Вышла новая версия антивирусной утилиты AVZ - 4.30. Архив с утилитой содержит базу вирусов от 6.04.2008 157571 сигнатура, 2 нейропрофиля, 55 микропрограмм лечения, 370 микропрограмм эвристики, 9 микропрограмм ИПУ, 115 микропрограмм поиска и устранения проблем, 70476 подписей безопасных файлов. Новая версия содержит ряд радикальных доработок и усовершенствований.
Основные модификации:
[+++] Добавлена дополнительная функция в эвристической чистке системы - помимо стандартной чистки добавлен вызов микропрограмм из обновляемой базы, что позволит автоматически удалять следы вредоносных программ в сложных и нестандартных случаях, а также исправлять критические повреждения системы
[++] Антируткит - поиск перехватов IRP в основных драйверах
[++] Добавлен ряд новых команд в скрипт-язык
[+] В AVZGuard добавлена блокировка создания файлов autorun.*, что упрощает борьбу с рядом типов червей
[+] Добавлен переключатель в настройках, активирующий автоматическое устранение системных проблем и ошибок, найденных на шаге 9 анализа
[+] Автокарантин NTFS потоков и EXE файлов из CHM (выполняется, если включен автокарантин)
[+] Сортировка по любому столбцу в окнах Infected и Quarantine
[+/-] Автоматическая перезагрузка всех AV баз после успешного обновления AVZ (в частности базы локализатора)
[-] Устранены ошибки в работе ревизора
[-] Устранен ряд мелких недочетов в локализации и ряд мелких ошибок
Ссылки: http://www.z-oleg.com/secur/avz/download.php, зеркало на rapidshare http://rapidshare.com/files/105329630/avz4.zip (http://rapidshare.com/files/105329630/avz4.zip)

Параллельно обновился плагин для TheBat - зеркало http://rapidshare.com/files/105329833/avz4thebat.zip (http://rapidshare.com/files/105329833/avz4thebat.zip) и редактор скриптов - зеркало http://rapidshare.com/files/105329752/avz_se.zip (http://rapidshare.com/files/105329752/avz_se.zip)
Вот еще одна ссылочка - http://www.z-oleg.com/avz.chm - документация в CHM формате
ED2K ссылки:
ed2k://|file|avz4.zip|3639856|A18BA1D5C6B22F651C7B64D69E3 A779B|h=VAPCXRPKCFWBPTD2CKUZXYTSFYFBRMJT|/
ed2k://|file|avz4thebat.zip|386611|155A043718709B0A914E53 5FE60AE66D|h=R2W7JLALGFKI7N5OPHM3SWZURLYXHZIX|/

Редактор скриптов - а ссылка на плагин для Бата?!?

Я исправил ссылку ... кроме того, ссылки на зеркала дублированы на страничке загрузки у меня на сайте.

[-] Устранены ошибки в работе ревизора


Как рас во время!

По ссылке плагин для Бата скачался от 12 декабря - старый...

Кстати, почему Вы не сделаете трекер с тремя торрентами по числу файлов?
Я думаю, это резко снизит нагрузку на главный сервер в момент выхода новых версий...

OpenOffice.org в России так уже делает.

По ссылке плагин для Бата скачался от 12 декабря - старый...

Кстати, почему Вы не сделаете трекер с тремя торрентами по числу файлов?
Я думаю, это резко снизит нагрузку на главный сервер в момент выхода новых версий...

OpenOffice.org в России так уже делает.
Можно попробовать - например


ed2k://|file|avz4.zip|3639856|A18BA1D5C6B22F651C7B64D69E3 A779B|h=VAPCXRPKCFWBPTD2CKUZXYTSFYFBRMJT|/

Спасибо :)

Так плагин для Бата есть новый - или остался старый?
Я уже три раза пробовал скачать - всё равно от 12 декабря версия...

На Рапиде то же самое.

Пробую осла...

Может сделать зеркало на VirusInfo?

На Рапиде то же самое.

Пробую осла...
Я положил ослиные ссылки на avz4.zip и на avz4thebat.zip на страничке http://www.z-oleg.com/secur/avz/download.php

Добавлено через 2 минуты


Может сделать зеркало на VirusInfo?
И положим VI на лопатки ... не стоит, так как сюда обращаются пострадавшие пользователи, поэтому тормоза форума совершенно не нужны. зеркал ED2K и rapidshare вполне достаточно ...

Наконец скачал :)
Просто на Рапиде сама ссылка была не на ту страницу...

В следующий раз очень советую заранее сделать торрент - либо уговорить администрацию ТоррентсРу дать разрешение на размещение (они не дают выкладывать бесплатные программы). :)

уговорить администрацию ТоррентсРу дать разрешение на размещение (они не дают выкладывать бесплатные программы). :)
А разве на ТоррентсРу свет клином сошёлся?

Немного потестил на XP SP2, полет нормальный.
Такое замечание - в свойствах Avz.exe (версия сегодняшняя 4.30) стоит
Версия продукта "4.28".
Версия файла "4.28.0.66".

Поднять трекер на z-oleg- проще пареной репы, а нагрузку на сайт можно уменьшить очень солидно.

Поднять трекер на z-oleg- проще пареной репы, а нагрузку на сайт можно уменьшить очень солидно.
На нагрузку это не повлияет.Наример, даны ссылки на ED2K - скачало около 20 человек. Зеркала на рапидшаре - с 16.00 вчерашнего дня около тысячи закачек. Т.е. это к сумме менее 1% об общего объема загрузок

И положим VI на лопатки ... не стоит, так как сюда обращаются пострадавшие пользователи, поэтому тормоза форума совершенно не нужны. зеркал ED2K и rapidshare вполне достаточно ...

Ну так хотя бы с VI будут качать с нашего сервера. Всё твоему легче.

На нагрузку это не повлияет

Если Вы поднимете трекер и сделаете конкретный торрент как "суперсид", то люди будут качать 90% объёмов друг у друга, а не у Вас...

Если Вы поднимете трекер и сделаете конкретный торрент как "суперсид", то люди будут качать 90% объёмов друг у друга, а не у Вас...
Люди не хотят качать что-то из P2P !! Большинство даже зеркала игнорирует - тащут по прямой ссылке файла и всего делов ...

Конечно легче тыкнуть на прямую ссылку чем заморачиваться со всем остальным. Хотя я бы на месте Олега напрямую не отдавал, а только через скриптик который рекламу крутит :)

Можно раскидать дист. на 20 серваков с бесплатного хостинга, и давать ссылку на скрипт, который рандомно редиректит на файл. Можно даже адрес сервера скрыть.

Конечно легче тыкнуть на прямую ссылку чем заморачиваться со всем остальным. Хотя я бы на месте Олега напрямую не отдавал, а только через скриптик который рекламу крутит :)Ага, ещё и в AVZ встроить рекламный модуль.

Я что то не понял, здесь обсуждение как скачать, или как работает новая версия?

Люди не хотят качать что-то из P2P !! Большинство даже зеркала игнорирует - тащут по прямой ссылке файла и всего делов ...

Мне вот лень емула запускать, так как уже давно торрент основной клиент :( да и не надо это всё... ведь как происходит - скачал версию, кинул на СД и флэшку... а на месте так бывает, что забыл это всё где нибудь, зато инет есть - вот и идёшь на z-oleg за программой...

кстати, новый антируткит хочется потестить...

Странный лог...
Куча перехватов вида "\FileSystem\ntfs[IRP_MJ_CREATE] = 89DC84D0 -> перехватчик не определен"
и все не определены.

Странный лог...
Куча перехватов вида "\FileSystem\ntfs[IRP_MJ_CREATE] = 89DC84D0 -> перехватчик не определен"
и все не определены.
Это эмулятор CD безобразничает, он в логе чуть выше. Хотя вот этот перехваты странные: \driver\disk[IRP_MJ_READ] = 89DC8788, такое в логах пока не попадалось

Ога!
Перехваты disk.sys - это от буткита :). Советую проверить свежайшим CureIt! ;)

Ога!
Перехваты disk.sys - это от буткита :). Советую проверить свежайшим CureIt! ;)
Да - я тоже заинтересовался этими перехватами, похоже действительно последняя версия буткита (старая только два IRP перехватывала - он прогрессирует однако). У меня CD-эмулятор хукнул только IRP в NTFS ...

Вот интересно, а сколько реально ПК в мире им заражено? Что-то мне подсказывает - что не мало.

Это дохтар вэб шалит вроде, с ирп и нтфс.

Вот интересно, а сколько реально ПК в мире им заражено? Что-то мне подсказывает - что не мало.
Очень может быть - я сейчас свежий семпл стал искать, нашел 15 разновидностей этого буткита ... что наводит на соответствующие размышления

Добавлено через 8 минут

на свежепойманном бутките картина следующая:
\driver\disk[IRP_MJ_CREATE] = FFA4F87E -> перехватчик не определен
\driver\disk[IRP_MJ_CLOSE] = FFA4F87E -> перехватчик не определен
\driver\disk[IRP_MJ_READ] = FFA4A428 -> перехватчик не определен
\driver\disk[IRP_MJ_WRITE] = FFA4A428 -> перехватчик не определен
\driver\disk[IRP_MJ_PNP] = FFA4F896 -> перехватчик не определен
т.е. в отличие от вышеприведенного лога перехватчики размещаются по трем адресам, а не по одному, как в логе поста #24

Это дохтар вэб шалит вроде, с ирп и нтфс.
Не шалит.

Очень может быть - я сейчас свежий семпл стал искать, нашел 15 разновидностей этого буткита ... что наводит на соответствующие размышления

Добавлено через 8 минут

на свежепойманном бутките картина следующая:
\driver\disk[IRP_MJ_CREATE] = FFA4F87E -> перехватчик не определен
\driver\disk[IRP_MJ_CLOSE] = FFA4F87E -> перехватчик не определен
\driver\disk[IRP_MJ_READ] = FFA4A428 -> перехватчик не определен
\driver\disk[IRP_MJ_WRITE] = FFA4A428 -> перехватчик не определен
\driver\disk[IRP_MJ_PNP] = FFA4F896 -> перехватчик не определен

Угу -я вчера три сампла скачал и именно эту картину в лдоге и видел, поэтому сразу сделал вывод о нем :)

fixmbr в консоли восстановления Windows поможет?

А это от чего? Может стоит справку составить?


\FileSystem\ntfs[IRP_MJ_CREATE] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 867DA1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 862ED500 -> перехватчик не определен

fixmbr должен помочь, но лучше скачать CureIt - он корректно лечит и гарантированно.

Помнится мне, в старых материнских платах была защита MBR - при попытке туда писать биос орал PC-спикером и спрашивал разрешать/запрещать...
Ок, сейчас попробую CureIt, тем более что это домашний компьютер, потом снова запущу AVZ посмотреть и сравнить логи, а после уже fixmbr если не поможет, спс.

Помнится мне, в старых материнских платах была защита MBR - при попытке туда писать биос орал PC-спикером и спрашивал разрешать/запрещать...
Ок, сейчас попробую CureIt, тем более что это домашний компьютер, потом снова запущу AVZ посмотреть и сравнить логи, а после уже fixmbr если не поможет, спс.
Попробуйте деинсталлировать эмулятор CD и прогнать еще раз AVZ. будут перехваты IRP обработчиков DISK.sys или нет...а то мало ли все же эмулятор виновен :))
З.Ы. наверное рано я шум поднял по поводу буткита - все же действительно, скорее всего, это драйвер старого даемон тула хуки ставит... :)

fixmbr должен помочь, но лучше скачать CureIt - он корректно лечит и гарантированно.
fixmbr (с загрузкой с виндового CD) поможет, но только для сектора на активном бутовом HDD.
На всех остальных доступных дисках MBR останется троянской и будет нуждаться в лечении. Т.е. есть прямой смысл не извращаться, а сразу пролечить CureIt.
Не пробовал подсовывать врагу флешки, но думаю, что ему пофигу, что это за диск, запишется и туда.

P.S. Читал, что троян якобы даже восстанавливался после fixmbr, но так и не понял, с какого перепугу и что для этого надо было проделать. Видимо, сменить загрузочный диск, но это точно редкий изврат.

CureIt 4.44.5 ничего не нашел, попробую анинсталлировать Алкоголь120%, повторно запущу AVZ, а так наверно мне в раздел помогите....
-----
Сейчас перепроверил - после запуска CureIt часть перехватов в логах AVZ пропадает до следущей перезагрузки (до этого я думал на WMWare)
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 89D7CEB0 -> перехватчик не определен
Проверка завершена

fixmbr (с загрузкой с виндового CD) поможет, но только для сектора на активном бутовом HDD.

Угу - но этого достаточно, чтобы тело буткита не загрузилось в память. А mbr на других дисках в теории может вылечить тот антивирус, который стоит в системе.

CureIt 4.44.5 ничего не нашел, попробую анинсталлировать Алкоголь120%, повторно запущу AVZ, а так наверно мне в раздел помогите....
Угу, и после деинсталляции эмулятора CD лог AVZ сюда прикрепите.
З.Ы. Все же нужно в правила теперь добавлять обязательную деинсталляцию таких программ.

Добавлено через 2 минуты

Mad Scientist
Сделайте лог не запуская CureIt - перезагрузитесь, и после старта системы сделайте проверку AVZ, предварительно удалив даемон тул и алкоголь.

Вот как раз попался перехватчик IRP. И не снялся... А я подумал, что будет...Пошто так? Почему нельзя снять такие перехваты?

Вот как раз попался перехватчик IRP. И не снялся... А я подумал, что будет...Пошто так? Почему нельзя снять такие перехваты?
Сныть все можно ... у меня давно есть рабочий код снятия IRP перехватов, но это весьма опасно - а если это дравер крипто-диска к примеру, что будет ?! А будет все просто - каюк данным ...

Все, разобрался.
Это все от C:\WINDOWS\system32\Drivers\sptd.sys
SCSI Pass Through Direct - драйвер от Duplex Secure Ltd
который устанавливается вместе с алкоголем или даемон тулз
\driver\disk[IRP_MJ_READ] и т.д. тоже от него.
Выключил в non PlugAndPlay sptd, перезагрузился - перехваты исчезли.
Как я понял понимаю, узнать что именно поставило перехват - не тривиальная задача...

К примеру \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89D7C0E8-> перехватчик не определен
89D7C0E8 - это адрес перехватчика?

Помню, AVZ и не у не всех юзермод перехватчиков показывает имена файлов.
К примеру:
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtQuerySystemInformation (263) перехвачена, метод APICodeHijack.PushAndRet
Функция ntdll.dll:RtlGetNativeSystemInformation (609) перехвачена, метод APICodeHijack.PushAndRet
Функция ntdll.dll: ZwQuerySystemInformation (1072) перехвачена, метод APICodeHijack.PushAndRet, а кто перехватывает - это оставляется как дополнительное задание пользователю. :)
Конечно, мне легко говорить в той области, где я не разбираюсь:):)

Сныть все можно ... у меня давно есть рабочий код снятия IRP перехватов, но это весьма опасно - а если это дравер крипто-диска к примеру, что будет ?! А будет все просто - каюк данным ...

:( прискорбно конечно, но без этого снятия я сегодня :censored: лечить от драйвера... и крипто-дисков точно не было ... да даже если и были бы - размонтировать и все дела. Может, всё же сделать ??? :blush: пожааалуйста...

Олег же ответил вам,что это очень опасно.

Олег же ответил вам,что это очень опасно.

А можно, я сам буду в каждом конкретном случае определять опасно это или нет, без Вашей помощи?
Особенно, если сидит только один драйвер и защищает сам себя и немного троянов. И прямое чтение диска у AVZ сквозь эту защиту не пробивается? А?

Да, есть драйвер SPTD, который стал такое перехватывать. Но когда надо вылечить, тут не до эмуляторов CD.

Ещё раз прошу, Олег, пожалуйста, можно будет добавить снятие IRP хука конкретного драйвера или они обязательно снимаются только пачкой?

А можно, я сам буду в каждом конкретном случае определять опасно это или нет, без Вашей помощи?
Особенно, если сидит только один драйвер и защищает сам себя и немного троянов. И прямое чтение диска у AVZ сквозь эту защиту не пробивается? А?

Да, есть драйвер SPTD, который стал такое перехватывать. Но когда надо вылечить, тут не до эмуляторов CD.

Ещё раз прошу, Олег, пожалуйста, можно будет добавить снятие IRP хука конкретного драйвера или они обязательно снимаются только пачкой?
Нельзя. ну хорошо, снимет AVZ хук - и дальше то что ?! В логе появится запись "перехватчик нейтрализован", а дальше ? Ничего особенно видимого то не произойдет (быть может за исключением BSOD и потери всех данных на HDD, но это будет мелкий побочный эффект). Ведь заранее неизвестно, что это за драйвер, что и зачем он перехватил эти самые и сколько таких драйверов было - мы же видим верхний перехватчик в цепочке, а их в теории может быть например три штуки.

Ну хватит уже как молитву повторять про потерю данных. Думать надо, а не молиться.

Я исхожу из следующего -
1. в чистой системе IRP обрабатываются как надо, драйверы fastfat/ntfs никем не патчатся и всё хорошо.
2. нормальному драйверу в среднестатистической системе незачем перехватывать IRP так, чтобы не давать себя прочитать через прямое чтение диска. Знаменитый sptd.sys прямое чтение с диска даёт:

Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\sptd.sys)
Карантин с использованием прямого чтения - ОК
Файл успешно помещен в карантин (C:\WINDOWS\system32\drivers\sptd.sys)

3. Типовые (стандартные, от MS) пути обработки IRP через драйверы fastfat и ntfs могут быть найдены на чистой системе и использованы AVZ для, по крайней мере, прямого чтения с диска минуя левые хуки и аттачи (которые ставятся выше этих драйверов, не так ли?) (вот тут я не в курсе, можно ли организовать такие асинхронные события минуя один приаттаченых драйверов) Особенно если один из перехватчиков IRP не даёт читать напрямую с диска, что ОЧЕНЬ подозрительно.

Конечно, если даёт читать напрямую, и прочитанное напрямую отличается от прочитанного через чистый fastfat/ntfs, то тут лучше запись не устраивать ... но если чтение невозможно, левый драйвер не даёт себя читать и не даёт манипулировать с записью каталога/MFT (а с чтением соседних драйверов и манипуляцией их элементов каталога всё в порядке), то ИМХО просто необходимо либо снять все хуки IRP в fastfat/ntfs, либо напрямую сформировать IRP запросы к чистому fastfat/ntfs в обход приаттаченых драйверов и переименовать этот драйвер! Ну и в конце концов, решение всегда принимает лечащий врач!

ЗЫ. Ну что, достаточно ли моя позиция взвешена или я что-то забыл?

Всем привет!Решил обновить базы ,а не удалось-требуется новая версия.Скачал 4.30 и вместо слов,букв и пр. везде вот так: [?123?] Короче,цифры и все.Что делать-то?Хэлп,однако!

Запустите AVZ с параметром lang=en

Это как,ежели все в цифрах?Куда ткнуть?

Это как,ежели все в цифрах?Куда ткнуть?


1. Нажмите кнопку "Пуск" и выберите команду "Выполнить".
2. В диалоговом окне "Обзор" найдите AVZ.exe и допишите lang=en

Создать ярлык и дописать в поле объект lang=en.
пример, у мну так: "K:\Soft\Anti Root Kit\avz4_29.9\avz.exe" lang=en

Добавлено через 1 минуту

или создать в блокноте файл start.bat и написать там start avz.exe lang=en
В папке с прогой само-собой.

Всем привет.
А кроме IRP хуков, существуют и по круче хуки.
Вот к примеру www.gmer.net, там вышла новая версия антируткита, вот она сканит много разных хуков....

1) К примеру какой хук или объект (объект это драйвер либо машинная длл или что то ещё) перехватывает ветку реестра HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\SAC и HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\SAI. ну ладно это фигня можно обойти через низкоуровневый доступ к диску (gmer.exe так проходит), но интересно какой объект и каким методом эти ветки перехвачены?

2) К примеру как удалить/редактировать объект (файл/метафайл) c:\$MFT, вдруг вирус также создаться тудаже и всё капут

Информация:
1) www.gmer.net
2) http://www.wasm.ru/forum/viewforum.php?id=6

а про драйвер даемуна, старфорса, алкоголя я знал ещё год назад... увлекался сканил, в касперском 7 25 дыр находил, чёта надоело находить...так иногда залажу в инет гляжу чё там новенького...

Вопрос Олегу Зайцеву: А в Kaspersky Internet Security 8 там есть встроенная avz 4.30? и почему бы в KIS8 не сделают просмотр реестра, дисков файлов поиск и т.д как у вас в avz ?

Всем привет.
А кроме IRP хуков, существуют и по круче хуки.
Вот к примеру www.gmer.net (http://www.gmer.net), там вышла новая версия антируткита, вот она сканит много разных хуков....

1) К примеру какой хук или объект (объект это драйвер либо машинная длл или что то ещё) перехватывает ветку реестра HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\SAC и HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\SAI. ну ладно это фигня можно обойти через низкоуровневый доступ к диску (gmer.exe так проходит), но интересно какой объект и каким методом эти ветки перехвачены?

2) К примеру как удалить/редактировать объект (файл/метафайл) c:\$MFT, вдруг вирус также создаться тудаже и всё капут

Информация:
1) www.gmer.net (http://www.gmer.net)
2) http://www.wasm.ru/forum/viewforum.php?id=6

а про драйвер даемуна, старфорса, алкоголя я знал ещё год назад... увлекался сканил, в касперском 7 25 дыр находил, чёта надоело находить...так иногда залажу в инет гляжу чё там новенького...

Вопрос Олегу Зайцеву: А в Kaspersky Internet Security 8 там есть встроенная avz 4.30? и почему бы в KIS8 не сделают просмотр реестра, дисков файлов поиск и т.д как у вас в avz ?
Ядро AVZ и некоторый доп. функционал там есть. Но применяется он для изучения системы, сканировать диски и реестр KIS может прекрасно и без AVZ. Насчет остального вышесказанного не совсем понял его смысл - реестр это база данных, нельзя "перехватить ветку". Можно ограничить доступ к некоторым данным в реестре или замаскировать их - это зловреды давно делают. Про $MFT вообще не понятно - нужно для начала уяснить, что такое $MFT. А это попросту спец. файл, который хранит MFT - Master File Table - базу данных, описывающую все файлы и каталоги на диске с файловой системой NTFS. В MFT имеется битовый массив, показывающий, какие из записей MFT задействованы, а какие нет. Первые 16 элементов MFT зарезервированы для специальных файлов - тех самых, что начинаются с $ и показываются низкоуровневыми смотрелками в корне диска. В частности, элемент номер 5 в MFT - это корневой каталог тома. Если удалить $MFT (чего система конечно не даст сделать по доброй воле), или затереть MFT каким-то бредом, то диск "накроется" на логическом уровне - так как мы угробим индекс, описывающий, что и где на нем хранится.

Ядро AVZ и некоторый доп. функционал там есть. Но применяется он для изучения системы, сканировать диски и реестр KIS может прекрасно и без AVZ. Насчет остального вышесказанного не совсем понял его смысл - реестр это база данных, нельзя "перехватить ветку". Можно ограничить доступ к некоторым данным в реестре или замаскировать их - это зловреды давно делают. Про $MFT вообще не понятно - нужно для начала уяснить, что такое $MFT. А это попросту спец. файл, который хранит MFT - Master File Table - базу данных, описывающую все файлы и каталоги на диске с файловой системой NTFS. В MFT имеется битовый массив, показывающий, какие из записей MFT задействованы, а какие нет. Первые 16 элементов MFT зарезервированы для специальных файлов - тех самых, что начинаются с $ и показываются низкоуровневыми смотрелками в корне диска. В частности, элемент номер 5 в MFT - это корневой каталог тома. Если удалить $MFT (чего система конечно не даст сделать по доброй воле), или затереть MFT каким-то бредом, то диск "накроется" на логическом уровне - так как мы угробим индекс, описывающий, что и где на нем хранится.


1) Хотелось бы в avz и в kis8, ручной просмотрщик файлов и реестра, как сделано в новой версии gmer (для професионалов это пригодиться).
И хотелось бы в KIS8 было всё что в авз, ну к примеру дистпечер процессов, модули пространство ядра и т.д... (для професионалов это хорошо.
И хотелось бы в HIPS или в проактная защита была ещё лучше, к примеру есть программа System Safety Monitor вот в ней проактивка/hips лучше чем в KIS8.
2)*Насчет остального вышесказанного не совсем понял его смысл*- ладно задам вопрос по другому:
Существует ветка реестра HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\SAC и к ней невозможен доступ через regedit.exe (т.е каким то методом заблокировано, т.е каким то файлом заблокировано, Методы блокирования бывают разные SSDT, IRP и т.д, ну можно сказать это не методы блокирования а виды хуков)
Так вот каким видом хуком заблокирован доступ, и каким файлом, драйвером?
3) Про $MFT.
К примеру вирусописатель придумал новый вирус, скрывается как $MFT. Но мне кажется через функцию "низкоуровневый доступ к диску" невозможно получит доступ к $MFT.
4) Про бут-сектора. Мне кажется есть всякие редакторы дисков, можно вручную поставить в секторе адресс, и таким образом удалиться вирус. Либо в базе антивируса должны быть данные о бут секторах.... и к примеру антивирус нашёл бут-вирус, и он должен вылечить его.... просто антивирус берёт из базы данные и востанавливает бут сектор... ну незнаю фигню наверно я гоню:P.
Про руткиты можно обнаруживать их загрузившись из СД виндовса барт сиди, хр лайф сиди и т.д..... Т.е в антивирусе нужно выгрузить или заблокировать всю старую память и загрузить оригинальные важные сис.файлы в процессе сканирования руткитов...
5) Возможно ли в ХР, Висте програмно сменить пароль на биос, или изменить параметры биос? Ведь время/часы можно менять (а время/часы - это параметр биоса) -- я думаю теоретически можно.... а значит скора появяться вирусы которые стирают биос.
6) Я думаю вирусы появяться такие, которые причинят железу, к примеру есть программа rivatunaer она разгоняет процессор на видеокарте, так вот придумают вирус и видеокарта будет разогнаная, и потом юзер играет играет и раз процессор на видеокарте сгарит, так же с процессором от компьютера, ведь я думаю теоретически возможно менять параметры биос в виндовсе, а значит разогнать процессор.

6. Причинить железу вред сложно, хотя байки о вирусах, убивающие HDD резонансом, сжигающие мониторы передачей особых импульсов и т.п. гуляют уже лет 10-15. Но реальнох зловредов нет и маловероятно, что будут - железо специфично, доступ к жедезу напрямую в NT системах невозможен.
5. Стирающие биос зловреды не появятся в скором времени, так как они давно известны. Ответом на них и на любителей перешивать Bios пять раз на дню появились материнки, у которых или есть нестираемый загрузчик, или биос дублирован - на случае неуспешной прошивки или действий зловреда. Аналогично с настройками - все современные биосы как правило неплохо работают с настройкой по умолчанию, и на эту настройку можно сбросить все опции биоса. Пароль на биос меняется из самого биоса и на возможность старания биоса не влияет ...
4. Антивирусы давно и успешно блокируют прямой доступ к диску, и умеют сканировать и лечить бут сектора, а новые буткиты и древние бут вирусы как могут противодействуют этому. Но буткит не страшен, если работать по учетной записью юзера - у него нет прав на прямую работу с диском
3. Я все таки советую почитать на досуге доку по NTFS :) Служебными являются первые 16 псевдофайлов, описанные в первых 16 ячейках MFT. И доступ к ним на самом деле есть, если есть права админа. А простой файл с именем $MFT будет просто файлом с таким именем - система не блокирует доступ к нему и не прячет его
2. А кто сказал, что доступ к нему блокирован ?! Доступ ничем не блокируется, но если внимательно посмотреть на права доступа к данной ветке реестра, то том указано, что SYSTEM (т.е. сама операционка) имеет неограниченный доступ, а скажем админ не имеет вообще никаких прав. Если уж так хочется посмотреть, что там есть - достаточно дать себе прав на этот раздел и все ...
1. Насчет того, что проактивка лучше/хуже - это вопрос очень спорный и очень туманный. нужно понимать, что не задача антивируса разграничавать доступ и т.п. - если работать под учетной записью юзера, то сама система ограничит опасное поведение программ и процентов 80 зловредов не будет нормально работать под юзером без всякого HIPS. Но есть путь для мазохистов - сидеть под админом и мучительно заставлять проактивку сделать из учетной записи админа учетную запись юзера :) Начет ручных просмотрщиков - они не нужны в AVZ/KIS, для этого есть отдельные удобные инструменты, и обычно явной необходимости в таком инстументарии нет.

6. Причинить железу вред сложно, хотя байки о вирусах, убивающие HDD резонансом, сжигающие мониторы передачей особых импульсов и т.п. гуляют уже лет 10-15. Но реальнох зловредов нет и маловероятно, что будут - железо специфично, доступ к жедезу напрямую в NT системах невозможен.
5. Стирающие биос зловреды не появятся в скором времени, так как они давно известны. Ответом на них и на любителей перешивать Bios пять раз на дню появились материнки, у которых или есть нестираемый загрузчик, или биос дублирован - на случае неуспешной прошивки или действий зловреда. Аналогично с настройками - все современные биосы как правило неплохо работают с настройкой по умолчанию, и на эту настройку можно сбросить все опции биоса. Пароль на биос меняется из самого биоса и на возможность старания биоса не влияет ...
4. Антивирусы давно и успешно блокируют прямой доступ к диску, и умеют сканировать и лечить бут сектора, а новые буткиты и древние бут вирусы как могут противодействуют этому. Но буткит не страшен, если работать по учетной записью юзера - у него нет прав на прямую работу с диском
3. Я все таки советую почитать на досуге доку по NTFS :) Служебными являются первые 16 псевдофайлов, описанные в первых 16 ячейках MFT. И доступ к ним на самом деле есть, если есть права админа. А простой файл с именем $MFT будет просто файлом с таким именем - система не блокирует доступ к нему и не прячет его
2. А кто сказал, что доступ к нему блокирован ?! Доступ ничем не блокируется, но если внимательно посмотреть на права доступа к данной ветке реестра, то том указано, что SYSTEM (т.е. сама операционка) имеет неограниченный доступ, а скажем админ не имеет вообще никаких прав. Если уж так хочется посмотреть, что там есть - достаточно дать себе прав на этот раздел и все ...
1. Насчет того, что проактивка лучше/хуже - это вопрос очень спорный и очень туманный. нужно понимать, что не задача антивируса разграничавать доступ и т.п. - если работать под учетной записью юзера, то сама система ограничит опасное поведение программ и процентов 80 зловредов не будет нормально работать под юзером без всякого HIPS. Но есть путь для мазохистов - сидеть под админом и мучительно заставлять проактивку сделать из учетной записи админа учетную запись юзера :) Начет ручных просмотрщиков - они не нужны в AVZ/KIS, для этого есть отдельные удобные инструменты, и обычно явной необходимости в таком инстументарии нет.


6. *доступ к жедезу напрямую в NT системах невозможен*- Но часы же можно менять в виндовсе, и они меняются в биосе. Также разогнать процессор на видеокарте можно спец программами к примеру Riva Tuner--- Вывод: значит в NT возможен доступ.
2. Вы наверно подумали про ветку hklm\security, а я говорю про ветку hklm\SECURITY\Policy\Secrets\SAC или hklm\SECURITY\Policy\Secrets\SAI

1. Ну незнаю. К примеру вирусы скрыты и в эксплорере я немогу их увидеть, так мне помогла avz, я через поиск нашёл вирус и удалил его.

7. А вы читали мои баги (http://www.wasm.ru/forum/viewtopic.php?id=25173) в Kaspersky Internet Security? Ну как расскажите?

8. А находит ли avz 4.30 хуки вида .SYSENTER, INT,.text и т.д?

по поводу 8. Sysenter - http://www.z-oleg.com/secur/virlist/vir1179.php

1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].SYSENTER=806D8D2D C:\WINDOWS\system32\ntoskrnl.exe, драйвер опознан как безопасный
ЦП[1].SYSENTER успешно восстановлен
Проверка IDT и SYSENTER завершена
>>>> Подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys

6. *доступ к жедезу напрямую в NT системах невозможен*- Но часы же можно менять в виндовсе, и они меняются в биосе. Также разогнать процессор на видеокарте можно спец программами к примеру Riva Tuner--- Вывод: значит в NT возможен доступ.
2. Вы наверно подумали про ветку hklm\security, а я говорю про ветку hklm\SECURITY\Policy\Secrets\SAC или hklm\SECURITY\Policy\Secrets\SAI

1. Ну незнаю. К примеру вирусы скрыты и в эксплорере я немогу их увидеть, так мне помогла avz, я через поиск нашёл вирус и удалил его.

7. А вы читали мои баги (http://www.wasm.ru/forum/viewtopic.php?id=25173) в Kaspersky Internet Security? Ну как расскажите?

8. А находит ли avz 4.30 хуки вида .SYSENTER, INT,.text и т.д?


6. По поводу настройки времени - советую зайти под ограниченной учетной записью и попробовать поменять время :) Насчет разгона и т.п. - для этого нужно установить эту спец-программу, ей в свою очередь нужно установить драйвера и т.п., и все это должно произойти под админом ...

2. Я думал именно о том, о чем написал. Доступ к данным ключам ограничен привилегиями. А те два означенных ключа еще содержат символ с кодом #0 в имени, и Regedit поэтому не может туда забраться (по видимому логика правильная - нечего юзеру там делать :) )

1. В проводнике никто зловредов не ищет - для этого есть FAR и его аналоги

7. Читал, смешно :) Описанное там - это не баги, а демонстрация непонимания принципов работы антивируса и защиты ПК в целом. Рекомендую на досуге взять чистый ПК, поставить на него KIS (под админом), затем создать ограниченную учетную запись, зайти под ней и поискать "баги". Можно поверить мне на слово, полученная картина удивит :)

8. Не совсем ясно, что такое хук типа ".text"

6. По поводу настройки времени - советую зайти под ограниченной учетной записью и попробовать поменять время :) Насчет разгона и т.п. - для этого нужно установить эту спец-программу, ей в свою очередь нужно установить драйвера и т.п., и все это должно произойти под админом ...

2. Я думал именно о том, о чем написал. Доступ к данным ключам ограничен привилегиями. А те два означенных ключа еще содержат символ с кодом #0 в имени, и Regedit поэтому не может туда забраться (по видимому логика правильная - нечего юзеру там делать :) )

1. В проводнике никто зловредов не ищет - для этого есть FAR и его аналоги

7. Читал, смешно :) Описанное там - это не баги, а демонстрация непонимания принципов работы антивируса и защиты ПК в целом. Рекомендую на досуге взять чистый ПК, поставить на него KIS (под админом), затем создать ограниченную учетную запись, зайти под ней и поискать "баги". Можно поверить мне на слово, полученная картина удивит :)

8. Не совсем ясно, что такое хук типа ".text"


6.
a) Речь идёт не под ограниченной учётной записи, а под Администратором (ну в ХР у него RID 500) (ведь в KIS8 разработали HIPS, а значит предусматривают баги из под администратора)
б) значит под администратором можно разогнать видеокарту, и процессор, т.е поменять параметры железа в NT - это означает что можно создать вирус который меняет параметры биоса и видиокарты (время, пароль на биос, приоритет загрузки, частоту шины на видеокарте)?
2. *А те два означенных ключа еще содержат символ с кодом #0 в имени*---Непонял, расскажите подробнее???. К примеру я просто запускаю gmer.exe от http://www.gmer.net и он загружает свой вспомогательный драйвер и этот драйвер использует функцию "Низкоуровневый доступ к диску" и в gmer.exe можно просмотреть что храниться в этих ветках hklm\SECURITY\Policy\Secrets\SAC или hklm\SECURITY\Policy\Secrets\SAI и просмотрел и ненашёл никаких *содержат символ с кодом #0 в имени*
Даже если посканить программой gmer.exe реестр, то увидете эти ветки реестра, а значит чем-то они блокируются, и каким то типом хука
1. А если этот зловред скрытый на диске с помощью своего вспомогательного драйвера? и FAR может его обнаружить? к примеру в gmer.exe там он работает через "низкоуровневый доступ к диску".
7. "а демонстрация непонимания принципов работы антивируса и защиты ПК в целом"- т.е я непонимаю как работает антивирус и защита ПК в целом? Почему вы так считаете? Ведь половина баг уже они предусмотрели в KIS 8.0.0.x - это означает что баги или я неправ?
Ну к примеру любую багу из wasm.ru назовите, что она не
права?
(Речь идёт об Администраторе а не об огр.учётной записи)
8. Скачайте программу gmer.exe от http://www.gmer.net и просканируйте систему, и увидете очень много типов хуков

6.
2. hklm\SECURITY\Policy\Secrets\SAC или
Даже если посканить программой gmer.exe реестр, то увидете эти ветки реестра, а значит чем-то они блокируются, и каким то типом хука
'Защиту' обеспечивает lsass.exe, и там ничего такого сложного нет - это обойти не сложно. Я думаю, что gmer получает доступ так: вызывает функции LsarOpenSecret и LsarQuerySecret через GetProcAddress в библиотеке lsasrv.dll.

Paul

6.
a) Речь идёт не под ограниченной учётной записи, а под Администратором (ну в ХР у него RID 500) (ведь в KIS8 разработали HIPS, а значит предусматривают баги из под администратора)
б) значит под администратором можно разогнать видеокарту, и процессор, т.е поменять параметры железа в NT - это означает что можно создать вирус который меняет параметры биоса и видиокарты (время, пароль на биос, приоритет загрузки, частоту шины на видеокарте)?
2. *А те два означенных ключа еще содержат символ с кодом #0 в имени*---Непонял, расскажите подробнее???. К примеру я просто запускаю gmer.exe от http://www.gmer.net и он загружает свой вспомогательный драйвер и этот драйвер использует функцию "Низкоуровневый доступ к диску" и в gmer.exe можно просмотреть что храниться в этих ветках hklm\SECURITY\Policy\Secrets\SAC или hklm\SECURITY\Policy\Secrets\SAI и просмотрел и ненашёл никаких *содержат символ с кодом #0 в имени*
Даже если посканить программой gmer.exe реестр, то увидете эти ветки реестра, а значит чем-то они блокируются, и каким то типом хука
1. А если этот зловред скрытый на диске с помощью своего вспомогательного драйвера? и FAR может его обнаружить? к примеру в gmer.exe там он работает через "низкоуровневый доступ к диску".
7. "а демонстрация непонимания принципов работы антивируса и защиты ПК в целом"- т.е я непонимаю как работает антивирус и защита ПК в целом? Почему вы так считаете? Ведь половина баг уже они предусмотрели в KIS 8.0.0.x - это означает что баги или я неправ?
Ну к примеру любую багу из wasm.ru назовите, что она не
права?
(Речь идёт об Администраторе а не об огр.учётной записи)
8. Скачайте программу gmer.exe от http://www.gmer.net и просканируйте систему, и увидете очень много типов хуков

6.а Так этому администратору и надо :) Никакой самы расчудесный HIPS не спасет человека, который сидит под админом и скажем у него запускается что-то там, что быдет пытаться спалить его железо (перегреть оно его сможет, спалить - маловероятно). HIPS в KIS расчитан не на администратора, а не обнаружение и блокировку потенциально опасной активности. Но есть одно НО - даже если выдаст KIS юзеру сообщение, что NVidia_super_puper_twicker.exe пытается скажем поставить драйвера ?! И юзер, который скачал это непойми откуда нажмет ОК не думая ... И KIS не может понять, действительно это твикер видеокарты или же это злонамеренный ускоритель-сжигатель (разница кстати невелика - любой разгон по идее загоняет железо в эктремальные режимы и может его спалить).
б. Можно. И HIPS не спасет никогда в жизни - см. п.п. а). Т.е. если скажем юзеру подсунут что-то там и он это запустит и подтвердит запрос HIPS на установку драйверов - системе кирдык. А по моим данным 95% юзеров именно это и делают, особенно если уверены, что эта программа им нужна. И спалить железо можно вполне легальным твикером/ускорителем, а не зловредом.
2. Введение в имя ключа символа с кодом #0 приводит к интересному эффекту - через обычное API доступ к ключа затрудняется, этот эффект был публично очень давно показан Руссиновичем, у него на сайте даже семпл есть на эту тему ... Т.е. обычное приложение, напрмиер Regedit, не сможет открыть такой ключ
8. Очень много хуков, или очень много глюков - неизвестно. Чем глубже копает антируткит, тем больше мусора он найдет, и совершенно не обазательно, что это опасно. Просто изучение логов антируткита предполагает хорошее знание системы + знание особенностей и закидонов конкретного антируткита (последнее вылавливается просто - его запуском на чистой системе)
7. Первичная задача антивируса - это быть антивирусом ! Т.е. ловить вирусы ... примочки типа HIPS - это дополнительный контур обороны, средство своевременного детектирования вредоносной активности со стороны вредителя, который не распознан сигнатурным сканером как зловред. Но очень распространенной ошибкой является подмена встроенных средств безопасности системы средствами безопасности антивируса, Firewall, HIPS и т.п. ! Это доп. средства, создающие дополнительный контур защиты, и следовательно повышающие безопасность системы в целом и позволяющие своевременно пределить активность зловреда. Но не их замена ... Если брать список, то 99% не является "багом" - назоваем это так: "хотелка юзера, который не умеет администрировать Windows и не хочет это делать". Такая категория юзеров к сожалению есть, но достаточно прочитать отзывы профи на wasm по поводу этой ветки и сделать вывод, как рассуждают об этом админы и системщики. Наиболее показательно: не находит вирусы, скрытые Folder Security Personal" - т.е. я ставлю под админом программу, она ставит свои драйвера в систему, KIS об этом предупреждает (он не даст проинсталлить драйвер), программе даны на то права (и KIS считает ее легитимной) - и мы получаем в системе конфликт двух программ безопасности, которые перехватят одно и тоже. Что удивительного в том, что скажем KIS не видит что-то, маскируемое специально предназначенной для этого программе, которой разрешили установиться (или программа маскировки начнет глючить, или будет срабатывание HIPS/антируткита на нее) ?! Или скажем если поставить два антивиря, будет нечто похожее, но они более показательно перегрызутся, все повинет ... и багу пишем обоим - "почему А не задавил конкурента Б" :) А если задавит - багу задавленному :)
или аналогично с "net user *** /add" - я сижу под кем ?! Под админом. А что должен делать админ ?! Правильно, админить, причем создание юзеров, выделение им прав, расшаривание ресурсов и т.п. - самая типовая задача администрирования. Вопрос - почему антивирус должен блокировать админу то, что является его святой обязанностью ?! А юзер админом не является, то возникает другой вопрос - а почему он тогда админ ?! И так аналогично по всем остальным пунктам... Это все равносильно, что я в любом unix всех юзеров сделаю root-ом, позапускаю все процессы из под рута (начиная с почты и WEB сервера) и потом буду пачками находить дыры и делать вывод, что *nix сама дырявая система в мире.
Поэтому вывод - безопасность системы это комплекс мер, состоящих в грамотной настройке системы, грамотном применении антивирусов, Firewall, HIPS и т.п. Посмотрите раздел "Помогите" в данной конференции - там представлены практически все антивирусы разных версий и типов, но почему-то не встречаются пользователи, работающие под учетной записью резко ограниченного юзера - все поголовно работали под админом ... Но это уже пошел флейм

Добавлено через 2 минуты


'Защиту' обеспечивает lsass.exe, и там ничего такого сложного нет - это обойти не сложно. Я думаю, что gmer получает доступ так: вызывает функции LsarOpenSecret и LsarQuerySecret через GetProcAddress в библиотеке lsasrv.dll.

Paul
Или находит на диске и парсит файл, хранящий реестр - это обходит логическую блокировку, нехватку прав и все заморочки с хитрыми именами

Олег, а как ты предлагаешь отлаживаться под юезерскими правами? Отладчику дельфей же нужны админские права или я ошибаюсь и есть финт ушами?

Олег, а как ты предлагаешь отлаживаться под юезерскими правами? Отладчику дельфей же нужны админские права или я ошибаюсь и есть финт ушами?
Во первых неадмин-юзер разный бывает, а во вторых - есть "Запуск от имени ...", позволяющий запускать что угодно от имени кого угодно. Этот фокус хорошо знаком админам, которые создают задания в планировщике для выполнения всяких операций обслуживания на сервере - обязательный параметр задания в шедуллере содержит логин и пароль учетной записи, из-под которой стартует задание. Аналогично и с любым ярлыком - там настраивается, от имени кого запустить задачу. Аналогично в висте - в ярлыке можно указать, что задачу пускать с полными правами админа.

Олег, а как ты предлагаешь отлаживаться под юезерскими правами? Отладчику дельфей же нужны админские права или я ошибаюсь и есть финт ушами?
Не знаю насчёт Delfi, но OpenWatcom вот отлаживает и не под админом. И драйверов он точно не ставит. И право "Отладка программ" дано только администраторам. 8)

Аналогично и с любым ярлыком - там настраивается, от имени кого запустить задачу.Можете показать скриншот?

А зачем скриншот - это вопроизвести легко. Берем ярлык EXE файла, там нажимаем "Дополнительно ...", ставим птичку "Запускать с другими учетными данными". Сохраняем, при этом ничего видимо интересного не происходит. Далее запускаем программу с этого ярлыка, сситема спрашивает, чью учетную запись применить - текущую или выбранную. Если выбранную, предлагается указать какую и ввести пароль. Аналогично с заданиями шеделлера - там сразу задается учетная запись и пароль. Кстати говоря, шеделлир хранит логины и пароли, поэтому его можно применять как панель запуска программ от имени разных юзеров - в задании указать, что оно запускается вручную и всего делов. Но нужно помнить, что после эксремального твикинга, связанного с отключением всех служб подряд запуск от имени другого пользователя может не работать.

@ Олег:

Немного офф-топ: возможно стоит поговорить в отдельной теме про RunAs, особенно о том, как она реазизована на Висте. Например, как я понял, в Висте эта функция не работает с explorer.exe, так как тот уже занят с оболочкой. Однако, есть простой обход - запускать IE с RunAs и открыть всё, что угодно. Всё, что с ним открывается (например C:\, Control Panel, и т.д.) будет открыто с админ правами...
Конец офф-топа.

Paul

@ Олег:

Немного офф-топ: возможно стоит поговорить в отдельной теме про RunAs, особенно о том, как она реазизована на Висте. Например, как я понял, в Висте эта функция не работает с explorer.exe, так как тот уже занят с оболочкой. Однако, есть простой обход - запускать IE с RunAs и открыть всё, что угодно. Всё, что с ним открывается (например C:\, Control Panel, и т.д.) будет открыто с админ правами...
Конец офф-топа.

Paul
Я нечто подобное делаю с FAR-ом на Vista - он стартует у меня с правами админа

Я нечто подобное делаю с FAR-ом на Vista - он стартует у меня с правами админа
Но это вы сами - там риска нет. Я о юных пользователях (если у вас больше одного пользователя на одном компе) или об умниках на работе, которые знают пароль для повышения привилегий. Определённый риск есть, конечно, в этом RunAs...

Paul

Но это вы сами - там риска нет. Я о юных пользователях (если у вас больше одного пользователя на одном компе) или об умниках на работе, которые знают пароль для повышения привилегий. Определённый риск есть, конечно, в этом RunAs...

Paul
Согласен ... вот тут как раз шедуллер хорош - там логин/пароль вводится при создании задания, пользователю не показывается и для запуска знать его не требуется. И в добавок поменять задание не вводя повторно пароля нельзя.

Олег, некритичный баг в AVZ 4.30 присутствует:
при ключе Minilog=Y в протокол сканирования выводятся строки "1.5 Проверка обработчиков IRP", "Проверка завершена" и "Анализатор-изучается процесс xxx путь"
(в последнем случаи - естественно с разными xxx и путями) - насколько я понял, записей с НЕ КРАСНЫМ шрифтом выводиться не должно в этом режиме?

И ещё пара вопросиков:
1. Как AVZ и его Antirootkit реагирует, если несколько руткитов ставят свои перехваты на одно и тоже место (например, на одну функцию в какой-либо DLL) - т.е. перехваты идут как бы каскадом?
2. Можно ли выводить в протокол при user-mode перехватах (например, типа ProcAddressHijack или APICodeHijack) что-либо, кроме адреса перехватчика (может быть модуль DLL, где расположен перехватчик) - как это сделано, например, для kernel-mode?

Олег, некритичный баг в AVZ 4.30 присутствует:
при ключе Minilog=Y в протокол сканирования выводятся строки "1.5 Проверка обработчиков IRP", "Проверка завершена" и "Анализатор-изучается процесс xxx путь"
(в последнем случаи - естественно с разными xxx и путями) - насколько я понял, записей с НЕ КРАСНЫМ шрифтом выводиться не должно в этом режиме?

И ещё пара вопросиков:
1. Как AVZ и его Antirootkit реагирует, если несколько руткитов ставят свои перехваты на одно и тоже место (например, на одну функцию в какой-либо DLL) - т.е. перехваты идут как бы каскадом?
2. Можно ли выводить в протокол при user-mode перехватах (например, типа ProcAddressHijack или APICodeHijack) что-либо, кроме адреса перехватчика (может быть модуль DLL, где расположен перехватчик) - как это сделано, например, для kernel-mode?

Да, это глюк - в минилог в теории должно только критичное выводиться.
По вопросам:
1. да, конечно. Но "видит" он верхний перехват их нескольких, снимает он их всех
2. Можно - в принципе можно вывести машинный код, можно дизассемблированный кусок из первых трех-четырех команд

Такой вопрос.. по этой хорошей програмке. "Сервис" -> "Диспетчер служб и драйверов". Мне нужно к примеру удалить системную службу..выдает: служба "..." опознана как системная. Ее удаление автоматически заблокировано. Можно как-то разблокировать эту возможность? Спасибо.

BC_DeleteSvc('')

Убьет даже системную вроде бы...

BC_DeleteSvc('')

Убьет даже системную вроде бы...Вместе с файлом, что чревато падением системы.

Вместе с файлом, что чревато падением системы
Именно! Особенно если вспомнить, что большинство служб исполняет svchost.exe.


RegKeyDel('HKLM', 'SYSTEM\CurrenControlSet\Services\имя_службы');

(если лень в реестр ручками сходить).

Не лень, но высматривать так неудобно, служб показывает там намного больше чем через "службы", да и по названиям.. отличаются. У меня локализованный ос.

Добавлено через 4 часа 0 минут

Если через реестр "ручками", (вводил RegKeyDel('HKLM', 'SYSTEM\CurrenControlSet\Services\имя_службы');) выдает ошибку, то удалять нужно целый раздел с названием службы? или именно внутри него, что-то... А в самой программе эту возможность никак не разлочить?..

Если через реестр "ручками", (вводил RegKeyDel('HKLM', 'SYSTEM\CurrenControlSet\Services\имя_службы');) выдает ошибку, то удалять нужно целый раздел с названием службы? или именно внутри него, что-то...
Естественно надо до того, как службу удалить, её отключить и перезагрузить комп.
В реестре указано название службы, а в GUI Windows - 'Отображаемое имя'. Например:
Служба 'Вторичный ход в Систему' (Secondary Logon) на самом деле называется seclogon в реестре.
Название служб и их отображаемые имена можно найти здесь (http://www.oszone.net/2517/). Если вы там кое-какие не находите, то тогда Гугл всегда выручает.
P.S.: Если вы точно не разбираетесь в последствиях таких мер, то тогда лучше оставить службы в покое и просто отключить их.

Paul

Естественно надо до того, как службу удалить, её отключить и перезагрузить комп.
В реестре указано название службы, а в GUI Windows - 'Отображаемое имя'. Например:
Служба 'Вторичный ход в Систему' (Secondary Logon) на самом деле называется seclogon в реестре.
Название служб и их отображаемые имена можно найти здесь (http://www.oszone.net/2517/). Если вы там кое-какие не находите, то тогда Гугл всегда выручает.
P.S.: Если вы точно не разбираетесь в последствиях таких мер, то тогда лучше оставить службы в покое и просто отключить их.
PaulЕсли б я не разбирался, то наверно не спрашивал бы как удалить службу.) Имя службы я вводил правильно.. смотрел по тому же авз.. К примеру Themes. Из служб работают только:
Удаленный вызов процедур (RPC)
Службы криптографии
Сетевые подключения
Инструментарий управления Windows
Запуск серверных процессов DCOM
Журнал событий
Диспетчер учетных записей безопасности
Windows Audio
Plug and Play
и файервол.

Если б я не разбирался, то наверно не спрашивал бы как удалить службу.)
Я на самом деле не вам лично - считаю просто, что надо предупреждать слишком смелых.

Имя службы я вводил правильно.. смотрел по тому же авз.. К примеру Themes. Из служб работают только:
Удаленный вызов процедур (RPC), Службы криптографии, Сетевые подключения, Инструментарий управления Windows, Запуск серверных процессов DCOM, Журнал событий, Диспетчер учетных записей безопасности, Windows Audio, Plug and Play и файервол.
Если вы хотите удалить службу, то тогда надо её ключ в дереве слева целиком выдернуть из реестра.
Можно, конечно, по другому - через командную строку, вот так:
sc delete <service name> и перезагрузить комп.
Как я уже сказал: сначала отключить её (Тип Запуска на 'Отключено') и перезагрузить комп.
Вот что у меня осталось из 64 служб, которые были (некоторые там не виндовские):

http://i020.radikal.ru/0804/c3/37cbd09a2360.jpg

Paul

Если вы хотите удалить службу, то тогда надо её ключ в дереве слева целиком выдернуть из реестра.Спасибо за ответ. Вот об этом я и спрашивал! Конечно легче было бы через программу, если б можно было, но ничего со мной не случится если лишний раз в реестр залезу.) Вот мои пару служб.. принтер отключен но я включаю службу временами. P.s. Не по теме вопрос, но.. насчет остальных служб через реестр, тех которые не показаны через "службы" нигде упоминания случайно нет?

Спасибо за ответ. Вот об этом я и спрашивал! Конечно легче было бы через программу, если б можно было, но ничего со мной не случится если лишний раз в реестр залезу.) Вот мои пару служб.. принтер отключен но я включаю службу временами. P.s. Не по теме вопрос, но.. насчет остальных служб через реестр, тех которые не показаны через "службы" нигде упоминания случайно нет?
Здесь ещё парочка:
http://www.oszone.net/2357/Services
С теми, которые там НЕ называются, надо быть крайне осторожным - если они спрятаны от пользователей, то тогда на это, возможно, причина есть. При сомнении введите название в Гугл и там, скорее всего, можно ответ найти о том, что это такое и можно ли это отключить. Если можно отключить, значит можно удалить.
P.S.: В крайнем случае можно их создать заново:
cmd -> sc create <service name> (скорее всего потребуется установочный диск Windows)

Paul

Помню, AVZ и не у не всех юзермод перехватчиков показывает имена файлов.
К примеру:
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtQuerySystemInformation (263) перехвачена, метод APICodeHijack.PushAndRet
Функция ntdll.dll:RtlGetNativeSystemInformation (609) перехвачена, метод APICodeHijack.PushAndRet
Функция ntdll.dll: ZwQuerySystemInformation (1072) перехвачена, метод APICodeHijack.PushAndRet, а кто перехватывает - это оставляется как дополнительное задание пользователю.
Конечно, мне легко говорить в той области, где я не разбираюсь


Можно ли выводить в протокол при user-mode перехватах (например, типа ProcAddressHijack или APICodeHijack) что-либо, кроме адреса перехватчика (может быть модуль DLL, где расположен перехватчик) - как это сделано, например, для kernel-mode?


2. Можно - в принципе можно вывести машинный код, можно дизассемблированный кусок из первых трех-четырех команд

Мне как-то не разу не удалось для user-mode перехватчиков увидеть что-либо, кроме адресов в протоколе. Олег, можно ли выводить модули, где эти перехватчики расположены? Или есть условия, при которых либо выводятся модули, либо только адреса? Проясните Олег, ситуацию, если не затруднит...

Мне как-то не разу не удалось для user-mode перехватчиков увидеть что-либо, кроме адресов в протоколе.

Недавно боролся с user-mode руткитом HackDef. Вот как AVZ его определил - информация из лога AVZ:

1. Поиск RootKit и программ, перехватывающих функции API
>> Опасно ! Обнаружена маскировка процессов
>>>> Обнаружена маскировка процесса 1312 msdvdr.pif

В разделе "Подозрительные объекты":

C:\WINNT\system32\msdvdr.pif Подозрение на RootKit

Да, было бы неплохо, если бы отображался модуль юзермоде-перехватчика.

Реакция на перехват MessageBoxA и MessageBoxW:

1.1 Поиск перехватчиков API, работающих в UserMode
Функция user32.dll:MessageBoxA (477) перехвачена, метод APICodeHijack.JmpTo[00D42D4E]
Функция user32.dll:MessageBoxW (484) перехвачена, метод APICodeHijack.JmpTo[00D42EE6]

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
Hook_MessageBox.dll --> Подозрение на Keylogger или троянскую DLL
Hook_MessageBox.dll>>> Поведенческий анализ
Hook_MessageBox.dll>>> Нейросеть: файл с вероятностью 98.07% похож на типовой перехватчик событий клавиатуры/мыши

В принципе, если в пункте 5 всегда будет орать на юзермод перехваты, то этого будет достаточно, правда если будет несколько библиотек, перехватывающих функции, то будет непонятно кто чего перехватил.

Как я понял, чтобы посмотреть ручником, нужно уметь пользоваться отладчиком (SoftIce) ? :)

Что за прикол такой, всегда отлично обновлялось, а сегодня пишет:

http://i002.radikal.ru/0804/34/3e565dc327aa.jpg

-------------------------------------------------------

Добавлено позже:
Оказывается и сайт тоже не доступен.

Что за прикол такой, всегда отлично обновлялось, а сегодня пишет:

http://i002.radikal.ru/0804/34/3e565dc327aa.jpg
А что дает повтор через некоторое время или указание альтернативного зеркала ?

Спасибо !!!
Альтернативное зеркало помогло.
5 повторов в течении 20 минут не помогали.

А я и не обращал внимания, что там есть альтернативное зеркало.

Ошибку подтверждаю,при указании зеркала все нормально

Ошибку подтверждаю,при указании зеркала все нормально
Я провел внеочередное обновление - апдейт с z-oleg.com должен заработать

А что это он нашел у меня такое неопознаное?????????

\FileSystem\FastFat[IRP_MJ_CREATE] = 89D2D1E8 -> перехватчик не определен

А что это он нашел у меня такое неопознаное?????????

\FileSystem\FastFat[IRP_MJ_CREATE] = 89D2D1E8 -> перехватчик не определен


Это драйвер файловой системы FAT32. Т.е она защищает свои данные о названиях файлов, атрибутов вообщем.

А что это он нашел у меня такое неопознаное?????????

\FileSystem\FastFat[IRP_MJ_CREATE] = 89D2D1E8 -> перехватчик не определен

Либо алкоголь либо буткит.

Либо алкоголь либо буткит.

А буткит это опасно??
Вообще почему AVZ не определил модуль, это баг или фича?

А буткит это опасно??
Вообще почему AVZ не определил модуль, это баг или фича?
буткит- да, опасно :diablo:
Довольно прикалываться, как научиться avz определять не заваливая систему 100 процентов, тогда вы и увидите. А пока это не безопасно для системы, поэтому пока так.:P

AVZ 4.30, при при деактивации AVZGuard, система уходит в ребут с синим экраном, в журнале вот такая запись:

Компьютер был перезагружен после критической ошибки: 0x100000ce (0xbac59338, 0x00000008, 0xbac59338, 0x00000000).
файл мини-дампа, прилагается.

AVZ 4.30, при при деактивации AVZGuard, система уходит в ребут с синим экраном, в журнале вот такая запись:

файл мини-дампа, прилагается.



Windows XP Kernel Version 2600 (Service Pack 3)

У вас SP3 стоит ?

ujexmtm2.sys вероятнее всего вызвал сбой.

Попробуйте выполнить:

begin
ExecuteStdScr(6);
end.
И перезагрузится... проблема пропала?

Спасибо за совет, но прежде чем применить этот скрипт, хотелось бы узнать, что это за драйвер, и что исправляет этот скрипт.

Скрипт удаляет драйвера AVZ.

Т.е. с установленным СП3, я буду и в дальнейшем иметь подобные проблемы? Похоже буду, выполнил скрипт, опять синий экран и ребут. Хотелось бы услышать коментарий Олега Зайцева.

Т.е. с установленным СП3, я буду и в дальнейшем иметь подобные проблемы? Похоже буду, выполнил скрипт, опять синий экран и ребут. Хотелось бы услышать коментарий Олега Зайцева.
А откуда SP3 взялся, если не секрет ? На офсайте он вроде как не предлагается пока, Windows Update его тоже не предлагает ... множество сборок в Инет типа "100% подлинная версия Windows XP SP3 от Васи Пупкина" я не беру в расчет. Появится официальный SP3, приползет через апдейт, на нем будет проверено и в случае надобностии подрихтовано (драйвера AVZ хранятся в обновляемой базе, поэтому проблем не будет).

Т.е. с установленным СП3, я буду и в дальнейшем иметь подобные проблемы? Похоже буду, выполнил скрипт, опять синий экран и ребут. Хотелось бы услышать коментарий Олега Зайцева.

:) Проверьте файл установки SP3 - В нем есть Цифровая подпись от Microsoft? (В свойствах файла)

Вот фото

Несколько раз запускал сканирование папки с несколькими троянами
в параметрах поиска типы файлов - все, эвристика - на максимуме.
что то не так настроено?
все время пишет - просканировано: 0 файлов
3. Сканирование диска. - это строчка видимо показывает что сканирование файлов все-таки было? а сколько просканено,
если при вкл. отчете для чистых - ничего не пишет?
Опять же - что то не так настроено?
Перехвачены API функции - что делать, если проверка drweb
ничего не дала.
Вопрос Олегу. Иногда приходится, загружаться через безопасный режим
в консоль(когда - бывают иногда случаи), у почему бы не сделать консольный вариант с максимально продуманными настройками?
зы.лог приложен.

А откуда SP3 взялся, если не секрет ? На офсайте он вроде как не предлагается пока, Windows Update его тоже не предлагает ... множество сборок в Инет типа "100% подлинная версия Windows XP SP3 от Васи Пупкина" я не беру в расчет. Появится официальный SP3, приползет через апдейт, на нем будет проверено и в случае надобностии подрихтовано (драйвера AVZ хранятся в обновляемой базе, поэтому проблем не будет).

Релиз для производителей уже состоялся(смотрите раздел новостей). А скачать его можна например с www.softpedia.com :>

Добавлено через 16 минут

PS. проверил у себя, у меня проблем с включением-выключением AVZ Guard проблем нет.

Релиз для производителей уже состоялся(смотрите раздел новостей). А скачать его можна например с www.softpedia.com (http://www.softpedia.com) :>

Добавлено через 16 минут

PS. проверил у себя, у меня проблем с включением-выключением AVZ Guard проблем нет.
Про выпуск для производителей я слышал ... но беда в том, что этот выпуск интегрируют в XP и выкладывают в Инет все, кому не лень - поэтому не исключено, что у конкретного человека установлен пре-релиз SP3 или что-то кривособранное из Инет.

>>> Обратите внимание: Порт 6000 TCP - X Windows, Gambler NetGame, Remote Anything (c:\program files\xming\xming.exe)

Во-первых, маленькая поправка: не X Windows, а X Window, иначе M$ это дело бы так не оставила)
Во-вторых, может быть, стоит добавить этот X-сервер как безопасное приложение?

>>> Обратите внимание: Порт 6000 TCP - X Windows, Gambler NetGame, Remote Anything (c:\program files\xming\xming.exe)

Во-первых, маленькая поправка: не X Windows, а X Window, иначе M$ это дело бы так не оставила)
Во-вторых, может быть, стоит добавить этот X-сервер как безопасное приложение?
Буковку "s" убрать несложно, а вот насчет базы безопасных - вопрос спорный. Дело в том, что нередко средства удаленного управления применяются как админами, так и злоумышленниками (я например в своей сети запретил все средства удаленного управления клиентскими ПК)

Команда ExecuteSysClean не отрабатывает такой параметр автозапуска:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System

После проверки всех дисков и перезагрузки в системе обнаружено неопознаное новое устройство. В диспетчере устройств оно так и висит всё время.
Что бы это могло быть?

После проверки всех дисков и перезагрузки в системе обнаружено неопознаное новое устройство. В диспетчере устройств оно так и висит всё время.
Что бы это могло быть?
AVZGuard включался ? В любом случае стоит выполнить "Файл\Стандартные скрипты" в AVZ, там отметить скрипт номер 6, нажать кнопку выполнения и затем перезагрузиться. Может быть, это "хвост" от AVZGuard

AVZGuard включался ?
Да включался. При включённом AVZGuard кстати была тоже проблема - не получалось запустить ни один ехе, появлялось сообщение что у меня нет прав или что-то в этом духе. Скрипт выполнил, ещё не ребутился.
Спасибо за совет.

Да включался. При включённом AVZGuard кстати была тоже проблема - не получалось запустить ни один ехе, появлялось сообщение что у меня нет прав или что-то в этом духе. Скрипт выполнил, ещё не ребутился.
Спасибо за совет.
При включенном Гуарде так и должно быть. Для того, чтобы что-то включить/запустить надо его отключить.

Да включался. При включённом AVZGuard кстати была тоже проблема - не получалось запустить ни один ехе, появлялось сообщение что у меня нет прав или что-то в этом духе. Скрипт выполнил, ещё не ребутился.
Спасибо за совет.

http://z-oleg.com/secur/avz_doc/systemguard_main.htm вот это почитайте - Это прямое назначение AVZGuard-а

Решил написать сюда так как не могу найти никакой информации и отзывов. Что там насчет APS(Anti Port Scanner) Кто-нибудь этим еще пользуется или проект давно заброшен, а то что-то APS давно не обновляется, но в тоже время ее все еще можно скачать.
Тут на форуме поисковик не выдает никакой информации.

Решил написать сюда так как не могу найти никакой информации и отзывов. Что там насчет APS(Anti Port Scanner) Кто-нибудь этим еще пользуется или проект давно заброшен, а то что-то APS давно не обновляется, но в тоже время ее все еще можно скачать.
Тут на форуме поисковик не выдает никакой информации.
А собственно что там искать ? APS является типовым сторожем, который прослушивает описанные в базе порты и поднимает тревогу в случае подключения, подбивая статистику по тому, что, куда, откуда и сколько пришло. Глюкова значимых нет, практически весь мыслимый функционал для такой тулзы там есть ...

А собственно что там искать ? APS является типовым сторожем, который прослушивает описанные в базе порты и поднимает тревогу в случае подключения, подбивая статистику по тому, что, куда, откуда и сколько пришло. Глюкова значимых нет, практически весь мыслимый функционал для такой тулзы там есть ...

И что за все это время с 2004 года не понадобилось никаких изменений и дополнений ??? ;)
Ну хоть бы какие новые порты прослушивать научить нужно было. :D

И что за все это время с 2004 года не понадобилось никаких изменений и дополнений ??? ;)
Ну хоть бы какие новые порты прослушивать научить нужно было. :D
Так там же специально база сделана внешняя, XML, все документировано + есть встроенный инструментарий для редактирования этой базы (если кому XML не интересно править). Поэтому каждый может подогнать базу под себя ...

Так там же специально база сделана внешняя, XML, все документировано + есть встроенный инструментарий для редактирования этой базы (если кому XML не интересно править). Поэтому каждый может подогнать базу под себя ...

Ну хорошо предположим вы правы. Но почему на форуме не возможно найти никакой информации об этом. Об AVZ сколько угодно, а о APS никакой. Что тут на форуме эта программа никого не заинтересовала ???
Хотелось бы увидеть отзывы людей помогла ли она хоть кому, а найти ничего не возможно. ;)

Но почему на форуме не возможно найти никакой информации об этом. Об AVZ сколько угодно, а о APS никакой. Что тут на форуме эта программа никого не заинтересовала ???
Хотелось бы увидеть отзывы людей помогла ли она хоть кому, а найти ничего не возможно. ;)
Вот, есть кое-что :)
http://virusinfo.info/showthread.php?t=6342
http://virusinfo.info/showthread.php?t=9416

Олег, увидел кстати такую закономерность -
1. AVZ, как ни крути, не хочет проверять файлы в подкаталогах
в каталоге корня где находится сам AVZ. И почему то не делает
рескан этих подкаталогов. Т.е. вот у меня он установлен в каталоге
c:\my\Avz, (c:\my - юзерный), если живность завилась в c:\my\0\ -
то проверок ее он не делает...
2. Голословно при проверке архива 7z (запароленного)- говорит что он
чист, но про пароль и живность внутри забывает(забивает?).

Олег, увидел кстати такую закономерность -
1. AVZ, как ни крути, не хочет проверять файлы в подкаталогах
в каталоге корня где находится сам AVZ. И почему то не делает
рескан этих подкаталогов. Т.е. вот у меня он установлен в каталоге
c:\my\Avz, (c:\my - юзерный), если живность завилась в c:\my\0\ -
то проверок ее он не делает...
2. Голословно при проверке архива 7z (запароленного)- говорит что он
чист, но про пароль и живность внутри забывает(забивает?).
1. Это так специально и сделано. Иначе AVZ залечит свои собственные карантины ... Это описано в документации и кажется (не уверен на 100%) есть ключ командной строки, который отключает эту фичу
2. AVZ не проверяет архивы 7z - это довольно экзотический формат, в зловредах не применяется
2.1 AVZ, равно как и любой антивирус, вообще не проверяет запароленные архивы - пароля то он не знает. Для базовых типов архива есть фича - можно задать через скрипт или командную строку пароль по умолчанию для запароленных архивов

1. Это так специально и сделано. Иначе AVZ залечит свои собственные карантины ... Это описано в документации и кажется (не уверен на 100%) есть ключ командной строки, который отключает эту фичу
2. AVZ не проверяет архивы 7z - это довольно экзотический формат, в зловредах не применяется
2.1 AVZ, равно как и любой антивирус, вообще не проверяет запароленные архивы - пароля то он не знает. Для базовых типов архива есть фича - можно задать через скрипт или командную строку пароль по умолчанию для запароленных архивов

Нет, со вторым пунктом вы не правы. Ничего экзотического. Как раз сейчас 7-zip архивы очень распостраненны. И часто используются для запаковки файлов с вирусами так как многие антивирусы 7-zip не понимают. Да и просто по распостраненности этот архиватор второй после WinRar. ;)

+1 в поддержку 7-zip

Нет, со вторым пунктом вы не правы. Ничего экзотического. Как раз сейчас 7-zip архивы очень распостраненны. И часто используются для запаковки файлов с вирусами так как многие антивирусы 7-zip не понимают. Да и просто по распостраненности этот архиватор второй после WinRar. ;)
Со вторым пунктом я более чем прав ... 7-zip не распространен вообще (хотя обычно бывает так - человек пользуется чем-то, и думает, что именно оно очень распространено :) У нас одно подразделение пользуется ARJ древней версии под DOS, и всем доказывают, что это самый мощный и популярный в мире архиватор). А на самом деле 7-zip неизвестный науке формат, стандартом не является и система без установки дополнительного ПО не может распаковать такой файл (в отличие от CAB и ZIP). Следовательно, насколько станет лучше работа AVZ, если он станет проверять файлы в 7z архивах ?! ITW зловредов, рассылающих себя в 7z архивах нет, в обозримом времени не будет... а если кто-то присылает что-то, то собственно если хоть как-то пытаться изучать семплы, то их всеравно нужно извлечь из архива.

А на самом деле 7-zip неизвестный науке форматХм... Но он же открыт?!

Хм... Но он же открыт?!
И что из этого вытекает !? Я например знаю не менее полусотни открытых форматов сжатия, о которых большинство даже и не подозревает (если конечно не читали книги по теории сжатия информации и не видели описание этих алгоритмов). Операционная система не поддерживает формат 7z, и соотвесттвенно пользователь не может открыть такой архив без установки дополнительного ПО. А форматы CAB и ZIP поддерживаются встроенными средствами системы. Следовательно, если скажем почтовый червяк будет рассылать себя (или ссылку на себя) в ZIP, его смогут открыть 100% пользователей XP. А если в 7-zip, то может около 1%, а может и того меньше - те, кто его скачал и установил. Я провожу разную статистику, так вот по ней подавляющее большинство юзеров даже не знают о такм формате и никогда с ним не встречались. Проверить эту гипотезу крайне просто - поискать, в каком формате раздают файлы производители ПО и софтверные сайты :)

Да и просто по распостраненности этот архиватор второй после WinRar. ;)Ну а первым был и остается все-так WinZip :) 7z был и остается экзотикой. Да и Олег тут прав: некоторые фирмы просто привыкли к какому-то формату пакера и работают с ним. Еще можно LHA, TAR (любимец Модзиллы и Линукса) и GZIP вспомнить.

Ну а первым был и остается все-так WinZip :) 7z был и остается экзотикой. Да и Олег тут прав: некоторые фирмы просто привыкли к какому-то формату пакера и работают с ним. Еще можно LHA, TAR (любимец Модзиллы и Линукса) и GZIP вспомнить.
GZIP и TAR кстати поддерживаются в AVZ - именно из-за их поддержки в Linux, что делает их стандартов де-факто и в этом формате распространяется множество всего. Еще я в свое время сделал в AVZ поддержку CHM - он одно время был популярен как контейнер для ряда зловредов, да и сейчас он не менее опасен -работу с ним поддерживает система, и внутрь CHM архива можно поместить что угодно, например HTML страничку с зловредным скриптом + EXE. И файлы формата MSI поддерживаются - это стандарт инсталляции MS.

Олег а что будет если зверька запаковать в SFX архив на базе 7-zip(c LZMA сжатием)? ;)

Ну а первым был и остается все-так WinZip :) 7z был и остается экзотикой. Да и Олег тут прав: некоторые фирмы просто привыкли к какому-то формату пакера и работают с ним. Еще можно LHA, TAR (любимец Модзиллы и Линукса) и GZIP вспомнить.

Откуда вы такое взяли. WinZip пользуется все меньше и меньше людей. WinRar действительно очень распостранен. А 7-Zip сейчас установлен на каждом втором компе. Возьмите любую сборку винды или любой сборник софта на диске или просто раздающийся в интернете и там обязательно присутствует 7-Zip, пройдитесь по антивирусным форумам и помотрите сколько людей просит ввести поддержку формата 7-Zip. Плюс он все больше распостранен так как соотношение качество сжатия и скорость сжатия у него лучше чем у любого другого архиватора, плюс он бесплатный и мало весит.
Я не знаю не одного человека который бы не пользовался 7-Zip и знаю всего двух кто еще продолжает пользоваться WinZip.

P.S. Фактически я думаю что 7-Zip полностью заменит WinZip так как он делает тот же Zip архив но на 1-2% меньшего размера.

P.S.2 Чтобы вам было лучше понятно сейчас взял программу RapidUploader размер до сжатия 969Кб
1) Сжал WinRar - 934Kb
2) Сжал WinZip - 935Kb
3) Сжал 7-Zip - 467Kb

Это конечно не говорит об распостраненности 7-Zip, но зато говорит о том почему он так распостранен. Хотя может быть вы просто крутитесь на сайтах подобных вашему и не в курсе дела. Но назвать 7-Zip мало распостраненным ммммммда это прикол.

В справке AVZ написано:

procedure DelBHO(BHO : string);

Удаляет BHO с указанным CLSID. CLSID рекомендуется передавать без фигурных скобок.

А в протокле исследования системы, если нажать "удалить" для какого-нибудь BHO, чтобы добавить команду удаления в скрипт, добавляется команда DelBHO, где CLSID передается с фигурными скобками. Надо бы это поправить :)

Следовательно, если скажем почтовый червяк будет рассылать себя (или ссылку на себя) в ZIP, его смогут открыть 100% пользователей XP. А если в 7-zip, то может около 1%, а может и того меньше - те, кто его скачал и установил.

C чего это вдруг. Даже если следовать вашей логике то 1% откроет 7-zip архив с помощью 7-zip, остальные 99% с помощью WinRar :D

добрый день, при сканировании утилитой AVZ выводится сообщение на некоторые файлы
Прямое чтение C:\ (перечислять не буду)
Вопрос, что это такое и с чем это едят, может немного не по адресу но через поиск по сайту схожих тем не нашёл. заранее спасибо

добрый день, при сканировании утилитой AVZ выводится сообщение на некоторые файлы
Прямое чтение C:\ (перечислять не буду)
Вопрос, что это такое и с чем это едят, может немного не по адресу но через поиск по сайту схожих тем не нашёл. заранее спасибо

Прямое чтение применяется AVZ когда невозможно открыть файл обычными средствами на чтение. Суть его - получение списка кластеров на которых хранятся данные с помощью обращения к драйверу файловой системы. А потом чтение этих кластеров.

Так прямое чтение это опасно или нет? почему оно подсвечивается красным цветом? Это читает только сама утилита или могут посторонние читать эти файлы и получать к ним доступ?

Так прямое чтение это опасно или нет? почему оно подсвечивается красным цветом? Это читает только сама утилита или могут посторонние читать эти файлы и получать к ним доступ?

Вам в раздел "Помогите" (Правила прочтите) (http://virusinfo.info/showthread.php?t=1235)

Вам в раздел "Помогите" (Правила прочтите) (http://virusinfo.info/showthread.php?t=1235)
так мою тему из этого раздела и перенесли сюда, т.к. она там не по адресу была создана. Просто нигде я не нашёл что это такое и опасно или нет это? неужели не у кого небыло таких сообщений во время сканирования прогой? Если не трудно прошу ответить в этой ветке форума. Заранее спасибо.

Если не трудно прошу ответить в этой ветке форума. Заранее спасибо.

У Вас был вопрос по AVZ поэтому сообщение тут, если вопрос по вашему компьютеру, то согласно вышеприведённой ссылке с логами в форум "помогите". Если не трудно, прочтите и сделайте.

В менеджере открытых портов, на вкладке UDP еще остались глюки мультиязычности вида: $AVZ0955

Добавить механизм возвращения ключей в стандартное положение для для того чтобы иметь возможность видеть скрытые файлы и расширения.
Например вот такой, довольно популярный троян. Можно посмотреть ключи которые меняет тут:
http://www.threatexpert.com/report.aspx?uid=048e9431-4ae5-4af5-b0d2-0e1f1a66644f

Добавить механизм возвращения ключей в стандартное положение для для того чтобы иметь возможность видеть скрытые файлы и расширения.
Например вот такой, довольно популярный троян. Можно посмотреть ключи которые меняет тут:
http://www.threatexpert.com/report.aspx?uid=048e9431-4ae5-4af5-b0d2-0e1f1a66644f

Ну есть же скрипт №8... вы хотите копию его только видоизмененного?

Линк http://www.z-oleg.com/secur/avz/download.php
Error connecting to database.
Please try again.
То что с зеркал на обменниках народ плохо качает, так это потому что народ сидит за Nat в основном. С рапиды можно неделю ждать и так не скачать.

Ну есть же скрипт №8... вы хотите копию его только видоизмененного?
Проблема в том, что совсем не давно с этим зверем пользователь был, прописал 6,8 - всё равно пользователь не может поставить расширение файлов, чтобы было видно.Поэтому прошу Олега пересмотреть алгоритм лечения, как эталон заражения взять этого зверя.Если слишком трудоёмко, то добавить отдельно восстановление" видимости расширений".

Если слишком трудоёмко, то добавить отдельно восстановление" видимости расширений".

Мастер устранения проблем за ошибку считает НЕ показ расширений:

Показ скрытых осталось добавить...

Мастер устранения проблем за ошибку считает НЕ показ расширений:

Показ скрытых осталось добавить...
Да, это идет как "проблема очень низкой тяжести", по умолчанию это не предлагается.
Я могу сделать аналогичную фичу в визарде или отдельный стандартный скрипт, типа "включить показ скрытых и системных файлов" и соответственно "Отключить показ скрытых и системных файлов"

Да, это идет как "проблема очень низкой тяжести", по умолчанию это не предлагается.
Я могу сделать аналогичную фичу в визарде или отдельный стандартный скрипт, типа "включить показ скрытых и системных файлов" и соответственно "Отключить показ скрытых и системных файлов"
на твой выбор, главное чтобы было ;)

Здравствуйте. :boast:

После проверки всех дисков и перезагрузки в системе обнаружено неопознаное новое устройство. В диспетчере устройств оно так и висит всё время.
Что бы это могло быть?

AVZGuard включался ? В любом случае стоит выполнить "Файл\Стандартные скрипты" в AVZ, там отметить скрипт номер 6, нажать кнопку выполнения и затем перезагрузиться. Может быть, это "хвост" от AVZGuard
Подтверждаю слова Олега. Такой же глюк встретил на трёх своих ЭВМ. :gamer1: Причём после выполнения 3 cкриптов(кады сразу друг за другом идут). (2,3,4) Ежели их делать по отдельности. Глюков не наблюдал.:give_heart:
Я, кроме 6 скрипта, ещё и это вновь появившиеся устройство убивал.:soldier:
(до этого просто отключал) Так вот, после удаления и выполнения 6 стандатрного скрипта, глюк пропадает и больше не возвращаеться.:sarcastic_blum:

Можно настроить таймер на правелный учёт оставшегося времени, через вычисление среднего значения проверки одного файла?