Просмотр полной версии : AVZ - доработки, пожелания и их реализация
Зайцев Олег
26.10.2005, 21:54
Задача этой темы - собрать воедино все пожелания и предложения по AVZ, поскольку иначе они растворяются в темах по обсуждению версий.
Фундаментальные доработки или новые функции:
1. MUI - мультиязычный интерфейс.
Статус - в разработке. Ожидается в версии 4.xx, пробные варианты будут раньше
2. Скрипты для virusinfo.info
Реализована в 4.00
3. Переделка системы протоколирования (RichEdit, поддержка больших протоколов и выделение цветом)
Статус - в разработке, ожидается в версии 4.+
4. Автоматическое обновление баз через Инет
Статус - реализовано в версии 4.00
5. Менеджер Hosts + лечилка типовых вещей, типа блокировки обновления баз известных антивирусов
Статус - анализатор реализован в 4.00, автолечение - появится в 4.+
6. Проверка файлов по каталогу безопасности Microsoft
Статус - реализовано в 4.00
7. Поддержка 7-zip, rar, популярных криптеров
Реализована поддержка RAR, на очереди RAR SFX, ZIP SFX
8. Поддержка сканированяи памяти с применением нейросети для поиска новых разновидностей троянов
Статус - Первая версия реализована в 4.10
9. Внесение драйвера в ресурс с его копированием в Temp перед загрузкой, защита программных модулей ЭЦП
Статус - в разработке, ожидается в версии 4.+
10. Диспечер для заданий шедулера и показ заданий в логе и исследовании системы.
Статус - реализован в 4.00
Глюки, ошибки, недоработки
1. Менеджер расширенний проводника - решить проблему с "черными дырами" - ссылками, которым не находятся соотв. файлы.
Статус - частично исправлено, в разработке
2. Поддержка правильного поиска файлов с именами типа "C:\WINDOWS\system32\dumprep 0 -k" в автозапуске и службах
Статус - частично исправлено, в разработке
3. Зачистка временных файлов AVZ при выходе из него
Статус - введена функция удаления файлов при выходе
4. В "Драйверах" не опознаются (AVZ не может найти, но они есть на диске) файлы без пути и расширений, хотя они есть в базе безопасных AVZ. Имена этих файлов совпадают с названиями драйверов (значениями в поле "Служба"), имеют расширения *.SYS, лежат в стандартных местах и благополучно запускаются системой.
Статус - исправлено, версия 4.00
5. В "Модулях расширений Internet Explorer" AVZ не находит плагины, запускаемые скриптами.
Статус - доработано, версия 4.00
Контроль целостности программных модулей AVZ (подсчет CRC и т.п.)
1. Диспечер для шедулера и показ заданий в логе.
2. ? MUI в какой версии ожидается - 4.+ :) ?
3. Предложение, уже обсуждалось, но в итоге завяло и похоже близко к скрепостижной кончине - создать на форуме раздел FAQ по AVZ с описанием, и поддержкой, потому как Олег фактически занимаеться разработкой один и я думаю не откажется спихнуть часть "рутины" в виде вопросов пользователей на форум, я думаю хелперы в состоянии ответить на 90% вопросов, соответственно этот раздел должен дыть тоже MUI или в виде отдельного форума с "англоязычным" фейсом.
к примеру avz.virusinfo.info :) Скорее этот вопрос "в развитие" форума, а не AVZ.
Контроль целостности программных модулей AVZ (подсчет CRC и т.п.)
ASPACK ? + сплавить avz.sys в ресурс, или аналогичный пакер с контролем CRC? К примеру халявный ACProtect.
ASPACK ? + сплавить avz.sys в ресурс, или аналогичный пакер с контролем CRC? К примеру халявный ACProtect.
Думаю, Олег смог бы сам сделать контроль целостности понадежней или, по крайней мере, не менее надежный чем предлагает большинство протекторов, некоторые из которых, к тому же, стоят денег.
Думаю, Олег смог бы сам сделать контроль целостности понадежней или, по крайней мере, не менее надежный чем предлагает большинство протекторов, некоторые из которых, к тому же, стоят денег.
Возни много, можно просто подписать файл ЭЦП и запихать её в базу, защита от "дурака", выше смысла делать я Imho не вижу.
Зайцев Олег
26.10.2005, 22:57
1. Диспечер для шедулера и показ заданий в логе.
2. ? MUI в какой версии ожидается - 4.+ :) ?
3. Предложение, уже обсуждалось, но в итоге завяло и похоже близко к скрепостижной кончине - создать на форуме раздел FAQ по AVZ с описанием, и поддержкой, потому как Олег фактически занимаеться разработкой один и я думаю не откажется спихнуть часть "рутины" в виде вопросов пользователей на форум, я думаю хелперы в состоянии ответить на 90% вопросов, соответственно этот раздел должен дыть тоже MUI или в виде отдельного форума с "англоязычным" фейсом.
к примеру avz.virusinfo.info :) Скорее этот вопрос "в развитие" форума, а не AVZ.
Я за создание раздела техподдержки AVZ обеими руками - просто конференция то по вирусологии.... Хотя с другой стороны можно всобачить в лог и хелп рекомендацию с проблеми по вирусологии идти на virusinfo - я и так часто заворачиваю туда юзеров, которм явно нужен комплексный тест ПК.
про MUI, ЭЦП и т.п. я внес в список
Вот это, пожалуйста, добавьте в шапку... Уже третий месяц напоминаю... :(
1. В "Драйверах" не опознаются (AVZ не может найти, но они есть на диске) файлы без пути и расширений (см. лог), хотя они есть в базе безопасных AVZ. Имена этих файлов совпадают с названиями драйверов (значениями в поле "Служба"), имеют расширения *.SYS, лежат в стандартных местах и благополучно запускаются системой.
2. В "Модулях расширений Internet Explorer" AVZ не находит плагины, запускаемые скриптами (подробное описание здесь (http://virusinfo.info/showpost.php?p=57672&postcount=277)).
1. Диспечер для шедулера и показ заданий в логе.
про MUI, ЭЦП и т.п. я внес в список
???
По п.6 - при этом необходимо также сравнивать хэши ЭЦП Майкрософта с эталонными, зашитыми в программу и защищёнными в ней. А то вдруг ещё может так получиться, что троян будет подписан фальшивой подписью, положенной им же в каталог вместе с фальшивыми подписями корневых центров.
п.9 И проверять наличие права execute на temp. Точнее, устанавливать у своего драйвера принудительно.
Дополнение: проверять в реестре команды, назначенные shell/folder/open и подобные. (Попался тут loadpe, а AVZ о нём ничего не знает).
Контроль наличия левых DLL и потоков в своём адресном пространстве есть?
Попался троянчик забавный. DLL, запускается у winlogon, цепляется всем процессам, похоже, стелсирует функцию FindFirst/next, так как copy a.dll c:\ сработал, а в новом месте файл не был виден, пока не прибил трояна. Надо добавить и вот такую проверку на стелс :)
Зайцев Олег
28.10.2005, 12:22
По п.6 - при этом необходимо также сравнивать хэши ЭЦП Майкрософта с эталонными, зашитыми в программу и защищёнными в ней. А то вдруг ещё может так получиться, что троян будет подписан фальшивой подписью, положенной им же в каталог вместе с фальшивыми подписями корневых центров.
п.9 И проверять наличие права execute на temp. Точнее, устанавливать у своего драйвера принудительно.
Дополнение: проверять в реестре команды, назначенные shell/folder/open и подобные. (Попался тут loadpe, а AVZ о нём ничего не знает).
Контроль наличия левых DLL и потоков в своём адресном пространстве есть?
Попался троянчик забавный. DLL, запускается у winlogon, цепляется всем процессам, похоже, стелсирует функцию FindFirst/next, так как copy a.dll c:\ сработал, а в новом месте файл не был виден, пока не прибил трояна. Надо добавить и вот такую проверку на стелс :)
полная проверка файла и его зашитой ЭЦП достаточно тормозная, поэтому по дефолту AVZ только ищет хеш ЭЦП в каталоге - это идет очень быстро. Но есть оция, управляющая глубиной проверки (отключено/только по каталогу/каталог+проверка ЭЦП файла по полной программе). Последее конечно тормозное, но надежное.
п. 9 - именно поэтому я и таскаю пока драйвер в папке AVZ :) Но проверку такую я сделаю
Контроль левых DLL есть - они ловятся одной из подсистем антикейлоггера. Контроль левых потоко нужно будет ввести - все потоки AVZ создаются централизованно, и их немного (сейчас 2 шт - GUI и поиск файлов для сканирования)
3. Переделка системы протоколирования (RichEdit, поддержка больших протоколов и выделение цветом)
Статус - в разработке, ожидается в версии 3.85+
Нужная давно фича. Только вот выбор в сторону RichEdit не самый лучший. У данного контрола куча проблем, и не как у компонента, а проблемы именно у самого RichEdit-контрола. Особенно когда в него приходится писать большие объемы текста.
Еще вопрос, Олег, вы как говорили что подумывали на тем что бы не весь лог выводить, а только часть, а при необходимости остальное подгружать из файла. Это особенно актуально при включенной опции писать в лог инфу о чистых объектах.
AVZusher
05.11.2005, 22:41
А можно создать утилиту каторая устанавливалась в системе и
заменяла скрипты управления????
не мешала бы независемости AVZ
но в тоже время при определюнной настройки управляла АВЗ
Например
имела бы проводник для поиска (упавляемой АВЗ) пути к avz.exe......
запускалась бы с системой...
сидела бы в трее...
имела все настройки теже что и сама AVZ...
+ авто каманды (с выставлением обычных галочек) - для задания каманд например
проверка определённых папок ..через каждых 2 чяса ... создание отчёта... и тд.
Имела бы ввод пароля... от несанкционировоного изменения настроек утилиты.....
а также от завершения процесса самой утилиты и для защиты процесса от завешения, самой AVZ
Олег - прикрути к скриптам возможность работы с реестром и файлами чтоюы можно было писать полноченные cure-scripti
[QUOTE=Зайцев Олег]полная проверка файла и его зашитой ЭЦП достаточно тормозная, поэтому по дефолту AVZ только ищет хеш ЭЦП в каталоге - это идет очень быстро. Но есть оция, управляющая глубиной проверки (отключено/только по каталогу/каталог+проверка ЭЦП файла по полной программе). Последее конечно тормозное, но надежное.
/QUOTE]
Я немного не о том - перед началом проверки по каталогу Microsoft надо проверить собственно соответствие между подписью под каталогом и эталонной подписью Microsoft, зашитой в АВЗ, ибо возможна подмена. Или я чего-то не понимаю?:?
внедряйте поиск и лечение!
Ещё пару пожеланий -
1. Довольно примитивно, но весьма на мой взляд полезно "Отложенное удаление" списком.
2. Ну это уже больше мечты - драйвер ядра с загрузкой в Boot mode для этих целей, позволит убивать гадость подобную L2M (которая прогрессирует последнее время всё активней), совсем мечта этот же драйвер принимающий список файлов с масками и сигнатурами, ну и поддержка этого безобразия "скриптом".
Примерно так - DeleteFilesHex (%SystemRoot%\system32\*.dll,"02,A5,D8,C7,??,3A"), BootDeleteFilesHex (%SystemRoot%\system32\*.dll,"02,A5,D8,C7,??,3A")
Зайцев Олег
09.11.2005, 16:29
Ещё пару пожеланий -
1. Довольно примитивно, но весьма на мой взляд полезно "Отложенное удаление" списком.
2. Ну это уже больше мечты - драйвер ядра с загрузкой в Boot mode для этих целей, позволит убивать гадость подобную L2M (которая прогрессирует последнее время всё активней), совсем мечта этот же драйвер принимающий список файлов с масками и сигнатурами, ну и поддержка этого безобразия "скриптом".
Примерно так - DeleteFilesHex (%SystemRoot%\system32\*.dll,"02,A5,D8,C7,??,3A"), BootDeleteFilesHex (%SystemRoot%\system32\*.dll,"02,A5,D8,C7,??,3A")
Boot драйвер не панацея ... сейчас зловреды поступают так - в момент завершения работы создается новый файл со случайным именем и прописывается в авторан - в результате отложенное удаление и удаление Boot драйвером становится бесполезным.
Драйвер с сигнатурным искателем - это несколько лучше, но он будет крайне опасен - ведь можно забить маску *.* и этот драйвер снесет систему. Но написать его не сложно ... хотя работать он конечно будет только в NT+ (или придутся писать два драйвера - второй под 9x)
Boot драйвер не панацея ... сейчас зловреды поступают так - в момент завершения работы создается новый файл со случайным именем и прописывается в авторан - в результате отложенное удаление и удаление Boot драйвером становится бесполезным.
В таком случае помогает завершение работы лнопкой ресет :)
Зайцев Олег
09.11.2005, 16:47
В таком случае помогает завершение работы лнопкой ресет :)
Вот вот - и при этом с вероятностью 50/50 не сохранится реестр, в котором прописан Boot драйвер :)
Т.е. лучшая панацея - это сигнатура в базе, с которой AVZ поубивает зловреда ... - в случае наличия сигнатуры того-же look2me сработает микропрограмма лечения, которая зачистит от него реестр
Драйвер с сигнатурным искателем - это несколько лучше, но он будет крайне опасен - ведь можно забить маску *.* и этот драйвер снесет систему.
предложение - сделать цифровые подписи под скриптами, которые могут содержать опасные команды. т.е. опасные команды из неподписанных скриптов не стартуют. перед выполнением такого скрипта пользователю выдается запрос "хотите ли продолжить выполнение скрипта, подписанного XYZ ?". чтобы пользователи (и зловреды) не генерили троянские скрипты для AVZ.
а еще лучше - сделать (предусмотреть) возможность создания daily-баз для числа лиц, превосходящих единицу. в одиночку делать оперативные обновления - нереально. например daily для новых Bagle до сих пор нет. эти базы можно также подписывать (как я предлагал для скриптов).
а еще лучше - сделать (предусмотреть) возможность создания daily-баз для числа лиц, превосходящих единицу. в одиночку делать оперативные обновления - нереально. например daily для новых Bagle до сих пор нет. эти базы можно также подписывать (как я предлагал для скриптов).
Значительно хуже что нет лечания для новых экземпляров L2M
Значительно хуже что нет лечания для новых экземпляров L2M
в этом случае ядро менять надо, а не базы. сдетектировать тут полдела, главное - снести. а я про детектирование достаточно простых, но эпидемных зараз.
вот мне принесли bagle.ef. прошерстив имеющиеся в нем адреса я стал обладателем 4 других разновидностей. и ни одной в базах нет...
в этом случае ядро менять надо, а не базы. сдетектировать тут полдела, главное - снести.
Ну не знаю. Олег писал что если в базах есть то АВЗ сносит. ХОтя меня тоже берут сомнения :)
Ну не знаю. Олег писал что если в базах есть то АВЗ сносит. ХОтя меня тоже берут сомнения :)
ранние версии L2M точно работали по другому алгоритму, более примитивному
Зайцев Олег
10.11.2005, 17:43
Ну не знаю. Олег писал что если в базах есть то АВЗ сносит. ХОтя меня тоже берут сомнения :)
Надо провести "ходовые испытания". Для этого мне нужен инсталлер свежего look2me - нужно провести опыты и пожалуй я напишу статью "Look2me и как с ним бороться" для раздела про SpyWare
Надо провести "ходовые испытания". Для этого мне нужен инсталлер свежего look2me - нужно провести опыты и пожалуй я напишу статью "Look2me и как с ним бороться" для раздела про SpyWare
hxxp://ad-w-a-r-e.com/app/VT00/Installer.exe
Зайцев Олег
10.11.2005, 18:41
hxxp://ad-w-a-r-e.com/app/VT00/Installer.exe
Проверил - смерть этого look2me была быстрой и мучительной :) Но что-то тут не так, нужно провести дополнительные опыты ... Хотя тут как раз сигнатуры были в базе и сработали микропрограммы лечения
Проверил - смерть этого look2me была быстрой и мучительной :)
Что-то слишком уж быстрой. А ты ему дал отстояться или сразу после инстала лечил. Потому как он, похоже, скачивает свой, более продвинутый апдейт. А вот после этого выходит повеселее.
Зайцев Олег
10.11.2005, 18:57
Что-то слишком уж быстрой. А ты ему дал отстояться или сразу после инстала лечил. Потому как он, похоже, скачивает свой, более продвинутый апдейт. А вот после этого выходит повеселее.
Нет, укорениться я ему дал ... но не перезагрузился. Это оказывается важно, т.к. тогда он ставит и грузит доп. DLL и становится гораздо интереснее. Дело наверное обернется написанием движка для его убиения :)
Нет, укорениться я ему дал ... но не перезагрузился. Это оказывается важно, т.к. тогда он ставит и грузит доп. DLL и становится гораздо интереснее. Дело наверное обернется написанием движка для его убиения :)
2 Geser : 1:0 в мою пользу ;)
hxxp://ad-w-a-r-e.com/app/VT00/Installer.exe
Гораздо новее c dollarrevenue.com ...
Ставим, перезагружаемся, тестим, для теста нужен "живой" комп, желательно с HT и никаких виртуалок, потому как на виртуалке он умирает от тривиального килбокса, в отличии от реального компа.
Есть предложения.
1. Предупреждать о символах не латинского алфавита в именах файлов автозагрузки.
2. Выдавать предупреждение если цифровая подпись неправильная.
Зайцев Олег
15.11.2005, 10:38
Есть предложения.
1. Предупреждать о символах не латинского алфавита в именах файлов автозагрузки.
2. Выдавать предупреждение если цифровая подпись неправильная.
В принципе оба момента реализуемы, только ЦП проверяется долго ... вреся анализа увеличится.
ЦП проверяется долго ... вреся анализа увеличится.
Смотря на сколько. Если меньше 5 минут, я думаю, допустимо. За то можно находить файлы изменённые вирусами.
Катати, если есть файлы которые не в автозагрузке, но всёравно загружаются, их тоже нужно добавить в отчёт. Ядро, напремер. Оно же не в автозагрузке? Может еще есть такие файлы.
Сорри за офтопик, но какие тут проблемы с лук2ме ? регается как винлогон расширение и сносится на раз. Или дайте ссылочку на последний дистрибутив плиз, который с наворотами =)
Зайцев Олег
15.11.2005, 15:03
Сорри за офтопик, но какие тут проблемы с лук2ме ? регается как винлогон расширение и сносится на раз. Или дайте ссылочку на последний дистрибутив плиз, который с наворотами =)
Вот ссылка на базовый вариант - hxxp://ad-w-a-r-e.com/app/VT00/Installer.exe - после установки этого зверя нужно перезагрузиться и после этого сносить
http://virusinfo.info/showthread.php?t=4100
Файл C:\WINDOWS\system32\smss.exe в карантин не добавляется + ошибка чтения в логе. Можно это как-то поправить?
Вот ссылка на базовый вариант - hxxp://ad-w-a-r-e.com/app/VT00/Installer.exe - после установки этого зверя нужно перезагрузиться и после этого сносить
что-то активность Xen в этом топике после этой ссылки поутихла... аж на две недели ;)
HATTIFNATTOR
29.11.2005, 17:32
:) Я случайно запустил когда переименовывал, - было весело.
:) Я случайно запустил когда переименовывал, - было весело.
небось из проводника переименовывал? :)
HATTIFNATTOR
29.11.2005, 19:01
Из TC, там тоже можно двумя кликами. :)
А какая тут активность? спасибо за актуальный урл. ничего особенно интереного не обнаружил, скорее, авторам незачот =) сносится просто...
ничего особенно интереного не обнаружил, скорее, авторам незачот =) сносится просто...
как и чем?
то, что я тестил - моей утилитой. впрочем, может уже и не убивается. завтра уточню
anton_dr
06.01.2006, 11:37
При скане системы добавить бы кнопочку "Пауза"
Есть одно пожелание:
Иногда приходится проверять систему AVZ при включенном антивирусном мониторе (его остановка запрещена групповой политикой или он останавливается на несколько минут, а потом запускается снова, как Symantec). При этом возникает следуующее: AVZ распаковывает архив или контейнер, кладет его содержимое во временную папку; в это время антивирусный монитор это перехватывает, опознает как вирус/троян и запрещает доступ; AVZ получает шиш с маслом и реагирует, что ZIP неправильного формата; на самом деле это, конечно, вирус. Может ли AVZ контролировать, например, длину того содержимого - не 0 в процессе распаковки, затем 0 при неудачном открытии файла, и сообщать, что кто-то помог ему найти вирус, удалять контейнер, и т.п.
И еще одно сообщение:
Файлы с именами, начинающимися с "PGP" - pgphk.sys и что-то еще подобное (точно не помню, пишу из дому, а не с работы) - их, наверное, надо внести в безопасные - это PGP (Pretty Good Privacy) версий от 6.0 до 8.0 - попадались в моих логах, а эта штука у меня заведомо стоит.
Файлы с именами, начинающимися с "PGP" - pgphk.sys и что-то еще подобное (точно не помню, пишу из дому, а не с работы) - их, наверное, надо внести в безопасные - это PGP (Pretty Good Privacy) версий от 6.0 до 8.0 - попадались в моих логах, а эта штука у меня заведомо стоит.
По именам не пойдёт, ести есть желание - то закачайте подборочку безвредного сюда (http://virusinfo.info/index.php?page=upload_clean), к нам на сервер, в следующей версии они станут безопасными.
Сделаю после каникул, когда выйду на работу
анонимус
16.02.2006, 09:17
прошу в окно "О программе" добавить инфу о дате баз - мелочь, а приятно
PS спасибо за хорошую программу!
AndreyKa
16.02.2006, 10:52
Если пользователь ошибается при выборе файла для "Отложенного удаления" и нажимает Нет в диалоге подтвержения, то в Протоколе все равно появляется запись об отложенном удалении данного файла. Это может смутить пользователя, особенно, если файл нужный.
Захожу на сайт Олега... оп-па, under construction. Что же нас ожидает? :)
Зайцев Олег
20.03.2006, 14:41
Захожу на сайт Олега... оп-па, under construction. Что же нас ожидает? :)
А ожидает нас жуть кошмарная :) Просто я наконец учел пожелания по кривизне сайта и устроил глобальную переделку. Но странички должны открываться - under construction выдается на корень z-oleg.com. Если нет - то я подправлю ... z-oleg/secur должен открываться...
Ага, только индекс замещен...
vBulletin® v4.2.5, Copyright ©2000-2024, Jelsoft Enterprises Ltd. Перевод: zCarot