Вышла новая новая версия AVZ - 3.50. Версия доступна для загрузки тут: http://z-oleg.com/secur/avz-dwn.htm (внимание ! Архив переименован - теперь он называется http://z-oleg.com/avz-betta3.zip)
Радикальные новшества:
1. Восстановление настроек системы дополнено микропрограммой для восстановления рабочего стола;
2. Существенно расширены микропрограммы эвристической проверки системы - добавлено около 50 микропрограмм, расширены уже существующие;
3. Подправлены мелкие глюки антируткита;
4. Подправлены разные мелкие глюки, найденные в ходе тестов.
----
Кроме того, расширена база - добавлено около 130 новых "зверей", усовершенствован эвристик. У версии 3.50 в базе 13698 сигнатур, 1 нейропрофиль, 55 микропрограмм лечения, 285 микропрограммы эвристики, 4 микропрограммы восстановления настроек системы, 30065 подписей безопасных файлов

1. Для процессов которые обнаружент через native API так и нет списка захруженных модулей.
2. Менеджер автозапуска на работе так и вылетает с ошибкой.
3. В "Модули пространства ядра" не хватает кнопочки "скопировать в карантин" и кнопочки "скопировать в карантин все неизвестные" :)
4. Диспетчет сервисов и драйверов->сохранить протокол. Нужна опция не писать в протокол известные файлы.

Посмотрите на мой лог.

В двух файлах AVZ подозревает Backdoor.Ferat.10, но KAV personal pro и NOD32 не чего не видят. Если нужно могу отправить эти файлы к вам на анализ.

А зачем нужна кнопочка "Не нажимать!!!"?

Так и хочется нажать ведь :)

А зачем нужна кнопочка "Не нажимать!!!"?

Так и хочется нажать ведь :)

Точно, не удержался :)
30секунд - полет нормальный :)

Точно, не удержался :)
30секунд - полет нормальный :)
А в Москве не могут понять почему опять взорвалась подстанция :(

Точно, не удержался :)
30секунд - полет нормальный :)
Это была кнопка запуска самоуничтожения :) А говоря серьезно, эта кнопка есть в приватных версиях - для тестирования новых фич движка без запуска сканирования всего диска. В данном случае при ее нажатии запускалось препарирование документа Word ... я обновил версию на моем сайте, кнопку эту убрал

Посмотрите на мой лог.

В двух файлах AVZ подозревает Backdoor.Ferat.10, но KAV personal pro и NOD32 не чего не видят. Если нужно могу отправить эти файлы к вам на анализ.
Backdoor.Ferat.10 - это ложное срабатывание, я вношу поправку в базы ... Сообщение "c:\1\SAMPLES.XLS_ThisWorkbook.txt" можно игнорировать - это связано с наличием кнопки "Не нажимать" - работал тестовый режим движка ... - все это удалено из обновленной версии (но раз уже из-за моего растяпства досталась "неправильная" версия, можно создать диске каталог "C:\1" и посторить сканирование - в нем будут созданы расшифрованные и нормализованные макросы из все проверяемых документов....)

1. Для процессов которые обнаружент через native API так и нет списка захруженных модулей.
2. Менеджер автозапуска на работе так и вылетает с ошибкой.
3. В "Модули пространства ядра" не хватает кнопочки "скопировать в карантин" и кнопочки "скопировать в карантин все неизвестные" :)
4. Диспетчет сервисов и драйверов->сохранить протокол. Нужна опция не писать в протокол известные файлы.
1. Мое упущение, сегодня подправлю
2. Будем ловить ...
3. Приделываю...
4. Приделаю ...

1. Мое упущение, сегодня подправлю
2. Будем ловить ...
3. Приделываю...
4. Приделаю ...

Олег, явно "сырая" версия... :) Практически ни один из старых "багов" версии 3.4x не исправлен... Может, стоило, "отладиться" на ком-нибудь (хотя бы на мне для начала), к чему было спешить?

Я вот еще что подумал: ты, что называется, новые версии "печешь, как пирожки" :). Немного изменились базы - и вот уже новая версия, а старые ошибки все тянутся и тянутся... В данном случае - при переходе с версии 3.45 сразу на 3.50 - предполагается некоторое изменение функциональности основного модуля AVZ, а не только его микропрограмм, чего не самом деле не произошло: основной модуль почти никак не изменился, а драйвер так просто остался старый со старыми "тараканами". :) Может, стоит подумать о другом подходе к версиям? Может, стоит сделать их отдельно по каждому компоненту (основной модуль, драйвер, базы - каждая в отдельности) и соответственно отражать эту информацию в окне "О программе"?

И еще... сдается мне, что информация о количестве микропрограмм того-то или микропрограмм сего-то носит чисто статистический и только тебе понятный характер (какая, к примеру, мне разница, 52 там микропрограммы лечения или 55 - я все равно не знаю, что они там у тебя лечат :)). Может, конечно, это кому-то интересно, но как-то сомнительно это... я бы, например, предпочел видеть вместо этой бессмысленной для меня информации номер версии и, возможно, дату последней модификации.

Предлагаю уже писать слово beta с одной t ;) глаз режет. Новую версию сейчас посмотрю ;)

Олег, явно "сырая" версия... :) Практически ни один из старых "багов" версии 3.4x не исправлен... Может, стоило, "отладиться" на ком-нибудь (хотя бы на мне для начала), к чему было спешить?

Я вот еще что подумал: ты, что называется, новые версии "печешь, как пирожки" :). Немного изменились базы - и вот уже новая версия, а старые ошибки все тянутся и тянутся... В данном случае - при переходе с версии 3.45 сразу на 3.50 - предполагается некоторое изменение функциональности основного модуля AVZ, а не только его микропрограмм, чего не самом деле не произошло: основной модуль почти никак не изменился, а драйвер так просто остался старый со старыми "тараканами". :) Может, стоит подумать о другом подходе к версиям? Может, стоит сделать их отдельно по каждому компоненту (основной модуль, драйвер, базы - каждая в отдельности) и соответственно отражать эту информацию в окне "О программе"?

И еще... сдается мне, что информация о количестве микропрограмм того-то или микропрограмм сего-то носит чисто статистический и только тебе понятный характер (какая, к примеру, мне разница, 52 там микропрограммы лечения или 55 - я все равно не знаю, что они там у тебя лечат :)). Может, конечно, это кому-то интересно, но как-то сомнительно это... я бы, например, предпочел видеть вместо этой бессмысленной для меня информации номер версии и, возможно, дату последней модификации.
Ну, версии каждого компонента ввести легко - но не будет ли путаницы ?? Дело в том, что появление новых версия с мин. переделками диктуется только одним - в базы потоком попадает "зверье", по 100-200 образцов в неделю. Как следствие, нужно обновлять базы ... - приходится вместе с программой. Или отдельно, но заморозив развитие AVZ - отсюда и выпуск промежуточных версий.
С микропрограммами нужно думать - кол-во микропрограмм несет вполне реальный смысл - это по сути количество семейств зверей, которые лечатся/диагностируются МП. Но суть это мало отражает - количество микропрограмм может не измениться, а внутренне содержимое их может поменяться радикально ... - у каждой базы есть дата/время ее сборки, оно хранится в заголовке. Можно вывести список баз с указанием их даты

Зайцев Олег смотри приват. =)

Ну, версии каждого компонента ввести легко - но не будет ли путаницы ?? Дело в том, что появление новых версия с мин. переделками диктуется только одним - в базы потоком попадает "зверье", по 100-200 образцов в неделю. Как следствие, нужно обновлять базы ... - приходится вместе с программой. Или отдельно, но заморозив развитие AVZ - отсюда и выпуск промежуточных версий.

А почему может возникнуть путаница? Мне кажется - даже наоборот, т.к. введение версий для каждого компонента позволит четко отделить развитие самого AVZ и наполнение его баз. Сейчас действительно ситуация парадоксальна - в базе появивилось несколько десятков новых троянов, и это сразу же отражается на версии программы, хотя последняя может совсем не измениться! Если так пойдет, скоро уже и до 10-й версии доберемся, а там и до 100-й недалеко! :) Есть ли в этом смысл?

Да и на сайте в таком случае есть смысл держать как последнюю полную сборку (все последние компоненты вместе), так и каждую компоненту в отдельности - ведь размер полного AVZ уже приблизился к мегабайту, а когда проект только начинался - помнишь, какой он был? :)

С микропрограммами нужно думать - кол-во микропрограмм несет вполне реальный смысл - это по сути количество семейств зверей, которые лечатся/диагностируются МП. Но суть это мало отражает - количество микропрограмм может не измениться, а внутренне содержимое их может поменяться радикально ... - у каждой базы есть дата/время ее сборки, оно хранится в заголовке. Можно вывести список баз с указанием их даты
Вот и я про то же: смысл этих микропрограмм, их наполнение и функциональность понятна только тебе одному и больше никому. Это ведь не сигнатуры, которые действительно отражают вполне понятные вещи!

Прикупил тут позавчера журнал ][акер №5 май 2005. Вчера сижу, листаю журнал, бегло просматриваю статьи. Натыкаюсь на статью про руткиты и начинаю внимательно читать статью. (стр. 52, "Кошмарное ПО"). Автор с двойным ником ( и одним на двоих номером аськи ) Петя и Волк описывают, что такое руткит. Весь тон статьи какой-то испуганный, я бы сказал-- панический.
Автор (авторы?) дают название и описание шести руткитов. Затем дают описание и название двух программ для обнаружения руткитов. Первая--VICE. Вторая-- Rootkit Revealer, указываются её авторы (Брюс Когсвел и Марк Русинович) и сайт www.sysinternals.com . Указываются недостатки обеих программ, в частности, что они не могут удалять руткиты.

А теперь самое главное!
В последней главке статьи упоминается AVZ. Что лично меня покоробило, так это то, что автор не упомянул ни имя\фамилию разработчика, ни сайт. Правда, отметили, что AVZ может удалять руткиты.

Вообщем, очень не понравилось мне, что про AVZ упоминули как-то вскользь, мимоходом, под конец статьи. Хотя, получается, что программа Олега на порядок лучше первых двух программ, так как умеет удалять руткиты.

Тут возник у меня вопрос. На работе стоит антивирус. Понятно что этот антивирус (Trend Micro) перехватывает работу с диском, однако АВЗ никаких перехватов не находит. Почему?

Автор (авторы?) дают название и описание шести руткитов. Затем дают описание и название двух программ для обнаружения руткитов. Первая--VICE. Вторая-- Rootkit Revealer, указываются её авторы (Брюс Когсвел и Марк Русинович) и сайт www.sysinternals.com . Указываются недостатки обеих программ, в частности, что они не могут удалять руткиты.

А теперь самое главное!
В последней главке статьи упоминается AVZ. Что лично меня покоробило, так это то, что автор не упомянул ни имя\фамилию разработчика, ни сайт. Правда, отметили, что AVZ может удалять руткиты.


Ну, какой журнал - такие и авторы... а что, его еще кто-то читает, этот "Хацкер"? :)

Автора VICE там ведь тоже не упомянули? Может и не знают даже, т.к. в основном известен его ник, fuzen_op, но не имя, хотя и имя есть и, само собой, фамилия... :) Вот и книжка его про руткиты, написанная вместе с Грегом Хоглундом, скоро появится в продаже... А что он автор руткита FU, тоже не упомянули? А про F-Secure BlackLight - очень интересную программу, которая умеет ловить руткитов, используя smart-технологии, тоже не сказали? :) Ну, а что же вы тогда хотите? Какой журнал, такие и статьи...

Тут возник у меня вопрос. На работе стоит антивирус. Понятно что этот антивирус (Trend Micro) перехватывает работу с диском, однако AVZ никаких перехватов не находит. Почему?
Потому, что AVZ видит перехваты функций в нескольких системных библиотеках + некоторые перехваты системных сервисов на уровне ядра. Это лишь малая толика из того объема технологических приемов, которые могут использоваться для контроля функций системы. В частности, чтобы "перехватывать работу с диском", совсем не обязательно делать перехваты "в стиле AVZ", есть и другие варианты. То же касается и сети, и ряда других компонентов ОС. То, что сейчас видит AVZ - это лишь небольшой кусочек из этого арсенала вариантов, который применяется лишь примитивными руткитами + рядом файерволлов + рядом антивирусов. Перефразируя известную фразу, можно сказать: "не надо делать из AVZ культа"! :) AVZ имеет некоторые анти-руткитовые технологии и умеет видеть некоторые руткиты и с некоторыми из них (для которых в AVZ есть сигнатуры) умеет бороться! И это все! Но... уже и этого немало! :)

AVZ имеет некоторые анти-руткитовые технологии и умеет видеть некоторые руткиты и с некоторыми из них (для которых в AVZ есть сигнатуры) умеет бороться! И это все! Но... уже и этого немало! :)
Ну что же. Остаётся надеяться что со временем слово "некоторые" можно будет заменить на "большинство" :)

Ну что же. Остаётся надеяться что со временем слово "некоторые" можно будет заменить на "большинство" :)
Конечно! И все мы в той или иной мере (кто поиском багов, кто советом, кто какой-то свежей мыслью и т.д.) этому способствуем! :)

Конечно! И все мы в той или иной мере (кто поиском багов, кто советом, кто какой-то свежей мыслью и т.д.) этому способствуем! :)
Ну, я думаю с поиском руткитов - это как с поиском вирусов - когда я читаю в очередном обзоре, что некий антивирь X может поймать 99.99% заранее неизвесных вирусов/троянов, это вызывает не более как улыбку - всегда можно найти некую методику, которую этот антивирь не изловит. То-же самое с руткитом ... тут имхо нужно давить методы, имеющие распространение по мере их появления.

to Geser


Тут возник у меня вопрос. На работе стоит антивирус. Понятно что этот антивирус (Trend Micro) перехватывает работу с диском, однако АВЗ никаких перехватов не находит. Почему?

Есть две базовые методики перехвата операций с файлами - перехват на уровне функций, вызываемых через SDT (или адрес в KiST, или первые команды кода функции), или написание драйвера-фильтра. Последнее вроде-бы даже как более корректно ... Так вот драйвера-фильтры AVZ пока не ловит, и неизвестно, будет ли ловить на автомате .... а вот сам драйвер от Trend Micro "поймать" легко - он будет в списке модулей пространства ядра

Так вот драйвера-фильтры AVZ пока не ловит, и неизвестно, будет ли ловить на автомате ....
Почему нет?

Ну, я думаю с поиском руткитов - это как с поиском вирусов - когда я читаю в очередном обзоре, что некий антивирь X может поймать 99.99% заранее неизвесных вирусов/троянов, это вызывает не более как улыбку - всегда можно найти некую методику, которую этот антивирь не изловит. То-же самое с руткитом ... тут имхо нужно давить методы, имеющие распространение по мере их появления.

Кстати, внутренние тесты Лаборатории Касперского показывают, что т.н. "проактивная защита" (т.е. использование различных методов предупреждения внедрения вирусов в систему путем резидентного мониторинга) имеет эффективность более 90% на заранее неизвестных вирусах! Это было одной из причин внедрения такого модуля в новый Kaspersky KIS2006, первая бета которого должна появится к середине июня. Про 99.99% я, честно говоря, ни у кого не видел. :)


...а вот сам драйвер от Trend Micro "поймать" легко - он будет в списке модулей пространства ядра
А если ты заранее не знаешь его имени или времени появления в системе, или он не содержит в себе никакой идентификации, как в драйверах от Alcohol или Daemon Tools? :) И "вычисляй" его потом среди сотни драйверов!!! :) Тогда уже лучше как минимум иметь под руками монитор типа Process Guard или PrevX Pro и ловить это "добро" на этапе пролезания в систему!

Во-первых, почему-то оказалась не реализована очевидная вещь:
в стринг-гриде вы отображаете список файлов (например "Модули пространства ядра"). Почему бы не сделать контекстное меню (по правой клавиши мыши) со следующими пунктами:
1. Скопировать имя файла
2. Google... (поиск в google по имени файла. Довольно популярная команда, использутеся от Starter'a до продуктов SysInternals)
3. Свойства. (показать свойства этого файла)

Во-вторых: Аналогичная возможность, в списках процессов с управлением "видимостью/невидимостью" окон. Очень полезно, и совершенно не трудоёмко в реализации: дескриптор окна у вас уже есть, достаточно по меню или по клику на ячейке таблицы с видимостью выполнить ShowWindow(Handle, SW_RESTORE)

Т.е. мне кажется надо позиционировать программу не только для "чайников" - запустил и забыл, но и как расширенный инструмент для более опытных. Конечно в TaskInfo превращать её не надо, но некоторые похожие функции были бы очень к месту.
А вообще программа очень даже не плохая. Главное что бы у вас не угасал энтузиазм и вы продолжали её развивать.


ЗЫ. По поводу сканирования.
Является ли \newdotnet\newdotnet6_38.dll вирусом Spy.NewDotNet, как пишет ваша программа? На сколько мне известно это модуль расширяет пространство имен интернет "создавая" короткие синонимы для для длинных адресов.

--------------------------------------------------------------------
ICQ:239279945

Во-первых, почему-то оказалась не реализована очевидная вещь:
в стринг-гриде вы отображаете список файлов (например "Модули пространства ядра"). Почему бы не сделать контекстное меню (по правой клавиши мыши) со следующими пунктами:
1. Скопировать имя файла
2. Google... (поиск в google по имени файла. Довольно популярная команда, использутеся от Starter'a до продуктов SysInternals)
3. Свойства. (показать свойства этого файла)

Во-вторых: Аналогичная возможность, в списках процессов с управлением "видимостью/невидимостью" окон. Очень полезно, и совершенно не трудоёмко в реализации: дескриптор окна у вас уже есть, достаточно по меню или по клику на ячейке таблицы с видимостью выполнить ShowWindow(Handle, SW_RESTORE)

Т.е. мне кажется надо позиционировать программу не только для "чайников" - запустил и забыл, но и как расширенный инструмент для более опытных. Конечно в TaskInfo превращать её не надо, но некоторые похожие функции были бы очень к месту.
А вообще программа очень даже не плохая. Главное что бы у вас не угасал энтузиазм и вы продолжали её развивать.


ЗЫ. По поводу сканирования.
Является ли \newdotnet\newdotnet6_38.dll вирусом Spy.NewDotNet, как пишет ваша программа? На сколько мне известно это модуль расширяет пространство имен интернет "создавая" короткие синонимы для для длинных адресов.

--------------------------------------------------------------------
ICQ:239279945
1. Контекстное меню - это интересно, беру на заметку и добавлю при слудующем апдейте.
2. ShowWindow(Handle, SW_RESTORE) для окна - тоже интересно, это было и было убито, т.к. некоторые программы не любят принудительное отображение своих скрытых окон. Но как пункт всплявающего меню это можно сделать, тем более что в реализации это одна строка кода :)
3. Spy.NewDotNet - это SpyWare программа, которая вклинивается в LSP и официальное ее назначение - это поддержка несуществующих официально доменных имен в пространствах типа .xxx, .club и т.п. Это как минимум AdWare программа ... проверить правильность моих слов можно, проведя onLine проверку данного файла на http://www.virustotal.com/ ... как минимум 2-3 антивируса ее задетектируют. в категорию "Spy" я занес ее за скрытную установку и скрытую закачку своих обновлений и скрытный обмен с рядом серверов в Инет.
Вот пример - я для теста поставил последнюю версию и оставил компьютер на 5 мин, вот фрагменты обмена:


GET http://client.newdotnet.net/?version=393246&tag=upgrade&first_time=true&search=1&ec=140
ответ - ... http://client.newdotnet.net/download/upgrade.cab ...

GET http://client.newdotnet.net/download/upgrade.cab HTTP/1.0
User-Agent: New.net Client
ответ - cab файл, после этого был проинсталлен новый DLL файл ...

GET http://crl.thawte.com/ThawtePremiumServerCA.crl HTTP/1.1
ответ - длинный текстовый файл со строками вида
040819213740Z0... [ú.

GET http://client.new.tech/?version=393254&tag=upgrade&ptr=NN100&search=1&ec=100 HTTP/1.0

GET http://client.newdotnet.net/?version=393254&tag=upgrade&ptr=NN100&search=1&ec=140 HTTP/1.0

а вот такой косяк - АВЗ нашел подозрительный файлик, скопировал в карантин. И одна из следующих папок для проверки - его собственный карантин. И - все. Пошло по циклу - проверяет, находит подозрительный, копирует, и снова проверяет - до бесконечности. и потом фиг остановишь. У меня кнопка "стоп" подействовала минут через 10. Результат - 2000 подозрительных файлов в карантине.

Глючёкс - если запустить AVZ с диска отличного от того, на котором установлена винда, то - в логе можно наблюдать такую бяку -


1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (\WINXP\system32\ntoskrnl.exe)

Вот лог. Server2003ent. В качестве удалённого управления установлена RealVNC - на что программа и "ругается". Может быть есть занести известные "RAdminы" в список? Хотя особого смысла нет, кто знает тот и так поймёт. (5800 - это порт RealVNC для управление через Web)

5. // (Keylogger, DLL)
C:\TOTALCMD\Tools\RealVNC\VNC4\wm_hooks.dll --> Keylogger DLL
C:\TOTALCMD\Tools\RealVNC\VNC4\wm_hooks.dll>>> : 99.91% /
C:\WINDOWS\system32\ntshrui.dll --> Keylogger DLL
C:\WINDOWS\system32\ntshrui.dll>>> : 0.64% /
C:\WINDOWS\system32\WLDAP32.dll --> Keylogger DLL
C:\WINDOWS\system32\WLDAP32.dll>>> : 0.55% /
C:\WINDOWS\system32\serwvdrv.dll --> Keylogger DLL
C:\WINDOWS\system32\serwvdrv.dll>>> : 0.71% /
6. TCP/UDP,
320
130 TCP 29 UDP
>>> : 5800 TCP - Backdoor.Ontarg, Backdoor.VB), RemEye 1.0, Soho Anywhere (c:\totalcmd\tools\realvnc\vnc4\winvnc4.exe)

Вот лог. Server2003ent. В качестве удалённого управления установлена RealVNC - на что программа и "ругается". Может быть есть занести известные "RAdminы" в список? Хотя особого смысла нет, кто знает тот и так поймёт. (5800 - это порт RealVNC для управление через Web)

5. // (Keylogger, DLL)
C:\TOTALCMD\Tools\RealVNC\VNC4\wm_hooks.dll --> Keylogger DLL
C:\TOTALCMD\Tools\RealVNC\VNC4\wm_hooks.dll>>> : 99.91% /
C:\WINDOWS\system32\ntshrui.dll --> Keylogger DLL
C:\WINDOWS\system32\ntshrui.dll>>> : 0.64% /
C:\WINDOWS\system32\WLDAP32.dll --> Keylogger DLL
C:\WINDOWS\system32\WLDAP32.dll>>> : 0.55% /
C:\WINDOWS\system32\serwvdrv.dll --> Keylogger DLL
C:\WINDOWS\system32\serwvdrv.dll>>> : 0.71% /
6. TCP/UDP,
320
130 TCP 29 UDP
>>> : 5800 TCP - Backdoor.Ontarg, Backdoor.VB), RemEye 1.0, Soho Anywhere (c:\totalcmd\tools\realvnc\vnc4\winvnc4.exe)
Эти файлы можно загнать в базу безопасных, но для RA наверное не стоит - если человек сам его поставил - он действительно поймат, а вот если ему кто-то его поставил - вот тут другое дело....

Спасибо за отличную программу!!!

1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (\WINXP\system32\ntoskrnl.exe)
Путь относительный, на диске, с которого запускалась AVZ, его и нету.
При запуске avz с системного диска все благополучно нашлось.

1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082B80)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559B80
KiST = 804E2D20 (284)
Функция ZwClose (19) перехвачена (805675D9->F8273D98), перехватчик F:\WINXP\system32\drivers\fwdrv.sys
Функция ZwCreateFile (25) перехвачена (8057164C->F8273962), перехватчик F:\WINXP\system32\drivers\fwdrv.sys
Функция ZwCreateKey (29) перехвачена (8056F063->F8270C50), перехватчик F:\WINXP\system32\drivers\fwdrv.sys
Функция ZwCreateProcess (2F) перехвачена (805B3543->F8273443), перехватчик F:\WINXP\system32\drivers\fwdrv.sys
Функция ZwCreateProcessEx (30) перехвачена (805885D3->F8273324), перехватчик F:\WINXP\system32\drivers\fwdrv.sys
Функция ZwCreateThread (35) перехвачена (8057F262->F82736F5), перехватчик F:\WINXP\system32\drivers\fwdrv.sys
Функция ZwDeleteKey (3F) перехвачена (8059D6BD->F8270FC1), перехватчик F:\WINXP\system32\drivers\fwdrv.sys
Функция ZwDeleteValueKey (41) перехвачена (80597430->F8270FFA), перехватчик F:\WINXP\system32\drivers\fwdrv.sys
Функция ZwOpenFile (74) перехвачена (805715E7->F8273AE7), перехватчик F:\WINXP\system32\drivers\fwdrv.sys
Функция ZwOpenKey (77) перехвачена (805684D5->F8270E3B), перехватчик F:\WINXP\system32\drivers\fwdrv.sys
Функция ZwResumeThread (CE) перехвачена (8057F8D5->F827374B), перехватчик F:\WINXP\system32\drivers\fwdrv.sys
Функция ZwSetInformationFile (E0) перехвачена (80579E7E->F8273C9D), перехватчик F:\WINXP\system32\drivers\fwdrv.sys
Функция ZwSetValueKey (F7) перехвачена (80575527->F8271086), перехватчик F:\WINXP\system32\drivers\fwdrv.sys
Функция ZwWriteFile (112) перехвачена (8057A125->F8273C50), перехватчик F:\WINXP\system32\drivers\fwdrv.sys
Проверено функций: 284, перехвачено: 14, восстановлено: 0

Это драйвер Kerio Personal Firewall 4, версия драйвера 4.0.5806.0.

ЗЫ: Отличная фича, респект.

С "\WINXP" баг удалось поймать - AVZ просто не может найти файл по такому пути - у него путь преобразуется в полный (начиная с буквы диска), в результате небольшой ошибочки преобразование шло не так, как надо ... сейчас все поправлено, в новой версии глюк исчезнет

Для Зайцева Олега - Future Request:

1. Предлагаю в "Диспетчер процессов" AVZ добавить параметр "Скрывать безопасные файлы" (включен по умолчанию).
Это существенно бы упростило визуальное обнаружение в памяти небезопасных процессов и DLL, а то приходится долго просматривать все процессы или копировать все небезопасные в Карантин.

2. И еще, в "Диспетчере процессов" не плохо бы было добавить кнопочку "Копировать ВСЕ небезопасные файлы в Карантин", при нажатии на которую в Карантин бы помещались ВСЕ небезопасные процессы и DLL в памяти компьютера, а то копировать DLL для каждого процесса в отдельности утомительно...

Спасибо за внимание.

Поддерживаю предыдущего оратора :)

Поддерживаю предыдущего оратора :)
Логично, постараюсь добавить ... правда это несколько поломает идеалогию, но в принципе сложного ничего нет.

Вообще, кнопка "не показывать безопасные" нужна везде (во всех утилитах), или хотя бы сортировка, сначала все неизвестные, а потом все известные

Вообще, кнопка "не показывать безопасные" нужна везде (во всех утилитах), или хотя бы сортировка, сначала все неизвестные, а потом все известные
В новой версии будет генерация HTML описания ПК (все, что размазано по всем окнам). Там однозначно уже есть фильтр по безопасным файлам и по дефолту от включен). Я думаю, для анализа это будет удобнее - AVZ генерит HTML со всеми данными, он уже отфильрован и его будет удобно читать и постить в конференции. Аналогичная возможность появится во всех окнах - генерация HTML отчета.

Несколько багов AVZ 3.50:
1. "Сервис -> Проверить файл по базе безопасных файлов" - невозможно проверить файлы с расширением *.DLL, их нет в списке файлов.
2. "Сервис -> Поиск файла на диске" - если стоит галка "Исключить файлы, известные AVZ как системные и безопасные", то проверяется не только отмеченная папка, но и все папки высшего уровня. При снятой галке - только отмеченная.

Олег, а какова вероятность, что может появиться вирус с такой же контрольной суммой, как и один из безопасных файлов в базе AVZ?

Олег, а какова вероятность, что может появиться вирус с такой же контрольной суммой, как и один из безопасных файлов в базе AVZ?
Вероятность совпадения очень низкая - файл идентифицируется по размеру + полной контрольной сумме всего файла (на сумму отведено 32 бита, формула учитывает позицию байт внутри файла). Вероятность совпадения размера и CRC вредоносного файла и полезной программы очень низкая.
Баги, описанные выше я сегодня вечером посмотрю и поправлю.

когда увидет свет английская версия ? очень нуно :0

Вышла версия AVZ 3.55 - лежит на прежнем месте. Исправлено и доделано:
1. Почти во всех окнах сделано сохранение HTML протокола
2. В большинстве окон, отображающих табличные данные, приделана сортировка по всем полям
3. В диспетчере процессов прикручено мею по правой кнопке мыша - из него можно убить процесс, копировать в карантин, искать в Инет файл по имени файла в google, yandex и rambler
4. Обновлена база - 14262 сигнатуры, 1 нейропрофиль, 55 микропрограмм лечения, 289 микропрограмм эвристики, 30065 безопасных файлов
5. Доработано восстановление системы
6. Доработана система сбора информации о состеме
7. Устренен баг в драйвере (ошибка чтения ...) и ошибка поиска ядра в некоторых версиях XP
8. Устранен баг с циклическим карантином
9. Доработана процедура удаления файла/отложенного удаления

Олег, может имеет смысл на Вашем сайте размещать MD5 для программного архива?
еще... "мелкие придирки" по AVZ.
1. неединообразный интерфейс. Кнопочки функций разбросаны по всему окну, могут быть где угодно – вверху, справа, внизу, это не есть хорошо.
2. исследование системы. После завершения работы собственно не заметно, завершилось исследование или нет. Может быть, сразу надо открывать html-отчет браузером по умолчанию.

Кстати, может багтрекер поставить для АВЗ?
http://phpbt.sourceforge.net/
http://www.mantisbt.org/

Кстати, может багтрекер поставить для АВЗ?
http://phpbt.sourceforge.net/
http://www.mantisbt.org/
У меня на сервере нет поддержки скриптов, так что багреггер не пойдет ...

Олег, может имеет смысл на Вашем сайте размещать MD5 для программного архива?
еще... "мелкие придирки" по AVZ.
1. неединообразный интерфейс. Кнопочки функций разбросаны по всему окну, могут быть где угодно – вверху, справа, внизу, это не есть хорошо.
2. исследование системы. После завершения работы собственно не заметно, завершилось исследование или нет. Может быть, сразу надо открывать html-отчет браузером по умолчанию.
MD5 - нет проблем, это легко ...
1. да, интерфейс постепенно я привожу к однотипному виду. Правда, я не знаю, где лучше делать панель инструментов - справа или сверху ...
2. Да, в исследовании системы однозначно это нужно - я сделаю так - после окончания анализа будет выдано окно с сообщением, что анализ завершен и предложением открыть полученный файл в браузере

У меня на сервере нет поддержки скриптов, так что багреггер не пойдет ...
Можно здесь поставить.

MD5 - нет проблем, это легко ...
1. да, интерфейс постепенно я привожу к однотипному виду. Правда, я не знаю, где лучше делать панель инструментов - справа или сверху ...
2. Да, в исследовании системы однозначно это нужно - я сделаю так - после окончания анализа будет выдано окно с сообщением, что анализ завершен и предложением открыть полученный файл в браузере

1. по MD5 - это есть на сайте SpyBot$Destroy, как-то спокойнее становится, когда проверяешь программкой типа FileAlyzer. :)
2. панель инструментов сбоку, по-моему, не принято размещать, либо вверху, либо внизу, но если Вы используете фреймы со вкладками, то не очень и вверху. Лично я при разработке программ, предпочитал размещать кнопочки или панель инструментов в верхней части, ну и далеко ходить не надо... есть Word, Excel и т.д.. (думаю, типовые кнопки следует размещать в строго определенной позиции, а остальные функциональные там где удобнее ими пользоваться.)

md5 в смысле проверки скаченного архива на целостность?

md5 в смысле проверки скаченного архива на целостность?
Ну да - имея MD5 можно проверить загруженный файл на предмет сбоев, и по MD5 легко отслеживать изменения.

Отчёт исследования системы выглядит ужасно и нечитаем :(

Отчёт исследования системы выглядит ужасно и нечитаем :(
Что конкретно нечитаемо ? Коряво смотрится список процессов при включении показа DLL, это факт ... но я не знаю, как сделать красивее/читабельнее. Идеи есть ? Мне, естественно, непринципиально, в каком виде выводить данные - так что я жду предоложений по внешнему виду отчета, в идеале - шаблон в HTML

Что конкретно нечитаемо ? Коряво смотрится список процессов при включении показа DLL, это факт ... но я не знаю, как сделать красивее/читабельнее. Идеи есть ? Мне, естественно, непринципиально, в каком виде выводить данные - так что я жду предоложений по внешнему виду отчета, в идеале - шаблон в HTMLможет поманипулировать со шрифтами и кодировками, у меня отчет например нормально читаться стал, раньше были проблемы, а можно предложить на выбор в каком формате сохранить лог, как такой вариант?

может поманипулировать со шрифтами и кодировками, у меня отчет например нормально читаться стал, раньше были проблемы, а можно предложить на выбор в каком формате сохранить лог, как такой вариант?
Собственно, если проблема с кодировкой - то тут все просто, нужно приделать заголовок со стандартными тегами, указывающими кодовую страницу. я это следаю

Собственно, если проблема с кодировкой - то тут все просто, нужно приделать заголовок со стандартными тегами, указывающими кодовую страницу. я это следаюэто уже функциональнее будет, а значит удобнее.
Кстати вот насчет пользовательского интерфейса можно подумать как еще доработать. Согласен насчет панели инструментов, надо ее вверх вынести.

Ну, как минимум всем таблицам поставить ширину 100%
Бордюры сделать линией, а не трёхмерными выступами, а то об них глаза сломаеш.
Процесс и его модули сделать в той же раблице, и выделить строку файла цветом фона.
Что-то типа такого

Ну, как минимум всем таблицам поставить ширину 100%
Бордюры сделать линией, а не трёхмерными выступами, а то об них глаза сломаеш.
Процесс и его модули сделать в той же раблице, и выделить строку файла цветом фона.
Что-то типа такоготолько вот кодировки пошаливают в таблице ((

Олег, по версии AVZ 3.55:
1. Заметил такой баг в "Исследовании системы": безопасный процесс использует небезопасную DLL, но информация о ней не попадает в отчет. Хотя тот же безопасный svchost.exe может использовать кучу небезопасных DLL.
2. Согласен с Geser'ом, отчет avz_sysinfo надо делать читабельнее: избавиться от кучи повторяющихся шапок и отделить цветом процессы от DLL. Вариант Geser'а выглядит неплохо.
3. И все-таки, фильтр "Скрыть безопасные" и кнопка "Копировать ВСЕ небезопасные процессы и DLL в Карантин" очень бы помогли в "Диспетчере процессов".

Ну, как минимум всем таблицам поставить ширину 100%
Бордюры сделать линией, а не трёхмерными выступами, а то об них глаза сломаеш.
Процесс и его модули сделать в той же раблице, и выделить строку файла цветом фона.
Что-то типа такого
ну вот, это уже что-то - беру за рабочий прототип

Олег, по версии AVZ 3.55:
1. Заметил такой баг в "Исследовании системы": безопасный процесс использует небезопасную DLL, но информация о ней не попадает в отчет. Хотя тот же безопасный svchost.exe может использовать кучу небезопасных DLL.
2. Согласен с Geser'ом, отчет avz_sysinfo надо делать читабельнее: избавиться от кучи повторяющихся шапок и отделить цветом процессы от DLL. Вариант Geser'а выглядит неплохо.
3. И все-таки, фильтр "Скрыть безопасные" и кнопка "Копировать ВСЕ небезопасные процессы и DLL в Карантин" очень бы помогли в "Диспетчере процессов".
1. Да, такое явление есть - если не установлена птичка анализировать DLL, то использующий небезопасные DLL процесс в списке не появится
2. Так и сделаю
3. Кнопку "опировать ВСЕ небезопасные процессы и DLL в Карантин" я уже приделываю, насчет "Скрыть безопасные" - думаю. Дело в том, что реализовать ее сложно - AVZ не строит полный список всех процессов и библиотек, а для сокрытия это необходимо
----
еще момент - по многочисленным пожеланиям я добавлю кнопочку "Информация о файле" во все окна - чтобы по найденному файлу можно было посмотреть базовойю информацию типа даты/времени, размера, полного списка копирайтов, таблицы импорта/экспорта - в общем, базовая информация.

В исследовании системы нужно добавить опцию автоматически собрать в архив все неизвестные файлы. Для того что бы эфективно использовать это дело, количество неизвестных файлов в отчётах должно быть небольшим, а значит нужно регулярно добавлять в базы все "хорошие" файлы.

А 15 метров адаваре и пр. найденных каспером, примите?
Или в сети выложить?

1. Да, такое явление есть - если не установлена птичка анализировать DLL, то использующий небезопасные DLL процесс в списке не появится
Да в том-то и дело, что птичка "Библиотеки процессов" установлена, но в отчет небезопасные DLL безопасных процессов не попадают, а есть только небезопасные DLL небезопасных процессов.
Проверял на нескольких компьютерах - результат один: в отчете нет ни одного небезопасного DLL, используемого безопасным процессом, хотя в "Диспетчере процессов" они присутствуют!

Олег, вот еще предложение, человек пишет
Rebiata izvinite no u menia net russkogo shrifta..
Ya sdelal kak vi govorili, no AVZ u menia ne rabotayet, vo pervih potomu chto na moyei vinde net ruskogo, i esho potomu chto AVZ vidayot mne kakuyu to figovinu katoruyu ya ne mogu prochitat... Mojet vso ravno pomojete?
Ya dobavil suda logi...

можно это исправить в АВЗ ???

http://virusinfo.info/showthread.php?t=2705

Олег, вот еще предложение, человек пишет
Rebiata izvinite no u menia net russkogo shrifta..
Ya sdelal kak vi govorili, no AVZ u menia ne rabotayet, vo pervih potomu chto na moyei vinde net ruskogo, i esho potomu chto AVZ vidayot mne kakuyu to figovinu katoruyu ya ne mogu prochitat... Mojet vso ravno pomojete?
Ya dobavil suda logi...

можно это исправить в АВЗ ???

http://virusinfo.info/showthread.php?t=2705

Да, вроде там шрифты какието свои - когда делаешь copy-paste вылазять кракозябры.

А 15 метров адаваре и пр. найденных каспером, примите?
Или в сети выложить?
Положи где-нибудь и пошли ссылку Олегу, он заберёт.

А 15 метров адаваре и пр. найденных каспером, примите?
Или в сети выложить?
15 MB действительно лучше всего положить куда-то на FTP/HTTP ...

Насчет лога - описанная ситуация возникает из-за того, что идет попытка сохранения лога через буфер обмена. Если его сохранить кнопкой сохранения справа от протокола, то все будет нормально и лог будет читабельным. Это, к сожалению, особенность работы Delphi приложения с буфером Windows. Я сейчас занят переписыванием копирования в буфер - если его реализовать "вручную", то все будет нормально.

Так как на счёт поставить тут багтрекер для АВЗ?
avz.virusinfo.info? Нужно?
А потом, хотел сказать по поводу открытых портов. Нынешняя система с опасными портами в основном попадает пальцем в небо. Предлагаю сделать по другому. Для каждого процесса хранить список портов которые он обыжно открывает, и в случае если им открыт нестандартный порт писать предупреждение в лог. Так же писать в лог все порты открытые процессами которые не находятся в списке "хороших".

Так как на счёт поставить тут багтрекер для АВЗ?
avz.virusinfo.info? Нужно?
А неплохо бы...

Так как на счёт поставить тут багтрекер для АВЗ?
avz.virusinfo.info? Нужно?
А потом, хотел сказать по поводу открытых портов. Нынешняя система с опасными портами в основном попадает пальцем в небо. Предлагаю сделать по другому. Для каждого процесса хранить список портов которые он обыжно открывает, и в случае если им открыт нестандартный порт писать предупреждение в лог. Так же писать в лог все порты открытые процессами которые не находятся в списке "хороших".
ну, по поводу баг-реггера подумать можно, в принципе вещь полезная ... просто не хочется тебя грузить этой проблемой (это же нужно скрипты эти устанавливать, в них могут быть уязвимости ...). Я когда-то у себя хотел такую штутку сделать - потом плюнул ... основные баги регистрируются достаточно небольшим кругом лиц ...
Насчет связи "процесс-порт" я думал, но тут есть о чем подискутировать.
Начнем с того, как это работает сейчас:
Eсть база, в ней поля "порт", "протокол", "описание", "код категории", "МП проверки". Код категории - это набор битовых флагов, т.е. один и тот-же порт может одновременно относиться к нескольким категориям. Далее строится список портов и при обнаружении описанных в базе идет сообщение. МП проверки сейчас не применяется, но поддерживается (входные параметры - имя программы, порт и протокол). База обновляемая, хранится в файле ports.avz
В настоящий момент есть три проблемы:
1. Динамические порты. Т.е. открываемый системой порт может по заоны Мэрфи совпасть с портом некоего трояна. Напрашивается решение - не показывать порты, открываемые опознанными системными программами... но тут есть проблема - порт может открыть не сама программа, а нечто, внедренное в нее - там поступают многие трояны для обхода Firewall
2. Динамически назвачаемые порты троянов - их разработчики давно поняли, что админы начнут сканировать сеть в поиске известных открытых портов ... сканеры у меня даже студенты на практике пишут, их готовых великое множетсво - как противодействие в конфиге трояна/Backdoor задается произвольный порт. Тогда его можно ловить "от противного", имея базы "правильных" портов и "правильных" программ
3. Работа без открытия порта - например BHO и прочая дребедень - по моей статистике это теперь популярнее всего.

кстати снова в журнале "хацкер" упоменаеться АВЗ, но как обяно ни автора ни ссылки :( зволичи, хотя то что уже упоминают это уже гуд. И снова в теме rootkit.

В журнале «Подводная лодка» (сайта у них пока нет, но тираж 50 тысяч) за июнь опубликована небольшая заметка об AVZ с перечислением основных достоинств и ссылкой. Кстати, на наш форум ссылка там тоже есть.
Так что, надеюсь, популярность AVZ – только вопрос времени.

Надо будет почитать ...
----
Новшество для критики и предложений - http://z-oleg.com/secur/avz_doc/ - новая документация по AVZ, точнее ее прототип. Раньше я вручную делал хелп, теперь я применил систему автодокументирования - это проще, т.к. можно одним маход делать документацию в виде HLP/CHM, HTML для сайта + PDF и DOC для печати.

В настоящий момент есть три проблемы:
1. Динамические порты. Т.е. открываемый системой порт может по заоны Мэрфи совпасть с портом некоего трояна. Напрашивается решение - не показывать порты, открываемые опознанными системными программами... но тут есть проблема - порт может открыть не сама программа, а нечто, внедренное в нее - там поступают многие трояны для обхода Firewall

Я же и говорю. Для каждого известного процесса держать список портов которые он обычно открывает. Если же открыт нестандартный порт, то выдавать предупреждение.
Для неизвестных процессов всегда сообщать об открытых портах.

хм... если говорить о вероятностьях. Давайте вспомним математику.
файл размером 1 байт составляет 8 бит - кол-во значений (множество) из 2^8 = 256
файл размером 4 байта - 32бита составляет множество значений 2^32 = 4294967296
Именно таково количество вариантов контрольной суммы crc32
файл размером 5байт = 40бит - составит множество 2^40 = 1099511627776 значений, что на 8бит (256) больше множества значений контрольной суммы crc32.
Во сколько раз множество из 5байт больше множества из 4байт - столько одинаковых контрольных сумм можно составить. Иначе бы не было закона сохранения. Как говориться нельзя запихнуть незапихуемое.

Контрольная сумма не открывает гиперпространства для хранения информации. 100%ая гарантия может быть только если её размерность совпадает с размерностью защищаемой информации. Ни кто не мешает вирусу забить в своё тело битиков до размера kernel32.dll, а потом модифицируя этот пустой участок подогнать свою контрольную сумму до контрольной суммы оригинальной kernel32.dll, которая теперь лежит рядом под каким-нибудь благозвучным названием типа, prefetch.dll

Последний мой пост был ответом к этой фразе.

Олег, а какова вероятность, что может появиться вирус с такой же контрольной суммой, как и один из безопасных файлов в базе AVZ?

Т.е. вероятность повреждения файла, с условием неизменности контрольной суммы - стремиться к нулю. Вероятность какого либо иного случайного изменения содержания файла - тоже. Умышленное изменение файла - может дать 100% совпадение. Труднее будет подобрать две контрольные суммы, например md5 и crc32 - тут придётся комбинировать с подбором - также этот подбор займёт много времени. Так что это может быть даже проще вычисления цифровой подписи, не надо выправлять сертификат и следить уже за его целостностью)

Последний мой пост был ответом к этой фразе.
На сколько я знаю АВЗ не использует CRC32, а использует свой алгоритм. Так что подгон CRC32 ничего не даст. А вероятность случайного совпадения ничтожно мала.

На сколько я знаю АВЗ не использует CRC32, а использует свой алгоритм. Так что подгон CRC32 ничего не даст. А вероятность случайного совпадения ничтожно мала.
Да, в AVZ не применяется стандартная CRC ... т.е. конечно можно изучить его алгоритм и при подгонять CRC "зверя", но это весьма сложно и я не втречал вирусов, для которых бы подгоняли контрольную сумму под что-либо. Тем не менее я это предвидел и исходная база (по которой генерятся файлы для AVZ хранит MD5, CRC32, копирайты файла, его размер + весь файл целиком). Наличие внушительной базы "чистых" объектов позволяет, скажем, ловить ложные срабатывания эвристика и решать ряд другиз задач ... в частности, я в любой момент могу поменять алгоритм расчета CRC - и я буду периодически это делать - для профилактики.
to Lucefer
размер "5 байт" на файл в AVZ - это с учетом компрессии. Реальный размер - 8 байт (32 бита на размер файла + 32 на сумму). Подогнать размер и сумму одновременно сложнее, и наличие размера в базе ускоряет проверку - какой смысл считать/сравнивать CRC файла, если заведомо известно, что файла с таким размером в базе нет ...

У меня следующий вопрос:
при запуске AVZ 3.55 программа пишет, что открыт "опасный порт" 1034, который используется червем I-worm.mydoom.m.
Outpost пишет, что порт используется skype.exe.

При этом ни AVZ, ни Dr.Web, ни Nod ничего не находят.
Вообщем никаких признаков червя найти не удалось.

Значит ли это, что AVZ проверяет в данном случае только номер открытого порта?
И фактически это не означает, что компьютер заражен.

Заранее спасибо!

конечно, если AVZ нашел открытый "подозрительный" порт - это еще не означает, что его открыл вирус, при этом AVZ проверяет только номер порта ... Стоит прислать этот skype.exe для анализа

skype.exe это программа Интеренет-телефонии (www.skype.com), что-то вроде ICQ.
Я просто из-за излишней подозрительности :) думал о маскировке червя под skype :).Еще раз спасибо за ответ.

skype.exe это программа Интеренет-телефонии (www.skype.com) (http://www.skype.com)/), что-то вроде ICQ.
Я просто из-за излишней подозрительности :) думал о маскировке червя под skype :).Еще раз спасибо за ответ.
да не за что - но прислать то ее всеравно стоит - на [email protected] - я ее в базы безопасных включу

да не за что - но прислать то ее всеравно стоит - на [email protected] - я ее в базы безопасных включу

Отправил. Весит 12 Мб.

Спасибо, я ее помещу в базы безопасных

У меня следующий вопрос:
при запуске AVZ 3.55 программа пишет, что открыт "опасный порт" 1034, который используется червем I-worm.mydoom.m.
Outpost пишет, что порт используется skype.exe...


Вопрос к Олегу. А может стоит сделать так, чтобы AVZ писал какой процесс или программа использует этот порт?

Вопрос к Олегу. А может стоит сделать так, чтобы AVZ писал какой процесс или программа использует этот порт?

AVZ это пишет, к примеру:
---
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 12 TCP портов и 17 UDP портов
>>> Опасно: Порт 5000 TCP - Cервис UPNP, Bubbel, Back Door Setup, Sockets de Troie, Socket 23 (c:\windows\system32\svchost.exe)
---

Такая же информация есть и в 'Сервис' -> 'Открытые порты TCP/UDP'.

Я так понимаю, это на известные или стандартные, как их ещё назвать, а вот у меня тоже было как описано:" Опасно, порт 1034 ...", а вот что его использовало, такого не было. Или я не прав?

Я так понимаю, это на известные или стандартные, как их ещё назвать, а вот у меня тоже было как описано:" Опасно, порт 1034 ...", а вот что его использовало, такого не было. Или я не прав?
Маловероятно, что такое могло быть... Насколько я себе представляю логику работы AVZ, для каждого порта, который отображается в списке портов TCP/UDP, обязательно должен быть указан процесс (вместе с именем программы), который его использует. Если это не так, то, скорее всего, это был какой-то глюк. :) Тут, правда, есть одно "но", связанное с тем, что системный вызов, используемый для получения этой инф-ции, является неофициальным в линейке Windows 9x (и, кажется, если я не ошибаюсь, и в Windows 2000) - так что тут (теоретически) могут быть некие "подводные камни", хотя, я полагаю, вряд ли...

И еще: если про какой-то порт написано "опасно!", то рядом с номером порта должно быть краткое описание "зверей", которые могут этот порт использовать в своих неблаговидных целях! А в списке открытых портов такая строка к тому же выделяется красным цветом.

Ладно, в следующий раз более внимательно посмотрю.

Ладно, в следующий раз более внимательно посмотрю.
aintrust абсолютно точно описал логику проверки портов, я могу только внести небольшое уточнение - отображение соответствия порт<->процесс происходит только в XP и W2K3. В W2K такое возможно с помощью некоторого шаманства, но в AVZ это не реализовано.

aintrust абсолютно точно описал логику проверки портов, я могу только внести небольшое уточнение - отображение соответствия порт<->процесс происходит только в XP и W2K3. В W2K такое возможно с помощью некоторого шаманства, но в AVZ это не реализовано.
И все-таки я оказался неправ, предположив, что в линейке Windows 9x и в Windows 2k процессы также отображаются... :embarasse Каюсь!

Вывод: переползайте на "современные" операционки! :) Написал - и сам засмеялся... :L

Вывод: переползайте на "современные" операционки!

У меня на работе W2k, а на другие ОС нужны деньги. :( С людьми в сером знакомиться не хочется.

Плиз, если я чего-то не понял, или повторил ранее сказанное, не судите строго.

О логике работы программы.

На мой взгляд, в архитектуре программы заложены два параллельных механизма работы. (И это несколько запутывает пользователя программы, каким я являюсь, по мере дальнейшего усложнения функционала программы.)

1. анализ-сканирование системы с блокированием-без блокирования руткитов, с последующим запуском сканирования с включением параметров лечения.
2. параллельно создан механизм создания-просмотра таблицы инфицированных, подозрительных файлов-объектов с последующим их анализом-(отложенным) удалением.

Замечания.

1. На сегодняшний день непонятна логика отложенного удаления файла. Какие файлы будут удалены? Те, что выбраны в режиме диалога, или те, что были обнаружены в результате сканирования и не были излечены в данном сеансе работы AVZ?

2. Есть ли смысл в параметре “проверять - не проверять запущенные процессы”? (Если однозначно – проверять!) Чтобы отключить повторную проверку при сканировании диска? (В данном случае, лучше перестраховаться и проверять процессы всякий раз.)

3. Несколько непонятна логика с параметрами лечения.
Подозрительные объекты копируются в карантин при сканировании без лечения или при лечении? (если при лечении, тогда почему данный параметр доступен для выбора без флажка «выполнить лечение»?)

Насколько я понимаю, в карантин помещаются подозрительные файлы для их последующего анализа и вынесения им приговора – удалить или восстановить, типа, «казнить или помиловать». Да, эти действия доступны при работе уже с карантином.

Предложение.

1. текстовый (информационный) лог программы является рабочим до тех пор, пока не включено сканирование диска. После включения сканирования диска (или при обнаружении зараженных, подозрительных файлов) – основным «рабочим логом» должна быть формируемая (как в drWeb, в старом PestPatrol еще) таблица инфицируемых и подозрительных файлов, причем для каждой категории объектов таблицы уже (перед сканированием, в параметрах лечения) определены параметры: «удалить-переместить в infected», «лечить», «в отчет», «переместить в карантин». Либо так: в основное окно программы по умолчанию выводится информационный лог, но при нажатии на кнопочки (информационный лог, таблица объектов) – можно переключать просмотр либо информационного лога, либо таблицы объектов.
2. Далее по таблицу – либо решение очистить (полностью, частично) таблицу, либо «исполнить наказание». Второе действие возможно как для отдельного объекта таблицы, так и для всей таблицы в целом. Во втором случае отрабатывают процедуры лечения-удаления, а для «особо неизлечимых» формируется-редактируется лог-таблица на отложенное удаление.
3. Тогда в главном меню программы – «отложенное удаление» – это есть просмотр-управление таблицей объектов для отложенного удаления (кстати, при последующем запуске АВЗ, или при запуске режима «отложенное удаление» можно проверить наличие в системе файлов приведенных в данной таблице для удаления, чтобы убедиться, что они действительно были удалены. Если по разным причинам данные объекты не были удалены, возможно повторное их удаление после новой перезагрузки).


И…, какой все-таки должна быть логика работы с АВЗ? Если допустить, что комп заражен руткитами, кейлоггерами.

По замечаниям:
1. Отложенное удаление позволяет удалить указанный пользователем файл (любой, хоть kernel32.dll) при его вызове из меню "Файл\Отложенное удаление". Кроме того, оно включается автоматически в ходе лечения - если обнаружен вредоносный объект и его удаление невозможно, то он автоматом ставиттся на отложенное удаление
2. Смысл есть - например, для админа, сканирующего что-то на сетевых ресурсах - многочисленны повторные проверки памяти могут занимать лишнее время
3. В AVZ есть два понятия - карантин и Infected. В карантин копируются подозрительные объекты (вручную или автоматом при включении птички на главном окне) - копирование в карантин не зависит от лечения. Infected - это папка, в которую помещаются резервные копии удаляемых в ходе лечения файлов (для коллекции или на случай востановления). Птичка "копировать удаляемые в Infected" имеет смысл только при включенном лечении - если лечение выключено, то она недоступна

по предложениям:
1. Это логично. Поэтому справа от протокола есть кнопка для вызова таблицы. В таблице отображаются только подозрительные объекты + объекты, признанные вредоносными в случае, если автоматическое лечение отключено. В ьаблице можно отметить любые файлы и поместить их в карантин или удалить (удаление обычное + отложенное автоматом)
2. Именно так и реализовано - только отложенное удаление срабатывает автоматом в случае невозможность выполнить обычное (об этом кстатив главном логе делается отметка)
3. Не совсем понял - для отложенного удаления таблица не нужна ... оно системное и как-бы дополниттельно инициировать его особой нужды нет ...
----
Если есть руткиты/кейлггеры, известные AVZ - он их прибъет при включенном лечении. Если подозрения - по однозначно стоит прислать на анализ логи и подозрительные файлы - в принципе, подробные рекомендации есть вот тут - http://z-oleg.com/secur/avz_doc/, раздел 6.

По замечаниям:
1. Отложенное удаление позволяет удалить указанный пользователем файл (любой, хоть kernel32.dll) при его вызове из меню "Файл\Отложенное удаление"...

Понятно... отложенное удаление возможно выполнять из программы для файлов, еще не детектируемых АВЗ.

по предложениям:
1. Это логично. Поэтому справа от протокола есть кнопка для вызова таблицы. В таблице отображаются только подозрительные объекты + объекты, признанные вредоносными в случае, если автоматическое лечение отключено. В ьаблице можно отметить любые файлы и поместить их в карантин или удалить (удаление обычное + отложенное автоматом)...

может быть, имеет смысл автоматически помечать вредоносные объекты в данной таблице при сканировании без удаления?

Понятно... отложенное удаление возможно выполнять из программы для файлов, еще не детектируемых АВЗ.

может быть, имеет смысл автоматически помечать вредоносные объекты в данной таблице при сканировании без удаления?
В 3.60 есть автопометка вредоносных объектов - по типам, все подозрения, все вирусы и т.п. - через меню по правой кнопке.
----------------
Тема закрывается по причине выхода 3.60

Стоит прислать этот skype.exe для анализа
Олег, погляди на него повнимательней. похоже, что из-за него у нас человека уже не первый раз от инета отрубают. он кучу соединений создает типа:
CONNECT 80.108.122.231:443 HTTP/1.0
CONNECT 80.108.247.130:443 HTTP/1.0
CONNECT 83.248.137.15:443 HTTP/1.0
причем ломится, как и прописано в настройках, через прокси НО...
либо без логина/пароля, либо с неправильными
может это и шибка в программе, а может и...