# Форум на русском языке  > Решения по информационной безопасности  > Другие программы по безопасности  > Публичное бета-тестирование  >  Антивирусная утилита AVZ - 4.23 + AVZGuard/AVZPM/BootCleaner

## Зайцев Олег

*Вышла новая версия антивирусной утилиты AVZ - 4.23 + AVZGuard/AVZPM/BootCleaner*
Страница загрузки http://www.z-oleg.com/secur/avz/download.php
Система учета ошибок, замечаний и предложений: http://www.z-oleg.com/secur/avz/report.php
Архив с утилитой содержит базу вирусов *от 29.12.2006 74329 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, 365 микропрограмм эвристики, 54473 подписи безопасных файлов* 
Список доработок и модификаций: 
[+++] Новая подсистема AVZ - Boot Cleaner. Данная система основана на драйвере режима ядра и применяется для чистки системы в процессе загрузки компьютера. Управление системой производится при помощи скриптов AVZ. Boot Cleaner позволяет удалять ключи реестра и файлы с указанными именами, удалять и отключать драйвера и службы. Команды управления системой и примеры описаны в документации. 
[++] Сохранение настроек в виде именованных профилей. Позволяет создавать неограниченное количество профилей с возможностю их последобщей загрузки. Профиль содержит параметры, идентичные параметрам командной строки - все параметры описаны в документации 
[+] Детектирование подмены имени файла или пути к нему в PEB процесса в AVZPM 
[+] Остановка процесса из KernelMode при активном AVZ PM 
[+] Скрипты - добавлен ряд команд, в частности для проверки любого файла по базам AVZ, 
 работы с файлом Hosts. Расширен раздел "Типовые примеры" в описании скриптов 
[-] Исправлен драйвер AVZPM - ряд доработок, в том числе исправлена ошибка на W2K3 SP0 
[-] Исправлен мелкий глюк с отображением окон AVZ при наличие в системе нескольких мониторов 
----------
*Немного подробнее о BootCleaner:* это драйвер KernelMode, предназначенный для чистки системы. BootCleaner может работать в двух режимах:
1. Без перезагрузки. В этом случае просто производится попытка выполнения указанных операций из режима ядра. В этом слечае в систему устанавливается драйвер BootCleaner, производится его настройка, драйвер выполняет необходимые действия, после чего заверешает работу и самоуничтожается
2. С перезагрузкой. В данном случае драйвер устанавливается в систему как Boot-драйвер и производится его настройка. Затем необходима перезагрузка, в ходе которой драйвер выполнить указанные операции и самоуничтожится.
Управление драйвером производится из скриптов, все команды описаны в документации (раздел 15.20). Пара примеров:
*begin* 
_// Добавление в сценарий команды удаления файла_
 BC_DeleteFile('c:\trojan.exe'); 
_// Активация драйвера_ 
 BC_Activate; 
_// Перезагрузка_ 
 RebootWindows(true); 
*end*. 
В данном случае драйверу ставится задача удалить файл, производится активация системы и перезагрузка. Аналогично с удалением драйверов:
*begin* 
_// Добавление в сценарий команды удаления драйвера PE386_
 BC_DeleteSvc('PE386'); 
_// Настройка протокола_ 
 BC_LogFile(GetAVZDirectory + 'boot_clr.log'); 
_// Активация драйвера_ 
 BC_Activate; 
_// Перезагрузка_ 
 RebootWindows(true); 
*end*. 
В данном примере удаляется драйвер "PE386", и включается протоколирование.
BootCleaner позволяет выполнять слудующие операции:
- удаление файлов
- удаление ключей реестра
- удаление драйверов и служб (поддерживается два режима - удаление из реестра, или реестр + файл)
- отключение драйверов и служб
В именах драйверов и служб поддерживаются Unicode символы и непечатаемые символы, в частности символ с кодом 0
------
В справке новые примеры. В частности, пример построения искателя файлов по именам с внешней базой и подключением AV сканера и базы безопасных файлов AVZ - см. раздел 15.40.11 справки http://www.z-oleg.com/secur/avz_doc/. Там же пример 15.40.10 - типовой пример скрипта убиения зловредов с применением сочетания "AVZGuard + отложенного удаления + эвристической чистка системы + BootCleaner".

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Well

не первую версию скачиваю-проблема только с последними двумя-не запускается с ярлыка на рабочем столе-невозможно загрузить папку BASE. Из системной папки работает как надо.

----------


## NickGolovko

Рад видеть, что поправились переводы скриптов.  :Smiley: 

Добавления к интерфейсу немногочисленны и переводились без моего участия, но я их одобряю.  :Smiley:

----------


## Alex5

Ok! Новая версия удачно удаляет процесс. А как удалить:

1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F9FD3000, размер=8192, имя = "\??\c:\Downloads\Rootkit Unhooker\rk_demo_v12\RKdemo12.sys"

Как его удалить через AVZ?

----------


## Зайцев Олег

> не первую версию скачиваю-проблема только с последними двумя-не запускается с ярлыка на рабочем столе-невозможно загрузить папку BASE. Из системной папки работает как надо.


А как создается ярлык ? Я уверен, что вместо ярлыка на рабочий стол вытаскивается сам AVZ.EXE

----------


## Зайцев Олег

> Ok! Новая версия удачно удаляет процесс. А как удалить:
> 
> 1.4 Поиск маскировки процессов и драйверов
> >> Маскировка драйвера: Base=F9FD3000, размер=8192, имя = "\??\c:\Downloads\Rootkit Unhooker\rk_demo_v12\RKdemo12.sys"
> 
> Как его удалить через AVZ?


Удалить из памяти чужой загруженный драйвер, особенно если он маскируется и не желает выгружаться - задача достаточно опасная и чаще всего нереализуемая (из за того, что драйвер может создать потоки, перехватить функции и т.п. - его выгрузка приведет к BSOD). Поэтому задачей AVZPM является детект маскируемого драйвера для того, чтобы вычислить полный путь к нему и затем прибить. В случае с реальным зловредом-руткитом это можно сделать через BootCleaner скриптом:


```
begin 
// Добавление в сценарий команды удаления файла
BC_DeleteFile(c:\Downloads\Rootkit Unhooker\rk_demo_v12\RKdemo12.sys'); 
// Активация драйвера 
BC_Activate; 
// Перезагрузка 
RebootWindows(true); 
end.
```

А в случае с rk_demo_v12 и это не требуется - это деморуткит, для системы не опасный, в автозапуск он не прописывается ...

----------


## Alex5

Как-то мудрено со скриптами получается. Можно, например, загрузиться со системного CD-диска, и удалить все ненужные файлы. Другой вопрос: "а если такого диска нет??..."  :Smiley:  Но в этом случае можно ответить вопросом на вопрос: "А если нет AVZ??"...

Было бы лучше удалять драйверы в диалоге с AVZ. Конечно, возможно, у многих другое мнение, но исключительное использование скриптов для убивания реальных зловред-руткитов резко сужает рамки возможных пользователей.

В общем, чайникам тоже нужна защита! Я могу объяснить своей сестре, что "ввойди в такое-то меню, выбери то-то...", но "напиши скрипт...." - это круто, конечно.

----------


## RiC

> Было бы лучше удалять драйверы в диалоге с AVZ. Конечно, возможно, у многих другое мнение, но исключительное использование скриптов для убивания реальных зловред-руткитов резко сужает рамки возможных пользователей.


Может быть, но наличие подобного инструмента в неумелых руках может больше навредить, чем помочь, потому как на удаление с помошью Boot драйвера ограничения не распрастраняются, здесь не спасёт даже "защита системных файлов".

----------


## RiC

Олег а Help к английской версии пополнять есть возможность ? 
А то содержимое английского HLP файла так и "застряло" где-то посредине между 4.19 и 4.20...

----------


## Зайцев Олег

> Олег а Help к английской версии пополнять есть возможность ? 
> А то содержимое английского HLP файла так и "застряло" где-то посредине между 4.19 и 4.20...


Я пока думаю, как быть с английским хелпом. Держать пареллельно два варианта (rus + eng) достаточно накладно, так как придется поддерживать их синхронность. Пока план таков - я доделываю среду полувизуальной разработки скриптов, там будет урезанная справка по командам (и она будет обновляться так-же, как базы AVZ), эту справку несложно будет локализовать.

----------


## Зайцев Олег

> Как-то мудрено со скриптами получается. 
> ....
> В общем, чайникам тоже нужна защита! Я могу объяснить своей сестре, что "ввойди в такое-то меню, выбери то-то...", но "напиши скрипт...." - это круто, конечно.


Был такой прототип - с управлением из меню. Но он был изничтожен по тем соображениям, которые высказал RiC - слишком уж опасный инструмент получился. Предполагается, что человек или умеет писать скрипты и точно знает что удалять и как, или скрипт для него подготовит "хелпер".

----------


## Alex5

Ну, вам, господа, видней. Как говорил Форд, мы можем для Вас сделать авто любого цвета при условии, что этот цвет черный... (примерно так)

----------


## Палыч

Олег,
смотри, что мне AVZ пишет:



> Функция NtClose (19) перехвачена (805675D9->F6BACD00), перехватчик C:\WINDOWS\System32\drivers\klif.sys
> Функция NtCreateProcess (2F) перехвачена (805B3543->F6BACA20), перехватчик C:\WINDOWS\System32\drivers\klif.sys
> Функция NtCreateProcessEx (30) перехвачена (805885D3->F6BACB90), перехватчик C:\WINDOWS\System32\drivers\klif.sys
> Функция NtCreateSection (32) перехвачена (80564B1B->F6BACE40), перехватчик C:\WINDOWS\System32\drivers\klif.sys
> Функция NtCreateThread (35) перехвачена (8057F262->F6BAD630), перехватчик C:\WINDOWS\System32\drivers\klif.sys
> Функция NtOpenProcess (7A) перехвачена (8057459E->F6BAC7B0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
> Функция NtQueryInformationFile (97) перехвачена (80572D12->F6BAD2F0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
> Функция NtQuerySystemInformation (AD) перехвачена (8057CC27->F6BAD430), перехватчик C:\WINDOWS\System32\drivers\klif.sys
> Функция NtResumeThread (CE) перехвачена (8057F8D5->F6BAD5E0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
> ...


Это что же получается? Что AVZ до сих пор не знает драйвера Касперского? Или это нормально и так и должно быть?
Если нужны копии драйверов, то вышлю по первому требованию.

Хотелось бы внести ясность.

----------


## drongo

По моему , так должно быть , ведь каспер то перехватывает  :Smiley: 

Однако ,можно было бы  добавить выделение цветом "подписанных" драйверов , то есть полезных , которые у AVZ в базе безопасных .

----------


## Палыч

Посмотрим, что скажет Олег.

----------


## NickGolovko

У меня почему-то не сохраняются логи после выполнения скрипта сбора информации..

----------


## Зайцев Олег

> Посмотрим, что скажет Олег.


А что тут можно сказать - только klif.sys значится в базе безопасных 43 раза, диапазон версий от 6.12 до 6.12.10.247. Он весьма часто изменяется, поэтому достаточно прислать его мне для включения в базу чистых объектов.

----------


## Зайцев Олег

> У меня почему-то не сохраняются логи после выполнения скрипта сбора информации..


Должны сохраняться ... версия английская или русская ? Запуск c локального диска, CD, сетевой папки ?

----------


## Палыч

> Он весьма часто изменяется, поэтому достаточно прислать его мне для включения в базу чистых объектов.


Версия klif.sys -- 6.12.10.147



> Результат загрузки
> Файл сохранён как klif_459675089c300.sys 
> Размер файла 129808 
> MD5 a25f600e14b33a4d56081c7bba32200e

----------


## aintrust

> Это что же получается? Что AVZ до сих пор не знает драйвера Касперского? Или это нормально и так и должно быть?


Это нормально, и так должно быть, и так будет независимо от того, будет ли указанный драйвер в "базе безопасных" AVZ или нет. 

Выделение цветом безопасных модулей в основном отчете AVZ (в главном окне) - это задача, которая стоит уже достаточно давно, и, чтобы не смущать обычных пользователей, было бы неплохо поскорее это сделать. Пока же достаточно бросить беглый взгляд на список драйверов в "Модулях пространства ядра", чтобы понять, безопасный он или нет.

----------


## drongo

От себя добавлю сделать возможным систему голосования  для посетителей сайта (зарегистрированных )Для каждого бага/предложения десятибалльная оценка , тем самым узнаем что народу важнее .

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Geser

Значит такая мысль. Работать с присылаемыми файлами из карантина неудобно. Нужно проверить файл, потом залезть в инишник посмотреть оригинальное имя, и так с несколькими файлами...
Предложение такое. Файл и его ини должны иметь имя близкое к оригинальному. Например, оригинальное имя с оригинальным расширением, а после этого уже случайное число.

P.S. Даже лучше не случайное число, а время добавления, включая миллисекунды, что бы избежать дублей.

----------


## Зайцев Олег

> Значит такая мысль. Работать с присылаемыми файлами из карантина неудобно. Нужно проверить файл, потом залезть в инишник посмотреть оригинальное имя, и так с несколькими файлами...
> Предложение такое. Файл и его ини должны иметь имя близкое к оригинальному. Например, оригинальное имя с оригинальным расширением, а после этого уже случайное число.
> 
> P.S. Даже лучше не случайное число, а время добавления, включая миллисекунды, что бы избежать дублей.


В такой ситуации лучше применить QR - переименовывалку карантина. Он обрабатывает пары файлов ini+dat, переименовывая файлы в нормальные имена. Если эта утилита потерялась, я могу положить ее у меня на сайте и скинуть ссылку.

----------


## ALEX(XX)

> В такой ситуации лучше применить QR - переименовывалку карантина. Он обрабатывает пары файлов ini+dat, переименовывая файлы в нормальные имена. Если эта утилита потерялась, я могу положить ее у меня на сайте и скинуть ссылку.


Было бы неплохо.

----------


## Geser

> В такой ситуации лучше применить QR - переименовывалку карантина. Он обрабатывает пары файлов ini+dat, переименовывая файлы в нормальные имена. Если эта утилита потерялась, я могу положить ее у меня на сайте и скинуть ссылку.


1. Неудобно запускать дополнительную утилиту.
2. Может удастся наладить какое-то взаимодействие с АВ компаниями по проверке файлов. Им тоже утилиту качать?

----------


## Geser

> Тогда самый простой рецепт - AVZ, выполнить скрипт:
> 
> 
> ```
> begin
>  ClearHostsFile;
> end.
> ```
> 
> Команда ClearHostsFile найдет Hosts файл, почистит из него все значащие строки (оставив комментарии) и добавит строчку "127.0.0.1 localhost"


Тогда не плохо добавить этот шаблон в лог исследования системы. Так же как и комманды работы с бут драйвером

----------


## Зайцев Олег

> Тогда не плохо добавить этот шаблон в лог исследования системы. Так же как и комманды работы с бут драйвером


Обязательно добавлю. 
Кстати, о командах - я доделываю редактор скриптов, так вот, его базы будут обновляться через Инет, но будут в открытом формате, что позволит редактировать их или дополнять в случае необходимости (реально баз будет две - официальная + cобственная локальная). До сих пор открытым остается вопрос о формате базы - есть два варианта: текстовый файл (по одному файлу на команду) и XML документ. Примеры - в аттаче, прошу высказать мнение - что лучше (с точки зрения перевода, правки и редактирования и т.п.).

----------


## Geser

У меня возникли 2 идеи.
1. Нужна команда которая проходится по реестру и вычищает все ссылки на определённый файл. Желательно что бы при этом создавался рег файл которым можно вернуть на место всё удалённое.
2. Поскольку уже есть бут драйвер который мониторит все запускаемые при старте программы, не плохо бы сделать его лог доступным для просмотра.

----------


## Зайцев Олег

> У меня возникли 2 идеи.
> 1. Нужна команда которая проходится по реестру и вычищает все ссылки на определённый файл. Желательно что бы при этом создавался рег файл которым можно вернуть на место всё удалённое.
> 2. Поскольку уже есть бут драйвер который мониторит все запускаемые при старте программы, не плохо бы сделать его лог доступным для просмотра.


Идеи - это хорошо. 
1. Это можно сделать, но 
1.1 Это по определению будет медленно. 
1.2 Есть опасность убить что-то лишнее или наоборот, что-то недобить. Пример - я убиваю файл c:\program files\trojan.exe. В реестре он может быть прописан как trojan.exe, c:\program files\trojan.exe, c:\progra~1\trojan.exe. Если убивать только по имени файлы, то можно пришибить что-то лишнее
Альтернатива - сканировать не весь реестр, а список ветвей, которые будут описаны в базе AVZ и обновляться по мере необходимости
2. Драйвер может писать лог, но 
2.1 Куда его писать ? По идее можно прямо в корень диска
2.2 Как его смотреть и чистить? Опять-же, можно открыть этот файл вручную, равно как можно его стереть. А можно сделать что-то типа Filemon\RegMon - т.е. в AVZ будет окно для просмотра событий в реальном времени. Но тогда потеряется история событий

----------


## SuperBrat

> Примеры - в аттаче, прошу высказать мнение - что лучше (с точки зрения перевода, правки и редактирования и т.п.).


Мне понравился пример в txt-формате. Опять же размер меньше у файла. Но на перспективу xml, конечно, предпочтительнее.

----------


## Geser

1.1 Это не страшно
1.2 Я думаю так, искать по полному пути и по ДОС пути и убивать автоматом, плюс выводить список ключей найденных только по имени файла что бы можно было потом уже ручками добить.
2.1 Да куда угодно, хоть и в корень
2.2 Чистить, автоматом удалять старый при прегрузке. В реальном времени это менее интересно. Более интересно вот что. При создании логов исследования системы добавить такой алгоритм. АВЗ берёт этот файл, проверяет все упоминающиеся там файлы по базе безопасных, и все небезопасные добавляет в лог.

----------


## NickGolovko

По базе - и так, и так неплохо  :Smiley:

----------


## Зайцев Олег

> По базе - и так, и так неплохо


А с точки зрения перевода как лучше ? Фокус в том, что первичная генерация базы будет автоматической, а вот правка вручную.

----------


## NickGolovko

Ну редактировать-то текстовик в любом случае проще  :Smiley:  Если вы об этом  :Smiley:

----------


## SuperBrat

> А с точки зрения перевода как лучше ? Фокус в том, что первичная генерация базы будет автоматической, а вот правка вручную.


Согласен с NickGolovko, тогда лучше txt. Особенно в "военное" время.  :Wink:

----------


## maXmo

к тому же хмлник с точки зрения хмл-дизайна получился не фонтан. Видно, что ты за него в первый раз взялся.
Вот подобное решение от мелкософта.

----------


## Зайцев Олег

> к тому же хмлник с точки зрения хмл-дизайна получился не фонтан. Видно, что ты за него в первый раз взялся.
> Вот подобное решение от мелкософта.


Как раз наоборот  :Smiley:  Просто опыт работы с xml научил меня тому, что надо делать xml с точки зрения простоты/скорости парсинга и удобства применения его в программе, а не с точки зрения дизайна и канонов. Для работы с XML у меня собственный парсер имеется, написанный на asm и как следствие очень шустрый - парсер MS я не применяю.

----------


## maXmo

:Casha:  да, свой парсер на асме – это да…
Но по скорости ини-подобное решение уж побыстрее, наверно, будет.

----------


## Geser

1) Всё говорит о том, что копирование в карантин при помощи прямого чтения с диска не работает. Нужно бы поправить.
2) Очень нужен лог выполнения скриптов, в котором будет указываться успешность выполнения действий, и в случаенеудачи - причина.

----------


## Зайцев Олег

> 1) Всё говорит о том, что копирование в карантин при помощи прямого чтения с диска не работает. Нужно бы поправить.
> 2) Очень нужен лог выполнения скриптов, в котором будет указываться успешность выполнения действий, и в случаенеудачи - причина.


1. Проверю
2. Да, такая фича будет к новой версии - протоколирование результата выполнения всех важных команд с отметкой о их успешности.

----------


## Nick222

> ...будет к новой версии - протоколирование результата выполнения всех важных команд с отметкой о их успешности


Очень хотелось бы, наконец, видеть полноценный протокол к плагину для Бата...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> Очень хотелось бы, наконец, видеть полноценный протокол к плагину для Бата...


Это я приделаю - просто изначально я хотел его сделать, потом оказалось, что протоколировапт то особо нечего -  случае нахождения зловреда плагином TheBat фиксирует данные в своем логе.

----------


## Nick222

> протоколировать-то особо нечего - в случае нахождения зловреда плагином TheBat фиксирует данные в своем логе


Ага - у меня то и дело сообщения в журнале Бата: "Антивирусный плагин сообщает об ошибке - объект не может быть проверен на наличие вирусов" - и что это значит? Сработал плагин или нет - без его собственного протокола не определить...

----------


## anton_dr

Олег, а это глюк или что?



> *Внимание !!! База поcледний раз обновлялась 29.12.2006* - необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
> Протокол антивирусной утилиты AVZ версии 4.23
> Сканирование запущено в 12.02.2007 9:44:03
> Загружена база: 86205 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, *база от 11.02.2007 10:09*

----------


## Зайцев Олег

> Олег, а это глюк или что?


Фигня какая-то - надо проверить ... оно после обновления появилось или так и было ? Прочто у всех баз main*.avz в заголовке стоит дата обновления и в качестве итоговой даты базы берется максимальная из них. Т.е. как будто свежих файлов нет или они повреждены.

----------


## anton_dr

Когда появилось - не знаю, заметил неделю назад, забыл сразу сказать  :Smiley:

----------


## anton_dr

Видимо, какой то глючок был. Возможно, какие-то файлы были старые. Сейчас качнул снова, обновил - сообщение пропало.

----------


## RiC

Из BC_Cleaner нужно ещё и копирование файлов.

----------


## kav.user

Я хочу созданный AVZ лог открытых портов запостить, он в html. Можно?

----------


## Зайцев Олег

> Я хочу созданный AVZ лог открытых портов запостить, он в html. Можно?


Можно конечно (только желательно в ZIP архив его поместить).

----------


## Зайцев Олег

> Из BC_Cleaner нужно ещё и копирование файлов.


Да, без этого BootCleaner не совсем то, что нужно ... Уже готова бета версия, которая умеет каратинить файлы, копировать их и переименовывать.

----------


## kav.user

> Можно конечно (только желательно в ZIP архив его поместить).


Вот лог. У меня ноутбук acer и вместе с системой запускаются утилиты для управления энергосбережением. AVZ показывает, что какая-то асеровская утилита держит открытым некий порт 8428. Нет ли здесь подвоха?
Ну и вообще хотел спросить, нет ли каких уязвимостей, исходя из моего лога?

----------


## rav

Олег!

Английская версия продукта готова, но английской странички на твоём сайте нет. Соотвественно, один чел в совей подписи вообще ссылается на РуБорду! И подсказать ему правильную ссылку возможности нет, поскольку подсказывать нечего!

----------


## SuperBrat

Сервис www.scan.virusinfo.info окончательно умер?  :Sad:

----------


## NickGolovko

2 rav: в принципе можно давать ссылку сразу на архив с AVZ4EN и совет читать справку..  :Smiley:  Но если серьезно - английская страница не помешает, это да.

----------


## Зайцев Олег

> Ага - у меня то и дело сообщения в журнале Бата: "Антивирусный плагин сообщает об ошибке - объект не может быть проверен на наличие вирусов" - и что это значит? Сработал плагин или нет - без его собственного протокола не определить...


Вышла новая версия AVZ плагина для TheBat!. Основные фичи:
* Добавлена документация с подробным описанием процесса установки, обновления и удаления плагина, а так-же его конфигурирования 
* Плагин поддерживает опциональное протоколирование операций (и соответственно ошибок) и обнаруженных вредоносных программ.
Плагин расположен на прежнем месте (http://www.z-oleg.com/secur/avz/download.php), только размер архива вырос до 308 кб.

----------


## Nick222

Спасибо! Это в честь 14 февраля?  :Wink:

----------


## NiKA2

Олег, можно ли к драйверу мониторинга прикрутить защиту автозакгузки? Чтобы на постоянной основе контролировал автозапуск. Это ведь очень полезная вещь.

----------


## F_L

А есть-ли у AVZ проверка собственного CRC и всех компонентов программы естественно, типа как это сделано у Др.Веба?

----------


## Зайцев Олег

> А есть-ли у AVZ проверка собственного CRC и всех компонентов программы естественно, типа как это сделано у Др.Веба?


Да, есть конечно - если собственный CRC нарушен, то он ругается в начале лога об этом (можно дописать пару байт в хвост avz.exe для пробы). Все остальные компоненты хранятся в базе, которая кроме всего прочего защищена CRC.
*NiKA2* 
Можно, но сложно. Вернее технически это тривиально, но потребуется перехватывать функции - а это как следствие может привести к конфликтам с антивирусными мониторами и HIPS

----------


## Nick222

Опять глюки с плагином к Бату:

- Бат говорит:



> ANTIVIRUS - Антивирусная программа сообщает об ошибке, объект не может быть проверен на наличие вирусов


- АВЗ-плагин говорит:



> База загружена успешно. Кол-во сигнатур = 87238


И что с этим делать? Что реально произошло и где - в Бате или в плагине или в самой утилите?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Shu_b

> Опять глюки с плагином к Бату:


угу было такое... вчера не до него было, просто выгрузил его, а сегодня подгрузился без проблем.
ps ошибка возникла когда поставил галочку ведения лога.

----------


## maXmo

> Архив с утилитой содержит базу вирусов от 29.12.2006 74329 сигнатур


кстати, да, откуда *столько*? Подпольный вирлаб?

----------


## drongo

> кстати, да, откуда *столько*? Подпольный вирлаб?


Олег говорил , что-то типа приманки сетевой сделал для ловли гадости . точнее сказать не могу , Смоленск от меня далековато будет  :Stick Out Tongue:

----------


## SuperBrat

> Олег говорил , что-то типа приманки сетевой сделал для ловли гадости . точнее сказать не могу , Смоленск от меня далековато будет


А вот и приманка!  :Wink:  Прислать файл с вирусом.

----------


## drongo

> А вот и приманка!  Прислать файл с вирусом.


Вряд ли , может 10 процентов от общего количества зловредов , не более . А что мы спорим ,подождём ответа Олега   :Smiley:

----------


## Nick222

Вопрос несколько не в тему:
Раньше я пользовался BHODemon, сейчас его развитие прекратилось, даже файл базы нельзя скачать  :Sad: 
Какая из программ его заменяет и в какой степени его можно заменить утилитой AVZ?

----------


## drongo

> Вопрос несколько не в тему:
> Раньше я пользовался BHODemon, сейчас его развитие прекратилось, даже файл базы нельзя скачать 
> Какая из программ его заменяет и в какой степени его можно заменить утилитой AVZ?


В базовой форме это есть и сейчас :
AVZ -> Сервис- менеджер расширений IE , BHO

----------


## DoSTR

> кстати, да, откуда *столько*?


А Вы небоитесь, что эту приманку потом занесут в черный список?

----------


## SuperBrat

> А Вы небоитесь, что эту приманку потом занесут в черный список?


Это вы Олега спросили? Олег тут на форуме, в статьях многократно писал, что вирусы он получает разными путями. Это веб-форма, почтовый ящик, закрытый канал антивирусных компаний и, конечно, ловушки. Вот про ловушки Олег сам и расскажет, если сочтет нужным, имхо.

----------


## Зайцев Олег

> кстати, да, откуда *столько*? Подпольный вирлаб?


Да, конечно  :Smiley:  У меня уже более трех лет полностью обрудованный вирлаб. Если интересно, то источников зверья у меня очень много и это не секрет:
1. Пользователи AVZ. Есть ряд активных пользователей (в основном админы крупных сетей), которые периодически присылают отловленное у них в сетях зверье (многие содержат на почте и прокси антиврусные фильтры, поэтому зверей у них избыток). Это в среднем дает не менее 1-2 тыс зловредов в месяц, многие присылают архивами по 20-50, а то и 100 зловредов за раз, и так по несколько раз в месяц. Плюс форма на моем сайте - но она дает очень немного, не более 50-100 зловредов за месяц в лучшем случае. Через форму шлют в основном DLL, которые ловит детектор внедренных DLL.
2. virusinfo.info. Присылаемые на анализ файлы пополняют как базу зверей, так и базу чистых. Это тоже не очень много, но стабильно.
3. Почтовые ловушки. У меня их много, применяются для сбора почтовых зловредов или ссылок на них. Самая хорошая ловушка - это карантин почтового антивируса на крупном корпоративном почтовом сервере. У нас к примеру более 1000 ящиков на сервере, так вот за сутки в карантин (фильтры или антивирус) падает до нескольких тысяч файлов. Я вот сейчас проверил текущий карантин - 257 зловредов менее чем за сутки. 
4. База прямых URL на зловредов и система их пополнения или контроля. В базе у меня порядка 36 тыс прямых ссылок, многие зловреды периодически меняются. База пополняется в ходе изучения Trojan-Downloader, плюс многие админы присылают. Делается это просто - если на крупном прокси или трафигометре отфильтровать только "*.exe" при размере файла менее 1 мб, то можно упасть в обморок от результата  :Smiley:  Даже у меня в сети, где очень строгие правила безопасности, в среднем в неделю отключается и чистится пара компьютеров. Для анализа ссылок у меня есть база "чистых" ссылок, маски для поиска явно зловредных.
5. Закрытые каналы обмена с другими вирлабами. Сейчас это достаточно мощная сеть обмена ITW, в ней участвует несколько вирлабов, по ней приходит не менее 50-70 ITW зловредов ежедневно. Это один из основных источников пополнения базы
6. Обмен зверями. Происходит не очень часто, но зато счет идет на тысячи "голов"
7. Автоматические искатели и "охотники". У меня есть система полуавтоматической охоты на зверей, но к сожалению особо нет трафика не ее эксплуатацию. Но она дает десятки зловредов в день.
8. Чистка и лечение ПК знакомых или пользователей AVZ, обратившихся за помощью (последних я стараюсь отруливать на virusinfo). Рекорд - порядка 100 зловредов за раз при чистке одного пораженного  :Smiley:  
Сейчас получается примерно такой расклад - порядка 20 зверей присылают пользователи, штук 10 дает virusinfo, штук 50-70 присылают админы + ловят мои фильтры/ловушки, штук 50-70 приходит по закрытой сети обмена. т.е. 20+10+50+50 = 130 зловредов в день, причем это в среднем, нередко бывает больше. Причем имеются в виду уникальные зловреды для базы, почтовые ловушки, контроль ссылок и WEB анализаторы дают тысячи повторов. Естественно, что далее все автоматизированно - база в Oracle, образы автоматом раскладываются в коллекцию, отбираются образцы для сети обменя и т.п. Классификация коллекции у меня от ЛК, и она же де факто она является стандартом при обмене), идет контроль повторов по MD5 - дубликаты автоматом отсекаются, но учитываются для статистики. И плюс моя гордость - автоматический анализатор, позволяющий изучать зверей. Естетсвенно, что для изучения зловредов есть отдельный компьютер (вирутуалка для этого мало подходит), изучение тоже полуавтоматическое. Часто изучение зверя дает кумулятивный эфект - он к примеру загружает штуки 4-5 других зловредов (значит, ссылки для базы URL), они что-то тоже загружают и дропают ... и "раскрутка" одного Downloader иной раз дает 20-30 экспонатов для базы - это еще один из источников.

----------


## Harihara

> т.е. 20+10+50+50 = 130 зловредов в день, причем это в среднем, нередко бывает больше. Причем имеются в виду уникальные зловреды для базы, почтовые ловушки, контроль ссылок и WEB анализаторы дают тысячи повторов.


Я понимаю, что многое автоматизировано... Но, господи! Это же просто не человеческий объём!!! Когда вы всё это успеваете? Неужели в одиночку и без всякой помощи? В конце-то концов нужно ведь и на другие дела время. Например, код отлаживать, книги писать...  :Smiley:

----------


## maXmo

Угу ещё типа прибедняется: «не хочу велосипеды строить»  :Smiley:  при том, что сегодняшние антивири тоже заразу детектят и тупо удаляют файлы.

----------


## Зайцев Олег

> Я понимаю, что многое автоматизировано... Но, господи! Это же просто не человеческий объём!!! Когда вы всё это успеваете? Неужели в одиночку и без всякой помощи? В конце-то концов нужно ведь и на другие дела время. Например, код отлаживать, книги писать...


Успеваю ... главное - это автоматизировать рутину и накопить большую базу данных. Чем больше база с разными признаками зловредов, тем проще их классифицировать (это делается автоматически). Текущий объем базы признаков - порядка 500 ГБ, сама система вирлаба - кластер с распределенной архитектурой. Плюс у меня много добровольных помошников (не даром они идут пунктом 1 в списке). Так что в день я трачу на анализ зловредов не более часа ... но так было не всегда - еще пару лет назад ежедневно в базу AVZ попадало 0-5 зловредов, базы обновлялись раз в месяц. Я искал слабые места, развивал инфраструктуру, автоматизировал что можно. Сейчас не автоматизировано только одно - автоотправка зловредов, который детектированы моим автоматическим анализатором, в вирлабы AV компаний. Этого пока нет, исключение - я периодически напускаю на кеш анализатора VBA и отсылаю им архив по 10-20 МБ зловредов, которые детектирует их эвристик. Но в планах подобный эксперимент заложен ... так как мне не жалко семплов ITW зловредов.

----------


## Зайцев Олег

> Угу ещё типа прибедняется: «не хочу велосипеды строить»  при том, что сегодняшние антивири тоже заразу детектят и тупо удаляют файлы.


Это да  :Smiley:  Но я не хочу с вирусами заморачиваться - для корректного лечения зараженного файла часто много возни нужно (например, написание декриптора, если вирус шифрует часть зараженного файла). Автоматизировать это почти нереально - поэтому я и не стремлюсь такое сделать. Хотя зараженный файл можно просто детектить, но не лечить ... так кстати многие антивири и делают. Аналогично с пакерами/криптерами - их известно куча, у известных - тима вариаций, и городить под каждый унпакер/декриптер - тяжкий и неблагодарный труд.

----------


## Nick222

Прошу прощения, но с моим сообщением - #261 от 15.02.2007 21:05 - будет что-нибудь?
Так и осталось непонятно: как определить источник ошибки и как разобраться, что вообще происходит не так?

----------


## Зайцев Олег

> Прошу прощения, но с моим сообщением - #261 от 15.02.2007 21:05 - будет что-нибудь?
> Так и осталось непонятно: как определить источник ошибки и как разобраться, что вообще происходит не так?


Будет конечно. Требуется уточнение:
1. В какой точно момент выводится данное сообщение (открытие Bat, прием почты, отправка почты, сохранение вложений) ? Повторяется ли данная ситуация ?
2. Точная версия TheBat!
3. Настройки AV проверки самого Bat (можно скриншот странички настроек)
4. Какова настройка ящика в плане хранения вложений ? (в базе или отдельно)

----------


## Зайцев Олег

К концу месяца выходит новая версия AVZ, вот список доработок для обсуждения, не забыл ли я чего):
1. Отключаемое ведение логов в AVZPM [в стадии]
2. Сохранение настройки действий для HackTool в профиле [исправлено]
3. Расширенный поиск файлов при карантине из скрипта с протоколом [реализовано]
4. Копирование и карантин файлов в BootCleaner [реализовано]
5. Формирование кода возврата при выходе из AVZ (0-нет зловредов, 1-найден хотя бы один зловред, 2 - зловредов нет, есть подозрения) [реализовано]
6. Перемещение карантина и журнала в отдельную папку для запуска AVZ с BootCD или иного ReadOnly носителя [реализовано]
7. Отображение PID процесса в списке портов и TCP соединений [реализовано]
8. Новая раскраска протоколов [в процессе]
9. Поиск DLL, используемой процессами (функция "кто использует DLL") [в процессе] 
10. Усовершенствование протокола BC [реализовано]
11. Сортировка в тех менеджерах, где ее еще нет [в процессе]
12. Выверка диспетчера автозапуска по "45 экзотическим методам автозагрузки" [в процессе, масса мелких доработок]
13. Добавление в HTML лог новых опций для автогенерации скрипта [в процессе, основное доработано]
14. Новые скрипты восстановления и эвристики [реализовано, уже доступны при обновлении баз]
15. Столбцы "Описание" и "Производитель" для "Модулей пространства ядра" [реализовано]
16. Скрипты - убиение процесса по имени [реализовано]
17. Скрипты - сканирование реестра и поиск заданного образца с выводом результатов в протокол [реализовано]
18. Нормализация имен в списке драйверов и модулей пространства ядра [в процессе]

----------


## Shu_b

Олег, у меня бат 3,95,1(CE) ошибку повторно воспроизвести не удалось.

----------


## Зайцев Олег

> Олег, у меня бат 3,95,1(CE) ошибку повторно воспроизвести не удалось.


У меня лицензионный 3.85.03 Professional Edition, сейчас обновлюсь для опыта, он предлагает скачать 3.95.06 ..... 3.95.06 скачался, на нем тоже все нормально срабатывает.

----------


## aintrust

> К концу месяца выходит новая версия AVZ, вот список доработок для обсуждения, не забыл ли я чего):
> ...


15. Столбцы "Описание" и "Производитель" для "Модулей пространства ядра".

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## PavelA

Олег! В качестве обсуждения. Нельзя ли поменять местами протоколы исследования системы и  часть сканирования и лечения от AVZ.

Чтобы не начинать читать протокол с конца и не пытаться удалять то, что уже вылечил AVZ.

----------


## Зайцев Олег

> 15. Столбцы "Описание" и "Производитель" для "Модулей пространства ядра".


Принято и сделано.
*to PavelA*
Если процесс, DLL или что-то подобное видны в исследовании AVZ, то оно однозначно не удалено (как максимум - файл заряжен на отложенное удаление).

----------


## Geser

1. Не плохо добавить в скрипты функцию которая убивает процесс по имени, с выводом в лог результата. Т.е. попытка убиения, пауза в секунду, проверка что процесс убит.
2. Нужна функция которая ищет в реестре файл по имени (именно по имени, без пути) и выводит все ключи где найдена встречается этот файл.

P.S. Кстати, исправлена ли бага из за которой в списке драйверов и модулей пространства ядра вместо реального пути к системной директории написано "systemroot"?

----------


## Зайцев Олег

> 1. Не плохо добавить в скрипты функцию которая убивает процесс по имени, с выводом в лог результата. Т.е. попытка убиения, пауза в секунду, проверка что процесс убит.
> 2. Нужна функция которая ищет в реестре файл по имени (именно по имени, без пути) и выводит все ключи где найдена встречается этот файл.
> 
> P.S. Кстати, исправлена ли бага из за которой в списке драйверов и модулей пространства ядра вместо реального пути к системной директории написано "systemroot"?


1,2 - принимается. PS - это не баг, это фича - имена объектов отображаются так, как они значатся в реестре или возвращаются системой. Если не удобно, заменю на нормализованные полные имена.

----------


## pig

Как минимум в скрипт должны уходить нормализованные имена.

----------


## Зайцев Олег

> Как минимум в скрипт должны уходить нормализованные имена.


Логично, так и сделаю.

----------


## Nick222

> 1. В какой точно момент выводится данное сообщение (открытие Bat, прием почты, отправка почты, сохранение вложений) ? Повторяется ли данная ситуация ?





> 18.02.2007, 19:31:12: FETCH - Получение новой почты
> 18.02.2007, 19:31:12: FETCH - Соединение с POP3 сервером прошло удачно
> 18.02.2007, 19:31:12: FETCH - Аутентификация прошла успешно (Обычный метод)
> 18.02.2007, 19:31:13: FETCH - На сервере писем: 2, из них новых: 2
> 18.02.2007, 19:31:16: FETCH - Получено письмо от (убрано), размер: 2547 байт, тема: (убрано)
> 18.02.2007, 19:31:16: ANTIVIRUS - Проверка входящего письма на наличие вирусов
> !18.02.2007, 19:31:16: ANTIVIRUS - Антивирусная программа сообщает об ошибке, объект не может быть проверен на наличие вирусов
> 18.02.2007, 19:31:17: FETCH - Получено письмо от (убрано), размер: 12176 байт, тема: (убрано)
> 18.02.2007, 19:31:21: FETCH - Получено письмо от (убрано) для (убрано), зашифрованное: Нет, размер: 2547, дата: 18 февраля 2007 г. 10:34:05, тема: (убрано)
> ...


Повторяется нерегулярно...



> 2. Точная версия TheBat!


 3.95.06



> 3. Настройки AV проверки самого Bat (можно скриншот странички настроек)


Прилагается...



> 4. Какова настройка ящика в плане хранения вложений ? (в базе или отдельно)


Вложений в полученных файлах (см. лог выше) нет, но в настройках ящика указано - хранить отдельно.

Настройки самого плагина - "Вести лог" и "Папка Base в папке с плагином" (там он и живёт)  :Smiley:

----------


## kps

Олег, в протоколе исследования системы есть проблема при добавлении команд в скрипт относительно файлов, запуск которых указан с параметрами. Приведу пример из протокола исследования системы из одной из тем в разделе Помогите. 

Автозапуск
Графа "Имя файла"
C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
"J:\муж\DAEMON Tools\daemon.exe" -lang 1033

Теперь при нажатии на "Карантин" или "Удалить" в скрипт добавляются команды, содержащие ошибку.
Т.е. при нажатии на "Карантин" в этом случае добавляется :
QuarantineFile('C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup','');
QuarantineFile('J:\муж\DAEMON Tools\daemon.exe -lang 1033','');

Я правильно понимаю, что в карантин они не попадут при выполнении скрипта ?

Видимо для исследования системы в графе "Имя файла" AVZ нужно заносить только путь к файлу, а параметры его запуска игнорировать.

----------


## Зайцев Олег

> Повторяется нерегулярно...
> 3.95.06
> Вложений в полученных файлах (см. лог выше) нет, но в настройках ящика указано - хранить отдельно.
> 
> Настройки самого плагина - "Вести лог" и "Папка Base в папке с плагином" (там он и живёт)


Спасибо, картинка помогла ... я выставил все переключатели согласно картинке и получил это сообщение. Если в настройке TheBat выставить три "птички" внизу окна натройки - появляется этот глюк, если их снять - работает нормально. Мой совет - отключить три "птички" в настройке Bat (т.е. привести настройки к виду, как на картинке из хелпа) - тогда глюк пропадает. А я тем временем разберусь, в чем там дело.

----------


## Зайцев Олег

> Я правильно понимаю, что в карантин они не попадут при выполнении скрипта ?
> 
> Видимо для исследования системы в графе "Имя файла" AVZ нужно заносить только путь к файлу, а параметры его запуска игнорировать.


Вероятность попадания в карантин есть - функция карантина пытается отбросить все лишнее. Но тут есть тонкость - предполагается, что добавление команд в скрипт добавляет заготовку, т.е. ее стоит вручную поправить, оставив только имя файла. Это существенно упростит работу AVZ. Плюс в новой версии новый анализатор в карантине - у него намного выше шансы на поиск файла в сложном случае.

----------


## Arkadiy

У меня сегодня не удалось обновить AVZ, так как файл avzlang_en(или как то так) был битый, извиняюсь забыл сделать скриншот.
При повторной попытке обновиться, произошла такая ошибка:


Версия  4.23, обновлялся с  z-oleg.com

P.S.: после закрытия программы и повторного запуска обновления АВЗ удалось  :Smiley:

----------


## Зайцев Олег

> У меня сегодня не удалось обновить AVZ, так как файл avzlang_en(или как то так) был битый, извиняюсь забыл сделать скриншот.
> При повторной попытке обновиться, произошла такая ошибка:
> 
> 
> Версия  4.23, обновлялся с  z-oleg.com
> 
> P.S.: после закрытия программы и повторного запуска обновления АВЗ удалось


Скорее всего я в этот момент обновлял базы на сервере  :Smiley:

----------


## Geser

Олег, поступила просьба от ЛК поменять пароль на файлах из карантина с virus на infected

----------


## Зайцев Олег

> Олег, поступила просьба от ЛК поменять пароль на файлах из карантина с virus на infected


А какая разница ? Ну, раз просят - поменяю, это тривиально

----------


## Nick222

Пароль на какие файлы? Если на отсылаемые на проверку - то не стОит  - у всех серверов требование ставить пароль "virus".
Если это другой пароль - прошу извинить  :Smiley:

----------


## PavelA

*Олег!* Что-то в Download на z-oleg.com AVZ лежит обрезанный без скриптовой директории и драйверов.

----------


## Зайцев Олег

> *Олег!* Что-то в Download на z-oleg.com AVZ лежит обрезанный без скриптовой директории и драйверов.


Все верно - драйвера давно в AV базе (о соответственно обновляются по мере надобности автоматом), все скрипты - аналогично.

----------


## PavelA

> Все верно - драйвера давно в AV базе (о соответственно обновляются по мере надобности автоматом), все скрипты - аналогично.


А как же тогда с директорией *Script*? Она же не создается.
Может я что-то не понимаю. Пытался по-старому объяснить своему клиенту, а тут такой облом (:

----------


## Зайцев Олег

> А как же тогда с директорией *Script*? Она же не создается.
> Может я что-то не понимаю. Пытался по-старому объяснить своему клиенту, а тут такой облом (:


А собственно зачем директория Scripts ? Все скрипты из нее перекочевали в меню "Файл/Стандартные скрипты" AVZ.

----------


## Geser

> Пароль на какие файлы? Если на отсылаемые на проверку - то не стОит  - у всех серверов требование ставить пароль "virus".
> Если это другой пароль - прошу извинить


У каких серверов?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Geser

> А какая разница ? Ну, раз просят - поменяю, это тривиально


А, можно не менять. Я неправильно понял. Жаловались что РАРы присылают

----------


## SuperBrat

> Олег, поступила просьба от ЛК поменять пароль на файлах из карантина с virus на infected


Это правильно. Многие вендоры работают только с этим паролем "infected".
Вопрос к Олегу, вы подписчик сервиса [email protected]? Или пока добавлять [email protected] в поле "Копия"?

----------


## Nick222

> У каких серверов?


Я имел ввиду - когда шлёшь образец вируса, то ДрВэб, КламВин, Аваст и проч. требуют пароля на архив "virus".

----------


## Зайцев Олег

> Это правильно. Многие вендоры работают только с этим паролем "infected".
> Вопрос к Олегу, вы подписчик сервиса [email protected]? Или пока добавлять [email protected] в поле "Копия"?


Нет - я не являюсь подписчиком данной системы (я собственно не видел, где у них можно подписаться).
*to Nick222*
Не обязательно - я в ЛК шлю вообще без пароля ...

----------


## SuperBrat

> Я имел ввиду - когда шлёшь образец вируса, то ДрВэб, КламВин, Аваст и проч. требуют пароля на архив "virus".


Nick222, вышеперечисленные товарищи прекрасно понимают "infected". Возможно, вы отправляли в rar-архиве? Тогда многие начинают предупредительные письма отсылать.

----------


## Nick222

> Возможно вы отправляли в rar-архиве?


Я WinRAR не пользуюсь и он у меня даже не стоит - особенно после того, как лечил у соседей комп с заражёнными RAR-ами - все стали вдруг по 15 Мб  :Smiley:

----------


## SuperBrat

> Я WinRAR не пользуюсь и он у меня даже не стоит - особенно после того, как лечил у соседей комп с заражёнными RAR-ами - все стали вдруг по 15 Мб


Не вижу связи. Зараженных zip-архивов куда больше.

----------


## Nick222

> Зараженных zip-архивов куда больше.


Я ни разу не видел ZIP-ов, у которых размер файлов в архиве около 100 Кб, а размер архива в целом 15 Мб  :Smiley:  Да ещё и вынуть толком ничего из архива нельзя - хотя список файлов виден...
ИМХО, баг RAR, которым и воспользовался вирус.

----------


## pig

http://support.drweb.com/sendnew/



> Отправляя вирусный файл в нашу лабораторию по электронной почте, не забудьте заархивировать его и, по возможности, защитить архив паролем — по умолчанию нами используется пароль *virus*. Если Вы используете этот пароль для защиты посылаемого нам архива, его можно не указывать в теле письма. Использование другого пароля допустимо, однако такое письмо может быть перехвачено антивирусным фильтром и не дойти до своего получателя. В случае использования отличного от *virus* пароля сообщите его, пожалуйста, специалистам лаборатории.


Я им нормально отправлял RAR, только в письме указывал, какой версией запаковано.
В ЛК точно так же отправлял в RAR, только пароль в письме указывал, поскольку на сайте это не регламентировано. А по умолчанию, стало быть, *infected*?

----------


## PavelA

> А собственно зачем директория Scripts ? Все скрипты из нее перекочевали в меню "Файл/Стандартные скрипты" AVZ.


Там лежали бат-файлы для скриптов. Указываешь имя скрипта в письме клиенту и не заходя в АВЗ получаешь лог-файлы. Теперь придется свои заготовки переписывать. :Angry:

----------


## Зайцев Олег

> Там лежали бат-файлы для скриптов. Указываешь имя скрипта в письме клиенту и не заходя в АВЗ получаешь лог-файлы. Теперь придется свои заготовки переписывать.


Это да ... но сейчас стало проще. Например, лечение + карантин + исследование достигается скриптом в одну команду: 


```
begin 
 ExecuteStdScr(3); 
end.
```

----------


## Зайцев Олег

> Я имел ввиду - когда шлёшь образец вируса, то ДрВэб, КламВин, Аваст и проч. требуют пароля на архив "virus".


Короче говоря, я введу в скрипты команду настройки пароля, и ключ в командную строку. Это даст возможность менять пароль по мере надобности без переделки AVZ

----------


## kps

> Вероятность попадания в карантин есть - функция карантина пытается отбросить все лишнее.


Не знаю, какая здесь есть вероятность, но я только что проверил у себя на Win98. Вот подробнее:

Протокол исследования системы
Автозапуск
Графа "Имя файла"
"E:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
При нажатии на "Карантин" для этого файла в скрипт добавляется команда 
QuarantineFile('E:\Program Files\Common Files\Real\Update_OB\realsched.exe  -osboot','');
Т.е. в пути к файлу дописан параметр его запуска, а это не правильно.
Я выполнил скрипт и файл при таком скрипте в карантин *не* попал, как я и предполагал.
Потом я поправил скрипт, убрав параметр запуска файла из функции QuarantineFile. И тогда уже после выполнения исправленного скрипта файл в карантин попал.




> Но тут есть тонкость - предполагается, что добавление команд в скрипт добавляет заготовку, т.е. ее стоит вручную поправить, оставив только имя файла. Это существенно упростит работу AVZ.


Это не просто упростит работу AVZ, а исправит ошибку в скрипте, из-за которой файл просто не попадет в карантин, как я только что убедился.
Безусловно, надо проверять скрипт, прежде чем рекомендовать его к использованию, но вдруг есть люди, которые слепо поверят в то, что  добавление команды в скрипт добавит правильную команду без ошибок и/или доверяться функции "Проверить скрипт", которая такую ошибку не находит, а пишет, что скрипт в порядке. Можешь проверить сам.
В итоге имеем ситуацию, что в карантин нужный файл не попадет. 
Я считаю, что этот баг с добавлением параметров запуска стоит пофиксить или как минимум, сообщить всем хелперам о его существовании, чтобы не могло произойти такой проблемы.

----------


## NickGolovko

Олег, есть фичреквест по восстановлению системы. Возможно, стоит добавить процедуру, описанную здесь - http://forum.kaspersky.com/index.php?showtopic=32552 ?

----------


## NiKE2

Есть прога "File Lock v4.2.11", она для закрытия доступа к файлам, папкам, дискам. 
Но почему-то AVZ не показывает ее часть (в памяти), которая отвечает за закрытие доступа и ее способ автозапуска.

----------


## Nick222

Двое суток назад я посылал файл с червём - АВЗ до сих пор его не детектирует.
Говорит "Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)" и всё...
Завтра будет определяться точно?

С праздником  :Smiley:

----------


## Surfer

*Nick222*
Мои ложняки уже полгода как ложняки и ничего  :Cheesy: 
Уж незнаю почему даже  :Smiley:

----------


## Geser

Олег, посмотри тут http://virusinfo.info/showthread.php?t=8135 сообщение 22 еще способ подгружеть библиотеки в браузер. Нужно тоже в логи

----------


## RiC

> Олег, посмотри тут http://virusinfo.info/showthread.php?t=8135 сообщение 22 еще способ подгружеть библиотеки в браузер. Нужно тоже в логи


Это последствия, причина - патч самого IExplore.exe. Это уже не певый случай.

----------


## Geser

Кстати, у меня идея, при сканировании что бы АВЗ писал в лог подозрения на файлы подписанные электронной подписью, но не прошедшие проверку подлинности. Думаю в свете последних троянов которые патчат системные файлы будет очень полезно.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> Кстати, у меня идея, при сканировании что бы АВЗ писал в лог подозрения на файлы подписанные электронной подписью, но не прошедшие проверку подлинности. Думаю в свете последних троянов которые патчат системные файлы будет очень полезно.


Такое возможно, но тормозить будет (если глобально делать). А вот если в рамках исследования системы - другое дело.

----------


## Geser

> Такое возможно, но тормозить будет (если глобально делать). А вот если в рамках исследования системы - другое дело.


Там один из логов это сканирование системного диска, если я не ошибаюсь. Вот там добавить проверку подписей. Медленно, за то надёжно  :Smiley:

----------


## Nick222

Подскажите, плз, как убрать червей из памяти - никак не могу автозагрузку отключить - опять появляются. Вроде и из диспетчера задач удалял и всё такое...
Дайте ссылку, плз, если есть инструкция подходящая.
Спасибо  :Smiley:

----------


## MedvedD

> Подскажите, плз, как убрать червей из памяти..


Это вам в Помогите!

----------


## maXmo

что-то шрифт какой-то нестандартный в авз

----------


## Зайцев Олег

> что-то шрифт какой-то нестандартный в авз


Шрифт стандартный - MS Sans Serif, 10 pt. Он крупнее системного, так как системный - 8. Сделано специально, чтобы зрение не портить ... Хотя это можно сделать опциональной фичей

----------


## Зайцев Олег

> Там один из логов это сканирование системного диска, если я не ошибаюсь. Вот там добавить проверку подписей. Медленно, за то надёжно


Есть еще более красивое решение - патчится таким образом только 2-3 файла (iexplorer, ndis.sys в частности). Для них можно сделать микропрограмму эвритической проверки и выводить в лог предупреждение.

----------


## Geser

Сегодня 2-3 а завтра больше. МИкропрограмму можно сделать независимо и запускать при обычном сканировании. А когда запускается скрипт проверки для раздела "Помогите" лучше все проверять.

----------


## Alvares

Вопрос такой - при запущенной AVZ курсор стоит или в ТоталКоммандере или там в Excel. Периодически проявляется самопроизвольный набор  строки вида "testtesttesttesttesttesttesttesttest". Грешил на троянов, келоггеров, шуток. Обсканировался всем, чем можно. Ни хрена не нашел. Заметил три раза, что только при висящей в памяти AVZ происходит. Это то, о чем я думаю? Или просто известная фишка, про которую я не знаю?
Готов понести заслуженное наказание, если не в тему. Но вот такая ситуация имеет место быть и есть подозрение на утилиту. Автора ни в чем не виню и никогда винить не собираюсь....

----------


## Kuzz

Это АВЗ провоцирует кейлогеры, посылая программам тестовую строку как нажатия клавиш. :Wink:

----------


## Alvares

угу...причем сама ни одного не показывает

----------


## Зайцев Олег

> угу...причем сама ни одного не показывает


Я это в FAQ прописал. Как правильно отметил выше *Kuzz*, это поведенческий антикейлоггер AVZ - он изучает реакцию внедренных DLL на клавиатурные и мышиные события. Но если AVZ не в фокусе ввода, то тестовая последовательность попадет в активное окно. Вреда от этого естественно нуль ... но тем не менее данная фича нуждается в документировании. Или в блокировке, если AVZ свернут и не в фокусе ввода.

----------


## drongo

Было бы здорово, чтобы при помощи скрипта можно было бы дать команду искать (например имя файла)по реестру из авз, и конечно  сохранялся бы лог найденного. Hу а если не найдётся, то уведомление об этом.

----------


## Ego1st

> Я это в FAQ прописал. Как правильно отметил выше *Kuzz*, это поведенческий антикейлоггер AVZ - он изучает реакцию внедренных DLL на клавиатурные и мышиные события. Но если AVZ не в фокусе ввода, то тестовая последовательность попадет в активное окно. Вреда от этого естественно нуль ... но тем не менее данная фича нуждается в документировании. Или в блокировке, если AVZ свернут и не в фокусе ввода.


ага даже постоянно замечаю смену расскладки в пунто свитче, при сканировании..

----------


## Палыч

NO-REG писал:



> Может и это будет и лишняя работа, но лично я считаю что было бы неплохо добавить в раздел Файл> Восстановление системы 16-й пункт «Восстановить базовые сервизы» или аналогичный скрипт. Иногда очень устаешь от воплей «ВИРУС!!! ТРОЯН!!! ПЕРЕУСТАНОВКА ВИНДЫ!!!» и т.д. когда достаточно просто восстановить службы после «КРИВЫХ РУК!!!» и «ТУПИКОВОЙ ИЗВИЛИНЫ!!!»
> Когда-то что-то похожее попадалось толи на JS, толи VBS, но сейчас ничего похожего не нахожу. Может на AVZ пойдёт?

----------


## Зайцев Олег

> Было бы здорово, чтобы при помощи скрипта можно было бы дать команду искать (например имя файла)по реестру из авз, и конечно  сохранялся бы лог найденного. Hу а если не найдётся, то уведомление об этом.


В новой версии это уже реализовано - универсальный поиск по реестру из скриптов (искать можно глобально, в указанной ветке).

----------


## Alvares

> Я это в FAQ прописал. Как правильно отметил выше *Kuzz*, это поведенческий антикейлоггер AVZ - он изучает реакцию внедренных DLL на клавиатурные и мышиные события. Но если AVZ не в фокусе ввода, то тестовая последовательность попадет в активное окно. Вреда от этого естественно нуль ... но тем не менее данная фича нуждается в документировании. Или в блокировке, если AVZ свернут и не в фокусе ввода.


Спасибо за разъяснения. Теперь ясно на кого грешить  :Smiley:  На "КРИВЫЕ РУКИ" и "ТУПИКОВУЮ ИЗВИЛИНУ". Сорри за беспокойство :Kiss:

----------


## Erekle

Простите, что беспокою из-за мелких беспорядков...  :Smiley: 
1. Приложение есть в списке Автозапуска, но нет в логе сканирования.
2. "Менеджер расширений проводника" показывает не всё (читал о подобном в предыдущей теме по AVZ). Точнее - выводит список HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr  entVersion\Shell Extensions\Approved\ Но до последних пор показывал все ContextMenuHandlers. 
(Кстати, перестали показывать и все другие программы, имеющие такую функцию (числом до 20), - за исключением StartupList'а.
То же самое относится к Расширениям ИЭ: теперь AVZ опять показывает всех, но последние две недели выводил только BHO, а модули расширения - нет. Правда, в указанный период все другие тоже перестали показывать расширения, за исключением той же программы.
Видимо, дело в беспорядке в моём реестре.)

----------


## DoSTR

Можно ли где нибудь в AVZ меню/Справка/О Программе разместить информацию о "свежести" установленных баз.(Суммарное количество сигнатур + дата последнего обновления) 
Например, как у Вас на сайте:



> Версия: 4.23
> База: от 01.03.2007
> Сигнатуры: 	90924
> Нейропрофили: 	2
> МП эвристики: 	367
> МП лечения: 	55
> МП восстановления: 	15
> База безопасных: 	56670

----------


## Зайцев Олег

> Можно ли где нибудь в AVZ меню/Справка/О Программе разместить информацию о "свежести" установленных баз.(Суммарное количество сигнатур + дата последнего обновления) 
> Например, как у Вас на сайте:


Это можно, но сложно - для получения подобных цифр нужно перезагрузить все базы. AVZ исходно этого не делает - базы грузятся по мере необходимости. А данные на страничке статичные - апдейт генерируется по центральной базе данных, поэтому собирающий его демон на сервере автоматом генерит базы, выкладывает их по FTP и обновляет страничку статистики. Как вариант, я нечто подобное могу воткнуть в базу - типа описания базы в текстовом виде.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## DoSTR

> Как вариант, я нечто подобное могу воткнуть в базу - типа описания базы в текстовом виде.


Может сделать отдельный каждый раз обновляемый файл - содержащий информацию, которая и будет отображаться в программе.

----------


## Зайцев Олег

> Может сделать отдельный каждый раз обновляемый файл - содержащий информацию, которая и будет отображаться в программе.


Вот об этом и речь ... причем файл можно сделать текстовым, чтобы можно было просмотреть его без помощи AVZ. Я продумаю данный вопрос ...

----------


## santy

Олег, добрый день. "Замечает" ли АВЗ удаление одной или нескольких антивирусных баз? Имеет ли смысл в каком-то виде выполнять контроль целостности АВ -баз (возможно, ранее об этом уже говорилось)?
----
Кстати, АВЗ запускается эмулятором Wine в Linux (ubuntu), но не работает нормально.

----------


## Зайцев Олег

> Олег, добрый день. "Замечает" ли АВЗ удаление одной или нескольких антивирусных баз? Имеет ли смысл в каком-то виде выполнять контроль целостности АВ -баз (возможно, ранее об этом уже говорилось)?
> ----
> Кстати, АВЗ запускается эмулятором Wine в Linux (ubuntu), но не работает нормально.


Нет, удаление одной из баз типа main* он не замечает. Это было сделано специально, чтобы можно было оперативно поменять любой из файлов (добавить, удалить, обновить) вручную. Ввиду появления автоапдейта подобный контроль можно ввести.
По поводу запуска на эмуляторе - да, он запустится - но работать по идее не должен. Есть кстати разновидность версия AVZ под Linux, ее со временем можно довести до ума - там конечно только сканер ...

----------


## santy

> Нет, удаление одной из баз типа main* он не замечает. Это было сделано специально, чтобы можно было оперативно поменять любой из файлов (добавить, удалить, обновить) вручную. Ввиду появления автоапдейта подобный контроль можно ввести.
> По поводу запуска на эмуляторе - да, он запустится - но работать по идее не должен. Есть кстати разновидность версия AVZ под Linux, ее со временем можно довести до ума - там конечно только сканер ...


Может быть, имеет смысл формировать контрольную сумму либо по авторским базам при автоапдейте, и соответственно проверять какой-то функцией из менеджера АВЗ, исключая из суммы базы, созданные пользователем... А версия АВЗ под Линукс работает с теми же базами? 
Интересно было бы посмотреть.

Nod32, Drweb под Linux при сканировании  детектирует вирусняк под Win. Как работает мониторинг пока не разобрался.

----------


## Зайцев Олег

> Может быть, имеет смысл формировать контрольную сумму либо по авторским базам при автоапдейте, и соответственно проверять какой-то функцией из менеджера АВЗ, исключая из суммы базы, созданные пользователем... А версия АВЗ под Линукс работает с теми же базами? 
> Интересно было бы посмотреть.
> 
> Nod32, Drweb под Linux при сканировании  детектирует вирусняк под Win. Как работает мониторинг пока не разобрался.


Линуксовый AVZ основан на тех-же базах. Мне просто было любопытно, как он будет работать, если  портировать его на линкус - оказалось, это не сложно и работает неплохо. Я это делал в свое время для прикручивания AVZ к прокси/почтарю, но до ума так и не довел.

----------


## PavelA

*Олег!* При отложенном удалении файлов как правильно сделать чистку реестра?

В скрипте идет сначала deletefile, bc_importDeletedList, executesysclean, rebootwindows. извини, если ошибся в названиях функций.

----------


## Зайцев Олег

> *Олег!* При отложенном удалении файлов как правильно сделать чистку реестра?
> 
> В скрипте идет сначала deletefile, bcimportdeletefiles, executeregclean, rebootwindows. извини, если ошибся в названиях функций.


Именно так, т.е. :
1. Удаление файлов - DeleteFile
2. Импорт списка удаленных объектов в BootCleaner - BC_ImportDeletedList
3. Чистка реестра - ExecuteSysClean
4. Активация BootCleaner - BC_Activate
5. Перезагрузка - RebootWindows(true);

----------


## Arhimed

Олег, неплохо бы сделать в AVZ выбор временного каталога, куда AVZ извлекает архивы. А то у меня антивирус рубит файлы с вирусами, которые AVZ пытается вытащить из архива.
Я, конечно, понимаю что надо отрубать антивирус, на время работы AVZ  :Smiley:  . Но это не всегда удобно, когда хочешь проверить 1-2 файла, на предмет детектирования их AVZ, когда антивирус его уже поймал...
А так, антивиру прописал этот каталог в исключения, и ни какой возни с отключениями...

----------


## Зайцев Олег

> Олег, неплохо бы сделать в AVZ выбор временного каталога, куда AVZ извлекает архивы. А то у меня антивирус рубит файлы с вирусами, которые AVZ пытается вытащить из архива.
> Я, конечно, понимаю что надо отрубать антивирус, на время работы AVZ  . Но это не всегда удобно, когда хочешь проверить 1-2 файла, на предмет детектирования их AVZ, когда антивирус его уже поймал...
> А так, антивиру прописал этот каталог в исключения, и ни какой возни с отключениями...


ОК, сделаю такой ключ командной строки и опцию в скрипте.

----------


## Макcим

Предлагаю включать в лог исследования системы (2 и 3 стандартный скрипт) список установленных программ.

----------


## Erekle

Здесь тестили 100 вирусов. Говорят, что AVZ находит 71.
У самого был zonebac. Всё сделал, что ему полагалось.  :Smiley:  Симантек заметил его только после восстановления инсталляции. AVZ пост-фактум: последняя база, максимальная эвристика, все файлы, включено лечение с копированием удаляемых, указана папка, где зловреды - не детектирует...




> Есть прога "File Lock v4.2.11", она для закрытия доступа к файлам, папкам, дискам. 
> Но почему-то AVZ не показывает ее часть (в памяти), которая отвечает за закрытие доступа и ее способ автозапуска.


http://www.toplang.com/filelock.htm -



> Kernel mode protection, uses low level driver to protect your files/folders

----------


## santy

> Линуксовый AVZ основан на тех-же базах. Мне просто было любопытно, как он будет работать, если  портировать его на линкус - оказалось, это не сложно и работает неплохо. Я это делал в свое время для прикручивания AVZ к прокси/почтарю, но до ума так и не довел.


Для нас это скоро станет актуально в связи с возможной миграцией на Linux. Проверка файловых серверов+почты, при том, что часть машин будет работать под Win.
Олег, а можно потестировать сканер АВЗ(Linux) в том виде, в котором он сейчас есть? Может быть, и для других это будет интересно - по крайней мере, на форуме ubuntu читал сообщения, типа "не могу жить без антивируса..."  :Smiley:

----------


## Зайцев Олег

> Для нас это скоро станет актуально в связи с возможной миграцией на Linux. Проверка файловых серверов+почты, при том, что часть машин будет работать под Win.
> Олег, а можно потестировать сканер АВЗ(Linux) в том виде, в котором он сейчас есть? Может быть, и для других это будет интересно - по крайней мере, на форуме ubuntu читал сообщения, типа "не могу жить без антивируса..."


Текущая версия кривая, но я возьму вопрос на контроль и постараюсь довести его до ума

----------


## Зайцев Олег

> Здесь тестили 100 вирусов. Говорят, что AVZ находит 71.
> У самого был zonebac. Всё сделал, что ему полагалось.  Симантек заметил его только после восстановления инсталляции. AVZ пост-фактум: последняя база, максимальная эвристика, все файлы, включено лечение с копированием удаляемых, указана папка, где зловреды - не детектирует...
> 
> 
> http://www.toplang.com/filelock.htm -


Оффтоп - при всем уважении это не тест  :Smiley:  ... во первых как я не пробовал, AVZ ловит 93 зверей из этих 100 (надо включить опцию сканировать все файлы - иначе файлы с расширением типа .#xe не проверяются), из остального не ловится FireDLL.dll - это DLL от теста Firewall (а не троян !), VirTools - это не вирус, и 5 вирусов - AVZ их не ловит. Но это так, детали ... главное то тут совершенно в другом - это не ITW зловреды ! а на 80% нечто весьма древнее. Примеры:
Backdoor.Win32.IRCBot.ex = 28.10.2005
Trojan-Spy.Win32.KGSpy.d = 17.03.2005
Trojan-Downloader.Win32.VB.eu = 05.01.2005
Trojan-PSW.Win32.LdPinch.yp = 25.11.2005
Email-Worm.Win32.NetSky.d = 02.03.2004
Virus.DOS.Lapiddan.454 - что-то похожее я видел лет 15 назад
Даты - это дата внесения дефиниции указанного зверя в базу AVZ. Поэтому дальнейшие рассуждения о эффективности антивирусов и сравнения по данной коллекции мягко говоря некорректны - в коллекции почти нет свежих ITW образцов.
------
Теперь по делу - "File Lock v4.2.11" AVZ видит - у него есть немаскируемый процесс FileLock.exe, плагины для Explorer - DisguiseFolder.tlp, EncryptFile.tlp, Trusts.tlp и драйвер - FLOCKXP.SYS - все это не маскируется и AVZ это отображает в исследовании системы и списке модулей ядра. Некоторые версии File Lock есть в базе безопасных, поэтому в исследовании они могут отсутствовать

----------


## Erekle

> Теперь по делу -


Да, я тоже увидел, что отображает, но опасался, что чего-то пропустил (скачал эту программу, но в автозагрузку не прописывал).

Не по делу  :Smiley:  - извиняюсь... знаю, что тема не о том. Просто к моему недавнему случаю (кстати, и антивирус во время проверки AVZ был отключен, чтобы не мешать) добавился тот кустарный тест (с Вашего позволения скопирую Ваш ответ туда).
Только один вопрос: есть ли отличия в механизме сканирования и выявления - проведенных по скриптам и с главного окна? Они одинаково эффективны?

----------


## Зайцев Олег

> Да, я тоже увидел, что отображает, но опасался, что чего-то пропустил.
> 
> Не по делу  - извиняюсь... я тоже знаю, что тема не о том. Просто к моему недавнему случаю (кстати, и антивирус во время проверки AVZ был отключен, чтобы не мешать) добавился тот кустарный тест (с Вашего позволения скопирую Ваш ответ туда).
> Только один вопрос: есть ли отличия в механизме сканирования и выявления - проведенных по скриптам и с главного окна? Они одинаково эффективны?


По поводу теста - ответ мой можно скопировать, я не против ... это главная беда таких тестов - в Инет гуляют коллекции "вирусов", из которых почти нет ITW - либо древние DOS вирусы, либо древние современные. Причем коллекция явно отобрана по детекту какого-то антивируса X. так нельзя - для объективного теста нужно 3-5 тыс. свежих распространенных ITW образцов, тогда это интересно. 
------
По поводу эффективности сканирования - имеется в виду есть ли разница между зхапуском скана AVZ вручную или аналогичное из скрипта ? Если да, то разницы совершенно никакой - используется тот-же алгоритм, все полностью идентично. С исследованием системы немного не так - в скрипте всегда выполняется полное исследование, а в случае ручного запуска исследования в диалоге можно отключить ряд проверок.

----------


## Mad Scientist

1.Процесс, который был запущен до включения AVZGuard, после включения оного все равно может писать в любые файлы и в "exe" в том числе.

2.Поставить ловушку на WH_GETMESSAGE.
   SysHook := SetWindowsHookEx(WH_GETMESSAGE,@SysMsgProc, HInstance, 0);
в main begin dll'и

 if UpperCase(ExtractFileName(Application.ExeName))= 'AVZ.EXE' then
 begin
  Application.Terminate;
  // или while true do i:=i+1; что веселее
 end;

Такая фича не пройдет с AVZ AG=Y, но напоминаю что начиная с 4.20 
AVZ AG=Y приводит к Access Violaton
А сделать проверку, какие модули используются самим AVZ на предмет их безопасности
вроде того, как он реагирует на изменение своего CRC?

----------


## Зайцев Олег

> 1.Процесс, который был запущен до включения AVZGuard, после включения оного все равно может писать в любые файлы и в "exe" в том числе.
> 
> 2.Поставить ловушку на WH_GETMESSAGE.
> SysHook := SetWindowsHookEx(WH_GETMESSAGE,@SysMsgProc, HInstance, 0);
> в main begin dll'и
> 
> if UpperCase(ExtractFileName(Application.ExeName))= 'AVZ.EXE' then
> begin
> Application.Terminate;
> ...


1. Писать Guard не запрещает - блокируется только создание новых объектов.
2. Я исправил баг, AG=Y должен теперь работать - он для этого и был сделан ... Проверку модулей AVZ делает, он "знает", что грузил сам, а что внедрилось без его ведома.
----------
Вышла новая версия - 4.24, эту ветку закрываю, ветка для новой версии - http://virusinfo.info/showthread.php?t=8284

----------

