понагляднее
> ИМХО, давно стоило добаваить возможность посчёта КС секций кода  "безопасных програм"  при сканировании памяти, а не только проверку КС файла


КС секции кода в памяти считать не очень-то хорошо, так как хотя-бы один реаллокейшен изменит эту сумму. Или пакер-криптер, который что-то будет менять. Или хитрая защита навесная ... На компонентах MS это более или менее реализуемо, а на остальном ...

----------


## aintrust

> Я к нему никак не отношусь . Просто на одном из форумов сегодня появились эти коментарии. Я решил, что Олегу будет интересно и запостил.


Так, может, лучше и проще было бы дать первую цитату прямо со ссылкой на тот форум? Тогда все, кому интересно, в том числе и Олег, там бы и прочитали, и пообсуждали, если бы захотели...

----------


## aintrust

> Geser, и AVZ и Rootkit Unhooker пока что спокойно покупаются на изменёные значения в PEB


Все эти PEB-ы, TEB-ы и прочая юзермодная шелуха практически не имеет ничего общего с более-менее современными руткитами, и на этих изменениях ничего серьезного все равно не сваришь - так, детский лепет и мелкие прикольчики. Так что насчет "покупаются" - это, наверное, чересчур громко сказано...  :Wink:  




> Rootkit Unhooker многое не видет, но, ИМХО, он понагляднее


И что же это такое "многое", что _RkU_ "не видЕт"? Можно в деталях?

----------


## [email protected]

> Все эти PEB-ы, TEB-ы и прочая юзермодная шелуха практически не имеет ничего общего с более-менее современными руткитами, и на этих изменениях ничего серьезного все равно не сваришь - так, детский лепет и мелкие прикольчики


  если процес может маскироватся, это уже немало  :Wink: 



> Можно в деталях?


не все функции контралируются
не ловится инжект в сереедину функции
сам можешь элементарно поэксперементировать

----------


## aintrust

> На самом деле не очень интересно знать мнение EP_X0FF. Гораздо интереснее если бы кто-то проверил эффективность обих программ на нескольких распространённых руткитах.


Ну, кому как... Кому-то, я полагаю, было бы интересно не только услышать мнение, но даже немного подискутировать по поводу различных анти-руткитов, а также их достоинств и недостатков (не в этой ветке, конечно). Можно, конечно, по-разному относиться к мнению авторов RkU и к той манере, в которой это мнение  обычно выражается (читавшие forum.sysinternals.com меня поймут), однако то, что эти ребята написали (и продолжают писать), вполне достойно внимания (как минимум).

Что касается эффективности - да, согласен, можно и даже нужно квалифицированно проверять, только не надо забывать о том, что RkU - это анти-руткит по своей природе, а AVZ - квази-анти-руткит, т.е. анти-руткит "по необходимости". Первый изначально был задуман как средство диагностики и борьбы с различными руткитами, в том числе и "лабораторными" экземплярами, а AVZ имеет различные модули (и анти-руткитный модуль в том числе), предназначенные для борьбы с существующими ITW и достаточно распростаненными "зверями" любой природы, в том числе имеющими руткитовые движки. Нужно понимать, что ниши у этих продуктов изначально были разными! 

Впрочем, 100%-ной гарантии защищенности все равно ни один продукт не даст, так что чем больше хороших продуктов разной природы, тем лучше для всех нас!  :Wink:

----------


## aintrust

> если процес может маскироватся, это уже немало


Да уж...  :Wink: 




> не все функции контралируются
> не ловится инжект в сереедину функции


Ну, зачем так уж сразу в середину? Достаточно обычно отступить байт 10-15 от начала... На самом деле ничего сложного нет в том, чтобы это и еще многое другое контролировать - тот же AVZ мог бы это делать (я имею ввиду тотальный контроль тела функции), благо все необходимое у него для этого есть. Вопрос только в том, насколько это нужно на практике - делать из более-менее работающей программы второй SVV?  :Stick Out Tongue:

----------


## Зайцев Олег

> Да уж... 
> 
> 
> Ну, зачем так уж сразу в середину? Достаточно обычно отступить байт 10-15 от начала... На самом деле ничего сложного нет в том, чтобы это и еще многое другое контролировать - тот же AVZ мог бы это делать (я имею ввиду тотальный контроль тела функции), благо все необходимое у него для этого есть. Вопрос только в том, насколько это нужно на практике - делать из более-менее работающей программы второй SVV?


С точки зрения контроля хулиганства с PEB уже позно - он уже сделан  :Smiley:  Модификация PEB опасна только тем, что скажем можно обозвать процесс svchost.exe и затем подредактировать PEB так, чтобы полное имя процесса по PEB было windows\system32\svchost.exe. Это достигается кодом на десять строчек, но в результате менеджеры процессов думают, что это легитимный svchost.exe

По поводу остального я согласен с мнением aintrust - AVZ не является специализирвоанным антируткитом и особого резона делать из него таковой нет ... принин много, основная - огромное количество пользователей AVZ, как следствие любая новая фича оборачивается глюками (обязательно у кого-нибудь найдется конфигурация, в которой что-то глюкнет), шквалом вопросов и т.п.

----------


## Geser

> По поводу остального я согласен с мнением aintrust - AVZ не является специализирвоанным антируткитом и особого резона делать из него таковой нет ... принин много, основная - огромное количество пользователей AVZ, как следствие любая новая фича оборачивается глюками (обязательно у кого-нибудь найдется конфигурация, в которой что-то глюкнет), шквалом вопросов и т.п.


Вот это я не понял. Т.е. АВЗ не будет уметь справляться с руткитами что бы не было лишних вопросов? А зачем тогда он нужен?

----------


## NickGolovko

Частично поддерживаю. Антируткит - один из ключевых компонентов AVZ, и его нужно развивать  :Smiley:

----------


## Зайцев Олег

> Вот это я не понял. Т.е. АВЗ не будет уметь справляться с руткитами что бы не было лишних вопросов? А зачем тогда он нужен?


Нет, речь немного не о том - антируткит AVZ является прикладным антируткитом - его задачей является подавление руткит-функций ITW заразы настолько, чтобы ее можно было заметить в исследовании системы и прибить (вручную, скриптом или автоматом). Но при этом не ставится цель охоты на "лабораторных крыс" - т.е. детектирования разнообразных концептуальных наработок. Пример с Haxdoor - когда появился Haxdoor, который успешно восстанавиливал перехваты,  антируткит AVZ был усовершенствован таким образом, чтобы бороться с этим. Другой пример - перехват правкой SYSENTER - этот метод довольно долго витал в теории, но после его реализации в зловредах типа Costrat (PE386) в AVZ появились средства проверки и воссстановления SYSENTER. В сей момент проходит полевое испытание новая "пилюля" против последних видов PE386 - идеалогическая помесь руткита и Avenger. И т.п. - т.е. моя концепция такова - появится реальный зловред - будем думать, как его задавить. Иначе нельзя - поскольку есть десятки методов сокрытия процесса так, что ни один антируткит его не найдет.

----------


## aintrust

> С точки зрения контроля хулиганства с PEB уже позно - он уже сделан


Да я, собственно, и имел ввиду, что эта "детская шалость" довольно просто контролируется, и то, что этот контроль не был до сих пор реализован в AVZ - это всего лишь небольшое упущение, т.к. базовая возможность для него уже имелась. В результате непосредственно на эту "доработку" было потрачено всего несколько минут...

----------


## Geser

> Иначе нельзя - поскольку есть десятки методов сокрытия процесса так, что ни один антируткит его не найдет.


Поскольки АВЗ не антивирус, и его основное предназначание - исследование системы, он должен уметь определять любое вмешательство в систему, не важно, уже используемое реально, или известное только теоретически.
Я уже не раз писал, что для любого продукта самое важное определить точно его нишу. АВЗ имеет ценность именно как интегрированная среда для исследования системы. А всё остальное вторично. ИМХО, конечно.

----------


## Зайцев Олег

> Поскольки АВЗ не антивирус, и его основное предназначание - исследование системы, он должен уметь определять любое вмешательство в систему, не важно, уже используемое реально, или известное только теоретически.
> Я уже не раз писал, что для любого продукта самое важное определить точно его нишу. АВЗ имеет ценность именно как интегрированная среда для исследования системы. А всё остальное вторично. ИМХО, конечно.


Так оно и делается - просто реальным вмешательствам (т.е. есть ITW зверь и AVZ не позволяет хелперу его засечь или удалить) уделяется основной приоритет. А все остальное - конечно берется на заметку, изучается - но приоритет уже другой. Кстати о приоритете - неплохо хелперам брать на заметку все недостатки анализа и куда-то отдельно их собирать - чтобы был максимум информации в одном месте, а иначе они растворяются в десятках листов обсуждения.
-------
Поступили данные по поводу AVZPM, который лежит в обновленной базе - он нормально заработал на W2K3 SP0.

----------


## Geser

> Кстати о приоритете - неплохо хелперам брать на заметку все недостатки анализа и куда-то отдельно их собирать - чтобы был максимум информации в одном месте, а иначе они растворяются в десятках листов обсуждения.


Угу, создай для этого прикреплённую тему

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## berezdetsky

> [++] AVZ доработан для совместимости в Windows Vista, в частности обновлены все KernelMode компоненты


Наверно, стоит доработать и справочную систему, т.к. Windows Help program (WinHlp32.exe) is no longer included with Windows: http://support.microsoft.com/kb/917607

----------


## EvilPhantasy

> А почему бы EP_X0FF-у самому не прийти сюда (правда, я на 100% знаю, что он читает этот форум), и высказать свое мнение? А если он не хочет этого делать, то есть ли вообще смысл приводить его цитаты?


Ну вот, собственно, я и тут. Звали? Чаем угостите?  :Smiley:  Надеюсь, меня жутко не отмодерируют =)))))

@Alex_Goodwin - Может быть имеет смысл ответить мне на damagelab а не бежать докладывать сюда? Так, по моему, правильнее все-таки. Вам в ФСБ надо, =) ну или в КГБ.




> На самом деле не очень интересно знать мнение EP_X0FF. Гораздо интереснее если бы кто-то проверил эффективность обих программ на нескольких распространённых руткитах.


А нечего проверять - поймайте при помощи AVZ Rustock.C и я возьму все свои слова обратно и ещё извинюсь. Модуль руткит-детекта в AVZ вызывает у меня улыбку, ничего более. Антивирусы должны заниматься своим делом и не влезать туда, где убьет. Шутка.




> AVZ и Rootkit Unhooker пока что спокойно покупаются на изменёные значения в PEB


А фига толку от изменений в PEB? Есть такая вещь называется EPROCESS. Очень интересная штука.




> не все функции контралируются


Да ну? Это те что в msvcrt?




> не ловится инжект в сереедину функции


А на фига такое надо? =)))) Попробуйте наваять что-нибудь такое.
Что касается глубины контроля - хоть сейчас поправлю цикл, да толку то? Нету таких руткитов с таким извратным пониманием хуков. А если и есть, то SVV никто не отменял.

Возможно кому и не нравиться, как я и мои друзья говорим на sysinternals, но нам от этого не холодно не жарко. С нормальными людьми мы всегда говорим нормально, можете даже западных модераторов спросить. Что касается AVZ - как антивирус замечателен, понравилась эвристика, ещё импонирует, что делается вроде как одним человеком. Вот только антируткитный модуль (веяние времени, я понимаю), мне не по душе. Ну ни как =)))

p.s. Пора замодерировать ренегата, ага?

----------


## aintrust

> Поскольки АВЗ не антивирус, и его основное предназначание - исследование системы, он должен уметь определять любое вмешательство в систему, не важно, уже используемое реально, или известное только теоретически.


Хотелось бы, но вряд ли это возможно... Это все равно как написать универсальный антивирус.

----------


## aintrust

> Ну вот, собственно, я и тут. Звали? Чаем угостите?  Надеюсь, меня жутко не отмодерируют =)))))


Не, чая не будет - у нас сегодня четверг, рыбный день!  :Stick Out Tongue:

----------


## Зайцев Олег

> А нечего проверять - поймайте при помощи AVZ Rustock.C и я возьму все свои слова обратно и ещё извинюсь. Модуль руткит-детекта в AVZ вызывает у меня улыбку, ничего более. Антивирусы должны заниматься своим делом и не влезать туда, где убьет. Шутка.
> .......
> Возможно кому и не нравиться, как я и мои друзья говорим на sysinternals, но нам от этого не холодно не жарко. С нормальными людьми мы всегда говорим нормально, можете даже западных модераторов спросить. Что касается AVZ - как антивирус замечателен, понравилась эвристика, ещё импонирует, что делается вроде как одним человеком. Вот только антируткитный модуль (веяние времени, я понимаю), мне не по душе. Ну ни как =)))


Фокус в том, что антируткит AVZ появился в 2004 году, примерно одновременно с антируткитом Руссиновича. Тогда еще не было кучи специальных антируткит-детекторов и из руткитов бы только HackDef и его клоны ... Причем если смотреть на картину с точки зрения статистики, то  доминируют примитивные руткиты - типа перехвата SSDT для маскировки ключей реестра и процессов. 

По поводу Rustock - я взял свежайшего, по классификации ЛК SpamTool.Win32.Mailbot.bc. Если проверить машину AVZ с включенным противодействием руткитам (а всякий анализ он ведет именно в этом случае), то получим:
>>> Опасно - подозрение на подмену адреса ЦП[1].SYSENTER=806D8D2D C:\WINDOWS\system32\ntoskrnl.exe, драйвер опознан как безопасный
 ЦП[1].SYSENTER успешно восстановлен
 Проверка IDT и SYSENTER завершена
 >>>> Подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys

Далее он убивается скриптом AVZ (надо кстати включить скрипт в базу стандартных скриптов)

Если включен AVZ PM, то плюс к этом получим:
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F5E09000, размер=73728, имя = "\??\C:\WINDOWS\system32:lzx32.sys"
и соответственно драйвер будет виден в модулях пространства ядра и исследовании системы ...

Мне правда сложно судить, соответствует ли зловред "Rustock.C", семейство точно это, а вот разновидностей там тьма - правда поведение у изученных примерно идентичное и в разделе "помогите" посвященные ему темы мелькают с завидной регулярностью.

----------


## aintrust

Так, может, кто-нибудь, у кого этот _Rustock.C_ есть, пришлет образец на "препарацию" (в PM)? А то как-то непонятно, против чего надо пытаться бороться...  :Wink:

----------


## EvilPhantasy

Здравствуй, Олег.




> Фокус в том, что антируткит AVZ появился в 2004 году, примерно одновременно с антируткитом Руссиновича. Тогда еще не было кучи специальных антируткит-детекторов и из руткитов бы только HackDef и его клоны ...


Я заметил это по поведению антируткитного модуля.




> По поводу Rustock - я взял свежайшего, по классификации ЛК SpamTool.Win32.Mailbot.bc.


Из-за соглашения с автором я не могу представить последнюю версию Rustock v1.2 (aka lzx32.sys), но я могу сказать, что это уже не свежайшая версия примерно с августа. С тех самых пор как эта версия перестала обновляться. Мы тоже можем снести Rustock.B, после сноса сплайсового хука на sysenter становится беззащитным ключ в реестре. ADS выносятся через низкоуровневый разбор NTFS. На самом деле снести этот руткит очень просто, достаточно нажать на Reset вместе с одним из запущенных антируткитов следующего списка - Gmer, DarkSpy, IceSword, BlackLight.




> Мне правда сложно судить, соответствует ли зловред "Rustock.C", семейство точно это, а вот разновидностей там тьма - правда поведение у изученных примерно идентичное и в разделе "помогите" посвященные ему темы мелькают с завидной регулярностью.


C вариант только что вышел. Неуловимый. Никем =))))

----------


## Alex_Goodwin

@EP_X0FF:
я всего лишь процитировал вас, оскорблений/комментов не было.
И ответить вам я не смогу ибо слаб я в обсуждаемой теме. А мнение ваше как специалиста интересно народу, вот я вас и запостил.

----------


## EvilPhantasy

@Alex_Goodwin:
Да ладно, но вообще то принято хотя бы линк на оригинал кидать.

----------


## aintrust

> ...
> C вариант только что вышел. Неуловимый. Никем =))))


В общем, пока этот _Rustock.C_ не проявится на горизонте, говорить, по сути, не о чем.

----------


## EvilPhantasy

> В общем, пока этот _Rustock.C_ не проявится на горизонте, говорить, по сути, не о чем.


А никто и не собирается. 

Поймают его не скоро и скорее всего случайно в неактивном состоянии товарищи из-за границы. Но это будет Острашенная тайна  :Wink:  ибо отношения есть отношения, а технологии - технологиями  :Wink:

----------


## Alvares

> pe386 C:\WINDOWS\system32:lzx32.sys
> 
> Далее он убивается скриптом AVZ (надо кстати включить скрипт в базу стандартных скриптов)
> 
> Если включен AVZ PM, то плюс к этом получим:
> 1.4 Поиск маскировки процессов и драйверов
> >> Маскировка драйвера: Base=F5E09000, размер=73728, имя = "\??\C:\WINDOWS\system32:lzx32.sys"
> и соответственно драйвер будет виден в модулях пространства ядра и исследовании системы ...


5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
E:\WINDOWS\system32\imon.dll --> Подозрение на Keylogger или троянскую DLL
E:\WINDOWS\system32\imon.dll>>> Поведенческий анализ: 
 Типичное для кейлоггеров поведение не зарегистрировано

Стоит НОД 2.70.16 ENG.

Анализатор - изучается процесс 1552 E:\WINDOWS\system32\tmloader.exe
>>> Реальный размер предположительно = 2482176

Реальный размер на диске (нет лишних потоков, ссылок) - 3584 байта

НОД в базу чистых занести нельзя? Или так и должно быть?

----------


## Зайцев Олег

> 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
> E:\WINDOWS\system32\imon.dll --> Подозрение на Keylogger или троянскую DLL
> E:\WINDOWS\system32\imon.dll>>> Поведенческий анализ: 
> Типичное для кейлоггеров поведение не зарегистрировано
> 
> Стоит НОД 2.70.16 ENG.
> 
> Анализатор - изучается процесс 1552 E:\WINDOWS\system32\tmloader.exe
> >>> Реальный размер предположительно = 2482176
> ...


Несколько разновидностей imon от NOD есть в базе чистых - но он меняется, так что достаточно прислать этот файл мне для добавления в базу чистых. 
Насчет tmloader.exe - его тоже можно прислать до кучи (подобное сообщение выдается сканером памяти в случае резкого расхождения объема образа в памяти и объема, прописанного в его заголовке).

----------


## Alex6

---------------------------
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F5A77000, размер=159744, имя = "\SystemRoot\system32\drivers\kmixer.sys"
---------------------------
- нужно ли отправить этот файл на анализ?

----------


## pig

А он в AVZ каким цветом виден? Если не зелёный - присылайте.

----------


## aintrust

> ...
> нужно ли отправить этот файл на анализ?


Не только этот файл на анализ, но также и все логи сюда в соответствии с Правилами форума. Теоретически м.б. и ложная тревога, поэтому хотелось бы получить картину в целом.

----------


## IgorA

> ---------------------------
> 1.4 Поиск маскировки процессов и драйверов
> >> Маскировка драйвера: Base=F5A77000, размер=159744, имя = "\SystemRoot\system32\drivers\kmixer.sys"
> ---------------------------
> - нужно ли отправить этот файл на анализ?


Это используете? 


> The kX Audio Driver is a WDM (Windows Driver Model) driver, designed to be used with any kX-compatible PCI sound-card (notably the Creative Labs SoundBlaster Live! and Audigy series of cards, and E-mu Systems' Audio Production Studio sound-card).

----------


## aintrust

"Проблема" даже не столько с этим файлом, _kmixer.sys_ ("хороший" он или "плохой"), сколько с тем, что AVZ выдал предупреждение о его маскировке. Это м.б. ошибкой AVZ (тогда хотелось бы понять, откуда у нее ноги растут, и постараться избавиться от нее в дальнейшем), но м.б. и реальной проблемой. Без полных логов этого все равно не понять, однако их может оказаться недостаточно для полного понимания проблемы. Так что ждем-с...

----------


## IgorA

Либо там что-то есть, либо версия старая/совсем новая K/L

Версия: 5, 10, 00, 3538J - debug
Дата компиляции: Jan 26 2006 05:32:18
В маскированных не отображается, и списке драйверов отмечена зеленым.

Проверил 3537final, и 3538L последняя бета. Не показывает, зеленые
Для 3538L kmixer.sys	  B74F2000   02A000 (172032)

----------


## Зайцев Олег

> Либо там что-то есть, либо версия старая/совсем новая K/L
> 
> Версия: 5, 10, 00, 3538J - debug
> Дата компиляции: Jan 26 2006 05:32:18
> В маскированных не отображается, и списке драйверов отмечена зеленым.


В такой ситуации поможет протокол, сохраненный их окна "Модули пространста ядра" + сообщение о маскировке, выдаваемое в этом сеансе. Есть предположение, что у них базовые адреса различаются.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Well

может мне всетаки ответит кто как это исправить-Ошибка - невозможно загрузить AV базу

----------


## SuperBrat

> может мне всетаки ответит кто как это исправить-Ошибка - невозможно загрузить AV базу


Можно поподробнее?

----------


## aintrust

> может мне всетаки ответит кто как это исправить-Ошибка - невозможно загрузить AV базу


Так какая все-таки у вас ошибка, вот эта:



> Ошибка AVZ Guard: C0000034 это что за ошибка?это функция включить AVZ Guard.


или же проблема с загрузкой базы? Если сообщение об ошибке AVZGuard, то, боюсь, понадобится более детальное расследование. Приведите в точности то сообщение, которое выдает вам AVZ и объясните, в каком месте это происходит. А иначе, полагаю, никто вам ничего не ответит!

----------


## Зайцев Олег

> может мне всетаки ответит кто как это исправить-Ошибка - невозможно загрузить AV базу


Такая ошибка возникает по статистике в двух случаях:
1. Если запустить AVZ прямо из архива, не распаковывая его
2. Если распаковать avz.zip частично, вытащив только avz.exe, или распаковать архив каким-либо кривым архиватором, который извлечет все файлы в отну папку.

----------


## Well

скачала ещё раз-архиватор вин рар-не кривой.при запуске программы появляется сообщение о котором я писала и появляется на рабочем столе папка BAZE.хорошая программка хотелось бы чтоб работала)всем спасибо!

----------


## pig

Так откуда запускаете-то? Прямо из архива?

----------


## Зайцев Олег

> скачала ещё раз-архиватор вин рар-не кривой.при запуске программы появляется сообщение о котором я писала и появляется на рабочем столе папка BAZE.хорошая программка хотелось бы чтоб работала)всем спасибо!


Программу нужно сначала извлечь из архива (*все файлы*), получится папка AVZ4, а затем нужно запускать avz.exe из этой папки на диске... а не наоброт.

----------


## Alex5

На сайте  http://www.rku.xell.ru/ нашел Тестовый руткит проекта Rootkit Unhooker (Скрытый процесс+скрытый драйвер). AVZ его видет, но не может завершить процесс. Почему?

----------


## aintrust

Завершает (убивает) без проблем, вроде...

----------


## Alex5

> Завершает (убивает) без проблем, вроде...


А у меня после убивания сразу воскресает.

----------


## aintrust

> А у меня после убивания сразу воскресает.


Тогда давайте подробнее. Какая именно ОС? Какая именно версия руткита? Что значит "воскресает"? Типа убивается, но тут же воскресает, или же совсем не убивается AVZ? Как вы определяете, что воскресает? Процесс руткита снова появляется в "Диспетчере процессов" AVZ или еще как-то?

----------


## alex5

> Тогда давайте подробнее. Какая именно ОС? Какая именно версия руткита? Что значит "воскресает"? Типа убивается, но тут же воскресает, или же совсем не убивается AVZ? Как вы определяете, что воскресает? Процесс руткита снова появляется в "Диспетчере процессов" AVZ или еще как-то?


Запускаю RKSTART.EXE (это RkUnhooker test rootkit 1.2). 
Далее запускаю AVZ. В "Параметры поиска" ставлю все возможные галочки (кроме "расширенный анализ"). Нажимаю "Пуск". Работа... Ради проверки нажимаю опять "пуск"... (кстати, перехваты Касперского умерли):

----------------------------
Протокол антивирусной утилиты AVZ версии 4.22
Сканирование запущено в 29.12.2006 0:48:01
Загружена база: 73605 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 26.12.2006 12:51
Загружены микропрограммы эвристики: 365
Загружены цифровые подписи системных файлов: 54459
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 1 ; AVZ работает с правами администратора
.......................................
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=1788, имя = "RKSTART.EXE", полное имя = "\Device\HarddiskVolume1\Downloads\Rootkit Unhooker\rk_demo_v12\RKSTART.EXE"
 >> обнаружена подмена PID (текущий PID=4, реальный = 178 :Cool: 
 >> обнаружена подмена имени, новое имя = ""
>> Маскировка драйвера: Base=F9FD3000, размер=8192, имя = "\??\c:\Downloads\Rootkit Unhooker\rk_demo_v12\RKdemo12.sys"
 Поиск маскировки процессов и драйверов завершен
.........................................
----------------------------

Захожу в "Диспетчер процессов":
----------------------------
Device\HarddiskVolume1\Downloads\Rootkit Unhooker\rk_demo_v12\RKSTART.EXE 1788     ?? ?,ошибка получения информации о файле
Командная строка:  
----------------------------

Нажимаю "ЗАВЕРШИТЬ ПРОЦЕСС"! И опять:
-----------------------------
\Device\HarddiskVolume1\Downloads\Rootkit Unhooker\rk_demo_v12\RKSTART.EXE 1788     ?? ?,ошибка получения информации о файле
Командная строка:  
----------------------------

Сколько не нажимаю, а он все есть.

Захожу в "Модули пространства ядра":
\??\c:\Downloads\Rootkit Unhooker\rk_demo_v12\RKdemo12.sys F9FD3000 002000 (8192)  

Никак не удаляется из памяти. Если бы добавить автозагрузкой (тоже не удаляемой на таком же уровне), то фиг избавишься.

----------


## aintrust

> Нажимаю "ЗАВЕРШИТЬ ПРОЦЕСС"! И опять:
> -----------------------------
> \Device\HarddiskVolume1\Downloads\Rootkit Unhooker\rk_demo_v12\RKSTART.EXE 1788     ?? ?,ошибка получения информации о файле
> Командная строка:  
> ----------------------------
> 
> Сколько не нажимаю, а он все есть.


Да, интересное поведение, есть над чем подумать... Возможно, баг/недоработка в AVZ. Дайте, пожалуйста, более подробную информацию о том, какая у вас файловая система на диске C: (где находится каталог Downloads), а также пришлите журналы работы AVZ в соответствии с Правилами форума (для этого вам придется зарегистрироваться).




> Захожу в "Модули пространства ядра":
> \??\c:\Downloads\Rootkit Unhooker\rk_demo_v12\RKdemo12.sys F9FD3000 002000 (8192)  
> 
> Никак не удаляется из памяти.


Драйвер не удаляется, такой функциональности в AVZ нет. По сути, информация о драйвере в "Модулях пространства ядра" в текущий момент нужна для того, чтобы, с одной стороны, показать пользователю цветом, что есть "скрытые" драйверы, а с другой - дать возможность провести дополнительный анализ (к примеру, получить адрес его загрузки, размер, местоположение, скопировать в карантин, сделать дамп в файл и т.д.). В дальнейшем, возможно, будут средства для динамической нейтрализации скрытых драйверов.




> Если бы добавить автозагрузкой (тоже не удаляемой на таком же уровне), то фиг избавишься.


Давайте не будем валить все в одну кучу. "Избавление от автозагрузки" чего-то там и терминирование скрытого процесса - это разные вещи, хотя зачастую и взаимосвязанные. Нужно ясно понимать, что во многих случаях можно не терминировать/нейтрализовывать процесс и/или драйвер, и в то же время спокойно удалить все эти компоненты из последующей "автозагрузки". Последнее - значительно важнее, на самом деле...

----------


## aintrust

> Да, интересное поведение, есть над чем подумать... Возможно, баг/недоработка в AVZ. Дайте, пожалуйста, более подробную информацию о том, какая у вас файловая система на диске C: (где находится каталог Downloads), а также пришлите журналы работы AVZ в соответствии с Правилами форума (для этого вам придется зарегистрироваться).


Так... разобрались вроде.  :Wink:  Дело в том, что у меня оказался прототип версии 4.23, так что пока ничего присылать не надо. Ждите выхода версии 4.23 (сегодня, видимо).

----------


## Зайцев Олег

> Так... разобрались вроде.  Дело в том, что у меня оказался прототип версии 4.23, так что пока ничего присылать не надо. Ждите выхода версии 4.23 (сегодня, видимо).


Уже вышла - я создал тему для 4.23 - http://virusinfo.info/showthread.php?p=89402

----------

