# Форум на русском языке  > Решения по информационной безопасности  > Другие программы по безопасности  > Публичное бета-тестирование  >  Vba32 AntiRootkit 3.12.*.* beta

## sergey ulasen

Мы, наконец-то, основательно взялись за свой антируткит и начали его очень активную разработку. Ниже адреса, по которым можно скачать сам продукт:

ftp://anti-virus.by/beta/Vba32arkit_beta.rar

ftp://anti-virus.by/beta/Vba32arkit_beta.zip

Сразу же привожу режимы его работы (чтобы не возникало никакой путаницы):

_Vba32 AntiRootkit может работать в трех режимах (с поддержкой антивирусного ядра Vba32 и без него). 
1. В первом режиме, с поддержкой антивирусных баз, модуль находится в папке %VBA32%. После своей загрузки он пытается получить доступ к COM-объекту антивирусного ядра Vba32 и в случае успеха использует его для проверки. 
2. Если доступ к COM-объекту получить не удается, модуль загружает антивирусное ядро и базы себе в память и работает с ними напрямую. 
3. В третьем режиме можно использовать модуль Vba32 AntiRootkit отдельно от комплекса VBA32. В данном режиме проверка обнаруженных объектов антивирусным ядром производиться не будет._

Первый и третий пункты вроде бы понятны. Могут возникнуть вопросы со вторым, потому...
Если вы не являетесь пользователем нашего комплекса, *антируткит можно использовать совместно с нашим консольным сканером*. Пока антируткит не выложен на стандартный ресурс обновления для beta-тестирования, можно воспользоваться релизным консольным сканером. Сканер можно взять здесь: ftp://anti-virus.by/pub/Vba32Check.exe. Файлы, находящиеся в архиве Vba32arkit_beta, необходимо скопировать (заменить) в папку Vba32Check\vba32w. 

Теперь о том, что же, собственно, нового в нем добавилось/изменилось:

+ Добавлено получение и проверка списка автозагрузки и сопутствующих элементов (ActiveX, BHO, LSP, Autorun.inf, SecurityProviders и др.)

+ Добавлено получение и проверка списка драйверов и сервисов (анализ реестра)

Теперь с помощью антируткита можно управлять автозагрузкой. При этом (опционально) осуществляется проверка файлов антивирусным ядром и проверяются ЭЦП файлов (Authenticode). Обратите, пожалуйста, особое внимание на интерфейс окна и на удобство его использования. Может быть имеет смысл чего-нибудь в нем подвигать.

+ Проверка состояния MSR регистров (SysEnter)

+ Возможность включения кэширования файлов при проверке антивирусным ядром

Обратите внимание на данную настройку, она существенно повышает скорость работы с приложением.

* Сохранение логов производится в формате html

Нам самим надоело воевать с логами в текстовом формате. html намного удобнее. Обратите внимание на те цвета и на ту информацию, которая в них содержится.

* Интерфейс антируткита полностью переведён на UNICODE

* Улучшен механизм работы карантина

Оцените удобство карантина. Замечания и пожелания приветствуются.

* Исправлено поведение кнопки Apply в окне настроек


* Исправлена ошибка с получением списка процессов на Windows 2003

Кроме того изменена документация к антируткиту. Пока только на русском языке, но скоро будет и на английском.

И немного о планах. Уже сейчас активно идет разработка новой функциональности, которая касается детектирования методов перехватов. Реализовали Shadow SDT, IRP, EAT, сплайсинг. Как только оттестируем у себя, сразу передадим эстафету вам  :Smiley: 

Ждем обратной связи.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## priv8v

_как что позиционируется это ПО?.._
(примеры: как подстраховка к АВЗ и гмеру, как отдельная лечилка трудных случаев заражения, как необходимый маркетинговый ход, как "мы и сами с усами", как средство борьбы с распространенными и простенькими руткитами...)

_какой обратной связи ждете от людей с ВИ в большинстве случаев?_
(примеры: предложения по интерфейсу, предложения по доработке лога, предложения новых функций, нахождения багов, технические предложения по улучшению уже существующих функций, дифирамбы).

Вопросы задаю на полном серьезе. Без подколок и обид.

----------


## sergey ulasen

Спасибо за хорошие вопросы.




> _как что позиционируется это ПО?.._
> (примеры: как подстраховка к АВЗ и гмеру, как отдельная лечилка трудных случаев заражения, как необходимый маркетинговый ход, как "мы и сами с усами", как средство борьбы с распространенными и простенькими руткитами...)


Нам и нашим пользователям каждый день приходится сталкиваться со все новыми случаями заражения. Я, в частности, и наш коллектив, в целом, считаем, скажем так, не очень красивым ходом использование сторонних утилит (и прежде всего утилит связанных каким-то образом с нашими конкурентами). Потому первоочередная задача - это иметь инструмент, способный самостоятельно решать большинство задач, связанных с поиском и нейтрализацией активных заражений. Следующая цель - внедрить те технологии, которые разрабатываются для антируткита и обкатываются на нем, в наш антивирусный движок.
Потому здесь можно аккумулировать все те примеры, которые вы назвали. Если у нас получится создать инструмент, который сможет "подстраховывать" AVZ или gmer, и  сообществу это будет интересно, это будет вообще супер. Но это не первоочередная задача.




> _какой обратной связи ждете от людей с ВИ в большинстве случаев?_
> (примеры: предложения по интерфейсу, предложения по доработке лога, предложения новых функций, нахождения багов, технические предложения по улучшению уже существующих функций, дифирамбы).
> 
> Вопросы задаю на полном серьезе. Без подколок и обид.


Исторически сложилось так, что ВИ стал той площадкой, на которой мы развиваем наше beta-тестирование для русскоязычной аудитории. Уже есть определенный круг людей, которым это интересно. Если с помощью данной темы еще кто-нибудь заинтересуется продуктом, мы будем этому только рады. Так вот, от всех, кому это интересно, мы готовы принять и предложения по интерфейсу и по доработке лога и даже выслушать дифирамбы  :Smiley:

----------


## priv8v

Результаты беглого знакомства с утилитой на рабочей системе (более близко на виртуалке ознакомлюсь потом):

1). при работе выдается вот такое окошко:

полоса не двигается, а стоит на месте все время - сделайте, что бы она 
двигалась по мере сканирования - и даже не важно точно она будет двигаться или нет - пусть главное двигается как угодно, а под конец сканирования можно просто ее загнать в угол  - типа сканирование окончено. А то когда полоса стоит на одном месте - раздражает достаточно сильно.

2). При парсинге списка файлов из папок автозагрузки сделайте хоть какую-то проверку - не нужно десктоп.ини детектить.

3). Лог внезапно обрывается - снизу нет завершающей шапки - желательно ее сделать и выводить туда какую-нибудь обобщающую по логу инфу. А если без инфы - просто что бы была, что бы было понятно что сканирование проведено до конца.

----------


## Синауридзе Александр

> Результаты беглого знакомства с утилитой на рабочей системе (более близко на виртуалке ознакомлюсь потом):
> 
> 1). при работе выдается вот такое окошко:
> 
> полоса не двигается, а стоит на месте все время - сделайте, что бы она 
> двигалась по мере сканирования - и даже не важно точно она будет двигаться или нет - пусть главное двигается как угодно, а под конец сканирования можно просто ее загнать в угол  - типа сканирование окончено. А то когда полоса стоит на одном месте - раздражает достаточно сильно.


У меня все нормально отработало.




> 3). Лог внезапно обрывается - снизу нет завершающей шапки - желательно ее сделать и выводить туда какую-нибудь обобщающую по логу инфу. А если без инфы - просто что бы была, что бы было понятно что сканирование проведено до конца.


Поддерживаю.  :Smiley: 

Расшифровку по цветам дайте и почему нет возможности запустить хелп из самой программы?

А так молодцы!!! Это качественно новый уровень!

----------


## IgorKr

Залейте куда-нибудь, а то сервер не пускает =)

----------


## sergey ulasen

> полоса не двигается, а стоит на месте все время


1. В каком режиме вы работали (см. в моем первом посте)?

2. В каком окне возникли проблемы (в главном, Kernel Modules и т.д.)?

3. Ползунок не двигался вообще и вам пришлось прибить процесс или он стал двигаться позже?

Остальное пока понятно.

*Добавлено через 2 минуты*




> Залейте куда-нибудь, а то сервер не пускает =)


ftp://vba.ok.by/vba/beta/Vba32arkit_beta.rar

ftp://vba.ok.by/vba/beta/Vba32arkit_beta.zip

----------


## Geser

> ftp://vba.ok.by/vba/beta/Vba32arkit_beta.rar
> 
> ftp://vba.ok.by/vba/beta/Vba32arkit_beta.zip


Не качается

----------


## sergey ulasen

В течение часа проблему с сервером vba.ok.by должны решить...

----------


## priv8v

> 1. В каком режиме вы работали (см. в моем первом посте)?
> 2. В каком окне возникли проблемы (в главном, Kernel Modules и т.д.)?
> 3. Ползунок не двигался вообще и вам пришлось прибить процесс или он стал двигаться позже?


Извините, что так плохо изложил свои действия - точнее совсем не изложил. Вот как было дело:

запускаю файл.
убираю чекбоксы напротив use antivirus kernel  и напротив check digital signature.
затем нажимаю start

если после этого еще просматривать через тулзы автозапуск, то также полоска не двигается.

если же не отключать check digital signature, то все нормально.

----------


## Groft

> Извините, что так плохо изложил свои действия - точнее совсем не изложил. Вот как было дело:
> 
> запускаю файл.
> убираю чекбоксы напротив use antivirus kernel  и напротив check digital signature.
> затем нажимаю start
> 
> если после этого еще просматривать через тулзы автозапуск, то также полоска не двигается.
> 
> если же не отключать check digital signature, то все нормально.


Теперь все ясно  :Smiley: 
Полоса не двигается, т.к. файлы ничем не проверяются и список оных тупо генерится.
~~~~
принято к сведенью  :Wink:

----------


## Groft

> почему нет возможности запустить хелп из самой программы?


Как нет? Антируткит разорхивирован в отдельную папку или лежит в заинсталированной папке %Vba32%? Присутствует ли в папке Vba32ArkitRU.chm?

----------


## priv8v

качаем архив. извлекаем в текущую папку. запускаем программу и ничего больше не трогая нажимаем на вопросик и там нажимаем на Help - и ничего не происходит :Smiley: 

+ еще в справке - не очень корректно скрины показывать с перехватами от дров даемон_тулз... (имхо)

----------


## Синауридзе Александр

> качаем архив. извлекаем в текущую папку. запускаем программу и ничего больше не трогая нажимаем на вопросик и там нажимаем на Help - и ничего не происходит


+1




> + еще в справке - не очень корректно скрины показывать с перехватами от дров даемон_тулз... (имхо)


+1

----------


## sergey ulasen

Согласен решительно со всем  :Smiley: 
Все записал в багтрекер, будем править. Как только подготовим следующие "большие" изменения, там же и найденные вами проблемы исправим.

И еще один вопрос... Насколько удобно пользоваться функциональностью окна Autorun? Все ли там понятно и удобно?

----------


## priv8v

> Насколько удобно пользоваться функциональностью окна Autorun? Все ли там понятно и удобно?


с учетом того, что у меня нет ВБА на компе и не использую проверку подписей - все равно очень удобно. даже без разнообразия цветов.

----------


## sergey ulasen

Ниже представлены изменения в новой бета-версии антируткита:

ftp://anti-virus.by/beta/Vba32arkit_beta.rar

ftp://anti-virus.by/beta/Vba32arkit_beta.zip

ftp://vba.ok.by/vba/beta/Vba32arkit_beta.rar

ftp://vba.ok.by/vba/beta/Vba32arkit_beta.zip

Vba32 AntiRootKit 3.12.3.1 beta

Как и было обещано, добавили детектирование/восстановление следующих перехватов: 

+ Поиск и восстановление перехватов адресов в таблице Shadow SSDT

+ Определение модификации и восстановление исходной таблицы экспорта (EAT) ядра

+ Поиск перехватов обработчиков IRP и FastIO

Восстановление IRP и FastIO добавлять не стали, посчитали это очень опасным.

+ Добавлена кнопка Restore All в окне KernelMode Hooks 

* Изменён алгоритм получения имён перехваченных функций  

* Улучшен механизм с отображением и восстановлением повреждённых файлов из карантина

Ну и поправили те ошибки/замечания, на которые было указано в прошлый раз:

* Доработан механизм ведения логов

* Исправлено поведение Progress Bar при сканировании системы 

Документацию также обновили.

Детектирование сплайсинга сделать не успели (хоть и было обещано), столкнулись с рядом проблем. В следующей бете (3.12.3.2 beta) планируем реализовать механизм расширенного поиска скрытых драйверов и метод, позволяющий получить дамп памяти модуля ядра.

Из известных ошибок в данной бете:

- некорректный поиск некоторых типов перехватов в Windows 2000;

- некорректное открытие файла-помощи на некоторых системах.

И первая и вторая проблема будут исправлены в 3.12.3.2 beta.

*2Синауридзе Александр*

Расшифровку по цветам дали в хелпе.

*2priv8v*

С открытием файла помощи пока еще могут быть некоторые проблемы, но в большинстве случаев он уже должен корректно открываться.

С полоской статусбара также поправили. Хоть и немного костыльно, но все равно лучше, чем было раньше.

Насчет desctop.ini у нас тут горячие споры с вирлабом  :Smiley: 

Ждем обратной связи  :Smiley: 

P.S. Некоторые трояны уже начали войну против антируткита, добавляя его в Image File Execution Options

----------


## Aleksandra

> P.S. Некоторые трояны уже начали войну против антируткита, добавляя его в Image File Execution Options


Т. е. зловред изменяет следующий ключ системного реестра?




> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[ПРИЛОЖЕНИЕ]\"Debugger" = " "


При запуске указанного приложения, вместо него запускается указанное в ключе Debugger?

----------


## sergey ulasen

> Т. е. зловред изменяет следующий ключ системного реестра?
> 
> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[ПРИЛОЖЕНИЕ]\"Debugger" = " "


Да

----------


## Aleksandra

1. Лог работы программы необходимо помещать в zip-архив. Точно также, как это делается в AVZ.

2. Не очень удобно:




> Brs_QtnFile() – копирование указанного файла в карантин, выполнится после перезагрузки;


Почему нельзя обойтись без перезагрузки, ведь перед этим была включена технология низкоуровневого доступа к файлам?

3. Скриптовый язык необходимо расширить.

----------


## sergey ulasen

> 1. Лог работы программы необходимо помещать в zip-архив. Точно также, как это делается в AVZ.


Доберемся и до этого  :Smiley:  Чуть позже.




> 2. Не очень удобно:
> 
> Почему нельзя обойтись без перезагрузки, ведь перед этим была включена технология низкоуровневого доступа к файлам?


Технологии низкоуровневого доступа к файлам пока нет. Но она уже в разработке.




> 3. Скриптовый язык необходимо расширить.


Не все сразу  :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Aleksandra

Здравствуйте, Сергей! Скажите пожалуйста как продвигается работа по усовершенствованию антируткита?

----------


## sergey ulasen

> Здравствуйте, Сергей! Скажите пожалуйста как продвигается работа по усовершенствованию антируткита?


 :Cool: 

До конца месяца выпустим бету 3.12.3.2. Счас файл помощи пишется.

----------


## sergey ulasen

Vba32 AntiRootKit 3.12.3.2 beta:

ftp://anti-virus.by/beta/Vba32arkit_beta.rar

ftp://anti-virus.by/beta/Vba32arkit_beta.zip

ftp://vba.ok.by/vba/beta/Vba32arkit_beta.rar

ftp://vba.ok.by/vba/beta/Vba32arkit_beta.zip

В данную бета-версию вошли следующие изменения:

+ Поиск и восстановление перехватов в таблице экспорта Hal.dll

+ Поиск и восстановление перехватов в таблице экспорта Ndis.sys

В предыдущей версии был реализован поиск и восстановление перехватов в EAT для Ntoskrnl.exe, сейчас его просто расширили на Hal.dll и Ndis.sys

+ Возможность установки драйвера антируткита для расширенного мониторинга модулей ядра

В меню появился новый пункт ArKit Driver, из которого можно проинсталлировать (и деинсталлировать) драйвер антируткита. Драйвер будет загружаться вместе с системой. Основное назначение данного режима - поиск скрытых модулей ядра (а в будущем и скрытых процессов).

+ Поиск модификаций (сплайсинг) и восстановление исходного кода функции KiFastCallEntry и функций таблиц SSDT, Shadow SSDT, а также функций, экспортируемых Ntoskrnl.exe, Hal.dll, Ndis.sys

Пожалуй, один из самых сложных пунктов  :Smiley:  Прежде всего из-за того, что возможны "ложняки". Мы постарались охватить все операционные системы с различными сервис-паками для тестирования. Но на различных "XP SP0" они возможны, и исправлять их совсем не хочется.

+ Возможность снятия дампов памяти модулей ядра

Полезная функциональность для быстрого анализа подозрительного модуля.

+ Возможность сохранения протокола сканирования в Zip-архив

Многие указывали на необходимость данной функции. *Aleksandra*, была настойчивее всех, за что ей огромное спасибо  :Smiley: 

+ Автоматическое обнаружение установленного комплекса VBA32 (маркер "Use AV Kernel")

Т.е. если комплекс у пользователя не установлен, попытки загрузить АВ-ядро не будет.

* Улучшен механизм обнаружения перехватов SysEnter

* Более быстрое получение списка перехватов в KernelMode

* Доработан интерфейс и исправлены некоторые ошибки (навигация в окне Autorun, маркер "Check digital signature" в дочерних окнах, отображение итогов сканирования в основном окне программы, меню Tools)

Фокус в дереве при проверки автозагрузки при навигации между пунктами теперь не теряется.

* Исправлены ошибки детектирования перехватов (в частности, на Windows 2000)

* Доработан механизм ведения логов

* Доработан файл помощи

Прошу обратить особое внимание на файл помощи.

Хочется обратить внимание на то, что функциональность совсем свежая и потому возможны падения в BSOD. Если такая беда у вас случилась, не поленитесь и пришлите нам хотя бы минидамп. Наша благодарность не будет знать границ.

О планах: в следующем релизе хотелось бы увидеть детектирование IDT-перехватов, анализ кодовых секций, поддержка Windows 7.

----------


## Гриша

> Т.е. если комплекс у пользователя не установлен, попытки загрузить АВ-ядро не будет.


Может быть попытки загрузки и нет, но в отчете "Couldn't load AV-kernel!!!" так и задумано?

----------


## sergey ulasen

> Может быть попытки загрузки и нет, но в отчете "Couldn't load AV-kernel!!!" так и задумано?


На главной морде такой записи быть не должно, а в отчете оставили, чтобы было понятно, проводилась ли проверка ядром.
...
Я тут подумал, что тут действительно нестыковка получается. Надо будет в этой части логику еще поменять.

----------


## Aleksandra

Спасибо, Сергей! Вы держите свое слово.  :Smiley:  Список изменений беты впечатляет. Я все внимательно посмотрю. Нужно будет еще в Чаво внести некоторые изменения. В разделе "Помогите!" буду подключать программу в работу (где будет возможность).

----------


## Rashevskiy

Присоединяюсь к Александре.  :Smiley: 
Функционал впечатляет, так держать... :Thumbs Up: 
Было бы неплохо реализовать функции работы с *MBR*, как это сделано, например, в *Dr.Web Shark* (аналогичная утилита, но от компании *Dr.Web*).  :Wink: 
Дальнейших успехов в работе.  :Smiley:

----------


## sergey ulasen

*2Rashevskiy*
Пока идут работы над функциональностью прямого чтения. После его реализации уже можно будет говорить и о mbr.

----------


## Rashevskiy

> *2Rashevskiy*
> Пока идут работы над функциональностью прямого чтения. После его реализации уже можно будет говорить и о mbr.


Насчет *MBR* было пожелание на будущее, надеюсь, что его учтут.  :Smiley:

----------


## Aleksandra

Сергей! Как обещала Вам, я посмотрела новую бета-версию программы. Впечатления остались самые хорошие. Спасибо.  :Smiley: 

Из того, что понравилось:

1. Общая стабильность антируткита; 
2. Драйвер антируткита для расширенного мониторинга модулей ядра грамотно инсталлируется и деинсталлируется;
3. Программа умеет генерировать случайное имя драйвера;
4. Автоматическое обнаружение установленного комплекса VBA32;   
5. Возможность сохранения протокола в архив.

Из того, что на мой взгляд необходимо доработать:

1. При установке драйвера антируткита необходимо сделать автоматическую перезагрузку ОС (с предварительным подтверждением);
2. Галочка в Create ZIP archive должна быть по-дефолту.

По скриптам:



```
Brs_Start(); 
CollectState();
Brs_QtnFile("c:\file.exe");
Brs_DelFile("c:\file.exe"); 
RebootSystem();
```

1. Удаление файла не сработало.
2. Карантин сжимать в архив с паролем для того, чтобы у пользователя была возможность его оперативно отправлять.

*p. s.* Желательно расширить скриптовый язык.

----------


## Groft

> Из того, что на мой взгляд необходимо доработать:
> 
> 1. При установке драйвера антируткита необходимо сделать автоматическую перезагрузку ОС (с предварительным подтверждением);


В принцепе логично.



> 2. Галочка в Create ZIP archive должна быть по-дефолту.


Спорный вопрос. Какие приведете аргументы? :Smiley: 



> По скриптам:
> 
> 
> 
> ```
> Brs_Start(); 
> CollectState();
> Brs_QtnFile("c:\file.exe");
> Brs_DelFile("c:\file.exe"); 
> ...


А сам файл закарантинился?



> *p. s.* Желательно расширить скриптовый язык.


Не все сразу. Всему свое время  :Smiley:

----------


## priv8v

> Цитата:
> 2. Галочка в Create ZIP archive должна быть по-дефолту.
> 
> Спорный вопрос. Какие приведете аргументы?


Итак. Для чего собираться будет лог? Скорее всего для загрузки на форум или на файлообменник. Если на форум, то нужно еще поискать форум, который будет принимать во вложения файлы в формате html, поэтому пользователю придется дополнительные финты ушами делать (архивировать лог). 
А если загрузка на файлообменник, то архив и меньше места занимает и спокойнее это как-то качать архив.




> При установке драйвера антируткита необходимо сделать автоматическую перезагрузку ОС (с предварительным подтверждением);


Предлагаю это сделать "по желанию" - с управлением этим "желанием" через параметры.

----------


## Aleksandra

> В принцепе логично.


Уж куда логичнее...




> Спорный вопрос. Какие приведете аргументы?


Мой ответ будет идентичен ответу *priv8v.* А иначе, зачем тогда все это нужно?




> А сам файл закарантинился?


Да, и эти файлы крайне желательно помещать в архив с паролем.




> Не все сразу. Всему свое время


Согласна. Если в ближайшее время будут внесены соответствующие изменения, то можно переходить к испытаниям в реальных боевых условиях.  :Smiley:

----------


## sergey ulasen

> Сергей! Как обещала Вам, я посмотрела новую бета-версию программы. Впечатления остались самые хорошие. Спасибо.


И вам спасибо!




> Из того, что на мой взгляд необходимо доработать:
> 
> 1. При установке драйвера антируткита необходимо сделать автоматическую перезагрузку ОС (с предварительным подтверждением);
> 2. Галочка в Create ZIP archive должна быть по-дефолту.


Сделаем к следующей бете.




> По скриптам:
> 
> 1. Удаление файла не сработало.
> 2. Карантин сжимать в архив с паролем для того, чтобы у пользователя была возможность его оперативно отправлять.
> 
> *p. s.* Желательно расширить скриптовый язык.


До скриптов доберемся позже.
С карантином -  не могу обещать, что мы это сделаем к следующей бете, но в одной из ближайших будем стараться.

----------


## NickM

> *Прошу обратить особое внимание на файл помощи.*


замечено, в редакторе скриптов по F1 патается найти файл *.hlp, когда из главного окна без вопросов подгружает *.chm

----------


## sergey ulasen

> замечено, в редакторе скриптов по F1 патается найти файл *.hlp, когда из главного окна без вопросов подгружает *.chm


Спасибо, повторяется.

----------


## thetoken12

По поводу встроенного командного языка есть соображение - функциям стоит давать имена не изобилующие частым переключением caps lock'a. Если описанные в примере выше имена функций из стандартного набора,то не стоит сильно увлекаться именованием функциий ( комманд) подобным образом.

----------


## NickM

замечено, в окне *Kernel Modules* если _у модуля обнаружены аномалии состояния в памяти системы, он выделяется желтым цветом (Modified Image)_ и при этом выбрать флаг *Don’t display files digitally signed*, то подозрительная(желтая) запись тоже исключается из списка, если далее нажать кнопку *Refresh* она появляется всписке

----------


## priv8v

> По поводу встроенного командного языка есть соображение - функциям стоит давать имена не изобилующие частым переключением caps lock'a. Если описанные в примере выше имена функций из стандартного набора,то не стоит сильно увлекаться именованием функциий ( комманд) подобным образом.


Да. Над этим тоже сказали, что поработают, но стоит учесть, что по шифту удобнее заглавные набирать, чем по капс-локу + язык можно сделать регистронезависимым. 
Т.е вот ХоТь ТаК пИшИ  :Smiley: 

PS: хотя, если следовать венгерской нотации...
 :Smiley:

----------


## sergey ulasen

> замечено, в окне *Kernel Modules* если _у модуля обнаружены аномалии состояния в памяти системы, он выделяется желтым цветом (Modified Image)_ и при этом выбрать флаг *Don’t display files digitally signed*, то подозрительная(желтая) запись тоже исключается из списка, если далее нажать кнопку *Refresh* она появляется всписке


Подозреваю, что такое возможно. Спасибо, будем проверять и править.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## NickM

с Моей точки зрения удобства пользования, в *Tools-->Drivers and services*  при удалении, снятии/установке check'a после всех изменений в реестре и на диске,происходит процесс пересбора информации данного раздела, а ожидается отображение данного действия в гриде без пересбора, т.к. данная функция повешана на кнопку *Refresh*

----------


## Groft

> с Моей точки зрения удобства пользования, в *Tools-->Drivers and services*  при удалении, снятии/установке check'a после всех изменений в реестре и на диске,происходит процесс пересбора информации данного раздела, а ожидается отображение данного действия в гриде без пересбора, т.к. данная функция повешана на кнопку *Refresh*


В одной из следующих версий будет исправлено

----------


## sergey ulasen

> замечено, в окне *Kernel Modules* если _у модуля обнаружены аномалии состояния в памяти системы, он выделяется желтым цветом (Modified Image)_ и при этом выбрать флаг *Don’t display files digitally signed*, то подозрительная(желтая) запись тоже исключается из списка, если далее нажать кнопку *Refresh* она появляется всписке


Что-то не получается воспроизвести...
Файлик, на котором срабатывает *Don’t display files digitally signed*, подписан ЭЦП или нет?

Может каких скриншотиков накидаете нам на beta[at]anti-virus.by?

----------


## NickM

> Что-то не получается воспроизвести...
> Файлик, на котором срабатывает *Don’t display files digitally signed*, подписан ЭЦП или нет?
> 
> Может каких скриншотиков накидаете нам на beta[at]anti-virus.by?


как накидать на http://beta.anti-virus.by/ Я непонял, выложу на обменник.
1рис. - Cкан при выборе данной тулзы(Kernel Modules) 
2рис. - После установлен чек Don't display files digitally signed
3рис. - Нажата кнопка Refresh при установленном выше чеке
как видно на втором риснуке, после выбора чека, желтая строка исчезает из грида, но при нажатии Refresh она объявляется

h..p://ifolder.ru/12456581

----------


## priv8v

> как накидать на beta.anti-virus.by Я непонял, выложу на обменник.


[at] нужно заменить на собаку, а не на точку.

----------


## sergey ulasen

> как накидать на http://beta.anti-virus.by/ Я непонял, выложу на обменник.
> 1рис. - Cкан при выборе данной тулзы(Kernel Modules) 
> 2рис. - После установлен чек Don't display files digitally signed
> 3рис. - Нажата кнопка Refresh при установленном выше чеке
> как видно на втором риснуке, после выбора чека, желтая строка исчезает из грида, но при нажатии Refresh она объявляется
> 
> h..p://ifolder.ru/12456581


Спасибо, забрал.

----------


## sergey ulasen

Vba32 AntiRootKit 3.12.3.3 beta:

ftp://anti-virus.by/beta/Vba32arkit_beta.rar

ftp://anti-virus.by/beta/Vba32arkit_beta.zip

ftp://vba.ok.by/vba/beta/Vba32arkit_beta.rar

ftp://vba.ok.by/vba/beta/Vba32arkit_beta.zip

+ Поиск и восстановление перехватов в таблице дескрипторов прерываний (IDT)

+ Анализ и восстановление перехватов в секциях кода ядра (.text и PAGE)

+ Просмотр и удаление нотификаторов режима ядра (создание потоков, процессов; загрузка исполняемых модулей; операции с реестром)

+ Добавлена поддержка Windows Vista SP2 и Windows 7 RC build 7100

* Устранены недочеты в поведении окон "Autorun" и "Drivers and Services (from Registry)"

Как многие (*priv8v*, *NickM* и др.) здесь подметили, окна управления автозагрузкой и службами "страдали" от постоянных рефрешей. Исправили, теперь пользоваться этими окнами стало намного удобнее. 

* Автоматическое выравнивание столбцов при отображении результатов сканирования

* Переработано поведение окна настроек

* Улучшен алгоритм разбора пути к скрытым драйверам

* Опция "Create ZIP archive" окна "Logging State" установлена по умолчанию

* Автоматическая перезагрузка при установке драйвера расширенного мониторинга

Спасибо *Alexandra* за два последних пункта  :Smiley: 

* Исправлена ошибка с отображением окна помощи в дочерних окнах

А это была ошибка, обнаруженная *NickM*. За что ему тоже огромное спасибо.

* Доработан файл помощи

О планах: в следующей бета-версии будем реализовывать прямое чтение.

----------


## Aleksandra

Спасибо, Сергей! На выходных все посмотрю. Что со скриптами? Brs_DelFile отработает?

----------


## sergey ulasen

> Что со скриптами? Brs_DelFile отработает?


Brs_DelFile() отработает. Но никаких изменений в скрипты не вносилось. Серьезно за скрипты возьмемся только после того, как окончательно разберемся с прямым чтением/удалением.

----------


## NickM

Здравствуйте. При проверке системы подозрительный драйвер попал в список _4.List of infected(suspicios) drivers_, задался вопросом отыскать, на диске его не нашел, ни через поиск, ни визуально. Решил зайти в _Drivers and services (from Registry)_, его там не нашел, может его и не должно быть там, ведь из названия пункта ясно что инфа из реестра, но Я не об этом. Поиск в окне _Drivers and services (from Registry)_ Я осуществлял по полю _Image Path_ и Меня с толку сбил способ сортировки применяемый в гриде, где оказывается \SYSTEM32\drivers, \system32\DRIVERS и \SYSTEM32\DRIVERS\, разные пути. Может приводить к одному регистру, думаю время затраченное на поиск информации при использовании сортировки по полю сократится в разы, а иначе зачем такая сортировка вообще нужна?

скрин: http://ifolder.ru/13152251

может не в тему, не подскажете по поводу этого файла, как на него выйти?

----------


## Aleksandra

> может не в тему, не подскажете по поводу этого файла, как на него выйти?


По-моему самая избитая тема этого форума. Не нужно искать этот драйвер. Лучше поищите многочисленные ответы здесь на VI.  :Smiley:

----------


## sergey ulasen

> При проверке системы подозрительный драйвер попал в список 4.List of infected(suspicios) drivers, задался вопросом отыскать, на диске его не нашел, ни через поиск, ни визуально. Решил зайти в Drivers and services (from Registry), его там не нашел, может его и не должно быть там, ведь из названия пункта ясно что инфа из реестра,


Это, скорее всего, драйвер от Alcohol 120.




> Поиск в окне _Drivers and services (from Registry)_ Я осуществлял по полю _Image Path_ и Меня с толку сбил способ сортировки применяемый в гриде, где оказывается \SYSTEM32\drivers, \system32\DRIVERS и \SYSTEM32\DRIVERS\, разные пути. Может приводить к одному регистру, думаю время затраченное на поиск информации при использовании сортировки по полю сократится в разы, а иначе зачем такая сортировка вообще нужна?


Данные в это поле берутся прямо из реестра. И вставляются туда (в поле) в том самом виде, как они там (в реестре) представлены. Без всякой доп. обработки. В принципе, можно и к одному регистру приводить для удобства. Подумаем, спасибо.

Еще просьба к вам. Сделайте, пожалуйста, скриншот главного окна антируткита (такой как был на прошлом скриншоте, только ничем не закрытый), а то мне кажется, что там есть кое какие проблемы. Ну и отчет тогда еще за компанию. Спасибо.

----------


## pig

> Данные в это поле берутся прямо из реестра. И вставляются туда (в поле) в том самом виде, как они там (в реестре) представлены. Без всякой доп. обработки. В принципе, можно и к одному регистру приводить для удобства.


Как вариант - регистронезависимая сортировка.

----------


## NickM

* Исправлена ошибка с отображением окна помощи в дочерних окнах

после выполнения *File -> Logging state* , а попросту говоря создания лога, невозможно достучаться до *Help'a*! ни по F1 ни через меню *?*

А также не срабатывает *Cancel* при создании лога! в других разделах отрабатывает на ура.

----------


## sergey ulasen

> * Исправлена ошибка с отображением окна помощи в дочерних окнах
> 
> после выполнения *File -> Logging state* , а попросту говоря создания лога, невозможно достучаться до *Help'a*! ни по F1 ни через меню *?*
> 
> А также не срабатывает *Cancel* при создании лога! в других разделах отрабатывает на ура.


Спасибо! Уже проверяем.

Ваш скриншот и логи я получил.

----------


## sergey ulasen

При просмотре скриншота от *NickM* вспомнил, что не сказал одну важную вещь.
Если у вас в системе был проинсталлирован AntiRootKit Driver (ArKit Driver->Install AntiRootKit Driver) от версии 3.12.3.2, и вы запустили версию 3.12.3.3, в окне Kernel-Mode Notificators будет отображен неопределенный нотификатор. На самом деле он наш. Кроме того, если вы хотите и далее работать с драйвером AntiRootKit Driver, вам нужно опять его проинсталлировать. Старый драйвер автоматически заменится на новый. В документации эту тонкость отобразим позже.

Сейчас полным ходом идет работа над прямым чтением. Уже есть первые результаты. Ниже скриншот окна, в котором будут отображаться скрытые файлы:

----------


## NickM

по скриптам:
хотелось бы наличие горячих клавиш, таких как Ctrl+N (очистить текст скрипта), Ctrl+S (сохранить скрипт), Ctrl+O (открыть скрипт) и например Ctrl+R (выполнить), иначе при отсутствии мышки невозможно активировать кнопки, ведь нету возможности Tab'ом переключаться по контролам, например набрав скрипт невозможно покинуть поле ввода. может еще Ctrl+A (выделить все), ну это наверное лишнее?

а также заметил, что если править, набирать скрипт в текстовом редакторе  FAR'а после скрипты загружаются в виде корейских иероглифов.  :Shocked:

----------


## sergey ulasen

> по скриптам:
> хотелось бы наличие горячих клавиш, таких как Ctrl+N (очистить текст скрипта), Ctrl+S (сохранить скрипт), Ctrl+O (открыть скрипт) и например Ctrl+R (выполнить), иначе при отсутствии мышки невозможно активировать кнопки, ведь нету возможности Tab'ом переключаться по контролам, например набрав скрипт невозможно покинуть поле ввода. может еще Ctrl+A (выделить все), ну это наверное лишнее?
> 
> а также заметил, что если править, набирать скрипт в текстовом редакторе  FAR'а после скрипты загружаются в виде корейских иероглифов.


Когда доберемся до скриптов, учтем ваши пожелания.

Сейчас скрипты сохраняются в Юникоде (UTF-16).

----------


## Aleksandra

В Чаво               http://virusinfo.info/showthread.php?t=37840 обновила информацию по антируткиту.

----------


## NickM

по скриптам2:
не критически, но все же, если набить в редакторе пробелы или просто цифры и нажать *Run script*  выводится сообщение _Script was ran succesfull!!!_, сиди гадай какие действия выполнились, а также добавлю, думаю неплохо вдальнейшем использовать для сохранения скрипта *.txt по умолчанию, ну если конечно появится возможность редактировать скрипты в текстовом редакторе (блокнот, внутренние редакторы шеллов и т.п.).

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## sergey ulasen

> по скриптам2:
> не критически, но все же, если набить в редакторе пробелы или просто цифры и нажать *Run script*  выводится сообщение _Script was ran succesfull!!!_, сиди гадай какие действия выполнились,


С этим понятно. Тут все намного сложнее, чем кажется на первый взгляд... Когда доберемся, будем думать, что делать.




> а также добавлю, думаю неплохо вдальнейшем использовать для сохранения скрипта *.txt по умолчанию, ну если конечно появится возможность редактировать скрипты в текстовом редакторе (блокнот, внутренние редакторы шеллов и т.п.).


Да, это точно. Юникод тут неудобен совсем.

----------


## NickM

> Если у вас в системе был проинсталлирован AntiRootKit Driver (ArKit Driver->Install AntiRootKit Driver) от версии 3.12.3.2, и вы запустили версию 3.12.3.3, в окне Kernel-Mode Notificators будет отображен неопределенный нотификатор. На самом деле он наш. Кроме того, если вы хотите и далее работать с драйвером AntiRootKit Driver, вам нужно опять его проинсталлировать. Старый драйвер автоматически заменится на новый.


Не заменяется, неопределенный индификатор не исчезает.Только путем удаления в окне Kernel-Mode Notificators 

а также замечено: 
в разделе *Drivers and services* после снятия галки _Don't display drivers and services digitally signed_ список не дополняется драйверами с подписью, обновление происходит только после нажатия Refresh. Думаю поведение данного чекера должно быть как в тулзе *Kernel Modules*

*Добавлено через 7 минут*

в тулзе *Process List, Autorun* таже история, т.е. Я хочу сказать надо настроить поведение этого чекера для всех разделов одинаково, если обновлять так обновлять во всех тулзах.

также отмечу отсутствие возможности по Tab выбирать контролы в окне Карантина

----------


## sergey ulasen

> Не заменяется, неопределенный индификатор не исчезает.Только путем удаления в окне Kernel-Mode Notificators


Неопределенный нотификатор исчезнет только после перезагрузки машины. По шагам:

1. Инсталлируете драйвер (Install AntiRootKit Driver) версии 3.12.3.2
2. Перегружаете машину
3. Появляется нотификатор, выделенный серым цветом (он - наш)
4. Запускаете антируткит версии 3.12.3.3
5. В нем виден неопределенный нотификатор (это драйвер от старой версии)
6. Перегружаете машину
7. Неопределенный нотификатор - исчез
8. По желанию можно проинсталлировать новый драйвер




> а также замечено: 
> в разделе *Drivers and services* после снятия галки _Don't display drivers and services digitally signed_ список не дополняется драйверами с подписью, обновление происходит только после нажатия Refresh. Думаю поведение данного чекера должно быть как в тулзе *Kernel Modules*
> 
> *Добавлено через 7 минут*
> 
> в тулзе *Process List, Autorun* таже история, т.е. Я хочу сказать надо настроить поведение этого чекера для всех разделов одинаково, если обновлять так обновлять во всех тулзах.


Уже в багтрекере  :Smiley: 




> также отмечу отсутствие возможности по Tab выбирать контролы в окне Карантина


Работа с клавиатурой пока вообще нигде не реализована.

----------


## sergey ulasen

Vba32 AntiRootKit 3.12.3.3 beta:

ftp://anti-virus.by/beta/Vba32arkit_beta.rar

ftp://anti-virus.by/beta/Vba32arkit_beta.zip

ftp://vba.ok.by/vba/beta/Vba32arkit_beta.rar

ftp://vba.ok.by/vba/beta/Vba32arkit_beta.zip

* Файл помощи переведен на английский язык

Английский хелп можно вызвать, открыв файл Vba32ArkitEN.chm.

----------


## Aleksandra

> * Файл помощи переведен на английский язык


Very good translation.




> Английский хелп можно вызвать, открыв файл Vba32ArkitEN.chm.


Problems. After collecting the logs, help file doesn't open.

----------


## sergey ulasen

> Problems. After collecting the logs, help file doesn't open.


В альфе уже исправлено.

----------


## sergey ulasen

Vba32 AntiRootKit 3.12.3.3 beta:

ftp://anti-virus.by/beta/Vba32arkit_beta.rar

ftp://anti-virus.by/beta/Vba32arkit_beta.zip

ftp://vba.ok.by/vba/beta/Vba32arkit_beta.rar

ftp://vba.ok.by/vba/beta/Vba32arkit_beta.zip

+ Добавлена поддержка Windows 7

Скорее всего, последнее серьезное изменение в данную ветку разработки. Если никаких серьезных проблем не обнаружится, выпустим релиз антируткита 3.12.4.0. В течение ближайшего месяца должны с данной задачей справиться.

----------


## RedLord

x64 системы поддерживаются?

----------


## sergey ulasen

> x64 системы поддерживаются?


Нет.

----------


## sergey ulasen

Антируткит версии 3.12.4.0 вышел в релиз:

http://anti-virus.by/products/utilities/76.html

http://anti-virus.by/en/vba32arkit.html

В связи с этим, хотелось бы сказать огромное спасибо всем, кто помогал нам в бета-тестировании данной утилиты. Все Ваши замечания не остались незамеченными. И даже если мы что-то не успели реализовать к данной версии утилиты, мы реализуем это в последующих версиях. Как и обещалось, данная утилита бесплатна, и любой желающий сможет скачать ее по приведенным ссылкам.

Также скажу, что мы не останавливаемся на достигнутом, и сейчас полным ходом идет разработка следующей бета-версии Vba32 AntiRootkit, которой будет присвоена версия 3.12.5.0 beta. Выход в бета-тестирование планируется ближе к Новому Году.

Спасибо!

----------


## Surfer

А TDSS видит ?

----------


## sergey ulasen

> А TDSS видит ?


TDSS видит:

http://virusinfo.info/attachment.php...1&d=1258448362

Но только как скрытый драйвер в модулях ядра и нотификаторы, установленные этим драйвером.

Следующая версия будет обнаруживать скрытые файлы TDSS в файловой системе. Также сейчас идет работа над детектом TDL в антирутките. Причина в том, что сейчас идет работа над прямым чтением, а без него полноценный детект данных руткитов невозможен.

----------


## Alex_Goodwin

> TDSS видит


 Что и третью версию тоже?

----------


## Kuzz

> Что и третью версию тоже?





> Также сейчас идет работа над детектом TDL в антирутките


Как бы намекает, что нет))

----------


## sergey ulasen

> Что и третью версию тоже?





> Как бы намекает, что нет))


Да, все верно. Текущий релиз антируткита не способен увидеть TDL. Руткит слишком технологичен, что бы быть им замеченым. Но и разработка не стоит на месте. Следующая бета уже не будет ничем уступать другим ведущим антируткитам в детекте данного типа руткитов.

Скрытые IRP-обработчики:

Вложение 180136

Измененный драйвер atapi.sys и скрытый модуль в списке модулей ядра:

Вложение 180137

Нотификатор:

Вложение 180138

Лог антируткита:

Вложение 180139

Сейчас лечение данного трояна возможно с помощью Vba32 Rescue.

----------


## sergey ulasen

> Также скажу, что мы не останавливаемся на достигнутом, и сейчас полным ходом идет разработка следующей бета-версии Vba32 AntiRootkit, которой будет присвоена версия 3.12.5.0 beta. Выход в бета-тестирование планируется ближе к Новому Году.


К Новому Году, к сожалению, не получилось  :Angry: 
Забыл умножить на 1.5  :Smiley: 

Представляем Вашему вниманию следующую бета-версию нашего антируткита *Vba32 AntiRootKit 3.12.5.0 beta*:

ftp://anti-virus.by/beta/Vba32arkit_beta.rar

ftp://anti-virus.by/beta/Vba32arkit_beta.zip

ftp://vba.ok.by/vba/beta/Vba32arkit_beta.rar

ftp://vba.ok.by/vba/beta/Vba32arkit_beta.zip

+ Добавлен механизм "прямого" доступа к файловой системе. Реализован разбор файловых систем NTFS и FAT 12/16/32. Низкоуровневая верификация файлов осуществляется во всех существующих проверках

Т.е. реализован так называемый механизм "прямого" чтения/записи диска.
Все проверяемые в антирутките объекты также проверяются и данным механизмом.

+ Окно Low-Level Disk Access Tool. Поддерживает операции низкоуровневого просмотра, копирования, удаления (с вытеснением из кэша файловой системы). Работает со скрытыми, заблокированными и измененными файлами. Поддерживает файловые потоки и символьные ссылки

Добавлено окно эксплорера, в котором можно просматривать, копировать, удалять файлы и файловые потоки. Добавлен сканер, который обнаруживает скрытые, заблокированные, измененные файлы и файловые потоки.

+ Опция Vba32 Defender препятствует загрузке новых исполняемых файлов, а также драйверов в память во время работы антируткита

Данная опция по умолчанию отключена.

+ Улучшен механизм поиска скрытых процессов (поиск хэндлов в csrss.exe, анализ PspCidTable и т.д.)

Анализ некоторых методов сокрытия процессов возможен без режима расширенного мониторинга.

+ Улучшен механизм получения списка модулей ядра, добавлен анализ стека драйверов
+ Проверка в памяти аттрибутов секций ядерных модулей
+ Поиск скрытых IRP обработчиков

Благодаря этому детектится TDL3.

* Возможность исключать модули режима пользователя из списка модулей ядра

* Изменён формат вывода информации о процессах (добавлен EPROCESS, ShortName)

* Улучшен механизм взаимодействия драйвера антируткита с GUI

* Переработан механизм поиска перехватов ядра. Проверяются таблицы экспорта и кодовые секции всех модулей ядра

До сих пор проверялись только ntoskrnl.exe, hal.dll, win32k.sys, ndis.sys.

* Доработан файл помощи на русском языке

Как всегда прошу обратить внимание на полноту файла-помощи и высказать свои замечания.

Из того, что не отмечено в readme:

* Изменен формат файла-отчета, генерируемого по команде *Logging State*

Информация в файле теперь представляется в более удобном виде и более информативна. Добавлены java-scripts.
В окне *Logging State* добавился пункт *File System*, который сканирует диск прямым чтением. Достаточно долгий процесс, потому его можно отключать, когда делается отчет.

Известные проблемы:

_* нестабильность главного окна и функциональности, доступной по кнопке Start_

Иногда возникает ситуация, когда информация в окне отображается некорректно. В качестве решения рекомендую пользоваться либо окнами, доступными через меню *Tools*, либо html-логом, доступным через *Logging State*.

_* плохое юзабилити_

Нет возможности пользоваться клавиатурой, плохая эргономика.

_* неинформативные, вводящие в заблуждение полосы прогрессбара_

Какие-то они совсем корявые получились.

Планы на 3.12.5.1 beta:

* отказаться от главного окна в его теперешнем представлении

Уже есть хорошие идеи, как обыграть эту тему. Я думаю, что всем должно понравиться.

* улучшить юзабилити

Этим вопросом уже плотно занимаемся.

* увеличить список проверяемых типов автозагрузки

Тоже уже работаем над этим.

* подключить проверку модулей процессов

* и многое другое

Замечания, предложения, дампы после BSOD  :Smiley: , интересные файлы отчетов и сэмплы, на которых есть проблемы, а также любая информация, которая поможет сделать продукт лучше, приветствуется.
Спасибо  :Cool:

----------


## priv8v

Однако, серьезная работа проделана. Те изменения от версии к версии, что были раньше с этим изменением и рядом не лежали. Поздравляю!!!
Серьезный уровень.

----------


## sergey ulasen

> + Улучшен механизм поиска скрытых процессов (поиск хэндлов в csrss.exe, анализ PspCidTable и т.д.)


Специалисты сайта http://www.ntinternals.org/ перетестировали свежую версию антируткита (3.12.5.0 beta) в тесте на поиск скрытых процессов (http://www.ntinternals.org/process_detection_test.php). Результат 6 из 12. Предыдущая версия детектировала только 1 из 12.

Работа в этом направлении продолжается.

----------


## Синауридзе Александр

> Работа в этом направлении продолжается.


Это хорошо, что работа не стоит на месте. А когда релиз?

----------


## sergey ulasen

> Это хорошо, что работа не стоит на месте. А когда релиз?


Релиз еще нескоро. В планах выпустить несколько бета-версий с серьезными изменениями.
Но все бета-версии будем стараться делать достаточно стабильными и надежными, чтобы ими можно было пользоваться безо всяких ограничений.

Доказательство:  :Smiley: 

02.03.2010 Vba32 AntiRootkit 3.12.5.0 beta

* Улучшена стабильность работы программы

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## thetoken12

При открытии меню tools->autorun и перемещении по дереву вниз или вверх происходит проверка на правильную подпись и т. д.
Может стоит это делать однажды при открытии диалогого окна, а не постоянно при перемещении по дереву?

----------


## sergey ulasen

> При открытии меню tools->autorun и перемещении по дереву вниз или вверх происходит проверка на правильную подпись и т. д.
> Может стоит это делать однажды при открытии диалогого окна, а не постоянно при перемещении по дереву?


Спасибо.
Идея прикрутить кэш к автозагрузке уже озвучивалась.
Не могу обещать, что мы это сделаем в ближайшем будущем, но обязательно рассмотрим возможность реализации немного позже.

----------


## thetoken12

Судя ветке, посвещенной руткиту tdl3 на форуме sysinternals, данная версия антируткита способна обнаружить и удалить TDL3.273.
Это хорошая новость.

----------


## sergey ulasen

> Судя ветке, посвещенной руткиту tdl3 на форуме sysinternals, данная версия антируткита способна обнаружить и удалить TDL3.273.
> Это хорошая новость.


Ну как-то так, только функциональности лечения TDL в антируткит не закладывалось.

05.03.2010 Vba32 AntiRootkit 3.12.5.0 beta

* Улучшена стабильность работы программы

----------


## sergey ulasen

Перевыпустили бета версию Vba32 Antirootkit. Все изменения направлены на повышение стабильности работы продукта. Исправлены баги, приводившие к BSOD, и исправлена ошибка, в результате которой нельзя было получить список модулей ядра на некоторых системах.

----------


## Erekle

> Все изменения направлены на повышение стабильности работы


Спасибо.
Можно, чтобы сделать и немного более быстрым?

----------


## Aleksandra

> Можно, чтобы сделать и немного более быстрым?


По моему для антируткита программа работает даже очень быстро.

*Добавлено через 7 часов 11 минут*

Вы в Logging State опцию File Systems отключаете?

----------


## Гриша

Тут в быту нашел проблему антируткита VBA, стабильное воспроизведение как на релизе так и на последней бетке, есть дамп памяти и собственно "виновник", куда отсылать ?  :Smiley:

----------


## sergey ulasen

> Тут в быту нашел проблему антируткита VBA, стабильное воспроизведение как на релизе так и на последней бетке, есть дамп памяти и собственно "виновник", куда отсылать ?


Виновника можно на [email protected], а дамп в архиве (если позволяет интернет, то kernel mode dump - он хорошо жмется) на файлообменник и ссылку мне в личку.

----------


## Гриша

> Виновника можно на [email protected], а дамп в архиве (если позволяет интернет, то kernel mode dump - он хорошо жмется) на файлообменник и ссылку мне в личку.


Завтра ждите  :Smiley:

----------


## Гриша

Сегодня не отправил пока, надо еще проверить момент, но тут технические неполадки, как разберусь-пришлю, если будет что-нибудь интересное  :Smiley:

----------


## senyak

Поиск файлов не помешал бы. Запустил сканирование, нажал Cancel - а он все равно сканирует. Почему? Нажимал не раз

----------


## NickM

замечено: для вновь созданных файлов неправильно отображаются атрибуты в Tools-->Process List, а также относительно чего определяется время создания/модификации/доступа файлов? у меня разница -6(минус шесть) часов, в настройках стоит +5(Екатеринбург)
скрины на [email protected]

вдогонку, заметил когда скрины рассматривал, в том же процесс лист, если перевести фокус на др. окно(приложение), теряется подсвеченная(выделеная) строка ,

----------


## senyak

У кого-то есть проблемы со звуком после "Logging State"? У меня на двух компах после сканирования пропал звук. Помогает перезагрузка

----------


## sergey ulasen

> Поиск файлов не помешал бы. Запустил сканирование, нажал Cancel - а он все равно сканирует. Почему? Нажимал не раз


Cancel должен работать... обратим на это внимание еще раз. Не буду обещать, что прикрутим поиск в ближайшем будущем, но в качестве пожелания запишу.




> замечено: для вновь созданных файлов неправильно отображаются атрибуты в Tools-->Process List, а также относительно чего определяется время создания/модификации/доступа файлов? у меня разница -6(минус шесть) часов, в настройках стоит +5(Екатеринбург)
> скрины на [email protected]


1. Для вновь созданных файлов вы все верно подметили. Информация берётся из низкоуровневого доступа к диску. При создании файла он сначала создаётся в кэше (в это время на диске лежит абы-что, что собственно и отображается), а только потом сбрасывается на диск. Так что это нормально.

2. Отображается время взятое из структур NTFS по GMT.




> вдогонку, заметил когда скрины рассматривал, в том же процесс лист, если перевести фокус на др. окно(приложение), теряется подсвеченная(выделеная) строка ,


Посмотрим, можно ли с этим что-то сделать.




> У кого-то есть проблемы со звуком после "Logging State"? У меня на двух компах после сканирования пропал звук. Помогает перезагрузка


Да, у некоторых проблемы были (на XP). Подтверждаю. Может конфигурацией оборудования и софта поделитесь?

----------


## senyak

> Cancel должен работать... обратим на это внимание еще раз.


На двух компах при нажатии все равно сканирует




> Да, у некоторых проблемы были (на XP). Подтверждаю. Может конфигурацией оборудования и софта поделитесь?


Мы общаемся с Groft. Понимногу подбираемся к истине. Но если надо - скину

----------


## sergey ulasen

> На двух компах при нажатии все равно сканирует.


Странно. Будем разбираться и решать проблему.




> Мы общаемся с Groft. Понимногу подбираемся к истине. Но если надо - скину


Можно и с Грофтом  :Smiley:

----------


## NickM

> 2. Отображается время взятое из структур NTFS по GMT.


время хранится в GMT? может глюк при переводе к оному?

----------


## sergey ulasen

> у меня разница -6(минус шесть) часов, в настройках стоит +5(Екатеринбург)





> время хранится в GMT? может глюк при переводе к оному?


Стрелки-то мы переводим два раза в год на летнее/зимнее время. Отсюда и разница в один час образуется при переходе на летнее время.

----------


## senyak

*sergey ulasen*, а везде, где пропадал звук - стоял AIMP? Незнаете?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## MedvedD

У меня аимпа нет, но kmixer.sys работать перестал - звуковые устройтва из системы пропали.

----------


## Groft

> Понимногу подбираемся к истине.


Подобрались... Данная проблема существует в версии 3.12.5.0, но по информации закрытой группы тестеров, проблема отсутствует в альфа-версии 3.12.5.1  :Smiley:

----------


## NickM

приметил в правом верхнем углу главного окна, чекбокс VBA32 Defender, какова его функциональность? отмечу что после его включения хэлп антируткита недоступен, а также, что странно, блокируется переход по ссылкам из майл.ру агента ( 5.6 3278 )

добавлено: вопрос по defender снимается, заглянул в справку  :Roll Eyes (Sarcastic): 

добавлено2: в "low-level disk access tool", не выдержан стиль - отсутствует привычный флаг сортировки колонок (бледная серая стрелочка) ,

----------


## sergey ulasen

> *sergey ulasen*, а везде, где пропадал звук - стоял AIMP? Незнаете?





> У меня аимпа нет, но kmixer.sys работать перестал - звуковые устройтва из системы пропали.





> Подобрались... Данная проблема существует в версии 3.12.5.0, но по информации закрытой группы тестеров, проблема отсутствует в альфа-версии 3.12.5.1


Как я люблю такие  :Censored:  ошибки...
Скорее всего, в текущей версии драйвер что-то рушит в ядре, и возникают проблемы со звуком.
Если с выходом следующей версии подобная проблема будет опять появляться, сразу сообщайте.




> добавлено: вопрос по defender снимается, заглянул в справку


Для тех, кто не любит смотреть в справку, я, на всякий случай, процитирую справку здесь:

"Флаг Vba32 Defender блокирует создание новых процессов и загрузку новых драйверов после своей активации. Данный режим по умолчанию отключен."

Ну и это прородитель самозащиты антируткита.

З.Ы.: Для тех, кто еще не видел, здесь я выложил скриншоты главного окна антируткита следующей версии.

*Добавлено через 6 минут*




> добавлено2: в "low-level disk access tool", не выдержан стиль - отсутствует привычный флаг сортировки колонок (бледная серая стрелочка) ,


Да, прошляпили... Спасибо.

----------


## NickM

> Для тех, кто не любит смотреть в справку


да, именно там и прочитал, по ссылкам, интересно при их открытии майл-агент создает процессы? например др. программы спокойно открывают в запущенном браузере странички

*Добавлено через 23 минуты*

добавлено:



> Флаг Vba32 Defender блокирует создание новых процессов и загрузку новых драйверов после своей активации.


а каким способом происходит блокировка? тут попробывал,поэкспериментировал, открыл "process explorer" и стал запускать программы, и что интересно, ms word, ms excel, adobe reader успели отметится в списке процессов, а потом исчезли, такое чувство что defender просто их прибивает при открытии, интересно за это время, они могут производить какие-либо действия?

----------


## sergey ulasen

> да, именно там и прочитал, по ссылкам, интересно при их открытии майл-агент создает процессы? например др. программы спокойно открывают в запущенном браузере странички


Честно говоря, не знаю. Возможно, он не открывает странички в уже работающем процессе, а пытается запустить новый. В связи с чем обламывается. Это все надо исследовать.
На самом деле, эта опция достаточна опасна, т.к. может нарушить работу системы. Потому выполнять какие-то посторонние действия (кроме анализа и лечения) на компьютере с загруженным антируткитом и включенной опцией Vba32 Defender не рекомендуется.

*Добавлено через 12 минут*




> интересно за это время, они могут производить какие-либо действия?


Специально делалось так, чтобы не успели  :Wink:

----------


## NickM

> Специально делалось так, чтобы не успели



ясно, а на практике как? 
опять же поэкспериментировал, "process monitor" говорит что успевают, 

может лишняя информация, и вообще не по делу, но

"23:13:46,1362980","EXCEL.EXE","4972","Process Start","","SUCCESS","Parent PID: 3580" 

23:13:46,6282035","EXCEL.EXE","4972","Process Exit","","SUCCESS","Exit Status: 0, User Time: 0.0000000 seconds, Kernel Time: 0.0312002 seconds

----------


## sergey ulasen

> ясно, а на практике как? 
> опять же поэкспериментировал, "process monitor" говорит что успевают, 
> 
> может лишняя информация, и вообще не по делу, но
> 
> "23:13:46,1362980","EXCEL.EXE","4972","Process Start","","SUCCESS","Parent PID: 3580" 
> 
> 23:13:46,6282035","EXCEL.EXE","4972","Process Exit","","SUCCESS","Exit Status: 0, User Time: 0.0000000 seconds, Kernel Time: 0.0312002 seconds


Нормальный документированный способ реализовать дефендер средствами ОС появился только в висте с первым сервис паком. До этого используются другие методы, процесс успевает стартовать в ядре, но в пользовательском режиме выполнить ничего не успевает и этого более, чем достаточно.

От подробностей воздержусь.

----------


## zhuzzzhu

Скачала, кликнула экзешник и вылетела в синий экран. Перезагрузка. Снова кликнула экзешник - и снова синий экран. Третий раз пробовать не стала. 

Vista Home Premium (32), установлен Nod32 business edition.

----------


## Seredj

Нужно ли устанавливать Driver, ведь сканирование запускатся и без него?
При установке драйвера система просто не загружается при перезагрузке.
Windows XP SP3, NOD32 4.0, Outpost Firewall Pro 2009.

*Добавлено через 41 минуту*

и потом, выдала утилита список неподписанных процессов.
а как распознать, есть ли среди них ентот руткит? или это только tool для специалистов?

----------


## Groft

> Скачала, кликнула экзешник и вылетела в синий экран. Перезагрузка. Снова кликнула экзешник - и снова синий экран. Третий раз пробовать не стала. 
> 
> Vista Home Premium (32), установлен Nod32 business edition.


Для расследования нужен дамп памяти. Он должен был образоваться после вылета и лежать по стандартному пути: С:\WINDOWS\Minidump . Адрес нашей почты, куда непосредственно нужно высылать этот дамп, следующий: beta :@: anti-virus.by




> Нужно ли устанавливать Driver, ведь сканирование запускатся и без него?


Драйвер расширенного мониторинга служит для получения более подробной информации. Устанавливать не обязательно.



> При установке драйвера система просто не загружается при перезагрузке.
> Windows XP SP3, NOD32 4.0, Outpost Firewall Pro 2009.


Скорее всего, образовался дамп. Следуйте вышеописанным действиям  :Smiley: 




> и потом, выдала утилита список неподписанных процессов.
> а как распознать, есть ли среди них ентот руткит? или это только tool для специалистов?


Да, эта *утилита предназначена только для специалистов и работников службы технической поддержки*. Если у Вас есть подозрения на наличие заражения, рекомендуем обратиться в раздел "ПОМОГИТЕ"

P.S. Прошу обратить внимание, что статус AntiRootkit'a - *бета*, со всеми вытекающими последствиями (бсоды, ошибки, как в графической, так и функциональной частях). Просим высылать все образовавшиеся дампы на почту или на файлообменники (если большой размер), конфигурацию установленного ПО (антивирусы, фаерволы, хипсы) и другую информацию, которая поможет в исследовании ошибки.

Благодарим за понимание  :Smiley:

----------


## sergey ulasen

Сегодня в бета-тестирование выходит следующая версия утилиты *Vba32 AntiRootkit 3.12.5.1*.
Ссылки для скачивания:

http://www.anti-virus.by/en/download_arkit_beta.php?

ftp://anti-virus.by/beta/Vba32arkit_beta.7z

ftp://anti-virus.by/beta/Vba32arkit_beta.rar

ftp://anti-virus.by/beta/Vba32arkit_beta.zip

http://vba.datacenter.by/beta/Vba32arkit_beta.7z

http://vba.datacenter.by/beta/Vba32arkit_beta.rar

http://vba.datacenter.by/beta/Vba32arkit_beta.zip

В нее вошли следующие изменения:

+ Полностью переработано главное окно антируткита

Как и обещал при выходе прошлой версии, в этой итерации мы серьезно переделали главное окно:

Вложение 236889

Теперь отчет в html-формате формируется прямо в главном окне, из которого его позже можно сохранить в файл.

+ Улучшено юзабилити (добавлены контекстные меню, горячие клавиши, переход между элементами по Tab и т.п.)

Теперь с антируткитом работать можно без мыши. Еще, конечно, остались некоторые неудобства, но мы их исправим в ближайшем будущем.

+ Увеличено количество проверяемых мест автозагрузки
  (Quick Launch, Service Modules, Explorer, Task Scheduler, Image File Execution Options)

Проверяемых веток автозагрузки стало гораздо больше, но еще есть куда стремиться  :Smiley: 

+ Добавлен просмотр и возможность удаления нотификаторов типа KeBugCheck

+ Доработан отчёт: добавлена навигация, время сканирования, состояние Vba32 Defender'а. Прерванное исследование, а также ошибки в процессе анализа, корректно отображаются в логе

Отчет тоже стал выглядеть намного приятнее и структурированнее.

+ Добавлена страничка бета-версии Vba32 AntiRootkit на сайт компании

По ссылке http://www.anti-virus.by/en/beta.shtml появилась страничка, посвященная бета-версии антируткита. Там же размещена кнопка, по которой антируткит выдается со случайным именем.

* Улучшено кэширование проверяемых объектов при исследовании системы

Проверка теперь работает заметно быстрее.

* Улучшен механизм поиска скрытых процессов

* Функционал модулей Vba32ar.dll и Vba32arch.dll перенесён в .exe файл, антируткит пакуется UPX'ом

Т.е. собрали всю функциональность в один модуль vba32arkit.exe. При всех плюсах, появились и минусы: под Windows 2000 необходимо наличие библиотеки gdiplus.dll.

* Доработан файл помощи на русском языке

- Временно исключены карантин и скрипты

Мы не отказываемся от них навсегда, просто на сегодняшний день у нас и у пользователей к прошлой реализации много нареканий:

1. неудобный язык;
2. слабые возможности;
3. низкое юзабилити.

Потому на пару итераций мы вообще от него отказались, а в одном из ближайших выпусков его переработаем.

В планах на 3.12.5.2: более плотная работа с ring3 - определение модулей, потоков и т.д.

P.S. Спасибо всем бета-тестерам, которые тратили свое время на обнаружение ошибок, генерацию ценных идей и определение пути развития продукта. Надеюсь, что наша совместная работа и в будущем будет не менее продуктивной.

----------


## senyak

Сейчас покрутим. Главное, чтобы не было пропадание звука.

----------


## K_Mikhail

> Сейчас покрутим. Главное, чтобы не было пропадание звука.


 Воспроизводится. Не могу понять только в какой момент.  :Sad:

----------


## senyak

Опять пропадает? Странно, но я крутил раньше и пропаданий не было. Ща глянем, еще сканируется

----------


## XiTri

? А куда надо нажать чтоб звук пропал?
Тож хочу протестить.

----------


## sergey ulasen

> ? А куда надо нажать чтоб звук пропал?


Проблема воспроизводится нестабильно

----------


## XiTri

У меня на ХР полностью пропатченой не воспроизвелась, а я старался вовсю
Действительно бэта даже глюки и те нестабильны

----------


## senyak

У меня тоже не пропал звук

----------


## MedvedD

Пропал звук.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## sergey ulasen

> Пропал звук.


А модель звуковой карточки и версию ОС узнать можно?

----------


## MedvedD

Realtek ALC883, WinXP SP3 все патчи.

----------


## NickM

> + Полностью переработано главное окно антируткита


да, так удобней, когда лог по все пунктам в одном окне, но ..., не оч. удобно когда начинает формироваться лог и Ты начинаешь его потихоньку просматривать(по пунктам) то след. завершившийся пункт сбрасывает Тебя в самое начало лога, думаю надо подправить, или запретить навигацию по оному до окончания процесса сканирования, а также что-то на моей висте не работают ссылки "Content" навигации в логе,  :Sad:  
и еще на домашнем компе после нажатия кнопки "Start", Vba32Arkit рвется на mail.mail-inet.com

----------


## sergey ulasen

> а также что-то на моей висте не работают ссылки "Content" навигации в логе,


"Content" работает только после сохранения лога в файл. В окне данная фича не работает.




> и еще на домашнем компе после нажатия кнопки "Start", Vba32Arkit рвется на mail.mail-inet.com


Сетевая активность связана с проверкой ЭЦП у файлов.

*Добавлено через 6 часов 41 минуту*

Alex из NT Internals перетестировал последнюю версию антируткита в тесте на поиск скрытых процессов.

----------


## Nerimash

> Мы, наконец-то, основательно взялись за свой антируткит и начали его очень активную разработку. Ниже адреса, по которым можно скачать сам продукт:
> 
> ftp://anti-virus.by/beta/Vba32arkit_beta.rar
> 
> ftp://anti-virus.by/beta/Vba32arkit_beta.zip
> 
> Сразу же привожу режимы его работы (чтобы не возникало никакой путаницы):
> 
> _Vba32 AntiRootkit может работать в трех режимах (с поддержкой антивирусного ядра Vba32 и без него). 
> ...


Добрый день, Сергей.
Скажите пожалуйста, если ли справочные материали по скриптовому языку антируткита?

----------


## Oyster

> если ли справочные материали по скриптовому языку антируткита?


В файле справки есть раздел "Дополнительные возможности" - "Выполнение скриптов", всего пять команд. Не забудьте, что скрипт надо сохранять в unicode. Есть параметр командной строки для автоматического выполнения скрипта.

----------


## Nerimash

> В файле справки есть раздел "Дополнительные возможности" - "Выполнение скриптов", всего пять команд. Не забудьте, что скрипт надо сохранять в unicode. Есть параметр командной строки для автоматического выполнения скрипта.


нету такого раздела в последней бете и скриптов тоже нету (

----------


## sergey ulasen

> - Временно исключены карантин и скрипты
> 
> Мы не отказываемся от них навсегда, просто на сегодняшний день у нас и у пользователей к прошлой реализации много нареканий:
> 
> 1. неудобный язык;
> 2. слабые возможности;
> 3. низкое юзабилити.
> 
> Потому на пару итераций мы вообще от него отказались, а в одном из ближайших выпусков его переработаем.


Т.е. скрипты есть только в текущей релизной версии. В бета-версии их нет.

----------


## Nerimash

дайте ссылку на хелп в котором есть документация по скриптах

----------


## sergey ulasen

> дайте ссылку на хелп в котором есть документация по скриптах


Здесь лежит релизная (3.12.4.0) версия: http://www.anti-virus.by/products/utilities/76.html

----------


## sergey ulasen

Привет!

Делюсь с комьюнити следующей бета-версией антируткита *Vba32 AntiRootkit 3.12.5.2 beta build 168*.
Ссылки для скачивания:

http://anti-virus.by/en/beta.shtml

ftp://anti-virus.by/beta/vba32arkit_beta.7z

ftp://anti-virus.by/beta/vba32arkit_beta.rar

ftp://anti-virus.by/beta/vba32arkit_beta.zip

Данный скоуп получился очень насыщенным. В него вошло большое количество изменений, которыми я с вами с радостью поделюсь:

+ Окно Process List заменено на Process Manager. Значительно увеличено количество выводимой информации

+ Вывод списка аномалий для каждого процесса

+ Операции над процессами (Terminate, Terminate and Delete File, Suspend/Resume, Dump)

+ Вывод информации о модулях (в том числе скрытых)

+ Операции над модулями процессов (Unmap, Dump)

+ Вывод информации о потоках (в том числе скрытых), детектирование аномальных потоков

+ Операции над потоками, в т.ч. и над системными (Terminate, Suspend/Resume)

+ Вывод информации об открытых дескрипторах (хэндлах)

Добавили возможность полноценной работы с *процессами*:

- завершение процесса;
- блокирование (suspend)/разблокирование (resume) процесса;
- снятие дампа памяти с процесса.

Список процессов можно выводить в древовидной и списковой формах. По процессам можно выводить большое количество различной полезной информации - начиная с PID, заканчивая адресами EPROCESS, PEB и др. Весь вывод можно опционально настроить и выбрать только необходимые данные.

Определение скрытых процессов и поиск различных аномалий в процессах также осуществляется.

Вложение 303266

Работа с *потоками*:

- завершение потока;
- блокирование (suspend)/разблокирование (resume) потока.

Опционально можно задать вывод большого количества различной подробной информации о потоках.

Определение скрытых потоков и поиск различных аномалий в потоках также осуществляется.

Вложение 303267

Работа с *модулями*:

- выгрузка модуля из процесса;
- снятие дампа памяти с модуля.

Определение скрытых модулей и различных аномалий.

Вложение 303268

Также выводится информация об открытых дескрипторах процессов и возможна расшифровка обнаруженных аномалий.

+ Вывод информации о выгруженных модулях ядра

Данные модули помечаются как *Unloaded module*.

+ Детектирование IAT перехватов в модулях ядра

Еще один часто используемый способ внедрения.

+ Добавлен просмотр и возможность удаления нотификаторов типа Lego, SeFileSystem, LastChanceShutdown,   Shutdown, BugCheckReason, FsRegistrationChange

Тоже может быть полезно.

+ Окно Network Tool (разбор файлов hosts и lmhost, поиск постоянных маршрутов в routes, LSP-провайдеры)

Работа с LSP-провайдерами перенесена в отдельное окно. Туда же добавлен вывод информации из файла Hosts и таблицы постоянных маршрутов. Файл Hosts можно изменять, удаляя из него "лишние" строки.

+ Возможность работы на выделенном рабочем столе

Еще один очень полезный функционал в свете большого количества различных блокировщиков.

Внимание: данный функционал по-умолчанию запускается с опцией *Vba32 Defender*, которая блокирует работу многих приложений.

Вложение 303269

+ Работа антируткита в Safe Mode

Теперь обеспечивается полноценная работа антируткита и в этом режиме.

+ Детектирование отозванных сертификатов при проверке цифровой подписи

Появление Stuxnet показало, что доверять цифровым подписям безоговорочно нельзя. Потому был добавлен вот такой режим. Но понятно, что его полноценная работа возможна или на обновленной Windows (с установленными обновлениями сертификатов) либо с доступом в Интернет.

Вложение 303270

+ Увеличено количество проверяемых мест автозагрузки (Print Provider, Control Panel objects, Known DLLs, URLSearch IE, Toolbar IE, IE Extensions и др.)

Уже покрыто наверное большинство мест реестра, используемых для загрузки троянов. Если знаете что-то еще - делитесь  :Smiley: 

+ Добавлена поддержка Windows 7 SP1

Тут все понятно.

* Улучшен механизм получения списка модулей ядра, а также увеличено количество выявляемых в них аномалий

Да, теперь в этом окне намного больше всего полезного. И больше аномалий удается найти и отобразить.

* Значительно увеличена скорость проверки прямым чтением

Порядка 2-х раз удалось увеличить скорость алгоритма "прямого чтения".

* Исправлен BSOD при разборе файловой системы NTFS с сильно фрагментированной таблицей MFT

Старая ошибка, с которой долгое время не удавалось разобраться.

* Опция Don't display items digitally signed переименована в Don't display trusted items, также изменена логика работы (в соответствии с новым названием)

* В соответствии с новым функционалом доработан файл отчёта

Отчет теперь намного больше, чем был раньше. И анализировать его стало труднее. Потому в нем появились различные опции, которые позволяют скрывать часть "ненужной" информации.

Вложение 303271

* Улучшено кэширование проверяемых объектов при исследовании системы

Добавили еще оптимизации, что ускорило работу антируткита.

* Доработан файл помощи на русском языке

Конечно хэлп еще далек от идеала, но тем не менее полезной информации в нем стало больше.

Известные проблемы:

- окно *Process Manager* иногда зависает. Что приводит к необходимости перезагрузки системы. С проблемой сейчас разбираемся. Если вы нам предоставите еще больше дампов памяти зависшего процесса, то это ускорит исправление проблемы;

- запуск антируткита с выделенного рабочего стола иногда приводит к зависанию системы. Это связано с тем, что по-умолчанию запускается режим *Vba32 Defender*, который начинает блокировать работу драйверов на некоторых видеокартах от NVIDIA. Проблема достаточно серьезная и быстро не решается. Потому без лишней необходимости данный режим пока использовать не советую;

- проблема с пропаданием звука скорее всего связана с режимом *Vba32 Defender*, который блокирует загрузку драйвера kmixer.sys. В будущем решим и эту проблему.

Для поддержки данного продукта был заведен специальный ящик, на который можно слать свои пожелания, дампы и т.д. - *[email protected]* .

Если вспомню еще что-то важное - допишу новым постом.

P.S.: спасибо всем причастным, кто участвовал в предварительном тестировании данной беты (*K_Mikhail* на этом форуме).

----------


## sergey ulasen

Alex с NT Internals протестировал новый функционал определения скрытых модулей в процессах в своем тесте Hidden Dynamic-Link Library Detection Test. Результаты более чем хорошие  :Smiley:

----------


## sergey ulasen

C сегодняшнего дня на наших серверах доступна следующая версия программы *Vba32 AntiRootkit 3.12.5.3 beta build 222*:

http://anti-virus.by/en/beta.shtml

Итак, по порядку об изменениях.

+ Вывод информации о драйверах-минифильтрах файловой системы (FileSystem Minifilters)

Добавилось дополнительное окно (и пункт в логе соответственно) *FileSystem Minifilters*, в котором можно посмотреть список драйверов минифильтров файловой системы.

+ Операции над минифильтрами файловой системы (Unload, Unregister)

Минифильтр можно выгрузить двумя способами: *Unload* и *Unregister*. Результат обоих функций должен быть одинаков, только алгоритмы разные. И *Unregister* менее безопасный в плане попадания на BSOD.

+ Вывод информации о стеке устройств ядра (Kernel Device Stack)

Добавилось еще одно окно *Kernel Device Stack* (и пункт лога), которое отображает стеки устройств ядра. Благодаря этому можно проанализировать в какой из стеков встраивается вредонос и предположить для чего он это делает.

Вложение 309314

К примеру, вирус встраивается в стек файловой системы - возможно сокрытие данных на диске и т.д.

Пока никаких действий над объектами в стеках не реализовано, но запланировано на будущее.

+ Добавлен просмотр и возможность удаления нотификаторов типа FsRtlRegisterFileSystemFilterCallbacks

Еще один тип нотификаторов.

+ Поиск перехватов DriverInit, DriverStartIo, DriverUnload

Еще один тип аномалий, который позволит детектировать некоторые модификации TDL.

+ Поиск и восстановление перехватов функций объектов (ObjectTypes)
+ Детектирование подмены типа объекта для драйверов и девайсов (ObjectType hijack)

Пока еще не сильно распространенный тип перехватов (в виду его сложности), но, тем не менее, его уже во всю стали использовать не только руткиты, но и защитный софт.

+ Операция закрытия открытого дескриптора (Close Handle)

Особенно полезная функция, которая позволяет закрывать открытые дескрипторы в процессах.

Те, кто плотно работал с антируткитом, сталкивались с тем, что функционал Delete File не всегда может справиться со своими обязанностями. Из-за этого зачастую приходиться прибегать к функционалу Wipe File, что менее удобно из-за необходимости перезагрузки. Все это связано с тем, что Delete File не пытается закрывать открытые дескрипторы на указанный файл перед удалением.

Так вот, сейчас это можно сделать вручную, поискав этот дескриптор в соответствующем списке. А в будущем мы реализуем и автоматическое их закрытие.

+ Вывод статуса Terminating при закрытии окна Process Manager

Закрытие этого окна теперь выглядит чуть более наглядно.

* Исправлена ошибка с неработающими чекбоксами в FireFox

Приносим извинения всем пользователся FF, которых мы на целых полтора месяца оставили без поддержки  :Beer: 

* Перенесен фокус на кнопку "НЕТ" при выборе режима загрузки с/без выделенного рабочего стола

В связи с имеющимися проблемами при работе с выделеннго рабочего стола этот режим было решено не делать умолчательным. В будущем, конечно, проблема будет решаться более радикальным способом.

* Исправлен вылет на заражённых Trojan.Win32.VBKrypt системах

* Улучшена стабильность работы программы

Очень большое внимание было уделено стабильности работы программы. Мы попытались исправить большинство известных нам ошибок, которые приводили в синим экранам или зависаниям приложения.

* Доработан файл помощи на русском языке

Как видите, данной бетой мы попытались решить следущее:

1) закрыть те проблемы, на которые нарвались пользователи после выхода 3.12.5.2, - это в первую очередь стабильность работы;
2) добавить функционал, который будет полезен при поиске вредоносных программ и их лечении, - это анализ стека устройств; дополнительные нотификаторы; перехваты ObjectTypes и DriverInit, DriverStartIo, DriverUnload; закрытие открытых дескрипторов;
3) ну и добавили немного более таких академических вещей, которые интересны только узким специалистам, - анализ минифильтров файловой системы.

Пользуйтесь! Если есть проблемы со стабильностью - жалуйтесь! А если есть что предложить - высказывайтесь!

Напоминаю мыло, по которому можно с нами связаться - *[email protected]*.

З.Ы. Спасибо всем, кто присылал сообщения о найденных проблемах, и отдельное спасибо *K_Mikhail* и *Nick1978*.

----------


## Словен

Минут 10 уже не могу зайти на сайт anti-virus.by. ФФ пишет, что адрес не найден, Хром-что не может соединиться. Что это?

----------


## Nick1978

это судя по всему проблемы хостера

----------


## sergey ulasen

> это судя по всему проблемы хостера


Из сегодняшних новостей:

"Уже более суток не работают сайты Белтелекома и более 1000 сайтов, расположенных в их дата-центре. Предположительно, проблемы начались после программного апгрейда, а попытка устранить ошибку привела к еще более плачевным последствиям. Никакой дополнительной информации больше нет."

----------


## Groft

Последствия инцидента в ЦОД «Белтелекома» будут устранены в течение суток

----------


## sergey ulasen

В связи с тем, что наш сайт временно недоступен, залил антируткит на файлообменник:
http://rapidshare.com/files/20245217...arkit_beta.zip .

sha1: ca68dbcf75b3197dab405dd7ce3c2ecfcc10159c
md5: 9d337f77179b422ba0b376870299d014

----------


## sergey ulasen

Привет! Давненько сюда ничего не писал, потому исправляюсь и аттачу скриншотик того, что нам удалось добиться за это время.

Вложение 317754

На скриншоте - детект подмененного MBR для TDL4  и набор доступных функций.

Еще немного потестируем и выпустим в паблик.

----------


## Iron Monk

> На скриншоте - детект подмененного MBR


В свете последних событий с Ddox.ci - *???*

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## sergey ulasen

> В свете последних событий с Ddox.ci - *???*


Это вот этот Trojan.Win32.Ddox.ci что ли ?

Я его сам не смотрел, но, судя по описанию, к МБР он никакого отношения не имеет. Заурядный троян, ничего интересного. Должен детектиться на ура как модуль с списке процессов и как ссылка в автозагрузке.

Или я не прав ?

----------


## Iron Monk

> Или я не прав ?


Я не буду упираться - Почитайте... + еще три десятка постов...

----------


## sergey ulasen

> Я не буду упираться - Почитайте... + еще три десятка постов...


Спасибо, буду разбираться.

----------


## Dmitry Varshavsky

Здравствуйте!

Представляю вашему вниманию новую версию Vba32 AntiRootkit 3.12.5.4 beta build 293 !

Ссылки для скачивания прежние:

http://anti-virus.by/en/beta.shtml

ftp://anti-virus.by/beta/vba32arkit_beta.7z

ftp://anti-virus.by/beta/vba32arkit_beta.zip

*Что нового:*

+ Работа с дисковыми томами на низком уровне. Поддержка MBR и GPT разметки. Поддержка динамических томов
  Microsoft/Veritas ( Simple, Spanned, Striped, Mirrored и Raid-5 )

Динамические тома Microsoft/Veritas на самом деле встречаются довольно редко, но их поддержка была важным шагом в развитии библиотеки прямого чтения нашего продукта. Насколько я знаю, на сегодняшний день только наш антируткит реализовывает данный функционал. 

+ Анализ загрузочных секторов физических дисков. Детект, просмотр, дамп и восстановление нестандартных и 
  подменённых загрузчиков. Сохранение в логе дампа загрузочных секторов основного жёсткого
 диска 

Эта фича будет намного более интересна общественности. Позволяет детектить и обезвреживать большинство буткитов, таких как TDL4/Sinowal/Alipop/Rmnet и т.п. Тут следует отметить, что данную бету мы выпускаем с немного "устаревшим" кодом, который использовался ещё для выявления TDL3, поэтому на некоторых системах, возможно, будет отсутствовать детект. Количество таких систем минимально относительно общего числа ( как показало наше внутреннее тестирование ), однако оно не нулевое. Кроме того, мы планируем в скором времени выпустить следующую бету с нативной поддержкой IDE/AHCI котроллеров.

+ Поиск и восстановление аномальных записей в таблице GDT

Относительно редкая аномалия. Используется в основном для исполнения привелигированных инструкций в R3.

+ Увеличено количество проверяемых мест автозагрузки
  (LSA Providers, SubSystems\Windows и др.)

Это уже стало традицией. С каждым новым билдом увеличивается количество проверяемых мест автозагрузки.

* Улучшен механизм поиска и восстановления перехватов IDT и SysEnter

К сожалению, подовляющее большинство антируткитов не берут в расчёт значение селектора GDT ( считают смещение нулевым ) и региста IA32_SYSENTER_CS для рассчёта реального адреса обработчика IDT/SysEnter. До текущего билда, признаюсь, и мы этим грешили. Исправляемся  :Smiley: 

* Безопасное закрытие защищёщнных хэндлов ( CloseHandle )

Серьёзная недоработка. Исправили.

* Вывод информации о правилах стандартного файервола OS Windows

* Улучшена стабильность работы программы

* Доработан файл помощи на русском языке


Постараюсь сразу ответить на возможные вопросы по поводу последних веяний, типа ddox. Текущий функционал не позволяет детектировать данный зловред напрямую. Однако он хорошо идентифицируется по создаваемым аномалиям ( см. аттач ). Кроме того, теперь в файле отчёта содержится дамп загрузочных секторов основного жестого диска, в который попадает код вредоносного драйвера, что также может помочь идентифицировать данный здовред. В будущих версиях, возможно, добавим сигнатурный детект/эвристику и в антируткит.

И как всегда, с радостью ждём ваших замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - *[email protected]*

----------

*Aleksandra*,  Groft,  *olejah*,  *sergey ulasen*

----------


## sergey ulasen

И как всегда большое спасибо нашим бета-тестерам - *K_Mikhail* и *Nick1978*  :Smiley: 

*Dmitry Varshavsky* - наш технический специалист, который на протяжении последних нескольких лет работает над разработкой антируткита. Теперь он будет более активно участвовать в развитии бета-тестирования продукта. Прошу любить и жаловать.

----------

*olejah*

----------


## olejah

> Прошу любить и жаловать.


 Может тогда и звание присвоить для наглядности?  :Smiley:

----------

*sergey ulasen*

----------


## sergey ulasen

> Может тогда и звание присвоить для наглядности?


Да, надо как-то обозначить  :Smiley:

----------

*olejah*

----------


## olejah

Сделал, группа External Expert. Если лучше поставить в статусе название вендора, скажите, сделаем.

----------

*Dmitry Varshavsky*,  *sergey ulasen*

----------


## Ber

Здравствуйте. В описании вашего антируткита содержится информация о том, что он может взаимодействовать с любым антивирусом. Что это значит? ВБА находит руткит и сообщает о нём антивиросу? Или он самостоятельно уничтожает руткит? Планируете ли вы всегда делать ВБА бесплатным? Когда появится 64х битная версия? Есть ли независимые тесты вашего антируткита? В чём отличие вашего антируткита от GMER?

----------


## sergey ulasen

Привет!




> Здравствуйте. В описании вашего антируткита содержится информация о том, что он может взаимодействовать с любым антивирусом. Что это значит? ВБА находит руткит и сообщает о нём антивиросу?


Это всего лишь обозначает, что продукт не является резидентным и может быть запущен во время работы других программ безопасности. И это не нарушит стабильность работы системы.




> Или он самостоятельно уничтожает руткит?


Самостоятельно антируткит ничего не уничтожает. У него и цели такой нет. Удалить может оператор вручную. А в будущем планируется реализовать поддержку скриптового движка для автоматизации процесса удаления.




> Планируете ли вы делать ВБА бесплатным?


Сам антивирус - вряд ли. Но есть бесплатные утилиты типа Vba32 AntiRootkit, Vba32 Rescue, Vba32 Check.




> Когда появится 64х битная версия?


Не знаю.




> Есть ли независимые тесты вашего антируткита?


Есть. Поищите на www.anti-malware.ru.




> В чём отличие вашего антируткита от GMER?


Уверен, что вся реализованная в антирутките функциональность опережает аналогичную в остановившемся в своем развитии GMER'е на сто шагов. Это и отсутствие ложняков, и список поддерживаемых операционок, и стабильность, и наглядность того же лога и т.д.
Но пока антируткиту не хватает детекта скрытых веток реестра, хуков в ринг3 и скриптового языка. Но тем не менее имеющегося функционала с лихвой хватает для обнаружения большинства аномалий и соответственно руткитов/троянов.

----------


## Ber

Спасибо за ответ. Идёт ли работа над разработкой 64-х битной версиии? Планируете ли делать утилиты для ВБА платными, в том числе антируткит?
Можно подробнее об автоматизации процесса удаления руткита. Я, к примеру, не продвинутый пользователь и боюсь напортачить при удалении шпионской программы.

----------


## sergey ulasen

> Спасибо за ответ.


Пожалуйста!




> Идёт ли работа над разработкой 64-х битной версиии?


Скажем так, некоторые модули антируткита разрабатываются таким образом, чтобы в будущем их можно было с наименьшими потерями портировать под 64-х битную платформу.
Сам же 64-х битный антируткит пока не разрабатывается.




> Планируете ли делать утилиты для ВБА платными, в том числе антируткит?


Таких планов на данный момент нет.




> Можно подробнее об автоматизации процесса удаления руткита. Я, к примеру, не продвинутый пользователь и боюсь напортачить при удалении шпионской программы.


Для этого и нужна поддержка скриптового языка, которого сейчас в продукте нет.

P.S. Если вы боитесь напортачить, то лучше обратиться в форум Помогите.

----------


## Ber

А как будет выглядеть автоматизированный процесс удаления антируткита? ВБА Антируткит будет сам находить и удалять скрытые процессы?

----------


## sergey ulasen

> А как будет выглядеть автоматизированный процесс удаления антируткита? ВБА Антируткит будет сам находить и удалять скрытые процессы?


Посмотрите в любую из тем здесь http://virusinfo.info/forumdisplay.php?f=46. Примерно также это должно выглядеть и для антируткита.

Выглядит это примерно так:

1) Пользователь запускает приложение, которым генерирует файл-отчет;
2) Пользователь отправляет файл-отчет в службу тех. поддержки;
3) Инженер тех. поддержки на основании данных из файла-отчета составляет скрипт;
4) Инженер тех. поддержки отправляет скрипт пользователю;
5) Пользователь выполняет скрипт при помощи приложения.

----------


## Dmitry Varshavsky

Здравствуйте!

Представляю вашему вниманию Vba32 AntiRootkit 3.12.5.5 beta build 425 !

Ссылки для скачивания прежние:

http://anti-virus.by/en/beta.shtml

ftp://anti-virus.by/beta/vba32arkit_beta.7z

ftp://anti-virus.by/beta/vba32arkit_beta.zip

Что нового:

+ Работа с IDE и AHCI контроллерами жёсткого диска на низком уровне.

Основной вектор развития антируткита на данный момент. Непосредственная работа с железом даёт практически 100% гарантию того, что прочитаны реальные данных, хранящиеся на диске вне зависимости от типа заражения. Обратная сторона медали - совместимость. Если c AHCI контроллерами удалось разобраться практически полностью, то, как ни странно, с простым и "древним" IDE возникли проблемы. Дело в том, что с развитием технологий, таких как NCQ например, каждый производитель немного по-своему стал "расширять" стандарт. Документации по данной проприетарной теме, естественно, нет. Из известных проблем - мёртвое зависание антируткита на некоторых машинах с nForce-4, причём зависания повторяются только с установленными драйверами от NVIDIA ( которые непосредственно реализуют "новый" функциоанал, с дефолтными драйверами проблем нет ). Если у вас проблемы с запуском антируткита ( либо система виснет намертво, падает в BSOD ), задайте ключ коммандной строки */nodmsa* и код прямого доступа к контроллеру/ам будет деактивирован.

+ Vba32 Defender: добавлен интерактивный режим, чёрный и белый списки, подсказки пользователю. Возможность стартовать приложения на выледенном рабочем столе

Значительно расширили функционал Defender'а.

+ Реализована базовая самозащита.

Позволяет противостоять последним версиям ZeroAccess aka Max++, Necurs/Cridex. И не только.

+ Возможность извлекать девайсы из стека устройств ( DetachDevice )

Полезная возможность. Например, при лечении Necurs

+ Поиск скрытых драйверов по MZ-PE заголовкам в системном пуле ( на Windows Vista и выше )

Функционал реализован для систем Vista и выше, т.к. на более ранних были выявлены ложные срабатывания.

+ Добавлен просмотр и возможность удаления нотификаторов ObCallbacks

Актуально для систем на Windows Vista SP1 и более новых.

+ Опция Restore MBR and force reboot

Более безопасно, чем "Restore MBR and force reset"

+ Вывод MD5/SHA1 дайджестов проверенных файлов

Довольно удобная вещь для поиска образцов на том же VirusTotal.

+ Возможность скрывать драйверы/сервисы с пустым ImagePath

+ поддержка Windows 8 Developer Preview

* Исправлена проблема с невыгрузкой драйвера антируткита, а также пропажей звука на некоторых системах.

* Улучшена стабильность работы программы

* Доработан файл помощи на русском языке

Как всегда с радостью ждём замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - arkit[at]anti-virus.by Это позволит сделать продукт лучше 

P.S. Планирую постепенно начинать выкладывать инструкции по лечению конкретных заражений с помощью Vba32 AntiRootkit, например, такие:
http://anti-virus.by/en/doc/Vba32%20...0vs%20TDL2.pdf
http://anti-virus.by/en/doc/Vba32%20...0vs%20TDL4.pdf

----------

*olejah*

----------


## Oyster

> Представляю вашему вниманию новую версию Vba32 AntiRootkit 3.12.5.4 beta build 293 !
> ...
> с радостью ждём ваших замечаний/предложений/дампов


Запустил антируткит, согласился с работой на Dedicated desktop, нажал кнопку Start. Во время анализа системы компьютер запустил заставку, я пошевелил мышку, но вернулся не в рабочий стол антируткита, а в пустой экран без значков, панели задач и прочего. Подождал, но они не отрисовались. Нажал Ctrl-Alt-Del, кратковременно появились и исчезли главное окно антируткита с каким-то сообщением на его фоне (не успел прочитать), снова попал на пустой экран. Дальше Ctrl-Alt-Del не помогали, пришлось перезагружаться кнопкой питания. Если это имеет значение, то операционка XP Home Edition SP3.
Из мелочей - у меня профиль пользователя лежит на отдельном дисковом разделе, который примонтирован как папка и не имеет буквы диска. Программы, запускаемые из папок профиля, антируткиту не нравятся, пишет про скрытые модули. С учётом того, что некоторые зловреды создают свои скрытые разделы, даже не знаю, считать это багом или фичей антируткита. 20111127_103130.png

----------


## Oyster

Предлагаю заменить название команды "Wipe File" на что-нибудь вроде "Fill file with zeros" или "Empty file". Слово wipe часто ассоциируется с надёжным удалением, здесь же перезапись именно без удаления.

----------


## Dmitry Varshavsky

*Oyster*, давайте разбираться по-порядку:
1. Какую заставку и как запускали ?
2. Изначально это была фича - т.к. если у пользователя есть скрытый раздел, то он про него знает, и всё ок тогда. а если нет - то первое, что бросится в глаза. Но ещё подумаю..
3. Wipe он изначально был wipe'ом, уже как несколько лет  :Smiley:  Вроде никого в заблуждение не вводило, функционал в хелпе описан + насколько я помню, в том же rku есть опция wipe, которая работает точно так же.

----------


## Oyster

> *Oyster*
> 1. Какую заставку и как запускали ?


Стандартная заставка с названием "Windows XP", запустилась из-за того, что я 10 минут не нажимал кнопки и не трогал мышку.



> 2. Изначально это была фича - т.к. если у пользователя есть скрытый раздел, то он про него знает, и всё ок тогда. а если нет - то первое, что бросится в глаза. Но ещё подумаю..


Ситуация экзотическая, можно оставить как есть.



> 3. Wipe он изначально был wipe'ом, уже как несколько лет  Вроде никого в заблуждение не вводило, функционал в хелпе описан + насколько я помню, в том же rku есть опция wipe, которая работает точно так же.


Применять антируткит в боевых условиях мне почти не приходилось, ограничивался поиском внедрений в процессы. Узнал об этой команде из инструкций по удалению TDL

----------


## Dmitry Varshavsky

Здравствуйте!

Представляю вашему вниманию Vba32 AntiRootkit 3.12.5.6 beta build 493 !

Внимание! Ссылки для скачивания немного изменились ( подробнее ниже ):

http://anti-virus.by/en/beta.shtml

ftp://anti-virus.by/pub/beta/vba32arkit_beta.zip ( обычная версия, ~4 Mb )

ftp://anti-virus.by/pub/beta/vba32arkit_full_beta.zip ( полная версия с антивирусным ядром и базами, ~100 Mb )

Список изменений относительно версии 3.12.5.5:

+ Анализ загрузочных секторов логических дисков ( только NTFS ). Детект, просмотр, дамп и восстановление 
нестандартных и подменённых загрузчиков. Сохранение в логе дампа загрузочных секторов основного раздела 

Позволяет детектировать/лечить Cidox/Carberp. Обратите внимание, некоторые "кряки" для Windows модифицируют VBR - антируткит их детектирует как нестандартные и после восстановления ваша "активация" теряется.

+ Возможность использовать антивирусное ядро VBA32 для проверки подменённых, залоченных файлов, а также для 
проверки загрузочных секторов ( MBR & VBR )

Значительно расширили интерфейс взаимодействия антируткита с антивирусным ядром. Теперь антируткит доступен для скачивания в двух вариантах - обычном и полном. В полном варианте вместе с антируткитом поставляются антивирусное ядро и актуальные базы ( архив пересобирается ежедневно ).

+ Опция Force Delete

Позволяет удалять файлы, открытые с эксклюзивным доступом / залоченные с помощью ф-и LockFile. Для модулей процессов доступна оцпия - "Unmap in all processes and force delete"

* Расширена функциональность сканера в Low-Level Disk Access Tool

Добавлена возможность проверки загрузочных разделов и системной директрории. Функционал будет продолжать расширяться. 

* Улучшена стабильность работы модуля прямого чтения

Решены проблемы с чипсетами nForce, модуль прямого чтения ведёт себя намного более стабильно. Пока не идеально ( ключ /nodmsa по-прежнему доступен ), но мы к этому вплотную приблизились  

* Улучшена общая стабильность работы программы

Исправлены возможные вылеты в BSOD на некоторых вариантах MAX++, исправлены ошибки в детекте некоторых версий Sinowal'ов.

* Доработан файл отчета

* Доработан файл помощи на русском языке


С радостью ждём замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - arkit[at]anti-virus.by Это позволит сделать продукт лучше !

----------

Groft,  tar

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Groft

> Стандартная заставка с названием "Windows XP", запустилась из-за того, что я 10 минут не нажимал кнопки и не трогал мышку.


На последнем 493 билде не воспроизвелось. Просьба проверить у себя.

----------


## Erekle

Давно не обновлял. Глюков не было, разве что менеджер процессов не захотел закрываться сразу, через минуту только. Спасибо, очень хороший инструмент!

----------


## Oyster

> На последнем 493 билде не воспроизвелось. Просьба проверить у себя.


При первом запуске через пару минут формирования лога компьютер перезагрузился. Дамп отправил по электронной почте. При втором и третьем запусках баг воспроизвёлся немного иначе - скринсейвер не запустился, но чистый рабочий стол и невозврат в окно антируткита были. Компьютер реагировал на CapsLock и NumLock, при нажатии на Ctrl-Alt-Del появилось и исчезло окно антируткита, успел заметить, что было диалоговое окно с вопросом, разрешить или нет запуститься программе. В первый раз это был Google Updater от Google Earth, во второй раз не успел прочитать. На Ctrl-Alt-Del компьютер реагирует только один раз, последующие нажатия не показывают окно антируткита. При коротком нажатии на кнопку Power операционка предупреждает, что выполняются программы, но подтверждение выключения не приводит к самому выключению, приходится выключать жёстко.
Если нужны данные по аппаратной части, то всё это на нетбуке Acer Aspire One 150 Bb.

----------


## Dmitry Varshavsky

*Oyster*, дамп получил, посмотрел. Попали на довольно редкую ситуацию, думаю, одну из тысячи - баг присутствует давно и не связан с прямым чтением. Предположительно исправлено - фикс попадёт в ближайшую сборку.
С остальным будем разбираться.

*Добавлено через 3 часа 6 минут*




> Давно не обновлял. Глюков не было, разве что менеджер процессов не захотел закрываться сразу, через минуту только. Спасибо, очень хороший инструмент!


Спасибо за фидбек  :Smiley:  Действительно, менеджер процессов в антирутките - очень тяжёлая вещь. Из-за того, что поиск скрытых .dll осуществляется тотальным пересмотром адресных пространств всех процессов. Операция эта долгая, а интерфейса для остановки поначалу не было предусмотрено, поэтому и окно закрывается с заметной задержкой. "Проблема" известная и обязательно будет исправлена.

----------


## Dmitry Varshavsky

Обновили билд, с сегодняшнего дня доступна для скачивания версия 3.12.5.6 build *500* !


*Changelog:*


* Улучшена стабильность Vba32 Defender


* Улучшена стабильность работы модуля прямого чтения


* Исправлены незначительные ошибки в реализации GUI


* Доработан файл помощи на русском языке



*Oyster*, все ваши проблемы должны быть закрыты, перепроверьте пожалуйста.

----------

Groft

----------


## Oyster

> *Oyster*, все ваши проблемы должны быть закрыты, перепроверьте пожалуйста.


Во время работы антируткита проблемы не было. Когда закрыл его через кнопку закрытия окна, то увидел пустой рабочий стол с курсором мыши, но без значков и панели задач  :Smiley:  При нажатиях на Ctrl-Alt-Del курсор мыши на секунду становился как стрелка с песочными часами, потом снова становился обычной стрелкой. При нажатии на кнопку питания появился нормальный рабочий стол со значками, панель задач и диспетчер задач. Тут же началось штатное завершение работы Windows, и компьютер нормально выключился.

----------


## Groft

> Во время работы антируткита проблемы не было. Когда закрыл его через кнопку закрытия окна, то увидел пустой рабочий стол с курсором мыши, но без значков и панели задач  При нажатиях на Ctrl-Alt-Del курсор мыши на секунду становился как стрелка с песочными часами, потом снова становился обычной стрелкой. При нажатии на кнопку питания появился нормальный рабочий стол со значками, панель задач и диспетчер задач. Тут же началось штатное завершение работы Windows, и компьютер нормально выключился.


А если после запуска операционной системы сразу попробовать повторить проблему с антируткитом, т.е. не запускать никаких своих приложений?

----------


## Oyster

> А если после запуска операционной системы сразу попробовать повторить проблему с антируткитом, т.е. не запускать никаких своих приложений?


Проблема воспроизвелась. Причём после закрытия окна антируткита специально подождал подольше. Появлялся скринсейвер, пошевелю мышкой - скринсейвер исчезнет, но всё равно рабочий стол пустой, и панели задач нет.

----------


## Groft

> Проблема воспроизвелась. Причём после закрытия окна антируткита специально подождал подольше. Появлялся скринсейвер, пошевелю мышкой - скринсейвер исчезнет, но всё равно рабочий стол пустой, и панели задач нет.


Cпасибо за проверку, но это уже получился другой баг. Будем исправлять!  :Smiley:

----------


## Groft

Антируткит Vba32Arkit успешно справляется с новой версией VBR-руткита семейства Mayachok
Новость целиком

----------


## Jokerok7

"Позволяет удалять файлы, открытые с эксклюзивным доступом / залоченные с помощью ф-и LockFile. Для модулей процессов доступна оцпия - "Unmap in all processes and force delete" "

У меня вопрос. Я как раз подцепил вирус, который зашифровал практически все файлы на ПК. Формат шифровки .LOCKFILE. Здесь как раз речь об этом я так понимаю? Расшифровывать, а не удалять ваш антивирус умеет?

----------


## Aleksandra

> Здесь как раз речь об этом я так понимаю?


Нет, здесь речь совсем о другом.

----------


## Jokerok7

Жаль...

----------


## Dmitry Varshavsky

Всем привет!

Представляю вашему вниманию Vba32 AntiRootkit 3.12.5.7 beta build *588* !

Ссылки для скачивания прежние:

http://anti-virus.by/en/beta.shtml

ftp://anti-virus.by/pub/beta/vba32arkit_beta.zip ( обычная версия, ~4 Mb )

ftp://anti-virus.by/pub/beta/vba32arkit_full_beta.zip ( полная версия с антивирусным ядром и базами, ~100 Mb )

*Список изменений относительно версии 3.12.5.6:*

+ Механизм разбора файлов реестра. Прямой доступ к реестру осуществляется в окнах Autorun и 
  Drivers & Services ( from Registry ), а также при сборе информации о системе ( пункт Registry ) 

Давно следовало сделать, но руки не доходили    Теперь данный функционал реализован.

+ Окно Low-Level Registry Access tool. Работа со скрытыми, заблокированными и подменёнными ключами 
  реестра

Данное окно пока находится в "зачаточном" состоянии. В следующей сборке будут добавлены сканер, а также расширен список возможных действий.

+ Лечение буткитов, модифицирующих таблицу разделов MBR

В частности, Rootkit.Boot.sst

+ Vba32 Defender: добавлен вывод информации о коммандной строке и Id родителя ( при запуске процессов ).
  Возможность блокирования операций создания веток реестра, а также изменения значений в ключах реестра

+ Опция Reboot on Exit

Эти дополнения необходимы для лечения угроз, постоянно перезаписывающих свои ключи в реестре. К таким относятся некоторые модификации TDSS, ZBot, Rustock и т.п.

+ Поддержка Windows 8 Consumer Preview. Поддержка Windows 8 Developer Preview прекращена 

Стараемся поддерживать самые новые сборки   

- Опция Force reset 

Теперь с уверенностью можно сказать, что этот функционал больше не нужен. Force reboot справляется во всех известных случаях.

* Улучшена общая стабильность работы программы

* Улучшена стабильность работы модуля прямого чтения

* Исправлены проблемы в работе Vba32 Defender

* Исправлены проблемы в модуле самозащиты 

* Исправлены ошибки в реализации GUI

Над багофиксом  и стабильностью поработали достаточно серьёзно.

* Доработан файл помощи на русском языке


С радостью ждём замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - arkit[at]anti-virus.by Это позволит сделать продукт лучше !

----------

Groft

----------


## Groft

> Проблема воспроизвелась. Причём после закрытия окна антируткита специально подождал подольше. Появлялся скринсейвер, пошевелю мышкой - скринсейвер исчезнет, но всё равно рабочий стол пустой, и панели задач нет.


 Не факт, что исправили, но просьба перепроверить на актуальном билде.  :Cool:

----------

