PDA

Просмотр полной версии : AVZ - доработки, пожелания и их реализация



Зайцев Олег
26.10.2005, 21:54
Задача этой темы - собрать воедино все пожелания и предложения по AVZ, поскольку иначе они растворяются в темах по обсуждению версий.
Фундаментальные доработки или новые функции:
1. MUI - мультиязычный интерфейс.
Статус - в разработке. Ожидается в версии 4.xx, пробные варианты будут раньше
2. Скрипты для virusinfo.info
Реализована в 4.00
3. Переделка системы протоколирования (RichEdit, поддержка больших протоколов и выделение цветом)
Статус - в разработке, ожидается в версии 4.+
4. Автоматическое обновление баз через Инет
Статус - реализовано в версии 4.00
5. Менеджер Hosts + лечилка типовых вещей, типа блокировки обновления баз известных антивирусов
Статус - анализатор реализован в 4.00, автолечение - появится в 4.+
6. Проверка файлов по каталогу безопасности Microsoft
Статус - реализовано в 4.00
7. Поддержка 7-zip, rar, популярных криптеров
Реализована поддержка RAR, на очереди RAR SFX, ZIP SFX
8. Поддержка сканированяи памяти с применением нейросети для поиска новых разновидностей троянов
Статус - Первая версия реализована в 4.10
9. Внесение драйвера в ресурс с его копированием в Temp перед загрузкой, защита программных модулей ЭЦП
Статус - в разработке, ожидается в версии 4.+
10. Диспечер для заданий шедулера и показ заданий в логе и исследовании системы.
Статус - реализован в 4.00
Глюки, ошибки, недоработки
1. Менеджер расширенний проводника - решить проблему с "черными дырами" - ссылками, которым не находятся соотв. файлы.
Статус - частично исправлено, в разработке
2. Поддержка правильного поиска файлов с именами типа "C:\WINDOWS\system32\dumprep 0 -k" в автозапуске и службах
Статус - частично исправлено, в разработке
3. Зачистка временных файлов AVZ при выходе из него
Статус - введена функция удаления файлов при выходе
4. В "Драйверах" не опознаются (AVZ не может найти, но они есть на диске) файлы без пути и расширений, хотя они есть в базе безопасных AVZ. Имена этих файлов совпадают с названиями драйверов (значениями в поле "Служба"), имеют расширения *.SYS, лежат в стандартных местах и благополучно запускаются системой.
Статус - исправлено, версия 4.00
5. В "Модулях расширений Internet Explorer" AVZ не находит плагины, запускаемые скриптами.
Статус - доработано, версия 4.00

kps
26.10.2005, 22:14
Контроль целостности программных модулей AVZ (подсчет CRC и т.п.)

RiC
26.10.2005, 22:14
1. Диспечер для шедулера и показ заданий в логе.
2. ? MUI в какой версии ожидается - 4.+ :) ?
3. Предложение, уже обсуждалось, но в итоге завяло и похоже близко к скрепостижной кончине - создать на форуме раздел FAQ по AVZ с описанием, и поддержкой, потому как Олег фактически занимаеться разработкой один и я думаю не откажется спихнуть часть "рутины" в виде вопросов пользователей на форум, я думаю хелперы в состоянии ответить на 90% вопросов, соответственно этот раздел должен дыть тоже MUI или в виде отдельного форума с "англоязычным" фейсом.
к примеру avz.virusinfo.info :) Скорее этот вопрос "в развитие" форума, а не AVZ.

RiC
26.10.2005, 22:16
Контроль целостности программных модулей AVZ (подсчет CRC и т.п.)
ASPACK ? + сплавить avz.sys в ресурс, или аналогичный пакер с контролем CRC? К примеру халявный ACProtect.

kps
26.10.2005, 22:36
ASPACK ? + сплавить avz.sys в ресурс, или аналогичный пакер с контролем CRC? К примеру халявный ACProtect.
Думаю, Олег смог бы сам сделать контроль целостности понадежней или, по крайней мере, не менее надежный чем предлагает большинство протекторов, некоторые из которых, к тому же, стоят денег.

RiC
26.10.2005, 22:43
Думаю, Олег смог бы сам сделать контроль целостности понадежней или, по крайней мере, не менее надежный чем предлагает большинство протекторов, некоторые из которых, к тому же, стоят денег.
Возни много, можно просто подписать файл ЭЦП и запихать её в базу, защита от "дурака", выше смысла делать я Imho не вижу.

Зайцев Олег
26.10.2005, 22:57
1. Диспечер для шедулера и показ заданий в логе.
2. ? MUI в какой версии ожидается - 4.+ :) ?
3. Предложение, уже обсуждалось, но в итоге завяло и похоже близко к скрепостижной кончине - создать на форуме раздел FAQ по AVZ с описанием, и поддержкой, потому как Олег фактически занимаеться разработкой один и я думаю не откажется спихнуть часть "рутины" в виде вопросов пользователей на форум, я думаю хелперы в состоянии ответить на 90% вопросов, соответственно этот раздел должен дыть тоже MUI или в виде отдельного форума с "англоязычным" фейсом.
к примеру avz.virusinfo.info :) Скорее этот вопрос "в развитие" форума, а не AVZ.
Я за создание раздела техподдержки AVZ обеими руками - просто конференция то по вирусологии.... Хотя с другой стороны можно всобачить в лог и хелп рекомендацию с проблеми по вирусологии идти на virusinfo - я и так часто заворачиваю туда юзеров, которм явно нужен комплексный тест ПК.
про MUI, ЭЦП и т.п. я внес в список

DenZ
27.10.2005, 07:41
Вот это, пожалуйста, добавьте в шапку... Уже третий месяц напоминаю... :(

1. В "Драйверах" не опознаются (AVZ не может найти, но они есть на диске) файлы без пути и расширений (см. лог), хотя они есть в базе безопасных AVZ. Имена этих файлов совпадают с названиями драйверов (значениями в поле "Служба"), имеют расширения *.SYS, лежат в стандартных местах и благополучно запускаются системой.

2. В "Модулях расширений Internet Explorer" AVZ не находит плагины, запускаемые скриптами (подробное описание здесь (http://virusinfo.info/showpost.php?p=57672&postcount=277)).

RiC
27.10.2005, 08:35
1. Диспечер для шедулера и показ заданий в логе.
про MUI, ЭЦП и т.п. я внес в список
???

UFANych
27.10.2005, 16:53
По п.6 - при этом необходимо также сравнивать хэши ЭЦП Майкрософта с эталонными, зашитыми в программу и защищёнными в ней. А то вдруг ещё может так получиться, что троян будет подписан фальшивой подписью, положенной им же в каталог вместе с фальшивыми подписями корневых центров.
п.9 И проверять наличие права execute на temp. Точнее, устанавливать у своего драйвера принудительно.

Дополнение: проверять в реестре команды, назначенные shell/folder/open и подобные. (Попался тут loadpe, а AVZ о нём ничего не знает).

Контроль наличия левых DLL и потоков в своём адресном пространстве есть?

Попался троянчик забавный. DLL, запускается у winlogon, цепляется всем процессам, похоже, стелсирует функцию FindFirst/next, так как copy a.dll c:\ сработал, а в новом месте файл не был виден, пока не прибил трояна. Надо добавить и вот такую проверку на стелс :)

Зайцев Олег
28.10.2005, 12:22
По п.6 - при этом необходимо также сравнивать хэши ЭЦП Майкрософта с эталонными, зашитыми в программу и защищёнными в ней. А то вдруг ещё может так получиться, что троян будет подписан фальшивой подписью, положенной им же в каталог вместе с фальшивыми подписями корневых центров.
п.9 И проверять наличие права execute на temp. Точнее, устанавливать у своего драйвера принудительно.

Дополнение: проверять в реестре команды, назначенные shell/folder/open и подобные. (Попался тут loadpe, а AVZ о нём ничего не знает).

Контроль наличия левых DLL и потоков в своём адресном пространстве есть?

Попался троянчик забавный. DLL, запускается у winlogon, цепляется всем процессам, похоже, стелсирует функцию FindFirst/next, так как copy a.dll c:\ сработал, а в новом месте файл не был виден, пока не прибил трояна. Надо добавить и вот такую проверку на стелс :)
полная проверка файла и его зашитой ЭЦП достаточно тормозная, поэтому по дефолту AVZ только ищет хеш ЭЦП в каталоге - это идет очень быстро. Но есть оция, управляющая глубиной проверки (отключено/только по каталогу/каталог+проверка ЭЦП файла по полной программе). Последее конечно тормозное, но надежное.
п. 9 - именно поэтому я и таскаю пока драйвер в папке AVZ :) Но проверку такую я сделаю
Контроль левых DLL есть - они ловятся одной из подсистем антикейлоггера. Контроль левых потоко нужно будет ввести - все потоки AVZ создаются централизованно, и их немного (сейчас 2 шт - GUI и поиск файлов для сканирования)

Grey
29.10.2005, 11:55
3. Переделка системы протоколирования (RichEdit, поддержка больших протоколов и выделение цветом)
Статус - в разработке, ожидается в версии 3.85+

Нужная давно фича. Только вот выбор в сторону RichEdit не самый лучший. У данного контрола куча проблем, и не как у компонента, а проблемы именно у самого RichEdit-контрола. Особенно когда в него приходится писать большие объемы текста.
Еще вопрос, Олег, вы как говорили что подумывали на тем что бы не весь лог выводить, а только часть, а при необходимости остальное подгружать из файла. Это особенно актуально при включенной опции писать в лог инфу о чистых объектах.

AVZusher
05.11.2005, 22:41
А можно создать утилиту каторая устанавливалась в системе и
заменяла скрипты управления????
не мешала бы независемости AVZ
но в тоже время при определюнной настройки управляла АВЗ

Например

имела бы проводник для поиска (упавляемой АВЗ) пути к avz.exe......


запускалась бы с системой...

сидела бы в трее...

имела все настройки теже что и сама AVZ...

+ авто каманды (с выставлением обычных галочек) - для задания каманд например
проверка определённых папок ..через каждых 2 чяса ... создание отчёта... и тд.

Имела бы ввод пароля... от несанкционировоного изменения настроек утилиты.....
а также от завершения процесса самой утилиты и для защиты процесса от завешения, самой AVZ

Sanja
06.11.2005, 02:29
Олег - прикрути к скриптам возможность работы с реестром и файлами чтоюы можно было писать полноченные cure-scripti

UFANych
08.11.2005, 08:50
[QUOTE=Зайцев Олег]полная проверка файла и его зашитой ЭЦП достаточно тормозная, поэтому по дефолту AVZ только ищет хеш ЭЦП в каталоге - это идет очень быстро. Но есть оция, управляющая глубиной проверки (отключено/только по каталогу/каталог+проверка ЭЦП файла по полной программе). Последее конечно тормозное, но надежное.
/QUOTE]
Я немного не о том - перед началом проверки по каталогу Microsoft надо проверить собственно соответствие между подписью под каталогом и эталонной подписью Microsoft, зашитой в АВЗ, ибо возможна подмена. Или я чего-то не понимаю?:?

UFANych
08.11.2005, 10:27
внедряйте поиск и лечение!

RiC
09.11.2005, 16:20
Ещё пару пожеланий -
1. Довольно примитивно, но весьма на мой взляд полезно "Отложенное удаление" списком.
2. Ну это уже больше мечты - драйвер ядра с загрузкой в Boot mode для этих целей, позволит убивать гадость подобную L2M (которая прогрессирует последнее время всё активней), совсем мечта этот же драйвер принимающий список файлов с масками и сигнатурами, ну и поддержка этого безобразия "скриптом".
Примерно так - DeleteFilesHex (%SystemRoot%\system32\*.dll,"02,A5,D8,C7,??,3A"), BootDeleteFilesHex (%SystemRoot%\system32\*.dll,"02,A5,D8,C7,??,3A")

Зайцев Олег
09.11.2005, 16:29
Ещё пару пожеланий -
1. Довольно примитивно, но весьма на мой взляд полезно "Отложенное удаление" списком.
2. Ну это уже больше мечты - драйвер ядра с загрузкой в Boot mode для этих целей, позволит убивать гадость подобную L2M (которая прогрессирует последнее время всё активней), совсем мечта этот же драйвер принимающий список файлов с масками и сигнатурами, ну и поддержка этого безобразия "скриптом".
Примерно так - DeleteFilesHex (%SystemRoot%\system32\*.dll,"02,A5,D8,C7,??,3A"), BootDeleteFilesHex (%SystemRoot%\system32\*.dll,"02,A5,D8,C7,??,3A")
Boot драйвер не панацея ... сейчас зловреды поступают так - в момент завершения работы создается новый файл со случайным именем и прописывается в авторан - в результате отложенное удаление и удаление Boot драйвером становится бесполезным.
Драйвер с сигнатурным искателем - это несколько лучше, но он будет крайне опасен - ведь можно забить маску *.* и этот драйвер снесет систему. Но написать его не сложно ... хотя работать он конечно будет только в NT+ (или придутся писать два драйвера - второй под 9x)

Geser
09.11.2005, 16:43
Boot драйвер не панацея ... сейчас зловреды поступают так - в момент завершения работы создается новый файл со случайным именем и прописывается в авторан - в результате отложенное удаление и удаление Boot драйвером становится бесполезным.
В таком случае помогает завершение работы лнопкой ресет :)

Зайцев Олег
09.11.2005, 16:47
В таком случае помогает завершение работы лнопкой ресет :)
Вот вот - и при этом с вероятностью 50/50 не сохранится реестр, в котором прописан Boot драйвер :)
Т.е. лучшая панацея - это сигнатура в базе, с которой AVZ поубивает зловреда ... - в случае наличия сигнатуры того-же look2me сработает микропрограмма лечения, которая зачистит от него реестр

MOCT
10.11.2005, 13:19
Драйвер с сигнатурным искателем - это несколько лучше, но он будет крайне опасен - ведь можно забить маску *.* и этот драйвер снесет систему.
предложение - сделать цифровые подписи под скриптами, которые могут содержать опасные команды. т.е. опасные команды из неподписанных скриптов не стартуют. перед выполнением такого скрипта пользователю выдается запрос "хотите ли продолжить выполнение скрипта, подписанного XYZ ?". чтобы пользователи (и зловреды) не генерили троянские скрипты для AVZ.

а еще лучше - сделать (предусмотреть) возможность создания daily-баз для числа лиц, превосходящих единицу. в одиночку делать оперативные обновления - нереально. например daily для новых Bagle до сих пор нет. эти базы можно также подписывать (как я предлагал для скриптов).

Geser
10.11.2005, 13:22
а еще лучше - сделать (предусмотреть) возможность создания daily-баз для числа лиц, превосходящих единицу. в одиночку делать оперативные обновления - нереально. например daily для новых Bagle до сих пор нет. эти базы можно также подписывать (как я предлагал для скриптов).
Значительно хуже что нет лечания для новых экземпляров L2M

MOCT
10.11.2005, 13:32
Значительно хуже что нет лечания для новых экземпляров L2M
в этом случае ядро менять надо, а не базы. сдетектировать тут полдела, главное - снести. а я про детектирование достаточно простых, но эпидемных зараз.
вот мне принесли bagle.ef. прошерстив имеющиеся в нем адреса я стал обладателем 4 других разновидностей. и ни одной в базах нет...

Geser
10.11.2005, 13:43
в этом случае ядро менять надо, а не базы. сдетектировать тут полдела, главное - снести.
Ну не знаю. Олег писал что если в базах есть то АВЗ сносит. ХОтя меня тоже берут сомнения :)

MOCT
10.11.2005, 15:00
Ну не знаю. Олег писал что если в базах есть то АВЗ сносит. ХОтя меня тоже берут сомнения :)
ранние версии L2M точно работали по другому алгоритму, более примитивному

Зайцев Олег
10.11.2005, 17:43
Ну не знаю. Олег писал что если в базах есть то АВЗ сносит. ХОтя меня тоже берут сомнения :)
Надо провести "ходовые испытания". Для этого мне нужен инсталлер свежего look2me - нужно провести опыты и пожалуй я напишу статью "Look2me и как с ним бороться" для раздела про SpyWare

Geser
10.11.2005, 18:02
Надо провести "ходовые испытания". Для этого мне нужен инсталлер свежего look2me - нужно провести опыты и пожалуй я напишу статью "Look2me и как с ним бороться" для раздела про SpyWare
hxxp://ad-w-a-r-e.com/app/VT00/Installer.exe

Зайцев Олег
10.11.2005, 18:41
hxxp://ad-w-a-r-e.com/app/VT00/Installer.exe
Проверил - смерть этого look2me была быстрой и мучительной :) Но что-то тут не так, нужно провести дополнительные опыты ... Хотя тут как раз сигнатуры были в базе и сработали микропрограммы лечения

Geser
10.11.2005, 18:45
Проверил - смерть этого look2me была быстрой и мучительной :)
Что-то слишком уж быстрой. А ты ему дал отстояться или сразу после инстала лечил. Потому как он, похоже, скачивает свой, более продвинутый апдейт. А вот после этого выходит повеселее.

Зайцев Олег
10.11.2005, 18:57
Что-то слишком уж быстрой. А ты ему дал отстояться или сразу после инстала лечил. Потому как он, похоже, скачивает свой, более продвинутый апдейт. А вот после этого выходит повеселее.
Нет, укорениться я ему дал ... но не перезагрузился. Это оказывается важно, т.к. тогда он ставит и грузит доп. DLL и становится гораздо интереснее. Дело наверное обернется написанием движка для его убиения :)

MOCT
10.11.2005, 19:07
Нет, укорениться я ему дал ... но не перезагрузился. Это оказывается важно, т.к. тогда он ставит и грузит доп. DLL и становится гораздо интереснее. Дело наверное обернется написанием движка для его убиения :)

2 Geser : 1:0 в мою пользу ;)

RiC
10.11.2005, 21:33
hxxp://ad-w-a-r-e.com/app/VT00/Installer.exe
Гораздо новее c dollarrevenue.com ...
Ставим, перезагружаемся, тестим, для теста нужен "живой" комп, желательно с HT и никаких виртуалок, потому как на виртуалке он умирает от тривиального килбокса, в отличии от реального компа.

Geser
15.11.2005, 10:26
Есть предложения.
1. Предупреждать о символах не латинского алфавита в именах файлов автозагрузки.
2. Выдавать предупреждение если цифровая подпись неправильная.

Зайцев Олег
15.11.2005, 10:38
Есть предложения.
1. Предупреждать о символах не латинского алфавита в именах файлов автозагрузки.
2. Выдавать предупреждение если цифровая подпись неправильная.
В принципе оба момента реализуемы, только ЦП проверяется долго ... вреся анализа увеличится.

Geser
15.11.2005, 10:45
ЦП проверяется долго ... вреся анализа увеличится.
Смотря на сколько. Если меньше 5 минут, я думаю, допустимо. За то можно находить файлы изменённые вирусами.
Катати, если есть файлы которые не в автозагрузке, но всёравно загружаются, их тоже нужно добавить в отчёт. Ядро, напремер. Оно же не в автозагрузке? Может еще есть такие файлы.

Xen
15.11.2005, 14:13
Сорри за офтопик, но какие тут проблемы с лук2ме ? регается как винлогон расширение и сносится на раз. Или дайте ссылочку на последний дистрибутив плиз, который с наворотами =)

Зайцев Олег
15.11.2005, 15:03
Сорри за офтопик, но какие тут проблемы с лук2ме ? регается как винлогон расширение и сносится на раз. Или дайте ссылочку на последний дистрибутив плиз, который с наворотами =)
Вот ссылка на базовый вариант - hxxp://ad-w-a-r-e.com/app/VT00/Installer.exe - после установки этого зверя нужно перезагрузиться и после этого сносить

Geser
29.11.2005, 17:25
http://virusinfo.info/showthread.php?t=4100
Файл C:\WINDOWS\system32\smss.exe в карантин не добавляется + ошибка чтения в логе. Можно это как-то поправить?

MOCT
29.11.2005, 17:29
Вот ссылка на базовый вариант - hxxp://ad-w-a-r-e.com/app/VT00/Installer.exe - после установки этого зверя нужно перезагрузиться и после этого сносить
что-то активность Xen в этом топике после этой ссылки поутихла... аж на две недели ;)

HATTIFNATTOR
29.11.2005, 17:32
:) Я случайно запустил когда переименовывал, - было весело.

MOCT
29.11.2005, 18:42
:) Я случайно запустил когда переименовывал, - было весело.
небось из проводника переименовывал? :)

HATTIFNATTOR
29.11.2005, 19:01
Из TC, там тоже можно двумя кликами. :)

pig
29.11.2005, 20:23
Экстремалы... :)

Xen
30.11.2005, 00:24
А какая тут активность? спасибо за актуальный урл. ничего особенно интереного не обнаружил, скорее, авторам незачот =) сносится просто...

MOCT
30.11.2005, 00:33
ничего особенно интереного не обнаружил, скорее, авторам незачот =) сносится просто...
как и чем?

Xen
30.11.2005, 00:39
то, что я тестил - моей утилитой. впрочем, может уже и не убивается. завтра уточню

anton_dr
06.01.2006, 11:37
При скане системы добавить бы кнопочку "Пауза"

bjk
06.01.2006, 23:00
Есть одно пожелание:
Иногда приходится проверять систему AVZ при включенном антивирусном мониторе (его остановка запрещена групповой политикой или он останавливается на несколько минут, а потом запускается снова, как Symantec). При этом возникает следуующее: AVZ распаковывает архив или контейнер, кладет его содержимое во временную папку; в это время антивирусный монитор это перехватывает, опознает как вирус/троян и запрещает доступ; AVZ получает шиш с маслом и реагирует, что ZIP неправильного формата; на самом деле это, конечно, вирус. Может ли AVZ контролировать, например, длину того содержимого - не 0 в процессе распаковки, затем 0 при неудачном открытии файла, и сообщать, что кто-то помог ему найти вирус, удалять контейнер, и т.п.

bjk
06.01.2006, 23:06
И еще одно сообщение:
Файлы с именами, начинающимися с "PGP" - pgphk.sys и что-то еще подобное (точно не помню, пишу из дому, а не с работы) - их, наверное, надо внести в безопасные - это PGP (Pretty Good Privacy) версий от 6.0 до 8.0 - попадались в моих логах, а эта штука у меня заведомо стоит.

RiC
06.01.2006, 23:16
Файлы с именами, начинающимися с "PGP" - pgphk.sys и что-то еще подобное (точно не помню, пишу из дому, а не с работы) - их, наверное, надо внести в безопасные - это PGP (Pretty Good Privacy) версий от 6.0 до 8.0 - попадались в моих логах, а эта штука у меня заведомо стоит.
По именам не пойдёт, ести есть желание - то закачайте подборочку безвредного сюда (http://virusinfo.info/index.php?page=upload_clean), к нам на сервер, в следующей версии они станут безопасными.

bjk
06.01.2006, 23:23
Сделаю после каникул, когда выйду на работу

анонимус
16.02.2006, 09:17
прошу в окно "О программе" добавить инфу о дате баз - мелочь, а приятно
PS спасибо за хорошую программу!

AndreyKa
16.02.2006, 10:52
Если пользователь ошибается при выборе файла для "Отложенного удаления" и нажимает Нет в диалоге подтвержения, то в Протоколе все равно появляется запись об отложенном удалении данного файла. Это может смутить пользователя, особенно, если файл нужный.

Xen
20.03.2006, 12:30
Захожу на сайт Олега... оп-па, under construction. Что же нас ожидает? :)

Зайцев Олег
20.03.2006, 14:41
Захожу на сайт Олега... оп-па, under construction. Что же нас ожидает? :)
А ожидает нас жуть кошмарная :) Просто я наконец учел пожелания по кривизне сайта и устроил глобальную переделку. Но странички должны открываться - under construction выдается на корень z-oleg.com. Если нет - то я подправлю ... z-oleg/secur должен открываться...

Xen
20.03.2006, 14:55
Ага, только индекс замещен...