PDA

Просмотр полной версии : Vba32 AntiRootkit 3.12.*.* beta



Страницы : [1] 2

sergey ulasen
06.03.2009, 15:02
Мы, наконец-то, основательно взялись за свой антируткит и начали его очень активную разработку. Ниже адреса, по которым можно скачать сам продукт:

ftp://anti-virus.by/beta/Vba32arkit_beta.rar

ftp://anti-virus.by/beta/Vba32arkit_beta.zip

Сразу же привожу режимы его работы (чтобы не возникало никакой путаницы):

Vba32 AntiRootkit может работать в трех режимах (с поддержкой антивирусного ядра Vba32 и без него).
1. В первом режиме, с поддержкой антивирусных баз, модуль находится в папке %VBA32%. После своей загрузки он пытается получить доступ к COM-объекту антивирусного ядра Vba32 и в случае успеха использует его для проверки.
2. Если доступ к COM-объекту получить не удается, модуль загружает антивирусное ядро и базы себе в память и работает с ними напрямую.
3. В третьем режиме можно использовать модуль Vba32 AntiRootkit отдельно от комплекса VBA32. В данном режиме проверка обнаруженных объектов антивирусным ядром производиться не будет.

Первый и третий пункты вроде бы понятны. Могут возникнуть вопросы со вторым, потому...
Если вы не являетесь пользователем нашего комплекса, антируткит можно использовать совместно с нашим консольным сканером. Пока антируткит не выложен на стандартный ресурс обновления для beta-тестирования, можно воспользоваться релизным консольным сканером. Сканер можно взять здесь: ftp://anti-virus.by/pub/Vba32Check.exe. Файлы, находящиеся в архиве Vba32arkit_beta, необходимо скопировать (заменить) в папку Vba32Check\vba32w.

Теперь о том, что же, собственно, нового в нем добавилось/изменилось:

+ Добавлено получение и проверка списка автозагрузки и сопутствующих элементов (ActiveX, BHO, LSP, Autorun.inf, SecurityProviders и др.)

+ Добавлено получение и проверка списка драйверов и сервисов (анализ реестра)

Теперь с помощью антируткита можно управлять автозагрузкой. При этом (опционально) осуществляется проверка файлов антивирусным ядром и проверяются ЭЦП файлов (Authenticode). Обратите, пожалуйста, особое внимание на интерфейс окна и на удобство его использования. Может быть имеет смысл чего-нибудь в нем подвигать.

+ Проверка состояния MSR регистров (SysEnter)

+ Возможность включения кэширования файлов при проверке антивирусным ядром

Обратите внимание на данную настройку, она существенно повышает скорость работы с приложением.

* Сохранение логов производится в формате html

Нам самим надоело воевать с логами в текстовом формате. html намного удобнее. Обратите внимание на те цвета и на ту информацию, которая в них содержится.

* Интерфейс антируткита полностью переведён на UNICODE

* Улучшен механизм работы карантина

Оцените удобство карантина. Замечания и пожелания приветствуются.

* Исправлено поведение кнопки Apply в окне настроек


* Исправлена ошибка с получением списка процессов на Windows 2003

Кроме того изменена документация к антируткиту. Пока только на русском языке, но скоро будет и на английском.

И немного о планах. Уже сейчас активно идет разработка новой функциональности, которая касается детектирования методов перехватов. Реализовали Shadow SDT, IRP, EAT, сплайсинг. Как только оттестируем у себя, сразу передадим эстафету вам :)

Ждем обратной связи.

priv8v
06.03.2009, 16:51
как что позиционируется это ПО?..
(примеры: как подстраховка к АВЗ и гмеру, как отдельная лечилка трудных случаев заражения, как необходимый маркетинговый ход, как "мы и сами с усами", как средство борьбы с распространенными и простенькими руткитами...)

какой обратной связи ждете от людей с ВИ в большинстве случаев?
(примеры: предложения по интерфейсу, предложения по доработке лога, предложения новых функций, нахождения багов, технические предложения по улучшению уже существующих функций, дифирамбы).

Вопросы задаю на полном серьезе. Без подколок и обид.

sergey ulasen
06.03.2009, 18:06
Спасибо за хорошие вопросы.


как что позиционируется это ПО?..
(примеры: как подстраховка к АВЗ и гмеру, как отдельная лечилка трудных случаев заражения, как необходимый маркетинговый ход, как "мы и сами с усами", как средство борьбы с распространенными и простенькими руткитами...)

Нам и нашим пользователям каждый день приходится сталкиваться со все новыми случаями заражения. Я, в частности, и наш коллектив, в целом, считаем, скажем так, не очень красивым ходом использование сторонних утилит (и прежде всего утилит связанных каким-то образом с нашими конкурентами). Потому первоочередная задача - это иметь инструмент, способный самостоятельно решать большинство задач, связанных с поиском и нейтрализацией активных заражений. Следующая цель - внедрить те технологии, которые разрабатываются для антируткита и обкатываются на нем, в наш антивирусный движок.
Потому здесь можно аккумулировать все те примеры, которые вы назвали. Если у нас получится создать инструмент, который сможет "подстраховывать" AVZ или gmer, и сообществу это будет интересно, это будет вообще супер. Но это не первоочередная задача.


какой обратной связи ждете от людей с ВИ в большинстве случаев?
(примеры: предложения по интерфейсу, предложения по доработке лога, предложения новых функций, нахождения багов, технические предложения по улучшению уже существующих функций, дифирамбы).

Вопросы задаю на полном серьезе. Без подколок и обид.

Исторически сложилось так, что ВИ стал той площадкой, на которой мы развиваем наше beta-тестирование для русскоязычной аудитории. Уже есть определенный круг людей, которым это интересно. Если с помощью данной темы еще кто-нибудь заинтересуется продуктом, мы будем этому только рады. Так вот, от всех, кому это интересно, мы готовы принять и предложения по интерфейсу и по доработке лога и даже выслушать дифирамбы :)

priv8v
07.03.2009, 13:37
Результаты беглого знакомства с утилитой на рабочей системе (более близко на виртуалке ознакомлюсь потом):

1). при работе выдается вот такое окошко:
http://s59.radikal.ru/i163/0903/e2/b785325839d4.png
полоса не двигается, а стоит на месте все время - сделайте, что бы она
двигалась по мере сканирования - и даже не важно точно она будет двигаться или нет - пусть главное двигается как угодно, а под конец сканирования можно просто ее загнать в угол - типа сканирование окончено. А то когда полоса стоит на одном месте - раздражает достаточно сильно.

2). При парсинге списка файлов из папок автозагрузки сделайте хоть какую-то проверку - не нужно десктоп.ини детектить.

3). Лог внезапно обрывается - снизу нет завершающей шапки - желательно ее сделать и выводить туда какую-нибудь обобщающую по логу инфу. А если без инфы - просто что бы была, что бы было понятно что сканирование проведено до конца.

Синауридзе Александр
07.03.2009, 17:48
Результаты беглого знакомства с утилитой на рабочей системе (более близко на виртуалке ознакомлюсь потом):

1). при работе выдается вот такое окошко:
http://s59.radikal.ru/i163/0903/e2/b785325839d4.png
полоса не двигается, а стоит на месте все время - сделайте, что бы она
двигалась по мере сканирования - и даже не важно точно она будет двигаться или нет - пусть главное двигается как угодно, а под конец сканирования можно просто ее загнать в угол - типа сканирование окончено. А то когда полоса стоит на одном месте - раздражает достаточно сильно.
У меня все нормально отработало.


3). Лог внезапно обрывается - снизу нет завершающей шапки - желательно ее сделать и выводить туда какую-нибудь обобщающую по логу инфу. А если без инфы - просто что бы была, что бы было понятно что сканирование проведено до конца.
Поддерживаю. :)

Расшифровку по цветам дайте и почему нет возможности запустить хелп из самой программы?

А так молодцы!!! Это качественно новый уровень!

IgorKr
07.03.2009, 18:55
Залейте куда-нибудь, а то сервер не пускает =)

sergey ulasen
07.03.2009, 19:00
полоса не двигается, а стоит на месте все время

1. В каком режиме вы работали (см. в моем первом посте)?

2. В каком окне возникли проблемы (в главном, Kernel Modules и т.д.)?

3. Ползунок не двигался вообще и вам пришлось прибить процесс или он стал двигаться позже?

Остальное пока понятно.

Добавлено через 2 минуты


Залейте куда-нибудь, а то сервер не пускает =)

ftp://vba.ok.by/vba/beta/Vba32arkit_beta.rar

ftp://vba.ok.by/vba/beta/Vba32arkit_beta.zip

Geser
07.03.2009, 19:06
ftp://vba.ok.by/vba/beta/Vba32arkit_beta.rar

ftp://vba.ok.by/vba/beta/Vba32arkit_beta.zip

Не качается

sergey ulasen
07.03.2009, 19:24
В течение часа проблему с сервером vba.ok.by должны решить...

priv8v
07.03.2009, 21:22
1. В каком режиме вы работали (см. в моем первом посте)?
2. В каком окне возникли проблемы (в главном, Kernel Modules и т.д.)?
3. Ползунок не двигался вообще и вам пришлось прибить процесс или он стал двигаться позже?
Извините, что так плохо изложил свои действия - точнее совсем не изложил. Вот как было дело:

запускаю файл.
убираю чекбоксы напротив use antivirus kernel и напротив check digital signature.
затем нажимаю start

если после этого еще просматривать через тулзы автозапуск, то также полоска не двигается.

если же не отключать check digital signature, то все нормально.

Groft
07.03.2009, 22:52
Извините, что так плохо изложил свои действия - точнее совсем не изложил. Вот как было дело:

запускаю файл.
убираю чекбоксы напротив use antivirus kernel и напротив check digital signature.
затем нажимаю start

если после этого еще просматривать через тулзы автозапуск, то также полоска не двигается.

если же не отключать check digital signature, то все нормально.
Теперь все ясно :)
Полоса не двигается, т.к. файлы ничем не проверяются и список оных тупо генерится.
~~~~
принято к сведенью ;)

Groft
09.03.2009, 00:25
почему нет возможности запустить хелп из самой программы?

Как нет? Антируткит разорхивирован в отдельную папку или лежит в заинсталированной папке %Vba32%? Присутствует ли в папке Vba32ArkitRU.chm?

priv8v
09.03.2009, 00:47
качаем архив. извлекаем в текущую папку. запускаем программу и ничего больше не трогая нажимаем на вопросик и там нажимаем на Help - и ничего не происходит:)

+ еще в справке - не очень корректно скрины показывать с перехватами от дров даемон_тулз... (имхо)

Синауридзе Александр
09.03.2009, 09:11
качаем архив. извлекаем в текущую папку. запускаем программу и ничего больше не трогая нажимаем на вопросик и там нажимаем на Help - и ничего не происходит:)
+1


+ еще в справке - не очень корректно скрины показывать с перехватами от дров даемон_тулз... (имхо)
+1

sergey ulasen
09.03.2009, 12:55
Согласен решительно со всем :)
Все записал в багтрекер, будем править. Как только подготовим следующие "большие" изменения, там же и найденные вами проблемы исправим.

И еще один вопрос... Насколько удобно пользоваться функциональностью окна Autorun? Все ли там понятно и удобно?

priv8v
09.03.2009, 14:35
Насколько удобно пользоваться функциональностью окна Autorun? Все ли там понятно и удобно?
с учетом того, что у меня нет ВБА на компе и не использую проверку подписей - все равно очень удобно. даже без разнообразия цветов.

sergey ulasen
08.04.2009, 13:58
Ниже представлены изменения в новой бета-версии антируткита:

ftp://anti-virus.by/beta/Vba32arkit_beta.rar

ftp://anti-virus.by/beta/Vba32arkit_beta.zip

ftp://vba.ok.by/vba/beta/Vba32arkit_beta.rar

ftp://vba.ok.by/vba/beta/Vba32arkit_beta.zip

Vba32 AntiRootKit 3.12.3.1 beta

Как и было обещано, добавили детектирование/восстановление следующих перехватов:

+ Поиск и восстановление перехватов адресов в таблице Shadow SSDT

+ Определение модификации и восстановление исходной таблицы экспорта (EAT) ядра

+ Поиск перехватов обработчиков IRP и FastIO

Восстановление IRP и FastIO добавлять не стали, посчитали это очень опасным.

+ Добавлена кнопка Restore All в окне KernelMode Hooks

* Изменён алгоритм получения имён перехваченных функций

* Улучшен механизм с отображением и восстановлением повреждённых файлов из карантина

Ну и поправили те ошибки/замечания, на которые было указано в прошлый раз:

* Доработан механизм ведения логов

* Исправлено поведение Progress Bar при сканировании системы

Документацию также обновили.

Детектирование сплайсинга сделать не успели (хоть и было обещано), столкнулись с рядом проблем. В следующей бете (3.12.3.2 beta) планируем реализовать механизм расширенного поиска скрытых драйверов и метод, позволяющий получить дамп памяти модуля ядра.

Из известных ошибок в данной бете:

- некорректный поиск некоторых типов перехватов в Windows 2000;

- некорректное открытие файла-помощи на некоторых системах.

И первая и вторая проблема будут исправлены в 3.12.3.2 beta.

2Синауридзе Александр

Расшифровку по цветам дали в хелпе.

2priv8v

С открытием файла помощи пока еще могут быть некоторые проблемы, но в большинстве случаев он уже должен корректно открываться.

С полоской статусбара также поправили. Хоть и немного костыльно, но все равно лучше, чем было раньше.

Насчет desctop.ini у нас тут горячие споры с вирлабом :)

Ждем обратной связи :)

P.S. Некоторые трояны уже начали войну против антируткита, добавляя его в Image File Execution Options

Aleksandra
08.04.2009, 19:24
P.S. Некоторые трояны уже начали войну против антируткита, добавляя его в Image File Execution Options
Т. е. зловред изменяет следующий ключ системного реестра?


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[ПРИЛОЖЕНИЕ]\"Debugger" = " "

При запуске указанного приложения, вместо него запускается указанное в ключе Debugger?

sergey ulasen
08.04.2009, 19:39
Т. е. зловред изменяет следующий ключ системного реестра?

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[ПРИЛОЖЕНИЕ]\"Debugger" = " "


Да

Aleksandra
10.04.2009, 10:40
1. Лог работы программы необходимо помещать в zip-архив. Точно также, как это делается в AVZ.

2. Не очень удобно:



Brs_QtnFile() – копирование указанного файла в карантин, выполнится после перезагрузки;


Почему нельзя обойтись без перезагрузки, ведь перед этим была включена технология низкоуровневого доступа к файлам?

3. Скриптовый язык необходимо расширить.

sergey ulasen
10.04.2009, 14:08
1. Лог работы программы необходимо помещать в zip-архив. Точно также, как это делается в AVZ.

Доберемся и до этого :) Чуть позже.


2. Не очень удобно:

Почему нельзя обойтись без перезагрузки, ведь перед этим была включена технология низкоуровневого доступа к файлам?

Технологии низкоуровневого доступа к файлам пока нет. Но она уже в разработке.


3. Скриптовый язык необходимо расширить.

Не все сразу :)

Aleksandra
18.05.2009, 06:37
Здравствуйте, Сергей! Скажите пожалуйста как продвигается работа по усовершенствованию антируткита?

sergey ulasen
18.05.2009, 10:28
Здравствуйте, Сергей! Скажите пожалуйста как продвигается работа по усовершенствованию антируткита?

8)

До конца месяца выпустим бету 3.12.3.2. Счас файл помощи пишется.

sergey ulasen
27.05.2009, 12:53
Vba32 AntiRootKit 3.12.3.2 beta:

ftp://anti-virus.by/beta/Vba32arkit_beta.rar

ftp://anti-virus.by/beta/Vba32arkit_beta.zip

ftp://vba.ok.by/vba/beta/Vba32arkit_beta.rar

ftp://vba.ok.by/vba/beta/Vba32arkit_beta.zip

В данную бета-версию вошли следующие изменения:

+ Поиск и восстановление перехватов в таблице экспорта Hal.dll

+ Поиск и восстановление перехватов в таблице экспорта Ndis.sys

В предыдущей версии был реализован поиск и восстановление перехватов в EAT для Ntoskrnl.exe, сейчас его просто расширили на Hal.dll и Ndis.sys

+ Возможность установки драйвера антируткита для расширенного мониторинга модулей ядра

В меню появился новый пункт ArKit Driver, из которого можно проинсталлировать (и деинсталлировать) драйвер антируткита. Драйвер будет загружаться вместе с системой. Основное назначение данного режима - поиск скрытых модулей ядра (а в будущем и скрытых процессов).

+ Поиск модификаций (сплайсинг) и восстановление исходного кода функции KiFastCallEntry и функций таблиц SSDT, Shadow SSDT, а также функций, экспортируемых Ntoskrnl.exe, Hal.dll, Ndis.sys

Пожалуй, один из самых сложных пунктов :) Прежде всего из-за того, что возможны "ложняки". Мы постарались охватить все операционные системы с различными сервис-паками для тестирования. Но на различных "XP SP0" они возможны, и исправлять их совсем не хочется.

+ Возможность снятия дампов памяти модулей ядра

Полезная функциональность для быстрого анализа подозрительного модуля.

+ Возможность сохранения протокола сканирования в Zip-архив

Многие указывали на необходимость данной функции. Aleksandra, была настойчивее всех, за что ей огромное спасибо :)

+ Автоматическое обнаружение установленного комплекса VBA32 (маркер "Use AV Kernel")

Т.е. если комплекс у пользователя не установлен, попытки загрузить АВ-ядро не будет.

* Улучшен механизм обнаружения перехватов SysEnter

* Более быстрое получение списка перехватов в KernelMode

* Доработан интерфейс и исправлены некоторые ошибки (навигация в окне Autorun, маркер "Check digital signature" в дочерних окнах, отображение итогов сканирования в основном окне программы, меню Tools)

Фокус в дереве при проверки автозагрузки при навигации между пунктами теперь не теряется.

* Исправлены ошибки детектирования перехватов (в частности, на Windows 2000)

* Доработан механизм ведения логов

* Доработан файл помощи

Прошу обратить особое внимание на файл помощи.

Хочется обратить внимание на то, что функциональность совсем свежая и потому возможны падения в BSOD. Если такая беда у вас случилась, не поленитесь и пришлите нам хотя бы минидамп. Наша благодарность не будет знать границ.

О планах: в следующем релизе хотелось бы увидеть детектирование IDT-перехватов, анализ кодовых секций, поддержка Windows 7.

Гриша
27.05.2009, 13:02
Т.е. если комплекс у пользователя не установлен, попытки загрузить АВ-ядро не будет.

Может быть попытки загрузки и нет, но в отчете "Couldn't load AV-kernel!!!" так и задумано?

sergey ulasen
27.05.2009, 13:11
Может быть попытки загрузки и нет, но в отчете "Couldn't load AV-kernel!!!" так и задумано?

На главной морде такой записи быть не должно, а в отчете оставили, чтобы было понятно, проводилась ли проверка ядром.
...
Я тут подумал, что тут действительно нестыковка получается. Надо будет в этой части логику еще поменять.

Aleksandra
27.05.2009, 17:05
Спасибо, Сергей! Вы держите свое слово. :) Список изменений беты впечатляет. Я все внимательно посмотрю. Нужно будет еще в Чаво внести некоторые изменения. В разделе "Помогите!" буду подключать программу в работу (где будет возможность).

Rashevskiy
27.05.2009, 19:41
Присоединяюсь к Александре. :)
Функционал впечатляет, так держать...:thumbs:
Было бы неплохо реализовать функции работы с MBR, как это сделано, например, в Dr.Web Shark (аналогичная утилита, но от компании Dr.Web). ;)
Дальнейших успехов в работе. :)

sergey ulasen
27.05.2009, 19:49
2Rashevskiy
Пока идут работы над функциональностью прямого чтения. После его реализации уже можно будет говорить и о mbr.

Rashevskiy
27.05.2009, 19:52
2Rashevskiy
Пока идут работы над функциональностью прямого чтения. После его реализации уже можно будет говорить и о mbr.
Насчет MBR было пожелание на будущее, надеюсь, что его учтут. :)

Aleksandra
31.05.2009, 18:26
Сергей! Как обещала Вам, я посмотрела новую бета-версию программы. Впечатления остались самые хорошие. Спасибо. :)

Из того, что понравилось:

1. Общая стабильность антируткита;
2. Драйвер антируткита для расширенного мониторинга модулей ядра грамотно инсталлируется и деинсталлируется;
3. Программа умеет генерировать случайное имя драйвера;
4. Автоматическое обнаружение установленного комплекса VBA32;
5. Возможность сохранения протокола в архив.

Из того, что на мой взгляд необходимо доработать:

1. При установке драйвера антируткита необходимо сделать автоматическую перезагрузку ОС (с предварительным подтверждением);
2. Галочка в Create ZIP archive должна быть по-дефолту.

По скриптам:


Brs_Start();
CollectState();
Brs_QtnFile("c:\file.exe");
Brs_DelFile("c:\file.exe");
RebootSystem();

1. Удаление файла не сработало.
2. Карантин сжимать в архив с паролем для того, чтобы у пользователя была возможность его оперативно отправлять.

p. s. Желательно расширить скриптовый язык.

Groft
31.05.2009, 19:17
Из того, что на мой взгляд необходимо доработать:

1. При установке драйвера антируткита необходимо сделать автоматическую перезагрузку ОС (с предварительным подтверждением);

В принцепе логично.

2. Галочка в Create ZIP archive должна быть по-дефолту.
Спорный вопрос. Какие приведете аргументы?:)

По скриптам:


Brs_Start();
CollectState();
Brs_QtnFile("c:\file.exe");
Brs_DelFile("c:\file.exe");
RebootSystem();

1. Удаление файла не сработало.
А сам файл закарантинился?

p. s. Желательно расширить скриптовый язык.
Не все сразу. Всему свое время :)

priv8v
31.05.2009, 21:55
Цитата:
2. Галочка в Create ZIP archive должна быть по-дефолту.

Спорный вопрос. Какие приведете аргументы?
Итак. Для чего собираться будет лог? Скорее всего для загрузки на форум или на файлообменник. Если на форум, то нужно еще поискать форум, который будет принимать во вложения файлы в формате html, поэтому пользователю придется дополнительные финты ушами делать (архивировать лог).
А если загрузка на файлообменник, то архив и меньше места занимает и спокойнее это как-то качать архив.


При установке драйвера антируткита необходимо сделать автоматическую перезагрузку ОС (с предварительным подтверждением);
Предлагаю это сделать "по желанию" - с управлением этим "желанием" через параметры.

Aleksandra
01.06.2009, 15:10
В принцепе логично.
Уж куда логичнее...


Спорный вопрос. Какие приведете аргументы?:)
Мой ответ будет идентичен ответу priv8v. А иначе, зачем тогда все это нужно?


А сам файл закарантинился?
Да, и эти файлы крайне желательно помещать в архив с паролем.


Не все сразу. Всему свое время :)
Согласна. Если в ближайшее время будут внесены соответствующие изменения, то можно переходить к испытаниям в реальных боевых условиях. :)

sergey ulasen
01.06.2009, 17:24
Сергей! Как обещала Вам, я посмотрела новую бета-версию программы. Впечатления остались самые хорошие. Спасибо. :)

И вам спасибо!



Из того, что на мой взгляд необходимо доработать:

1. При установке драйвера антируткита необходимо сделать автоматическую перезагрузку ОС (с предварительным подтверждением);
2. Галочка в Create ZIP archive должна быть по-дефолту.

Сделаем к следующей бете.



По скриптам:

1. Удаление файла не сработало.
2. Карантин сжимать в архив с паролем для того, чтобы у пользователя была возможность его оперативно отправлять.

p. s. Желательно расширить скриптовый язык.

До скриптов доберемся позже.
С карантином - не могу обещать, что мы это сделаем к следующей бете, но в одной из ближайших будем стараться.

NickM
01.06.2009, 18:38
Прошу обратить особое внимание на файл помощи.

замечено, в редакторе скриптов по F1 патается найти файл *.hlp, когда из главного окна без вопросов подгружает *.chm

sergey ulasen
01.06.2009, 20:01
замечено, в редакторе скриптов по F1 патается найти файл *.hlp, когда из главного окна без вопросов подгружает *.chm

Спасибо, повторяется.

thetoken12
01.06.2009, 20:28
По поводу встроенного командного языка есть соображение - функциям стоит давать имена не изобилующие частым переключением caps lock'a. Если описанные в примере выше имена функций из стандартного набора,то не стоит сильно увлекаться именованием функциий ( комманд) подобным образом.

NickM
01.06.2009, 20:59
замечено, в окне Kernel Modules если у модуля обнаружены аномалии состояния в памяти системы, он выделяется желтым цветом (Modified Image) и при этом выбрать флаг Don’t display files digitally signed, то подозрительная(желтая) запись тоже исключается из списка, если далее нажать кнопку Refresh она появляется всписке

priv8v
01.06.2009, 21:51
По поводу встроенного командного языка есть соображение - функциям стоит давать имена не изобилующие частым переключением caps lock'a. Если описанные в примере выше имена функций из стандартного набора,то не стоит сильно увлекаться именованием функциий ( комманд) подобным образом.
Да. Над этим тоже сказали, что поработают, но стоит учесть, что по шифту удобнее заглавные набирать, чем по капс-локу + язык можно сделать регистронезависимым.
Т.е вот ХоТь ТаК пИшИ :)

PS: хотя, если следовать венгерской нотации...
:)

sergey ulasen
02.06.2009, 11:08
замечено, в окне Kernel Modules если у модуля обнаружены аномалии состояния в памяти системы, он выделяется желтым цветом (Modified Image) и при этом выбрать флаг Don’t display files digitally signed, то подозрительная(желтая) запись тоже исключается из списка, если далее нажать кнопку Refresh она появляется всписке

Подозреваю, что такое возможно. Спасибо, будем проверять и править.

NickM
02.06.2009, 16:00
с Моей точки зрения удобства пользования, в Tools-->Drivers and services при удалении, снятии/установке check'a после всех изменений в реестре и на диске,происходит процесс пересбора информации данного раздела, а ожидается отображение данного действия в гриде без пересбора, т.к. данная функция повешана на кнопку Refresh

Groft
03.06.2009, 17:50
с Моей точки зрения удобства пользования, в Tools-->Drivers and services при удалении, снятии/установке check'a после всех изменений в реестре и на диске,происходит процесс пересбора информации данного раздела, а ожидается отображение данного действия в гриде без пересбора, т.к. данная функция повешана на кнопку Refresh
В одной из следующих версий будет исправлено

sergey ulasen
03.06.2009, 19:32
замечено, в окне Kernel Modules если у модуля обнаружены аномалии состояния в памяти системы, он выделяется желтым цветом (Modified Image) и при этом выбрать флаг Don’t display files digitally signed, то подозрительная(желтая) запись тоже исключается из списка, если далее нажать кнопку Refresh она появляется всписке

Что-то не получается воспроизвести...
Файлик, на котором срабатывает Don’t display files digitally signed, подписан ЭЦП или нет?

Может каких скриншотиков накидаете нам на beta[at]anti-virus.by?

NickM
03.06.2009, 21:37
Что-то не получается воспроизвести...
Файлик, на котором срабатывает Don’t display files digitally signed, подписан ЭЦП или нет?

Может каких скриншотиков накидаете нам на beta[at]anti-virus.by?

как накидать на http://beta.anti-virus.by/ Я непонял, выложу на обменник.
1рис. - Cкан при выборе данной тулзы(Kernel Modules)
2рис. - После установлен чек Don't display files digitally signed
3рис. - Нажата кнопка Refresh при установленном выше чеке
как видно на втором риснуке, после выбора чека, желтая строка исчезает из грида, но при нажатии Refresh она объявляется

h..p://ifolder.ru/12456581

priv8v
03.06.2009, 21:59
как накидать на beta.anti-virus.by Я непонял, выложу на обменник.
[at] нужно заменить на собаку, а не на точку.

sergey ulasen
04.06.2009, 17:17
как накидать на http://beta.anti-virus.by/ Я непонял, выложу на обменник.
1рис. - Cкан при выборе данной тулзы(Kernel Modules)
2рис. - После установлен чек Don't display files digitally signed
3рис. - Нажата кнопка Refresh при установленном выше чеке
как видно на втором риснуке, после выбора чека, желтая строка исчезает из грида, но при нажатии Refresh она объявляется

h..p://ifolder.ru/12456581

Спасибо, забрал.

sergey ulasen
16.07.2009, 11:42
Vba32 AntiRootKit 3.12.3.3 beta:

ftp://anti-virus.by/beta/Vba32arkit_beta.rar

ftp://anti-virus.by/beta/Vba32arkit_beta.zip

ftp://vba.ok.by/vba/beta/Vba32arkit_beta.rar

ftp://vba.ok.by/vba/beta/Vba32arkit_beta.zip

+ Поиск и восстановление перехватов в таблице дескрипторов прерываний (IDT)

+ Анализ и восстановление перехватов в секциях кода ядра (.text и PAGE)

+ Просмотр и удаление нотификаторов режима ядра (создание потоков, процессов; загрузка исполняемых модулей; операции с реестром)

+ Добавлена поддержка Windows Vista SP2 и Windows 7 RC build 7100

* Устранены недочеты в поведении окон "Autorun" и "Drivers and Services (from Registry)"

Как многие (priv8v, NickM и др.) здесь подметили, окна управления автозагрузкой и службами "страдали" от постоянных рефрешей. Исправили, теперь пользоваться этими окнами стало намного удобнее.

* Автоматическое выравнивание столбцов при отображении результатов сканирования

* Переработано поведение окна настроек

* Улучшен алгоритм разбора пути к скрытым драйверам

* Опция "Create ZIP archive" окна "Logging State" установлена по умолчанию

* Автоматическая перезагрузка при установке драйвера расширенного мониторинга

Спасибо Alexandra за два последних пункта :)

* Исправлена ошибка с отображением окна помощи в дочерних окнах

А это была ошибка, обнаруженная NickM. За что ему тоже огромное спасибо.

* Доработан файл помощи

О планах: в следующей бета-версии будем реализовывать прямое чтение.

Aleksandra
16.07.2009, 11:46
Спасибо, Сергей! На выходных все посмотрю. Что со скриптами? Brs_DelFile отработает?

sergey ulasen
16.07.2009, 13:08
Что со скриптами? Brs_DelFile отработает?

Brs_DelFile() отработает. Но никаких изменений в скрипты не вносилось. Серьезно за скрипты возьмемся только после того, как окончательно разберемся с прямым чтением/удалением.

NickM
18.07.2009, 06:06
Здравствуйте. При проверке системы подозрительный драйвер попал в список 4.List of infected(suspicios) drivers, задался вопросом отыскать, на диске его не нашел, ни через поиск, ни визуально. Решил зайти в Drivers and services (from Registry), его там не нашел, может его и не должно быть там, ведь из названия пункта ясно что инфа из реестра, но Я не об этом. Поиск в окне Drivers and services (from Registry) Я осуществлял по полю Image Path и Меня с толку сбил способ сортировки применяемый в гриде, где оказывается \SYSTEM32\drivers, \system32\DRIVERS и \SYSTEM32\DRIVERS\, разные пути. Может приводить к одному регистру, думаю время затраченное на поиск информации при использовании сортировки по полю сократится в разы, а иначе зачем такая сортировка вообще нужна?

скрин: http://ifolder.ru/13152251

может не в тему, не подскажете по поводу этого файла, как на него выйти?

Aleksandra
18.07.2009, 06:57
может не в тему, не подскажете по поводу этого файла, как на него выйти?
По-моему самая избитая тема этого форума. Не нужно искать этот драйвер. Лучше поищите многочисленные ответы здесь на VI. :)

sergey ulasen
18.07.2009, 22:05
При проверке системы подозрительный драйвер попал в список 4.List of infected(suspicios) drivers, задался вопросом отыскать, на диске его не нашел, ни через поиск, ни визуально. Решил зайти в Drivers and services (from Registry), его там не нашел, может его и не должно быть там, ведь из названия пункта ясно что инфа из реестра,

Это, скорее всего, драйвер от Alcohol 120.


Поиск в окне Drivers and services (from Registry) Я осуществлял по полю Image Path и Меня с толку сбил способ сортировки применяемый в гриде, где оказывается \SYSTEM32\drivers, \system32\DRIVERS и \SYSTEM32\DRIVERS\, разные пути. Может приводить к одному регистру, думаю время затраченное на поиск информации при использовании сортировки по полю сократится в разы, а иначе зачем такая сортировка вообще нужна?

Данные в это поле берутся прямо из реестра. И вставляются туда (в поле) в том самом виде, как они там (в реестре) представлены. Без всякой доп. обработки. В принципе, можно и к одному регистру приводить для удобства. Подумаем, спасибо.

Еще просьба к вам. Сделайте, пожалуйста, скриншот главного окна антируткита (такой как был на прошлом скриншоте, только ничем не закрытый), а то мне кажется, что там есть кое какие проблемы. Ну и отчет тогда еще за компанию. Спасибо.

pig
19.07.2009, 10:07
Данные в это поле берутся прямо из реестра. И вставляются туда (в поле) в том самом виде, как они там (в реестре) представлены. Без всякой доп. обработки. В принципе, можно и к одному регистру приводить для удобства.
Как вариант - регистронезависимая сортировка.

NickM
20.07.2009, 09:19
* Исправлена ошибка с отображением окна помощи в дочерних окнах

после выполнения File -> Logging state , а попросту говоря создания лога, невозможно достучаться до Help'a! ни по F1 ни через меню ?

А также не срабатывает Cancel при создании лога! в других разделах отрабатывает на ура.

sergey ulasen
20.07.2009, 13:05
* Исправлена ошибка с отображением окна помощи в дочерних окнах

после выполнения File -> Logging state , а попросту говоря создания лога, невозможно достучаться до Help'a! ни по F1 ни через меню ?

А также не срабатывает Cancel при создании лога! в других разделах отрабатывает на ура.

Спасибо! Уже проверяем.

Ваш скриншот и логи я получил.

sergey ulasen
20.07.2009, 18:38
При просмотре скриншота от NickM вспомнил, что не сказал одну важную вещь.
Если у вас в системе был проинсталлирован AntiRootKit Driver (ArKit Driver->Install AntiRootKit Driver) от версии 3.12.3.2, и вы запустили версию 3.12.3.3, в окне Kernel-Mode Notificators будет отображен неопределенный нотификатор. На самом деле он наш. Кроме того, если вы хотите и далее работать с драйвером AntiRootKit Driver, вам нужно опять его проинсталлировать. Старый драйвер автоматически заменится на новый. В документации эту тонкость отобразим позже.

Сейчас полным ходом идет работа над прямым чтением. Уже есть первые результаты. Ниже скриншот окна, в котором будут отображаться скрытые файлы:

NickM
20.07.2009, 21:50
по скриптам:
хотелось бы наличие горячих клавиш, таких как Ctrl+N (очистить текст скрипта), Ctrl+S (сохранить скрипт), Ctrl+O (открыть скрипт) и например Ctrl+R (выполнить), иначе при отсутствии мышки невозможно активировать кнопки, ведь нету возможности Tab'ом переключаться по контролам, например набрав скрипт невозможно покинуть поле ввода. может еще Ctrl+A (выделить все), ну это наверное лишнее?

а также заметил, что если править, набирать скрипт в текстовом редакторе FAR'а после скрипты загружаются в виде корейских иероглифов. :O

sergey ulasen
20.07.2009, 23:30
по скриптам:
хотелось бы наличие горячих клавиш, таких как Ctrl+N (очистить текст скрипта), Ctrl+S (сохранить скрипт), Ctrl+O (открыть скрипт) и например Ctrl+R (выполнить), иначе при отсутствии мышки невозможно активировать кнопки, ведь нету возможности Tab'ом переключаться по контролам, например набрав скрипт невозможно покинуть поле ввода. может еще Ctrl+A (выделить все), ну это наверное лишнее?

а также заметил, что если править, набирать скрипт в текстовом редакторе FAR'а после скрипты загружаются в виде корейских иероглифов. :O

Когда доберемся до скриптов, учтем ваши пожелания.

Сейчас скрипты сохраняются в Юникоде (UTF-16).

Aleksandra
21.07.2009, 02:49
В Чаво http://virusinfo.info/showthread.php?t=37840 обновила информацию по антируткиту.

NickM
21.07.2009, 13:56
по скриптам2:
не критически, но все же, если набить в редакторе пробелы или просто цифры и нажать Run script выводится сообщение Script was ran succesfull!!!, сиди гадай какие действия выполнились, а также добавлю, думаю неплохо вдальнейшем использовать для сохранения скрипта *.txt по умолчанию, ну если конечно появится возможность редактировать скрипты в текстовом редакторе (блокнот, внутренние редакторы шеллов и т.п.).

sergey ulasen
21.07.2009, 18:50
по скриптам2:
не критически, но все же, если набить в редакторе пробелы или просто цифры и нажать Run script выводится сообщение Script was ran succesfull!!!, сиди гадай какие действия выполнились,

С этим понятно. Тут все намного сложнее, чем кажется на первый взгляд... Когда доберемся, будем думать, что делать.


а также добавлю, думаю неплохо вдальнейшем использовать для сохранения скрипта *.txt по умолчанию, ну если конечно появится возможность редактировать скрипты в текстовом редакторе (блокнот, внутренние редакторы шеллов и т.п.).

Да, это точно. Юникод тут неудобен совсем.

NickM
22.07.2009, 19:41
Если у вас в системе был проинсталлирован AntiRootKit Driver (ArKit Driver->Install AntiRootKit Driver) от версии 3.12.3.2, и вы запустили версию 3.12.3.3, в окне Kernel-Mode Notificators будет отображен неопределенный нотификатор. На самом деле он наш. Кроме того, если вы хотите и далее работать с драйвером AntiRootKit Driver, вам нужно опять его проинсталлировать. Старый драйвер автоматически заменится на новый.

Не заменяется, неопределенный индификатор не исчезает.Только путем удаления в окне Kernel-Mode Notificators

а также замечено:
в разделе Drivers and services после снятия галки Don't display drivers and services digitally signed список не дополняется драйверами с подписью, обновление происходит только после нажатия Refresh. Думаю поведение данного чекера должно быть как в тулзе Kernel Modules

Добавлено через 7 минут

в тулзе Process List, Autorun таже история, т.е. Я хочу сказать надо настроить поведение этого чекера для всех разделов одинаково, если обновлять так обновлять во всех тулзах.

также отмечу отсутствие возможности по Tab выбирать контролы в окне Карантина

sergey ulasen
23.07.2009, 14:34
Не заменяется, неопределенный индификатор не исчезает.Только путем удаления в окне Kernel-Mode Notificators

Неопределенный нотификатор исчезнет только после перезагрузки машины. По шагам:

1. Инсталлируете драйвер (Install AntiRootKit Driver) версии 3.12.3.2
2. Перегружаете машину
3. Появляется нотификатор, выделенный серым цветом (он - наш)
4. Запускаете антируткит версии 3.12.3.3
5. В нем виден неопределенный нотификатор (это драйвер от старой версии)
6. Перегружаете машину
7. Неопределенный нотификатор - исчез
8. По желанию можно проинсталлировать новый драйвер


а также замечено:
в разделе Drivers and services после снятия галки Don't display drivers and services digitally signed список не дополняется драйверами с подписью, обновление происходит только после нажатия Refresh. Думаю поведение данного чекера должно быть как в тулзе Kernel Modules

Добавлено через 7 минут

в тулзе Process List, Autorun таже история, т.е. Я хочу сказать надо настроить поведение этого чекера для всех разделов одинаково, если обновлять так обновлять во всех тулзах.

Уже в багтрекере :)


также отмечу отсутствие возможности по Tab выбирать контролы в окне Карантина

Работа с клавиатурой пока вообще нигде не реализована.

sergey ulasen
09.09.2009, 12:21
Vba32 AntiRootKit 3.12.3.3 beta:

ftp://anti-virus.by/beta/Vba32arkit_beta.rar

ftp://anti-virus.by/beta/Vba32arkit_beta.zip

ftp://vba.ok.by/vba/beta/Vba32arkit_beta.rar

ftp://vba.ok.by/vba/beta/Vba32arkit_beta.zip

* Файл помощи переведен на английский язык

Английский хелп можно вызвать, открыв файл Vba32ArkitEN.chm.

Aleksandra
11.09.2009, 10:01
* Файл помощи переведен на английский язык
Very good translation.


Английский хелп можно вызвать, открыв файл Vba32ArkitEN.chm.
Problems. After collecting the logs, help file doesn't open.

sergey ulasen
11.09.2009, 11:42
Problems. After collecting the logs, help file doesn't open.

В альфе уже исправлено.

sergey ulasen
07.10.2009, 15:40
Vba32 AntiRootKit 3.12.3.3 beta:

ftp://anti-virus.by/beta/Vba32arkit_beta.rar

ftp://anti-virus.by/beta/Vba32arkit_beta.zip

ftp://vba.ok.by/vba/beta/Vba32arkit_beta.rar

ftp://vba.ok.by/vba/beta/Vba32arkit_beta.zip

+ Добавлена поддержка Windows 7

Скорее всего, последнее серьезное изменение в данную ветку разработки. Если никаких серьезных проблем не обнаружится, выпустим релиз антируткита 3.12.4.0. В течение ближайшего месяца должны с данной задачей справиться.

RedLord
26.10.2009, 18:38
x64 системы поддерживаются?

sergey ulasen
26.10.2009, 20:11
x64 системы поддерживаются?

Нет.

sergey ulasen
16.11.2009, 19:58
Антируткит версии 3.12.4.0 вышел в релиз:

http://anti-virus.by/products/utilities/76.html

http://anti-virus.by/en/vba32arkit.html

В связи с этим, хотелось бы сказать огромное спасибо всем, кто помогал нам в бета-тестировании данной утилиты. Все Ваши замечания не остались незамеченными. И даже если мы что-то не успели реализовать к данной версии утилиты, мы реализуем это в последующих версиях. Как и обещалось, данная утилита бесплатна, и любой желающий сможет скачать ее по приведенным ссылкам.

Также скажу, что мы не останавливаемся на достигнутом, и сейчас полным ходом идет разработка следующей бета-версии Vba32 AntiRootkit, которой будет присвоена версия 3.12.5.0 beta. Выход в бета-тестирование планируется ближе к Новому Году.

Спасибо!

Surfer
16.11.2009, 23:23
А TDSS видит ?

sergey ulasen
17.11.2009, 12:14
А TDSS видит ?

TDSS видит:

http://virusinfo.info/attachment.php?attachmentid=179634&stc=1&d=1258448362

Но только как скрытый драйвер в модулях ядра и нотификаторы, установленные этим драйвером.

Следующая версия будет обнаруживать скрытые файлы TDSS в файловой системе. Также сейчас идет работа над детектом TDL в антирутките. Причина в том, что сейчас идет работа над прямым чтением, а без него полноценный детект данных руткитов невозможен.

Alex_Goodwin
17.11.2009, 18:39
TDSS видит Что и третью версию тоже?

Kuzz
17.11.2009, 18:58
Что и третью версию тоже?

Также сейчас идет работа над детектом TDL в антирутките
Как бы намекает, что нет))

sergey ulasen
18.11.2009, 20:35
Что и третью версию тоже?


Как бы намекает, что нет))

Да, все верно. Текущий релиз антируткита не способен увидеть TDL. Руткит слишком технологичен, что бы быть им замеченым. Но и разработка не стоит на месте. Следующая бета уже не будет ничем уступать другим ведущим антируткитам в детекте данного типа руткитов.

Скрытые IRP-обработчики:

180136

Измененный драйвер atapi.sys и скрытый модуль в списке модулей ядра:

180137

Нотификатор:

180138

Лог антируткита:

180139

Сейчас лечение данного трояна возможно с помощью Vba32 Rescue.

sergey ulasen
22.02.2010, 22:27
Также скажу, что мы не останавливаемся на достигнутом, и сейчас полным ходом идет разработка следующей бета-версии Vba32 AntiRootkit, которой будет присвоена версия 3.12.5.0 beta. Выход в бета-тестирование планируется ближе к Новому Году.

К Новому Году, к сожалению, не получилось >:(
Забыл умножить на 1.5 :)

Представляем Вашему вниманию следующую бета-версию нашего антируткита Vba32 AntiRootKit 3.12.5.0 beta:

ftp://anti-virus.by/beta/Vba32arkit_beta.rar

ftp://anti-virus.by/beta/Vba32arkit_beta.zip

ftp://vba.ok.by/vba/beta/Vba32arkit_beta.rar

ftp://vba.ok.by/vba/beta/Vba32arkit_beta.zip

+ Добавлен механизм "прямого" доступа к файловой системе. Реализован разбор файловых систем NTFS и FAT 12/16/32. Низкоуровневая верификация файлов осуществляется во всех существующих проверках

Т.е. реализован так называемый механизм "прямого" чтения/записи диска.
Все проверяемые в антирутките объекты также проверяются и данным механизмом.

+ Окно Low-Level Disk Access Tool. Поддерживает операции низкоуровневого просмотра, копирования, удаления (с вытеснением из кэша файловой системы). Работает со скрытыми, заблокированными и измененными файлами. Поддерживает файловые потоки и символьные ссылки

Добавлено окно эксплорера, в котором можно просматривать, копировать, удалять файлы и файловые потоки. Добавлен сканер, который обнаруживает скрытые, заблокированные, измененные файлы и файловые потоки.

+ Опция Vba32 Defender препятствует загрузке новых исполняемых файлов, а также драйверов в память во время работы антируткита

Данная опция по умолчанию отключена.

+ Улучшен механизм поиска скрытых процессов (поиск хэндлов в csrss.exe, анализ PspCidTable и т.д.)

Анализ некоторых методов сокрытия процессов возможен без режима расширенного мониторинга.

+ Улучшен механизм получения списка модулей ядра, добавлен анализ стека драйверов
+ Проверка в памяти аттрибутов секций ядерных модулей
+ Поиск скрытых IRP обработчиков

Благодаря этому детектится TDL3.

* Возможность исключать модули режима пользователя из списка модулей ядра

* Изменён формат вывода информации о процессах (добавлен EPROCESS, ShortName)

* Улучшен механизм взаимодействия драйвера антируткита с GUI

* Переработан механизм поиска перехватов ядра. Проверяются таблицы экспорта и кодовые секции всех модулей ядра

До сих пор проверялись только ntoskrnl.exe, hal.dll, win32k.sys, ndis.sys.

* Доработан файл помощи на русском языке

Как всегда прошу обратить внимание на полноту файла-помощи и высказать свои замечания.

Из того, что не отмечено в readme:

* Изменен формат файла-отчета, генерируемого по команде Logging State

Информация в файле теперь представляется в более удобном виде и более информативна. Добавлены java-scripts.
В окне Logging State добавился пункт File System, который сканирует диск прямым чтением. Достаточно долгий процесс, потому его можно отключать, когда делается отчет.

Известные проблемы:

* нестабильность главного окна и функциональности, доступной по кнопке Start

Иногда возникает ситуация, когда информация в окне отображается некорректно. В качестве решения рекомендую пользоваться либо окнами, доступными через меню Tools, либо html-логом, доступным через Logging State.

* плохое юзабилити

Нет возможности пользоваться клавиатурой, плохая эргономика.

* неинформативные, вводящие в заблуждение полосы прогрессбара

Какие-то они совсем корявые получились.

Планы на 3.12.5.1 beta:

* отказаться от главного окна в его теперешнем представлении

Уже есть хорошие идеи, как обыграть эту тему. Я думаю, что всем должно понравиться.

* улучшить юзабилити

Этим вопросом уже плотно занимаемся.

* увеличить список проверяемых типов автозагрузки

Тоже уже работаем над этим.

* подключить проверку модулей процессов

* и многое другое

Замечания, предложения, дампы после BSOD :), интересные файлы отчетов и сэмплы, на которых есть проблемы, а также любая информация, которая поможет сделать продукт лучше, приветствуется.
Спасибо 8)

priv8v
22.02.2010, 22:39
Однако, серьезная работа проделана. Те изменения от версии к версии, что были раньше с этим изменением и рядом не лежали. Поздравляю!!!
Серьезный уровень.

sergey ulasen
24.02.2010, 21:20
+ Улучшен механизм поиска скрытых процессов (поиск хэндлов в csrss.exe, анализ PspCidTable и т.д.)

Специалисты сайта http://www.ntinternals.org/ перетестировали свежую версию антируткита (3.12.5.0 beta) в тесте на поиск скрытых процессов (http://www.ntinternals.org/process_detection_test.php). Результат 6 из 12. Предыдущая версия детектировала только 1 из 12.

Работа в этом направлении продолжается.

Синауридзе Александр
01.03.2010, 18:17
Работа в этом направлении продолжается.
Это хорошо, что работа не стоит на месте. А когда релиз? :smile2:

sergey ulasen
02.03.2010, 20:01
Это хорошо, что работа не стоит на месте. А когда релиз? :smile2:

Релиз еще нескоро. В планах выпустить несколько бета-версий с серьезными изменениями.
Но все бета-версии будем стараться делать достаточно стабильными и надежными, чтобы ими можно было пользоваться безо всяких ограничений.

Доказательство: :)

02.03.2010 Vba32 AntiRootkit 3.12.5.0 beta

* Улучшена стабильность работы программы

thetoken12
02.03.2010, 21:21
При открытии меню tools->autorun и перемещении по дереву вниз или вверх происходит проверка на правильную подпись и т. д.
Может стоит это делать однажды при открытии диалогого окна, а не постоянно при перемещении по дереву?

sergey ulasen
03.03.2010, 11:26
При открытии меню tools->autorun и перемещении по дереву вниз или вверх происходит проверка на правильную подпись и т. д.
Может стоит это делать однажды при открытии диалогого окна, а не постоянно при перемещении по дереву?

Спасибо.
Идея прикрутить кэш к автозагрузке уже озвучивалась.
Не могу обещать, что мы это сделаем в ближайшем будущем, но обязательно рассмотрим возможность реализации немного позже.

thetoken12
05.03.2010, 12:49
Судя ветке, посвещенной руткиту tdl3 на форуме sysinternals, данная версия антируткита способна обнаружить и удалить TDL3.273.
Это хорошая новость.

sergey ulasen
05.03.2010, 20:51
Судя ветке, посвещенной руткиту tdl3 на форуме sysinternals, данная версия антируткита способна обнаружить и удалить TDL3.273.
Это хорошая новость.

Ну как-то так, только функциональности лечения TDL в антируткит не закладывалось.

05.03.2010 Vba32 AntiRootkit 3.12.5.0 beta

* Улучшена стабильность работы программы

sergey ulasen
12.03.2010, 19:11
Перевыпустили бета версию Vba32 Antirootkit. Все изменения направлены на повышение стабильности работы продукта. Исправлены баги, приводившие к BSOD, и исправлена ошибка, в результате которой нельзя было получить список модулей ядра на некоторых системах.

Erekle
13.03.2010, 02:49
Все изменения направлены на повышение стабильности работы
Спасибо.
Можно, чтобы сделать и немного более быстрым?

Aleksandra
13.03.2010, 13:51
Можно, чтобы сделать и немного более быстрым?
По моему для антируткита программа работает даже очень быстро.

Добавлено через 7 часов 11 минут

Вы в Logging State опцию File Systems отключаете?

Гриша
18.03.2010, 16:29
Тут в быту нашел проблему антируткита VBA, стабильное воспроизведение как на релизе так и на последней бетке, есть дамп памяти и собственно "виновник", куда отсылать ? :)

sergey ulasen
18.03.2010, 17:41
Тут в быту нашел проблему антируткита VBA, стабильное воспроизведение как на релизе так и на последней бетке, есть дамп памяти и собственно "виновник", куда отсылать ? :)

Виновника можно на [email protected], а дамп в архиве (если позволяет интернет, то kernel mode dump - он хорошо жмется) на файлообменник и ссылку мне в личку.

Гриша
18.03.2010, 21:18
Виновника можно на [email protected], а дамп в архиве (если позволяет интернет, то kernel mode dump - он хорошо жмется) на файлообменник и ссылку мне в личку.

Завтра ждите :)

Гриша
19.03.2010, 23:16
Сегодня не отправил пока, надо еще проверить момент, но тут технические неполадки, как разберусь-пришлю, если будет что-нибудь интересное :)

senyak
12.04.2010, 18:24
Поиск файлов не помешал бы. Запустил сканирование, нажал Cancel - а он все равно сканирует. Почему? Нажимал не раз

NickM
12.04.2010, 19:04
замечено: для вновь созданных файлов неправильно отображаются атрибуты в Tools-->Process List, а также относительно чего определяется время создания/модификации/доступа файлов? у меня разница -6(минус шесть) часов, в настройках стоит +5(Екатеринбург)
скрины на [email protected]

вдогонку, заметил когда скрины рассматривал, в том же процесс лист, если перевести фокус на др. окно(приложение), теряется подсвеченная(выделеная) строка ,

senyak
12.04.2010, 19:33
У кого-то есть проблемы со звуком после "Logging State"? У меня на двух компах после сканирования пропал звук. Помогает перезагрузка

sergey ulasen
12.04.2010, 20:21
Поиск файлов не помешал бы. Запустил сканирование, нажал Cancel - а он все равно сканирует. Почему? Нажимал не раз

Cancel должен работать... обратим на это внимание еще раз. Не буду обещать, что прикрутим поиск в ближайшем будущем, но в качестве пожелания запишу.


замечено: для вновь созданных файлов неправильно отображаются атрибуты в Tools-->Process List, а также относительно чего определяется время создания/модификации/доступа файлов? у меня разница -6(минус шесть) часов, в настройках стоит +5(Екатеринбург)
скрины на [email protected]

1. Для вновь созданных файлов вы все верно подметили. Информация берётся из низкоуровневого доступа к диску. При создании файла он сначала создаётся в кэше (в это время на диске лежит абы-что, что собственно и отображается), а только потом сбрасывается на диск. Так что это нормально.

2. Отображается время взятое из структур NTFS по GMT.


вдогонку, заметил когда скрины рассматривал, в том же процесс лист, если перевести фокус на др. окно(приложение), теряется подсвеченная(выделеная) строка ,

Посмотрим, можно ли с этим что-то сделать.


У кого-то есть проблемы со звуком после "Logging State"? У меня на двух компах после сканирования пропал звук. Помогает перезагрузка

Да, у некоторых проблемы были (на XP). Подтверждаю. Может конфигурацией оборудования и софта поделитесь?

senyak
12.04.2010, 20:31
Cancel должен работать... обратим на это внимание еще раз.
На двух компах при нажатии все равно сканирует


Да, у некоторых проблемы были (на XP). Подтверждаю. Может конфигурацией оборудования и софта поделитесь?
Мы общаемся с Groft. Понимногу подбираемся к истине. Но если надо - скину

sergey ulasen
12.04.2010, 20:51
На двух компах при нажатии все равно сканирует.

Странно. Будем разбираться и решать проблему.


Мы общаемся с Groft. Понимногу подбираемся к истине. Но если надо - скину

Можно и с Грофтом :)

NickM
12.04.2010, 21:28
2. Отображается время взятое из структур NTFS по GMT.

время хранится в GMT? может глюк при переводе к оному?

sergey ulasen
12.04.2010, 22:37
у меня разница -6(минус шесть) часов, в настройках стоит +5(Екатеринбург)


время хранится в GMT? может глюк при переводе к оному?

Стрелки-то мы переводим два раза в год на летнее/зимнее время. Отсюда и разница в один час образуется при переходе на летнее время.

senyak
12.04.2010, 23:47
sergey ulasen, а везде, где пропадал звук - стоял AIMP? Незнаете?

MedvedD
13.04.2010, 09:09
У меня аимпа нет, но kmixer.sys работать перестал - звуковые устройтва из системы пропали.

Groft
13.04.2010, 13:06
Понимногу подбираемся к истине.
Подобрались... Данная проблема существует в версии 3.12.5.0, но по информации закрытой группы тестеров, проблема отсутствует в альфа-версии 3.12.5.1 :)

NickM
13.04.2010, 18:20
приметил в правом верхнем углу главного окна, чекбокс VBA32 Defender, какова его функциональность? отмечу что после его включения хэлп антируткита недоступен, а также, что странно, блокируется переход по ссылкам из майл.ру агента ( 5.6 3278 )

добавлено: вопрос по defender снимается, заглянул в справку :>

добавлено2: в "low-level disk access tool", не выдержан стиль - отсутствует привычный флаг сортировки колонок (бледная серая стрелочка) ,

sergey ulasen
13.04.2010, 19:01
sergey ulasen, а везде, где пропадал звук - стоял AIMP? Незнаете?


У меня аимпа нет, но kmixer.sys работать перестал - звуковые устройтва из системы пропали.


Подобрались... Данная проблема существует в версии 3.12.5.0, но по информации закрытой группы тестеров, проблема отсутствует в альфа-версии 3.12.5.1

Как я люблю такие :censored: ошибки...
Скорее всего, в текущей версии драйвер что-то рушит в ядре, и возникают проблемы со звуком.
Если с выходом следующей версии подобная проблема будет опять появляться, сразу сообщайте.


добавлено: вопрос по defender снимается, заглянул в справку

Для тех, кто не любит смотреть в справку, я, на всякий случай, процитирую справку здесь:

"Флаг Vba32 Defender блокирует создание новых процессов и загрузку новых драйверов после своей активации. Данный режим по умолчанию отключен."

Ну и это прородитель самозащиты антируткита.

З.Ы.: Для тех, кто еще не видел, здесь (http://www.anti-malware.ru/forum/index.php?s=&showtopic=7367&view=findpost&p=102699) я выложил скриншоты главного окна антируткита следующей версии.

Добавлено через 6 минут


добавлено2: в "low-level disk access tool", не выдержан стиль - отсутствует привычный флаг сортировки колонок (бледная серая стрелочка) ,

Да, прошляпили... Спасибо.

NickM
13.04.2010, 19:28
Для тех, кто не любит смотреть в справку

да, именно там и прочитал, по ссылкам, интересно при их открытии майл-агент создает процессы? например др. программы спокойно открывают в запущенном браузере странички

Добавлено через 23 минуты

добавлено:

Флаг Vba32 Defender блокирует создание новых процессов и загрузку новых драйверов после своей активации.

а каким способом происходит блокировка? тут попробывал,поэкспериментировал, открыл "process explorer" и стал запускать программы, и что интересно, ms word, ms excel, adobe reader успели отметится в списке процессов, а потом исчезли, такое чувство что defender просто их прибивает при открытии, интересно за это время, они могут производить какие-либо действия?

sergey ulasen
13.04.2010, 19:46
да, именно там и прочитал, по ссылкам, интересно при их открытии майл-агент создает процессы? например др. программы спокойно открывают в запущенном браузере странички

Честно говоря, не знаю. Возможно, он не открывает странички в уже работающем процессе, а пытается запустить новый. В связи с чем обламывается. Это все надо исследовать.
На самом деле, эта опция достаточна опасна, т.к. может нарушить работу системы. Потому выполнять какие-то посторонние действия (кроме анализа и лечения) на компьютере с загруженным антируткитом и включенной опцией Vba32 Defender не рекомендуется.

Добавлено через 12 минут


интересно за это время, они могут производить какие-либо действия?

Специально делалось так, чтобы не успели ;)

NickM
13.04.2010, 20:27
Специально делалось так, чтобы не успели


ясно, а на практике как?
опять же поэкспериментировал, "process monitor" говорит что успевают,

может лишняя информация, и вообще не по делу, но

"23:13:46,1362980","EXCEL.EXE","4972","Process Start","","SUCCESS","Parent PID: 3580"

23:13:46,6282035","EXCEL.EXE","4972","Process Exit","","SUCCESS","Exit Status: 0, User Time: 0.0000000 seconds, Kernel Time: 0.0312002 seconds

sergey ulasen
13.04.2010, 21:08
ясно, а на практике как?
опять же поэкспериментировал, "process monitor" говорит что успевают,

может лишняя информация, и вообще не по делу, но

"23:13:46,1362980","EXCEL.EXE","4972","Process Start","","SUCCESS","Parent PID: 3580"

23:13:46,6282035","EXCEL.EXE","4972","Process Exit","","SUCCESS","Exit Status: 0, User Time: 0.0000000 seconds, Kernel Time: 0.0312002 seconds

Нормальный документированный способ реализовать дефендер средствами ОС появился только в висте с первым сервис паком. До этого используются другие методы, процесс успевает стартовать в ядре, но в пользовательском режиме выполнить ничего не успевает и этого более, чем достаточно.

От подробностей воздержусь.

zhuzzzhu
16.04.2010, 15:20
Скачала, кликнула экзешник и вылетела в синий экран. Перезагрузка. Снова кликнула экзешник - и снова синий экран. Третий раз пробовать не стала.

Vista Home Premium (32), установлен Nod32 business edition.

Seredj
16.04.2010, 17:11
Нужно ли устанавливать Driver, ведь сканирование запускатся и без него?
При установке драйвера система просто не загружается при перезагрузке.
Windows XP SP3, NOD32 4.0, Outpost Firewall Pro 2009.

Добавлено через 41 минуту

и потом, выдала утилита список неподписанных процессов.
а как распознать, есть ли среди них ентот руткит? или это только tool для специалистов?

Groft
16.04.2010, 18:42
Скачала, кликнула экзешник и вылетела в синий экран. Перезагрузка. Снова кликнула экзешник - и снова синий экран. Третий раз пробовать не стала.

Vista Home Premium (32), установлен Nod32 business edition.

Для расследования нужен дамп памяти. Он должен был образоваться после вылета и лежать по стандартному пути: С:\WINDOWS\Minidump . Адрес нашей почты, куда непосредственно нужно высылать этот дамп, следующий: beta:at:anti-virus.by


Нужно ли устанавливать Driver, ведь сканирование запускатся и без него?
Драйвер расширенного мониторинга служит для получения более подробной информации. Устанавливать не обязательно.

При установке драйвера система просто не загружается при перезагрузке.
Windows XP SP3, NOD32 4.0, Outpost Firewall Pro 2009.

Скорее всего, образовался дамп. Следуйте вышеописанным действиям :)


и потом, выдала утилита список неподписанных процессов.
а как распознать, есть ли среди них ентот руткит? или это только tool для специалистов?

Да, эта утилита предназначена только для специалистов и работников службы технической поддержки. Если у Вас есть подозрения на наличие заражения, рекомендуем обратиться в раздел "ПОМОГИТЕ" (http://virusinfo.info/index.php?page=malwareremoval)

P.S. Прошу обратить внимание, что статус AntiRootkit'a - бета, со всеми вытекающими последствиями (бсоды, ошибки, как в графической, так и функциональной частях). Просим высылать все образовавшиеся дампы на почту или на файлообменники (если большой размер), конфигурацию установленного ПО (антивирусы, фаерволы, хипсы) и другую информацию, которая поможет в исследовании ошибки.

Благодарим за понимание :)

sergey ulasen
11.05.2010, 11:53
Сегодня в бета-тестирование выходит следующая версия утилиты Vba32 AntiRootkit 3.12.5.1.
Ссылки для скачивания:

http://www.anti-virus.by/en/download_arkit_beta.php?

ftp://anti-virus.by/beta/Vba32arkit_beta.7z

ftp://anti-virus.by/beta/Vba32arkit_beta.rar

ftp://anti-virus.by/beta/Vba32arkit_beta.zip

http://vba.datacenter.by/beta/Vba32arkit_beta.7z

http://vba.datacenter.by/beta/Vba32arkit_beta.rar

http://vba.datacenter.by/beta/Vba32arkit_beta.zip

В нее вошли следующие изменения:

+ Полностью переработано главное окно антируткита

Как и обещал при выходе прошлой версии, в этой итерации мы серьезно переделали главное окно:

236889

Теперь отчет в html-формате формируется прямо в главном окне, из которого его позже можно сохранить в файл.

+ Улучшено юзабилити (добавлены контекстные меню, горячие клавиши, переход между элементами по Tab и т.п.)

Теперь с антируткитом работать можно без мыши. Еще, конечно, остались некоторые неудобства, но мы их исправим в ближайшем будущем.

+ Увеличено количество проверяемых мест автозагрузки
(Quick Launch, Service Modules, Explorer, Task Scheduler, Image File Execution Options)

Проверяемых веток автозагрузки стало гораздо больше, но еще есть куда стремиться :)

+ Добавлен просмотр и возможность удаления нотификаторов типа KeBugCheck

+ Доработан отчёт: добавлена навигация, время сканирования, состояние Vba32 Defender'а. Прерванное исследование, а также ошибки в процессе анализа, корректно отображаются в логе

Отчет тоже стал выглядеть намного приятнее и структурированнее.

+ Добавлена страничка бета-версии Vba32 AntiRootkit на сайт компании

По ссылке http://www.anti-virus.by/en/beta.shtml появилась страничка, посвященная бета-версии антируткита. Там же размещена кнопка, по которой антируткит выдается со случайным именем.

* Улучшено кэширование проверяемых объектов при исследовании системы

Проверка теперь работает заметно быстрее.

* Улучшен механизм поиска скрытых процессов

* Функционал модулей Vba32ar.dll и Vba32arch.dll перенесён в .exe файл, антируткит пакуется UPX'ом

Т.е. собрали всю функциональность в один модуль vba32arkit.exe. При всех плюсах, появились и минусы: под Windows 2000 необходимо наличие библиотеки gdiplus.dll.

* Доработан файл помощи на русском языке

- Временно исключены карантин и скрипты

Мы не отказываемся от них навсегда, просто на сегодняшний день у нас и у пользователей к прошлой реализации много нареканий:

1. неудобный язык;
2. слабые возможности;
3. низкое юзабилити.

Потому на пару итераций мы вообще от него отказались, а в одном из ближайших выпусков его переработаем.

В планах на 3.12.5.2: более плотная работа с ring3 - определение модулей, потоков и т.д.

P.S. Спасибо всем бета-тестерам, которые тратили свое время на обнаружение ошибок, генерацию ценных идей и определение пути развития продукта. Надеюсь, что наша совместная работа и в будущем будет не менее продуктивной.

senyak
11.05.2010, 12:13
Сейчас покрутим. Главное, чтобы не было пропадание звука.

K_Mikhail
11.05.2010, 12:19
Сейчас покрутим. Главное, чтобы не было пропадание звука.

Воспроизводится. Не могу понять только в какой момент. :(

senyak
11.05.2010, 12:22
Опять пропадает? Странно, но я крутил раньше и пропаданий не было. Ща глянем, еще сканируется

XiTri
11.05.2010, 13:16
? А куда надо нажать чтоб звук пропал?
Тож хочу протестить.

sergey ulasen
11.05.2010, 15:56
? А куда надо нажать чтоб звук пропал?

Проблема воспроизводится нестабильно

XiTri
12.05.2010, 11:26
У меня на ХР полностью пропатченой не воспроизвелась, а я старался вовсю
Действительно бэта даже глюки и те нестабильны

senyak
12.05.2010, 11:40
У меня тоже не пропал звук

MedvedD
12.05.2010, 13:17
Пропал звук.

sergey ulasen
12.05.2010, 13:21
Пропал звук.

А модель звуковой карточки и версию ОС узнать можно?

MedvedD
12.05.2010, 13:38
Realtek ALC883, WinXP SP3 все патчи.

NickM
12.05.2010, 21:34
+ Полностью переработано главное окно антируткита


да, так удобней, когда лог по все пунктам в одном окне, но ..., не оч. удобно когда начинает формироваться лог и Ты начинаешь его потихоньку просматривать(по пунктам) то след. завершившийся пункт сбрасывает Тебя в самое начало лога, думаю надо подправить, или запретить навигацию по оному до окончания процесса сканирования, а также что-то на моей висте не работают ссылки "Content" навигации в логе, :(
и еще на домашнем компе после нажатия кнопки "Start", Vba32Arkit рвется на mail.mail-inet.com

sergey ulasen
13.05.2010, 18:43
а также что-то на моей висте не работают ссылки "Content" навигации в логе, :(

"Content" работает только после сохранения лога в файл. В окне данная фича не работает.


и еще на домашнем компе после нажатия кнопки "Start", Vba32Arkit рвется на mail.mail-inet.com

Сетевая активность связана с проверкой ЭЦП у файлов.

Добавлено через 6 часов 41 минуту

Alex из NT Internals (http://www.ntinternals.org/) перетестировал последнюю версию антируткита в тесте на поиск скрытых процессов (http://www.ntinternals.org/process_detection_test.php).

Nerimash
08.07.2010, 17:27
Мы, наконец-то, основательно взялись за свой антируткит и начали его очень активную разработку. Ниже адреса, по которым можно скачать сам продукт:

ftp://anti-virus.by/beta/Vba32arkit_beta.rar

ftp://anti-virus.by/beta/Vba32arkit_beta.zip

Сразу же привожу режимы его работы (чтобы не возникало никакой путаницы):

Vba32 AntiRootkit может работать в трех режимах (с поддержкой антивирусного ядра Vba32 и без него).
1. В первом режиме, с поддержкой антивирусных баз, модуль находится в папке %VBA32%. После своей загрузки он пытается получить доступ к COM-объекту антивирусного ядра Vba32 и в случае успеха использует его для проверки.
2. Если доступ к COM-объекту получить не удается, модуль загружает антивирусное ядро и базы себе в память и работает с ними напрямую.
3. В третьем режиме можно использовать модуль Vba32 AntiRootkit отдельно от комплекса VBA32. В данном режиме проверка обнаруженных объектов антивирусным ядром производиться не будет.

Первый и третий пункты вроде бы понятны. Могут возникнуть вопросы со вторым, потому...
Если вы не являетесь пользователем нашего комплекса, антируткит можно использовать совместно с нашим консольным сканером. Пока антируткит не выложен на стандартный ресурс обновления для beta-тестирования, можно воспользоваться релизным консольным сканером. Сканер можно взять здесь: ftp://anti-virus.by/pub/Vba32Check.exe. Файлы, находящиеся в архиве Vba32arkit_beta, необходимо скопировать (заменить) в папку Vba32Check\vba32w.

Теперь о том, что же, собственно, нового в нем добавилось/изменилось:

+ Добавлено получение и проверка списка автозагрузки и сопутствующих элементов (ActiveX, BHO, LSP, Autorun.inf, SecurityProviders и др.)

+ Добавлено получение и проверка списка драйверов и сервисов (анализ реестра)

Теперь с помощью антируткита можно управлять автозагрузкой. При этом (опционально) осуществляется проверка файлов антивирусным ядром и проверяются ЭЦП файлов (Authenticode). Обратите, пожалуйста, особое внимание на интерфейс окна и на удобство его использования. Может быть имеет смысл чего-нибудь в нем подвигать.

+ Проверка состояния MSR регистров (SysEnter)

+ Возможность включения кэширования файлов при проверке антивирусным ядром

Обратите внимание на данную настройку, она существенно повышает скорость работы с приложением.

* Сохранение логов производится в формате html

Нам самим надоело воевать с логами в текстовом формате. html намного удобнее. Обратите внимание на те цвета и на ту информацию, которая в них содержится.

* Интерфейс антируткита полностью переведён на UNICODE

* Улучшен механизм работы карантина

Оцените удобство карантина. Замечания и пожелания приветствуются.

* Исправлено поведение кнопки Apply в окне настроек


* Исправлена ошибка с получением списка процессов на Windows 2003

Кроме того изменена документация к антируткиту. Пока только на русском языке, но скоро будет и на английском.

И немного о планах. Уже сейчас активно идет разработка новой функциональности, которая касается детектирования методов перехватов. Реализовали Shadow SDT, IRP, EAT, сплайсинг. Как только оттестируем у себя, сразу передадим эстафету вам :)

Ждем обратной связи.

Добрый день, Сергей.
Скажите пожалуйста, если ли справочные материали по скриптовому языку антируткита?

Oyster
09.07.2010, 01:14
если ли справочные материали по скриптовому языку антируткита?
В файле справки есть раздел "Дополнительные возможности" - "Выполнение скриптов", всего пять команд. Не забудьте, что скрипт надо сохранять в unicode. Есть параметр командной строки для автоматического выполнения скрипта.

Nerimash
09.07.2010, 06:42
В файле справки есть раздел "Дополнительные возможности" - "Выполнение скриптов", всего пять команд. Не забудьте, что скрипт надо сохранять в unicode. Есть параметр командной строки для автоматического выполнения скрипта.

нету такого раздела в последней бете и скриптов тоже нету (

sergey ulasen
09.07.2010, 12:51
- Временно исключены карантин и скрипты

Мы не отказываемся от них навсегда, просто на сегодняшний день у нас и у пользователей к прошлой реализации много нареканий:

1. неудобный язык;
2. слабые возможности;
3. низкое юзабилити.

Потому на пару итераций мы вообще от него отказались, а в одном из ближайших выпусков его переработаем.

Т.е. скрипты есть только в текущей релизной версии. В бета-версии их нет.

Nerimash
09.07.2010, 13:10
дайте ссылку на хелп в котором есть документация по скриптах

sergey ulasen
09.07.2010, 13:23
дайте ссылку на хелп в котором есть документация по скриптах

Здесь лежит релизная (3.12.4.0) версия: http://www.anti-virus.by/products/utilities/76.html

sergey ulasen
14.03.2011, 15:00
Привет!

Делюсь с комьюнити следующей бета-версией антируткита Vba32 AntiRootkit 3.12.5.2 beta build 168.
Ссылки для скачивания:

http://anti-virus.by/en/beta.shtml

ftp://anti-virus.by/beta/vba32arkit_beta.7z

ftp://anti-virus.by/beta/vba32arkit_beta.rar

ftp://anti-virus.by/beta/vba32arkit_beta.zip

Данный скоуп получился очень насыщенным. В него вошло большое количество изменений, которыми я с вами с радостью поделюсь:

+ Окно Process List заменено на Process Manager. Значительно увеличено количество выводимой информации

+ Вывод списка аномалий для каждого процесса

+ Операции над процессами (Terminate, Terminate and Delete File, Suspend/Resume, Dump)

+ Вывод информации о модулях (в том числе скрытых)

+ Операции над модулями процессов (Unmap, Dump)

+ Вывод информации о потоках (в том числе скрытых), детектирование аномальных потоков

+ Операции над потоками, в т.ч. и над системными (Terminate, Suspend/Resume)

+ Вывод информации об открытых дескрипторах (хэндлах)

Добавили возможность полноценной работы с процессами:

- завершение процесса;
- блокирование (suspend)/разблокирование (resume) процесса;
- снятие дампа памяти с процесса.

Список процессов можно выводить в древовидной и списковой формах. По процессам можно выводить большое количество различной полезной информации - начиная с PID, заканчивая адресами EPROCESS, PEB и др. Весь вывод можно опционально настроить и выбрать только необходимые данные.

Определение скрытых процессов и поиск различных аномалий в процессах также осуществляется.

303266

Работа с потоками:

- завершение потока;
- блокирование (suspend)/разблокирование (resume) потока.

Опционально можно задать вывод большого количества различной подробной информации о потоках.

Определение скрытых потоков и поиск различных аномалий в потоках также осуществляется.

303267

Работа с модулями:

- выгрузка модуля из процесса;
- снятие дампа памяти с модуля.

Определение скрытых модулей и различных аномалий.

303268

Также выводится информация об открытых дескрипторах процессов и возможна расшифровка обнаруженных аномалий.

+ Вывод информации о выгруженных модулях ядра

Данные модули помечаются как Unloaded module.

+ Детектирование IAT перехватов в модулях ядра

Еще один часто используемый способ внедрения.

+ Добавлен просмотр и возможность удаления нотификаторов типа Lego, SeFileSystem, LastChanceShutdown, Shutdown, BugCheckReason, FsRegistrationChange

Тоже может быть полезно.

+ Окно Network Tool (разбор файлов hosts и lmhost, поиск постоянных маршрутов в routes, LSP-провайдеры)

Работа с LSP-провайдерами перенесена в отдельное окно. Туда же добавлен вывод информации из файла Hosts и таблицы постоянных маршрутов. Файл Hosts можно изменять, удаляя из него "лишние" строки.

+ Возможность работы на выделенном рабочем столе

Еще один очень полезный функционал в свете большого количества различных блокировщиков.

Внимание: данный функционал по-умолчанию запускается с опцией Vba32 Defender, которая блокирует работу многих приложений.

303269

+ Работа антируткита в Safe Mode

Теперь обеспечивается полноценная работа антируткита и в этом режиме.

+ Детектирование отозванных сертификатов при проверке цифровой подписи

Появление Stuxnet показало, что доверять цифровым подписям безоговорочно нельзя. Потому был добавлен вот такой режим. Но понятно, что его полноценная работа возможна или на обновленной Windows (с установленными обновлениями сертификатов) либо с доступом в Интернет.

303270

+ Увеличено количество проверяемых мест автозагрузки (Print Provider, Control Panel objects, Known DLLs, URLSearch IE, Toolbar IE, IE Extensions и др.)

Уже покрыто наверное большинство мест реестра, используемых для загрузки троянов. Если знаете что-то еще - делитесь :)

+ Добавлена поддержка Windows 7 SP1

Тут все понятно.

* Улучшен механизм получения списка модулей ядра, а также увеличено количество выявляемых в них аномалий

Да, теперь в этом окне намного больше всего полезного. И больше аномалий удается найти и отобразить.

* Значительно увеличена скорость проверки прямым чтением

Порядка 2-х раз удалось увеличить скорость алгоритма "прямого чтения".

* Исправлен BSOD при разборе файловой системы NTFS с сильно фрагментированной таблицей MFT

Старая ошибка, с которой долгое время не удавалось разобраться.

* Опция Don't display items digitally signed переименована в Don't display trusted items, также изменена логика работы (в соответствии с новым названием)

* В соответствии с новым функционалом доработан файл отчёта

Отчет теперь намного больше, чем был раньше. И анализировать его стало труднее. Потому в нем появились различные опции, которые позволяют скрывать часть "ненужной" информации.

303271

* Улучшено кэширование проверяемых объектов при исследовании системы

Добавили еще оптимизации, что ускорило работу антируткита.

* Доработан файл помощи на русском языке

Конечно хэлп еще далек от идеала, но тем не менее полезной информации в нем стало больше.

Известные проблемы:

- окно Process Manager иногда зависает. Что приводит к необходимости перезагрузки системы. С проблемой сейчас разбираемся. Если вы нам предоставите еще больше дампов памяти зависшего процесса, то это ускорит исправление проблемы;

- запуск антируткита с выделенного рабочего стола иногда приводит к зависанию системы. Это связано с тем, что по-умолчанию запускается режим Vba32 Defender, который начинает блокировать работу драйверов на некоторых видеокартах от NVIDIA. Проблема достаточно серьезная и быстро не решается. Потому без лишней необходимости данный режим пока использовать не советую;

- проблема с пропаданием звука скорее всего связана с режимом Vba32 Defender, который блокирует загрузку драйвера kmixer.sys. В будущем решим и эту проблему.

Для поддержки данного продукта был заведен специальный ящик, на который можно слать свои пожелания, дампы и т.д. - [email protected] .

Если вспомню еще что-то важное - допишу новым постом.

P.S.: спасибо всем причастным, кто участвовал в предварительном тестировании данной беты (K_Mikhail на этом форуме).

sergey ulasen
17.03.2011, 15:38
Alex с NT Internals (http://ntinternals.org/) протестировал новый функционал определения скрытых модулей в процессах в своем тесте Hidden Dynamic-Link Library Detection Test (http://ntinternals.org/dll_detection_test.php). Результаты более чем хорошие :)

sergey ulasen
25.04.2011, 18:24
C сегодняшнего дня на наших серверах доступна следующая версия программы Vba32 AntiRootkit 3.12.5.3 beta build 222:

http://anti-virus.by/en/beta.shtml

Итак, по порядку об изменениях.

+ Вывод информации о драйверах-минифильтрах файловой системы (FileSystem Minifilters)

Добавилось дополнительное окно (и пункт в логе соответственно) FileSystem Minifilters, в котором можно посмотреть список драйверов минифильтров файловой системы.

+ Операции над минифильтрами файловой системы (Unload, Unregister)

Минифильтр можно выгрузить двумя способами: Unload и Unregister. Результат обоих функций должен быть одинаков, только алгоритмы разные. И Unregister менее безопасный в плане попадания на BSOD.

+ Вывод информации о стеке устройств ядра (Kernel Device Stack)

Добавилось еще одно окно Kernel Device Stack (и пункт лога), которое отображает стеки устройств ядра. Благодаря этому можно проанализировать в какой из стеков встраивается вредонос и предположить для чего он это делает.

309314

К примеру, вирус встраивается в стек файловой системы - возможно сокрытие данных на диске и т.д.

Пока никаких действий над объектами в стеках не реализовано, но запланировано на будущее.

+ Добавлен просмотр и возможность удаления нотификаторов типа FsRtlRegisterFileSystemFilterCallbacks

Еще один тип нотификаторов.

+ Поиск перехватов DriverInit, DriverStartIo, DriverUnload

Еще один тип аномалий, который позволит детектировать некоторые модификации TDL.

+ Поиск и восстановление перехватов функций объектов (ObjectTypes)
+ Детектирование подмены типа объекта для драйверов и девайсов (ObjectType hijack)

Пока еще не сильно распространенный тип перехватов (в виду его сложности), но, тем не менее, его уже во всю стали использовать не только руткиты, но и защитный софт.

+ Операция закрытия открытого дескриптора (Close Handle)

Особенно полезная функция, которая позволяет закрывать открытые дескрипторы в процессах.

Те, кто плотно работал с антируткитом, сталкивались с тем, что функционал Delete File не всегда может справиться со своими обязанностями. Из-за этого зачастую приходиться прибегать к функционалу Wipe File, что менее удобно из-за необходимости перезагрузки. Все это связано с тем, что Delete File не пытается закрывать открытые дескрипторы на указанный файл перед удалением.

Так вот, сейчас это можно сделать вручную, поискав этот дескриптор в соответствующем списке. А в будущем мы реализуем и автоматическое их закрытие.

+ Вывод статуса Terminating при закрытии окна Process Manager

Закрытие этого окна теперь выглядит чуть более наглядно.

* Исправлена ошибка с неработающими чекбоксами в FireFox

Приносим извинения всем пользователся FF, которых мы на целых полтора месяца оставили без поддержки :beer:

* Перенесен фокус на кнопку "НЕТ" при выборе режима загрузки с/без выделенного рабочего стола

В связи с имеющимися проблемами при работе с выделеннго рабочего стола этот режим было решено не делать умолчательным. В будущем, конечно, проблема будет решаться более радикальным способом.

* Исправлен вылет на заражённых Trojan.Win32.VBKrypt системах

* Улучшена стабильность работы программы

Очень большое внимание было уделено стабильности работы программы. Мы попытались исправить большинство известных нам ошибок, которые приводили в синим экранам или зависаниям приложения.

* Доработан файл помощи на русском языке

Как видите, данной бетой мы попытались решить следущее:

1) закрыть те проблемы, на которые нарвались пользователи после выхода 3.12.5.2, - это в первую очередь стабильность работы;
2) добавить функционал, который будет полезен при поиске вредоносных программ и их лечении, - это анализ стека устройств; дополнительные нотификаторы; перехваты ObjectTypes и DriverInit, DriverStartIo, DriverUnload; закрытие открытых дескрипторов;
3) ну и добавили немного более таких академических вещей, которые интересны только узким специалистам, - анализ минифильтров файловой системы.

Пользуйтесь! Если есть проблемы со стабильностью - жалуйтесь! А если есть что предложить - высказывайтесь!

Напоминаю мыло, по которому можно с нами связаться - [email protected]

З.Ы. Спасибо всем, кто присылал сообщения о найденных проблемах, и отдельное спасибо K_Mikhail и Nick1978.

Словен
13.05.2011, 17:27
Минут 10 уже не могу зайти на сайт anti-virus.by. ФФ пишет, что адрес не найден, Хром-что не может соединиться. Что это?

Nick1978
14.05.2011, 12:59
это судя по всему проблемы хостера

sergey ulasen
14.05.2011, 16:57
это судя по всему проблемы хостера

Из сегодняшних новостей:

"Уже более суток не работают сайты Белтелекома и более 1000 сайтов, расположенных в их дата-центре. Предположительно, проблемы начались после программного апгрейда, а попытка устранить ошибку привела к еще более плачевным последствиям. Никакой дополнительной информации больше нет."

Groft
14.05.2011, 18:11
Последствия инцидента в ЦОД «Белтелекома» будут устранены в течение суток (http://www.onliner.by/news/14.05.2011/15.53/)

sergey ulasen
16.05.2011, 16:24
В связи с тем, что наш сайт временно недоступен (http://www.anti-malware.ru/forum/index.php?showtopic=18000&st=0&#entry130569), залил антируткит на файлообменник:
http://rapidshare.com/files/2024521796/vba32arkit_beta.zip .

sha1: ca68dbcf75b3197dab405dd7ce3c2ecfcc10159c
md5: 9d337f77179b422ba0b376870299d014

sergey ulasen
24.06.2011, 20:48
Привет! Давненько сюда ничего не писал, потому исправляюсь и аттачу скриншотик того, что нам удалось добиться за это время.

317754

На скриншоте - детект подмененного MBR для TDL4 и набор доступных функций.

Еще немного потестируем и выпустим в паблик.

Iron Monk
24.06.2011, 21:38
На скриншоте - детект подмененного MBR
В свете последних событий с Ddox.ci - ???

sergey ulasen
24.06.2011, 23:47
В свете последних событий с Ddox.ci - ???

Это вот этот Trojan.Win32.Ddox.ci (http://virusinfo.info/showthread.php?t=103873) что ли ?

Я его сам не смотрел, но, судя по описанию, к МБР он никакого отношения не имеет. Заурядный троян, ничего интересного. Должен детектиться на ура как модуль с списке процессов и как ссылка в автозагрузке.

Или я не прав ?

Iron Monk
24.06.2011, 23:56
Или я не прав ?
Я не буду упираться - Почитайте... (http://virusinfo.info/showthread.php?t=104254&page=2) + еще три десятка постов...

sergey ulasen
25.06.2011, 00:50
Я не буду упираться - Почитайте... (http://virusinfo.info/showthread.php?t=104254&page=2) + еще три десятка постов...

Спасибо, буду разбираться.

Dmitry Varshavsky
15.07.2011, 11:57
Здравствуйте!

Представляю вашему вниманию новую версию Vba32 AntiRootkit 3.12.5.4 beta build 293 !

Ссылки для скачивания прежние:

http://anti-virus.by/en/beta.shtml

ftp://anti-virus.by/beta/vba32arkit_beta.7z

ftp://anti-virus.by/beta/vba32arkit_beta.zip

Что нового:

+ Работа с дисковыми томами на низком уровне. Поддержка MBR и GPT разметки. Поддержка динамических томов
Microsoft/Veritas ( Simple, Spanned, Striped, Mirrored и Raid-5 )

Динамические тома Microsoft/Veritas на самом деле встречаются довольно редко, но их поддержка была важным шагом в развитии библиотеки прямого чтения нашего продукта. Насколько я знаю, на сегодняшний день только наш антируткит реализовывает данный функционал.

+ Анализ загрузочных секторов физических дисков. Детект, просмотр, дамп и восстановление нестандартных и
подменённых загрузчиков. Сохранение в логе дампа загрузочных секторов основного жёсткого
диска

Эта фича будет намного более интересна общественности. Позволяет детектить и обезвреживать большинство буткитов, таких как TDL4/Sinowal/Alipop/Rmnet и т.п. Тут следует отметить, что данную бету мы выпускаем с немного "устаревшим" кодом, который использовался ещё для выявления TDL3, поэтому на некоторых системах, возможно, будет отсутствовать детект. Количество таких систем минимально относительно общего числа ( как показало наше внутреннее тестирование ), однако оно не нулевое. Кроме того, мы планируем в скором времени выпустить следующую бету с нативной поддержкой IDE/AHCI котроллеров.

+ Поиск и восстановление аномальных записей в таблице GDT

Относительно редкая аномалия. Используется в основном для исполнения привелигированных инструкций в R3.

+ Увеличено количество проверяемых мест автозагрузки
(LSA Providers, SubSystems\Windows и др.)

Это уже стало традицией. С каждым новым билдом увеличивается количество проверяемых мест автозагрузки.

* Улучшен механизм поиска и восстановления перехватов IDT и SysEnter

К сожалению, подовляющее большинство антируткитов не берут в расчёт значение селектора GDT ( считают смещение нулевым ) и региста IA32_SYSENTER_CS для рассчёта реального адреса обработчика IDT/SysEnter. До текущего билда, признаюсь, и мы этим грешили. Исправляемся :)

* Безопасное закрытие защищёщнных хэндлов ( CloseHandle )

Серьёзная недоработка. Исправили.

* Вывод информации о правилах стандартного файервола OS Windows

* Улучшена стабильность работы программы

* Доработан файл помощи на русском языке


Постараюсь сразу ответить на возможные вопросы по поводу последних веяний, типа ddox. Текущий функционал не позволяет детектировать данный зловред напрямую. Однако он хорошо идентифицируется по создаваемым аномалиям ( см. аттач ). Кроме того, теперь в файле отчёта содержится дамп загрузочных секторов основного жестого диска, в который попадает код вредоносного драйвера, что также может помочь идентифицировать данный здовред. В будущих версиях, возможно, добавим сигнатурный детект/эвристику и в антируткит.

И как всегда, с радостью ждём ваших замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - [email protected]

sergey ulasen
15.07.2011, 12:04
И как всегда большое спасибо нашим бета-тестерам - K_Mikhail и Nick1978 :)

Dmitry Varshavsky - наш технический специалист, который на протяжении последних нескольких лет работает над разработкой антируткита. Теперь он будет более активно участвовать в развитии бета-тестирования продукта. Прошу любить и жаловать.

olejah
15.07.2011, 12:08
Прошу любить и жаловать. Может тогда и звание присвоить для наглядности? :)

sergey ulasen
15.07.2011, 12:10
Может тогда и звание присвоить для наглядности? :)

Да, надо как-то обозначить :)

olejah
15.07.2011, 13:04
Сделал, группа External Expert. Если лучше поставить в статусе название вендора, скажите, сделаем.

Ber
19.07.2011, 12:03
Здравствуйте. В описании вашего антируткита содержится информация о том, что он может взаимодействовать с любым антивирусом. Что это значит? ВБА находит руткит и сообщает о нём антивиросу? Или он самостоятельно уничтожает руткит? Планируете ли вы всегда делать ВБА бесплатным? Когда появится 64х битная версия? Есть ли независимые тесты вашего антируткита? В чём отличие вашего антируткита от GMER?