Вышла новая версия AVZ - 4.15.
Доработки и усовершенствования:
[+++] Новая система AVZGuard, предназначенная для:
1. Защиты AVZ и указанных пользователем доверенных приложений от вредоносных программ
2. Ограничение действий вредоносных программ (блокируется создание файлов, модификация реестра и т.п.)
[+] Возможность запуска внешней программы из скрипта
[+] Получение версии AVZ в скрипте (в разном виде)
[+] Поддержка текстовых файлов и строковых массивов неограниченной длинны в скриптах
[+] Запуск скрипта из меню
----------
Технология AVZGuard основана на KernelMode драйвере, который разграничивает доступ запущенных приложений к системе. Драйвер может функционировать в системах, основанных на платформе NT (начиная с NT 4.0 и заканчивая Vista Beta 1). Основное назначение - борьба с трудноудалимыми вредоносными программами, которые активно противодействуют процессу лечение компьютера (Look2me, руткиты, и т.п.).
В момент активации системы все приложения делятся на две категории - доверенные и недоверенные. На доверенные приложения драйвер не оказывает никакого влияния, в то время как недоверенным запрещаются следующие операции:

Создание, модификация и удаление параметров реестра
Создание файлов с расширениями *.exe, *.dll, *.sys, *.ocx, *.scr, *.cpl, *.pif, *.bat, *.cmd на любом диске
Обращение к устройствам \device\rawip, \device\udp, \device\tcp, \device\ip
Доступ к device\physicalmemory (что блокирует операции с физической памятью из UserMode)
Установка драйверов (является следствием блокировки работы с реестром)
Запуск процессов
Открытие запущенных процессов с уровнем доступа, допускающим его остановку или запись в его адресное пространство
Открытие потоков других процессов (при этом недоверенному процессу не запрещается открывать и останавливать свои потоки)Исходно доверенным является только AVZ, но из меню "AVZGuard[FONT=Arial CYR][SIZE=2]\Запустить приложение как доверенное" можно запустить любое приложение. По умолчанию для доверенных приложений действует принцип наследования доверительных отношений - все запускаемые доверенным приложением процессы так-же считаются доверенными.

Назначение AVZGuard:

Борьба с трудноудалимыми троянским программами, которые восстанавливают ключи реестра и удаленные файлы, запускают остановленные процессы или иными способами препятствуют своему удалению. Это основное назначение системы;
Защита доверенных приложений от недоверенных. Позволяет защититьAVZ и запущенные им доверенные приложения от воздействия работающих вредоносных программ;
Распространение действия антируткита UserMode AVZ на другие процессы. Пример - утилиты типа VBA Console scanner, DrWeb Cure IT, HijackThis и т.п., не обладают функциями детектирования и нейтрализации руткитов. В этом случае можно запустить AVZ, провести нейтрализацию руткитов для его процесса, а затем включить AVZGuard и запустить тот-же DrWeb Cure IT как доверенное приложение. В этом случае драйвер AVZGuard возьмет на себя функцию защиты запущенного процесса, и в том числе не позволит руткиту модифицировать его. Естественно, данная технология не является панацеей от всех видов UserMode руткитов, но основные их типы (в частности Hacker Defender) могут быть нейтрализованы подобным образом.


Ссылка как обычно - http://z-oleg.com/avz4.zip
База: 20554 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, 357 микропрограмм эвристики, 47841 подписей безопасных файлов.

Пример алгоритма лечения Look2me с применением AVZGuard:
1. Закрыть все приложения, запустить AVZ, включить AVZGuard
2. Пролечить компьютер, при необходимость применить отложенное удаление файлов Look2me
3. При необходимости удалить элементы автозапуска Look2me в диспетчере автозапуска и диспетчере расширений Explorer
4. Выйти из AVZ не отключая AVZGuard и перезагрузить компьютер
5. После перезагрузки при необходимости "добить" оставшиеся файлы

А почему не разблокируется " Блокировать работу Rootkit Kernel Mode"?

Имеем баг.
1. Диспетчер служб и драйверов. Тип:все. Имеем всё зелёное.
2. Переходим на вкладку "Сервисы по анализу реестра".
3. Возвращаемя на вкладку "Сервисы по данным АПИ" и имеем кучу черных драйверов которые раньше были не видны.
А всё из за того что меняется селектор с "Активные" на "Все".
Думаю по умолчанию нужно ставить "Все". А то я не сразу заметил что нужно переключить что бы всё увидеть.
Еще одна проблема.
Неактивные службы и драйверы не присутствуют в логе исследования системы!!!

А почему не разблокируется " Блокировать работу Rootkit Kernel Mode"?
Он блокируется на время работы AVZGuard - т.е. если AVZGuard активен, то блокировка в Kernel Mode автоматом становится неактивной

Что-то на странице закачки не могу найти версию 4.15 :(

Что-то на странице закачки не могу найти версию 4.15 :(
Наверное, страничка берется из кеша прокси или кеша браузера ...

Олег, пост #3 заметил?

А плагин для Бата останется старый?
Можно не качать?

текст в заголовке окон о включении/выключении AVZGuard не умещается в окне и нечитаем, поэтому возникает вопрос - а нужен ли он там?

А System у тебя в доверенных?

А System у тебя в доверенных?
Нет, System исходно я включал в доверенные, потом провел опыты и исключил. Т.е. в момент активации в списке доверенных только AVZ и ничего более.
to MOCT
Да, текстовка в заголовке этих окошек явно левая - я и не заметил...

Олег, пост #3 заметил?
Да, конечно. Просто предметно сказать по этому поводу ничего не могу - я ищу место и причину бага. А вот исследование системы - другое дело - я специально исключал неактивные сервесы и незагруженные драйверы из лога. Если нужно - включу ...

Олег, я так понимаю, что AVZGuard не очень годится как постоянно работающий сторож ?

userr

Олег, я так понимаю, что AVZGuard не очень годится как постоянно работающий сторож ?

userr
AVZGuard - это "сторож на время лечения", чтобы всячески мешать зловредам "ожить". Нормально работать с ним весьма трудно ввиду его черно-белой логики и практически нулевой управляемости.
Но эта технология в скором времени ляжет в основу монитора AVZ, но там и логика изменится - вместо лобового запрета всем и всего там будут действовать правила, зависящие от приложений и их поведения.
Но следующая на очереди технология - это "монитор активности". Его идея - слежение за системой в реальном времени и протоколирование событий в единый лог (файлы, реестр, операции с процессами и потоками).

я специально исключал неактивные сервесы и незагруженные драйверы из лога. Если нужно - включу ...
Мне кажется это даёт потенциальную возможность обмануть анализатор. Например сервис который запускается, отрабатывает и завершается. В момент сканирования не активен, но во время старта свою работу выполняет. Не знаю, может еще какие-то похожие способы есть для драйверов. Я думаю стоит в лог включать, только делать пометку что не активен.
И еще, нужно помечать файлы не найденные на диске.
Так же не помешала бы автоматическая чистка мусора - файлов не найденных на диске. А то приходит человек, у него вагон файлов в автозапуске, которые удалены давно. Задалбывает объяснять как это всё удалить.

Мне кажется это даёт потенциальную возможность обмануть анализатор. Например сервис который запускается, отрабатывает и завершается. В момент сканирования не активен, но во время старта свою работу выполняет. Не знаю, может еще какие-то похожие способы есть для драйверов. Я думаю стоит в лог включать, только делать пометку что не активен.
И еще, нужно помечать файлы не найденные на диске.
Так же не помешала бы автоматическая чистка мусора - файлов не найденных на диске. А то приходит человек, у него вагон файлов в автозапуске, которые удалены давно. Задалбывает объяснять как это всё удалить.
Для драйвера тоже такое возможно - драйвер при инициализации может что-то сделать и затем вернуть статус неуспешной инициализации - тогда система его выгрузит.
Вывод - я введу в лог исследования столбец "активность" и буду выводить все службы и драйверы. Далее, про ненайденные на диске файлы я тоже сделаю. Чистку системы я давно хотел организавать - это нетрудно, но всегда есть шанс зашибить что-то лишнее оптом. Я продумаю этот вопрос, сделать опциональную функцию "зачистки хвостов" труда не составляет.

Спасибо!
Скачал, поставил, проверил...

Но что значит:
"3. Сканирование дисков
data.file MailBomb detected !"

Спасибо!
Скачал, поставил, проверил...

Но что значит:
"3. Сканирование дисков
data.file MailBomb detected !"
Про "MailBomb detected" я все забываю в доку написать пару абзацев ... Когда идет проверка архивов, то возможно обнаружение файлов, у которых большой распакованный размер и при этом высокая степень сжатия (порог в AVZ - файл более 10 мб, сжатый сильнее чем в 100 раз). Такие архивы применяются в качестве почтовой бомбы против on-line антивирусов (прислывается на проверку архив в 50 кб, а распаковка файла дает несколько Gb). Но файл не обязательно опасен - например, некоторые DBF файлы имеют размер 50-100 мб, и сжимаются при этом до 50-100 кб - это и дает срабатывание.
В п.п. 8.2 документации описан ключ DetectMailBomb, позволяющий отключить эту проверку.

При первом запуске нашла неопознаный процесс... (во вложении)
после перезапуска пока не появлялся...
ps предыдущая версия такого процесса не видит.


И предложение, а почему бы не добавить возможность реактирования строк в менеджере hosts файла?

При первом запуске нашла неопознаный процесс... (во вложении)
после перезапуска пока не появлялся...
ps предыдущая версия такого процесса не видит.


И предложение, а почему бы не добавить возможность реактирования строк в менеджере hosts файла?
Есть подозрение, что тот псводоскрытый процесс в логе является результатом того, что в момент изучения запущенных процессов процесс с PID 2716 завершил свою работу. Поэтому факт его присутствия зафиксировался, но анализ естетственно не прошел...
Редактирование файла Hosts я приделаю, где-то в списке доработок это значится.

обращаю внимание, что глюк с процессом System остался. хотя его легко отфильтровать либо по имени, либо по PIDу из первой десятки...

обращаю внимание, что глюк с процессом System остался. хотя его легко отфильтровать либо по имени, либо по PIDу из первой десятки...
А если зловред создаст процесс с именем System ?

А если зловред создаст процесс с именем System ?
чтобы удовлетворяло изложенным мной критериям? это будет проблематично ;-) если кто-то готов поспорить, то пусть предъявит concept code ;)

чтобы удовлетворяло изложенным мной критериям? это будет проблематично ;-) если кто-то готов поспорить, то пусть предъявит concept code ;)
Я думаю есть другие критерии проверки, что это действительно тот system а сравнивать имена не лучший вариант.

Я думаю есть другие критерии проверки, что это действительно тот system а сравнивать имена не лучший вариант.
ну, вот-первых, у меня связка из двух условий.
а во-вторых, мое предложение еще никто не опроверг.
так что необоснованные возражения не принимаются ;-))

ну, вот-первых, у меня связка из двух условий.
а во-вторых, мое предложение еще никто не опроверг.
так что необоснованные возражения не принимаются ;-))
Увы, но опровергнуть придется :) ... в моей книге будет пример, именуемый rkkm3a, его упрощенный откомпилированный вариант лежит на нашем FTP, имя файла - test_sys.zip. Нужно распаковать пример, а затем запустить run_me.bat и посмотреть список процессов (в AVZ или по трем кнопкам - будет интересно ...). Собственно процесс System станет виден как Hacked с PID=10000, а первый попавшийся процесс получит PID 4 (я не менял его имени, чтобы можно было увидеть, что это за процесс ...).

Собственно процесс System станет виден как Hacked с PID=10000, а первый попавшийся процесс получит PID 4 (я не менял его имени, чтобы можно было увидеть, что это за процесс ...).
тогда все плохо :(

тогда все плохо :(
Пессимизм - двигатель прогресса:P

тогда все плохо :(
Не совсем плохо - если после того ядреного примера запустить AVZ, то он начнет вопить про скрытый процесс - из-за нестыковок. Так что с System проблему я решу, но придется проверки в KernelMode проводить

AVZGuard - это сильно. Спасибо, Олег, AVZ превратилась в мощнейший инструмент для борьбы с вредоносным ПО.

1. Справка "Диспетчер процессов"
Не указано о закладке "Окна процесса".

2. Справка "Диспетчер служб и драйверов"
Особенностью диспетчера служб и драйверов AVZ является возможность использования в его работы системы противодействия
^^^^^^^^^^^^^^^^^^

3. Несколько системных длл не найдены в базе безопасных - это у меня не установленны некоторые апдейты или в базе нет? (ОС -Вин98 IE6SP1: WININET.DLL-6.00.2800.1525 URLMON.DLL- 6.00.2800.1525 MSHTML.DLL - 6.00.2800.1528)

3.1. Удаляются ли из базы безопасных старые версии системных файлов замененных в апдейтах?

4. При использовании в скрипте AddToLog перед RunScan добавления к логу затираются - добавить в справку или исправить (вынести в команды скрипта функцию очистки лога и убрать ее из RunScan)

1. Это упущение, допишу ...
2. Очепятка :)
3. Это нормально ... стоит прислать их для включения в базу (см. ссылку "прислать чистые файлы" на главной странице virusinfo). Дело в том, что в базу чистых попадают наиболее распространенные версии файлов, но естественно не все
3.1 Нет, все версии хрянятся пожизненно в виде файлов у меня в хранилище и подписей в базах. Дело в том, что апдейты устанавливают далеко не все ... поэтому хранятся все варианты. По хранилищу с чистыми файлами периодически гоняются антивирусы, в частности VBA - для поиска ложных срабатываний эвристики
4. Да, этот баг уже исправлен, я скоро выпущу новую версию, в которой это испавлено

опять появился... интересно это моя или avz проблема...

опять появился... интересно это моя или avz проблема...
Это если перезапустить AVZ - он по прежнему будет видеть такой процесс ? Если да, то это уже любопытно. Если нет - скорее всего какой-то из процесс периодически создается и завершается.

Это если перезапустить AVZ - он по прежнему будет видеть такой процесс ? Если да, то это уже любопытно.
Да, остаётся. Есть какие нибудь предложения?

Может быть, имеет смысл сделать отдельный пункт меню для стандартных (идущих с программой) скриптов, в котором можно будет сразу выбрать и выполнить их? Зачем - имхо это очень удобно. Вот ситуация, где это очень пригодилось бы
Здесь на форуме часто советуют включить противодействие руткитам. Кроме того в справке про AVZGuard описана такая схема его использования:

1. Закрыть все приложения
2.Запустить AVZ, включить противодействие руткитам UserMode и KernelMode и пролечить систему
3.Включить AVZGuard (это приведет к автоматическому отключению антируткита KernelMode)

Смотрим на пункт 2. По-моему запускать проверку системы с эвристической проверкой, проверкой запущенных процессов, поиском кейлоггеров, поиском подозрительных портов, проверкой жестких дисков и поиском ошибок в LSP в данном случае вовсе не обязательно, потому что это лишнее, ведь нужно только блокировать работу руткитов, а не проверять все и вся. Так вот, в этом случае и в случае, когда на форуме советуют включить противодействие руткитам было бы очень удобно не запускать для этого проверку всего и вся, а использовать стандартный скрипт, который выполнит только детектирование и блокировку работы руткитов и напишет об этом в протокол.
Т.е. я предлагаю сделать стандартный скрипт, назовем его, скажем, "Поиск и блокировка RootKit", выполняющий только детектирование и блокировку работы руткитов + пишет об этом в протокол. Думаю, стоит сделать дополнительный пункт меню (скажем, в меню Файл) назовем его, скажем "Выполнить стандартный скрипт", и в нем подпункты с названиями стандартных скриптов. По-моему так будет гораздо удобнее. И чтобы не просить пользователя запустить проверку всего и вся для противодействия руткитам, достаточно будет сказать к примеру: Выполните "Файл" -> "Выполнить стандартный скрипт" -> "Поиск и блокировка RootKit". Всё. Ничего лишнего не проверяется и не делается.

P.S. Можно, конечно, это сделать просто как дополнительную функцию, без всяких скриптов - и вызывать ее можно например через меню "Файл" -> "Поиск и блокировка RootKit". Главное - сама возможность.

2Зайцев Олег:

1. AVZ жалуется на проводник.
c:\winnt\explorer.exe >>> подозрение на Trojan-Spy.Win32.Qeds.a ( 0C50E364 05FD200F 0020B2F7 00274247 243472)

Explorer.exe версии 5.00.3700.6690 пропатчен на предмет отображения в трее иконок в 256-цветной палитре.
000088EE: 01 11
00014E25: 01 11
00014E36: 01 11

Подробности: http://www.dr-hoiby.com/TrayIconIn256Color/PatchInfos_5_0_3700_6690.html

AVZ версия 4.15 от 22.02.2006
ОС Windows 2004 SP4 Rus

2. Нельзя ли добавить поддержку обновления баз из любого каталога?
В диалоге "Оперативное автоматическое обновление" в списке "Источник" явно не хватает третьего пункта "Указать источник...". :-)

3. А нельзя ли так же выкладывать новые базы упакованные в архиве (например в zip-е)?

2Зайцев Олег:
1. AVZ жалуется на проводник.
----------- отрезано -------------
AVZ версия 4.15 от 22.02.2006
ОС Windows 2004 SP4 Rus
----------- отрезано -------------

Sorry, опечатка! :-) Windows конечно же 2000-чная.

to kps
Сделаем так - по аналогии мо "микропрограммами восстановления" я введу "микропрограммы для выполнения стандартных операций", и код этих программ будет в AV базе ... что позволит добавлять и обновлять их по мере необходимости или обнаружения багов. В эту базу я внесу два скрипта для Virusinfo + скрипты для типовых действий типа нейтрализации руткитов, поиска кейлоггеров, проверки систмы и т.п

to Sam
1. Пропатченный файл нужно прислать на [email protected] - я подправлю базы и внесу пропатченный файл в базу безопасных
2. Источник указать можно - обновляя базы скриптом. В соотв. команде скрипта есть возможность задать все параметры ... правда из каталога он обновляться не умеет, только FTP/HTTP. Но со временем я доделаю возможность обновления из указанной папки в меню ...
3. А есть смысл ? Сила сжатия AVZ файлов превосходит RAR и 7-ZIP по эффективности (можно для пробы сжать любой из *.avz файлов - результат будет нулевым. Единственный плюс может быть только в случае создания архива все папки Base, чтобы скачать все файлы одним махом.

Вышла новая версия AVZ - 4.15.
Доработки и усовершенствования:
[+++] Новая система AVZGuard, предназначенная для:
...


Наконец-то удалось посмотреть на главную новость версии 4.15 - AVZGuard, в связи с чем позволю себе немного покритиковать как саму эту "новую" концепцию, так и ее текущую реализацию. Начнем с реализации, а затем, если позволит время, плавно перейдем к концепции.

Итак, реализация.
Поглядел с полчаса, что называется "слабо вооруженным глазом", и вот что удалось обнаружить за это время (выборочно):
1) Читаем:

Доработки и усовершенствования:
[+++] Новая система AVZGuard, предназначенная для:
1. Защиты AVZ и указанных пользователем доверенных приложений от вредоносных программ

Это или вообще не реализовано, или реализовано не полностью, т.к. при включенном AVZGuard процесс AVZ легко убивается сторонним приложением, если оно было запущено до запуска AVZ (а ведь именно такой вариант развития событий - когда на компьютере пользователя уже распространилась разная живность, а потом запускается AVZ для борьбы с ней - является "штатным" для AVZ!).
2) Далее:

В момент активации системы все приложения делятся на две категории - доверенные и недоверенные. На доверенные приложения драйвер не оказывает никакого влияния, в то время как недоверенным запрещаются следующие операции:
...
Доступ к device\physicalmemory (что блокирует операции с физической памятью из UserMode)
...

Плохая реализация, легко обходится через симлинки. Иными словами, в текущий момент любое user-mode приложение может спокойно заблокировать AVZGuard, сняв все его перехваты в KiServiceTable, а потом, в дополнение, прибив сам AVZ.
3) Полностью отсутствует контроль за состоянием перехватов в KiServiceTable (т.е. AVZ не видит никаких закулисных манипуляций с этой таблицой). Да и в такой реализации совершенно не ясно, каким образом это можно осуществить, если "зверь" будет иметь собственный (запущенный, к примеру, во время загрузки системы) kernel-mode драйвер.
4) Далее читаем:

Пример алгоритма лечения Look2me с применением AVZGuard:
1. Закрыть все приложения, запустить AVZ, включить AVZGuard
2. Пролечить компьютер, при необходимость применить отложенное удаление файлов Look2me
...

Если в точности последовать этому алгоритму, то вся работа AVZ заканчивается уже после 1-го пункта, т.к. включение AVZGuard сразу же после старта AVZ и следующим нажатием на кнопку "Пуск" почему-то приводит к такому сообщению об ошибке в Event Log-е:


Сбой при запуске службы "AVZ Kernel Driver" из-за ошибки
Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений
...
<таких сообщений примерно штук 50>
...
Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений %2

Ситуацию временно нормализует другая последовательность действий:
1. Запускаем AVZ;
2. Нажимаем "Пуск", чтобы смог стартовать драйвер AVZ.sys, и только после этого включаем AVZGuard (и его драйвер AVZsg.sys, который, видимо, "опирается" на функциональность AVZ.sys для установки/снятия перехватов).
3. И далее уже по тексту...
5) Как и раньше (твержу об этом с самого момента появления драйвера AVZ!), все общение между AVZ и его драйверами происходит в открытом и (!!!) доступном снаружи виде. Т.е., к примеру, можно даже не писать никаких kernel-mode драйверов и не делать никаких манипуляций с PhysicalMemory - AVZ уже содержит в себе весь необходимый для этого код в совершенно открытом для использования чужими программами виде! Достаточно дождаться загрузки AVZ с его драйвером, и вам тут же становятся доступными любые средства манипуляции с KiServiceTable. Вот пример такого кода, который за полсекунды с помощью драйвера AVZ (функции "обнуления" KiServiceTable) валит систему в синьку (некоторые детали, само собой, опущены):


typedef struct _vars
{
DWORD dwServiceId;
DWORD dwServiceAddress;
} VARS;

int main(int argc, char* argv[]) {
HANDLE hDevice;
VARS vInputBuffer;
VARS vOutputBuffer;
DWORD dwBytesReturned;

printf("Waiting for AVZ driver to load... ");
while (TRUE) {
hDevice = CreateFile("\\\\.\\AVZKernelDeviceLink",
GENERIC_READ | GENERIC_WRITE,
0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
if (hDevice != INVALID_HANDLE_VALUE)
break;
Sleep(100);
}
printf("OK\n");

vInputBuffer.dwServiceId = 0;
vInputBuffer.dwServiceAddress = 0x00000000;
while (TRUE) {
if (!DeviceIoControl(hDevice,
(DWORD)IOCTL_AVZ_SETSYSTEMSERVICEADDRESSBYNO,
(void *) &vInputBuffer, sizeof(vInputBuffer),
(void *) &vOutputBuffer, sizeof(vOutputBuffer),
&dwBytesReturned, NULL)) {
printf("DeviceIoControl() failed, error %d\n", GetLastError());
CloseHandle (hDevice);
return 1;
}
vInputBuffer.dwServiceId++;
}

CloseHandle(hDevice);
return 0;
}


Ну, и так далее... Не буду дальше утомлять вас разными тонкостями и подробностями.

Концепция.
AVZ неумолимо движется в сторону создания монитора + сэндбокса (первые шаги очень уж сильно напоминают обсуждаемый в соседних ветках DefenseWall)? Тогда может вообще не стоит ограничиваться полу-работающими полумерами, а сразу перейти к созданию нормального монитора? Ведь существующая концепция AVZGuard, по большому счету, не выдерживает критики, и особенно в тех условиях работы, для которых она предназначена - а именно в системе, где уже процветает живность. Любой "зверь", использующий драйвер ядра, способен нейтрализовать AVZGuard, т.к. его "защита" прозрачна и построена на перехвате ядерных функций, который очень сложно (если вообще возможно) контролировать в "штатных" условиях запуска AVZ (т.е. после загрузки системы)!

Иными словами: "Хватит уже полумер - даешь монитор!!!" :)

Уф-ф-ф-ф... устал уже давить батоны - пойду Олимпиаду смотреть! :)

to aintrust
А драйверу ничего не помешало загрузиться (и AVZ 4.15 тестировался)? Странно, т.к.
1. Я ставлю опыт - запускаем по трем кнопкам штатный диспетчер задач + Process Explorer Руссиновича. Запускаем AVZ Guard и пробуем из диспетчера и PE прибить AVZ. Я лично прибить не смог. Пробуем второй классический прием - внедрение DLL или RemoteThread и ExitProcess - тоже блокируется. Конечно, лазейки есть ... но это явно не лобовой TerminateProcess, применяемый трояном
2. Может, но реально то таких троянских программ пока нет. Появятся - задавлю их методы обхода AVZ
3. Да, сообщение в логе есть ... просто я забыл задавить загрузку avz.sys - он не нужен AVZGuard и как раз вреден, чтобы AVZ не боролся сам с собой ... со временем я их подружу, но в текущей версии этого нет и в идеале avz.sys не должен грузиться
4. Да, за KiST я сейчас не слежу. Ибо для первого варианта реализации в этом смысла нет - звери типа look2me про драйвера в режиме ядра не знают :) По сути подобная проблема у всех продуктов, использующих KiST - к примеру, антируткит AVZ совершенно свободно давит перехваты то-го же DW, если ему удастся поставить свой драйвер.
5. Ну, это болезнь практически любой UserMode/KernelMode системы - можно или свои IRP ей слать, или драйвер-фильтр повесить для фильтрации. Но шаги в направлении защиты обмена делаются.
Sandbox + монитор - будет, куда же без них. Опытный вариант уже в "скелете" есть. Но AvzGuard - это не Sandbox, а именно блокиратр на время лечения. Поэтому суперзащита ему совершенно незачем - он же не висит постоянно, а включается кратковременно, на время зачистки. а вот монитор/Sandbox - другое дело.
to all
Есть просьба - запустить какой либо диспетчер процессов, затем запустить AVZ, включить AVZGuard и попробовать прибить AVZ - интересны результаты ...

Process Explorer, Диспетчер, Kernel PS - не прибивают

Похоже глюк -
http://virusinfo.info/showpost.php?p=67300&postcount=17

В логе
C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
в разделе "Автозапуск" есть,

а на скриншоте
http://virusinfo.info/showpost.php?p=67288&postcount=10
нет :?

Похоже глюк -
http://virusinfo.info/showpost.php?p=67300&postcount=17
В логе
C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
в разделе "Автозапуск" есть,
а на скриншоте
http://virusinfo.info/showpost.php?p=67288&postcount=10
нет :?
В данном случае все нормально - ur32art.dll прописан в Winlogon, а в менеджере автозапуска Winlogon элементы отображаются отдельно (там в дереве есть ветка для них). На скриншоте выбрана ветка "Автозапуск" , вот его и не видно ... А в логи пишется все, что есть во всех ветвях этого списка

1. Я ставлю опыт - запускаем по трем кнопкам штатный диспетчер задач + Process Explorer Руссиновича. Запускаем AVZ Guard и пробуем из диспетчера и PE прибить AVZ. Я лично прибить не смог. Пробуем второй классический прием - внедрение DLL или RemoteThread и ExitProcess - тоже блокируется. Конечно, лазейки есть ... но это явно не лобовой TerminateProcess, применяемый трояном

А что, трояны "по трем кнопкам запускают штатный диспетчер задач или ProcessExplorer", чтобы убить какой-то процесс? :) Вообще-то, это был TerminateThread()...



2. Может, но реально то таких троянских программ пока нет. Появятся - задавлю их методы обхода AVZ

Сегодня их нет у тебя в коллекции - завтра появятся... а дыра в защите УЖЕ есть. Ты видишь какой-то смысл держать ее открытой?



3. Да, сообщение в логе есть ... просто я забыл задавить загрузку avz.sys - он не нужен AVZGuard и как раз вреден, чтобы AVZ не боролся сам с собой ... со временем я их подружу, но в текущей версии этого нет и в идеале avz.sys не должен грузиться

Это да, бывает...



4. Да, за KiST я сейчас не слежу. Ибо для первого варианта реализации в этом смысла нет - звери типа look2me про драйвера в режиме ядра не знают :) По сути подобная проблема у всех продуктов, использующих KiST - к примеру, антируткит AVZ совершенно свободно давит перехваты то-го же DW, если ему удастся поставить свой драйвер.

Здесь ключевое слово - если. DefenseWall-то как раз и не позволит поставить драйвер недоверенному приложению, т.к. следит за приложениями с момента загрузки компьютера, в отличие от AVZGuard, который начинает это делать, когда все зловредные драйверы уже установлены. Впрочем, как я уже написал, на текущий момент времени даже и драйверов никаких не нужно - AVZGuard пока что нейтрализуется самим же драйвером AVZ! :)



5. Ну, это болезнь практически любой UserMode/KernelMode системы - можно или свои IRP ей слать, или драйвер-фильтр повесить для фильтрации. Но шаги в направлении защиты обмена делаются.

Хм... Мне казалось, такие вещи продумываются еще на этапе проектирования системы... Впрочем, сколько разработчиков, столько и мнений, наверное.



Sandbox + монитор - будет, куда же без них. Опытный вариант уже в "скелете" есть. Но AvzGuard - это не Sandbox, а именно блокиратр на время лечения. Поэтому суперзащита ему совершенно незачем - он же не висит постоянно, а включается кратковременно, на время зачистки. а вот монитор/Sandbox - другое дело.

Разве одно другое исключает? Да и речь пока что не идет о суперзащите AVZGuard - я лишь посмотрел на те его функции, которые ты продекларировал в анонсе.

Впрочем, если говорить об AVZGuard vs AVZMonitor, то ты знаешь мое мнение - я не сторонник методов лечения пост-фактум, т.к., на мой взгляд, это пустая трата времени - после такого лечения нет никакой уверенности в том, что у тебя на компьютере чего-нибудь не осталось из живности. Да и лечить в таких случаях, по-хорошему, должен почти профи - "домохозяйка" все равно ничего не поймет из того, что ей скажет AVZ или подобная программа... Поэтому - только монитор, и чем скорее, тем лучше!!! :)



to all
Есть просьба - запустить какой либо диспетчер процессов, затем запустить AVZ, включить AVZGuard и попробовать прибить AVZ - интересны результаты ...
Хм... Полагаю, что такой широкомасштабный опыт не имеет особого смысла, ибо практически все методы убиения процесса достаточно хорошо известны.

to aintrust
трояны в подавляющем большинстве делают лобовую енумерацию процессов/окон и OpenProcess/TerminateProcess. Внедряющиеся как dll любят ExitProcess. Это основная масса - остальное - экзотика. Но и на случай экзотики TerminateThread есть меры и проходить он не должен. Если прошел - значит, что-то неправильно срабатывает.
Мнение про монитор я знаю - но AVZ в первую очередь инструмент на тот случай, когда у пользователя уже есть проблемы и нужно с ними бороться ... если бы у всех пользователей был бы хорошо настроенный Firewall, антивирус с монитором + все заплатки, то и проблем бы не было. Но это то далеко не так.

3. А есть смысл ? Сила сжатия AVZ файлов превосходит RAR и 7-ZIP по эффективности (можно для пробы сжать любой из *.avz файлов - результат будет нулевым. Единственный плюс может быть только в случае создания архива все папки Base, чтобы скачать все файлы одним махом.
Именно возможность скачать новые базы в одном архиве за раз и привлекла. Zip был упомянут лишь как самый распространенный архиватор. Архивировать можно и с нулевым сжатием.
Насколько сложно на данном этапе развития AVZ это реализовать? Было бы очень удобно...

Именно возможность скачать новые базы в одном архиве за раз и привлекла. Zip был упомянут лишь как самый распространенный архиватор. Архивировать можно и с нулевым сжатием.
Насколько сложно на данном этапе развития AVZ это реализовать? Было бы очень удобно...
Я так и подумал - чтобы все базы оптом загружать. Я сделаю такую возможность, тем более что я хочу надаить ежедневный выпуск обновлений и переделываю формировалку баз ...

2Зайцев Олег
Спасибо!

to aintrust
трояны в подавляющем большинстве делают лобовую енумерацию процессов/окон и OpenProcess/TerminateProcess. Внедряющиеся как dll любят ExitProcess. Это основная масса - остальное - экзотика. Но и на случай экзотики TerminateThread есть меры и проходить он не должен. Если прошел - значит, что-то неправильно срабатывает.
А какие, в частности, в AVZGuard есть меры на "случай экзотики", как ты называешь, OpenThread()/TerminateThread()? Я что-то ничего не заметил (или плохо смотрел)?

Впрочем, идет хоккей, и я смотрю на AVZ только в перерывах между периодами! Наши безбожно проигрывают... :(

Кстати, попутно нашел еще один "прокол" в том списке, что представлен в анонсе:


Исходно доверенным является только AVZ, но из меню "AVZGuard\Запустить приложение как доверенное" можно запустить любое приложение. По умолчанию для доверенных приложений действует принцип наследования доверительных отношений - все запускаемые доверенным приложением процессы так-же считаются доверенными.
Последнее не работает - дочерний процесс от запущенного доверенного или не стартует вообще, или стартует ровно один раз.
Ровно один раз работает в таком сценарии:
- включается AVZGuard;
- затем из меню "AVZGuard" -> "Запустить приложение как доверенное" выбирается и запускается Far.exe - пока все ОК;
- затем делается попытка изнутри Far-а запустить консольное приложение. Первый раз оно запускается успешно, второй и все последующие - неуспешно, с сообщением "Access denied".

А вот, к примеру, картинка, когда совсем не сработало: AVZGuard и запуск Проводника как доверенного процесса (http://aintrust.narod.ru/images/avzguard01.png).
Делалось так:
- включался AVZGuard;
- затем из меню "AVZGuard" -> "Запустить приложение как доверенное" выбирался и запускался Explorer.exe;
- затем делалась попытка изнутри Проводника запустить Far.exe - увы, безуспешно, с сообщением "Отказано в доступе" (см. картинку).
Конечно, Проводник - это, в отличие от Far, особый случай, но и такие случаи должны корректно отрабатываться.

[edit]
В дополнение ко всему после нескольких запусков AVZ с включением/выключением AVZGuard получил еще и синий экран во время shutdown-а компьютера, а именно:
Bug Check 0xCE: DRIVER_UNLOADED_WITHOUT_CANCELLING_PENDING_OPERATI ONS в модуле avzsg.sys. Дампа, к сожалению, нет - была выключена опция вывода... :(
Явно какой-то странноватый баг в драйвере AVZGuard.

Все, с меня пока хватит этих экспериментов с AVZ ... подожду более продвинутой и устойчивой версии. :)

to aintrust
Я тоже смотрел хоккей - наши продули :(
С наследованием доверительных отношений я сегодня провел проверки - в результате обнаружился баг, который и был пофиксен - теперь все наследуется как положено.
По поводу защиты процессов - оказалось, что avzsg.sys для релиза собран с прагмой, отсекающей все "навороты" кроме лобовой защиты. Поэтому получалось убить процесс AVZ разными "нелобовыми" методами. Я немного усилил защиту, теперь ьазовые методы убиения не прододят. Драйвер версии 1.01 прицеплен к теме, можно его закинуть для опытов поверх имеющегося ...

2 Зайцев Олег,
вообщем этот процесс возникает после работы с терминалом заказов "одного магазина"...

2 Зайцев Олег,
вообщем этот процесс возникает после работы с терминалом заказов "одного магазина"...
Shu_b, чтобы "разобраться" с этим скрытым процессом, я бы настоятельно порекомендовал вам воспользоваться более специализированными программами для поиска/диагностики руткитов, нежели чем AVZ - к примеру, BlackLight финской компании F-Secure (ее триальную полнофункциональную версию можно найти тут - http://www.f-secure.com/blacklight/try.shtml) или RootkitRevealer от Sysinternals (ее можно найти тут - http://www.sysinternals.com/Utilities/RootkitRevealer.html).

Для поиска модуля скрытого процесса стоит также попробовать ProcessHunter, написанный MS Rem-ом (найти ее можно тут - http://www.wasm.ru/pub/21/files/phunter.rar). Эта программа содержит множество методик поиска скрытых процессов и соответствующих им модулей на диске.

PS. Извиняюсь, что невольно получился off-topic - перенесите, если необходимо, в соответствующий раздел.
PPS. А если не секрет, что это за онлайновый магазин? Какой-то известный?

to aintrust
Драйвер версии 1.01 прицеплен к теме, можно его закинуть для опытов поверх имеющегося ...
А может перезалить дистрибутив с новым драйвером, глюков вроде нет и непотопляемость повысилась.

А может перезалить дистрибутив с новым драйвером, глюков вроде нет и непотопляемость повысилась.
да, я завтра так и сделаю - выйдет новый релиз с обновленным драйвером.

to aintrust...
По поводу защиты процессов - оказалось, что avzsg.sys для релиза собран с прагмой, отсекающей все "навороты" кроме лобовой защиты. Поэтому получалось убить процесс AVZ разными "нелобовыми" методами. Я немного усилил защиту, теперь ьазовые методы убиения не прододят. Драйвер версии 1.01 прицеплен к теме, можно его закинуть для опытов поверх имеющегося ...
Все равно AVZ в режиме AVZGuard легко убивается любым недоверенным user-mode процессом... впрочем, он убивается даже (!!!) стандартным виндовым Task Manager-ом :)

А может перезалить дистрибутив с новым драйвером, глюков вроде нет и непотопляемость повысилась.
Полагаю, что пока рановато перезаливать - и глюки есть, и непотопляемость не повысилась. :)

Несколько замечаний:
1) Переключатель "Блокировать работу RootKit" не должен быть доступен при выключенном переключателе "Детектировать RootKit".
2) Если запустить скрипт через bat файл, то в AVZ появляется кнопка "Прервать работу скрипта", если же запустить скрипт прямо из AVZ через "Файл" -> "Выполнить скрипт", то такая кнопка не появляется.
3) При запуске скрипта в протокол ничего об этом не пишется. А по-моему стоило бы писать хотя бы о начале и завершении выполнения скрипта и его имя/путь. Что-то вроде
"Запущен скрипт С:\files\script1.avz"
...
"Выполнение скрипта завершено".

Внесу свою лепту:

При расширении окон, кнопочки двигаются:)

1678

Внесу свою лепту:
При расширении окон, кнопочки двигаются:)


Заскучали, видать... застоялись! :)

впрочем, он убивается даже (!!!) стандартным виндовым Task Manager-ом
Это как? У меня не выходит

Это как? У меня не выходит
Примерно так... По пунктам:
1. Запускаем 'Диспетчер задач Windows' (Task Manager, если не по-нашему) тремя бубками (Ctrl-Alt-Esc).
2. Стартуем AVZ, включаем в нем режим AVZGuard, в появившемся диалоге подтверждаем, т.е. жмем 'OK'. При этом все приложения, кроме AVZ, автоматом становятся недоверенными - т.е. им ничего "криминального" делать не разрешено.
3. В 'Диспетчере задач Windows' выбираем закладку 'Приложения', находим там пункт 'Антивирусная утилита AVZ', выделяем его и нажимаем кнопку 'Снять задачу' в правом нижнем углу 'Диспетчера...'.
4. Все - AVZ бесследно исчезает. Драйвер AVZGuard, естественно, остается активным... но какой с него толк, если нет самого AVZ? :)
5. Ввиду невозможности продолжить работу (ничего нового не стартует, а старое заблокировано) остается только перегрузиться...

Примерно так... По пунктам:
1. Запускаем 'Диспетчер задач Windows' (Task Manager, если не по-нашему) тремя бубками (Ctrl-Alt-Esc).
2. Стартуем AVZ, включаем в нем режим AVZGuard, в появившемся диалоге подтверждаем, т.е. жмем 'OK'. При этом все приложения, кроме AVZ, автоматом становятся недоверенными - т.е. им ничего "криминального" делать не разрешено.
3. В 'Диспетчере задач Windows' выбираем закладку 'Приложения', находим там пункт 'Антивирусная утилита AVZ', выделяем его и нажимаем кнопку 'Снять задачу' в правом нижнем углу 'Диспетчера...'.
4. Все - AVZ бесследно исчезает. Драйвер AVZGuard, естественно, остается активным... но какой с него толк, если нет самого AVZ? :)
5. Ввиду невозможности продолжить работу (ничего нового не стартует, а старое заблокировано) остается только перегрузиться...
Мда, и правда работает :)

Мда, и правда работает :)
Это работает - я и не давил такую возможность. AVZ получает от диспетчера предложение завершить работу и корректно реагирует :) Давить это нужно не на уровне драйвера, а на уровне самого AVZ, сейчас я это придавлю.

Внесу свою лепту:

При расширении окон, кнопочки двигаются:)

1678
Баг однако :) Исправлено, спасибо ...
to kps
1. - исправлено, 2 - исправлено, 3 - исправлено

Это работает - я и не давил такую возможность. AVZ получает от диспетчера предложение завершить работу и корректно реагирует :) Давить это нужно не на уровне драйвера, а на уровне самого AVZ, сейчас я это придавлю.
:) Точно так же "предложение завершить работу" AVZ может получить от любого недоверенного приложения - и отреагирует аналогично, т.е. тихо и "корректно" скончается. Правда, слово "корректно" в данном аспекте вряд ли применимо, т.к. в случае действительно корректного завершения AVZ еще дополнительно спрашивает, не отключить ли режим AVZGuard. А драйвер "защиты" тут действительно не при чем - это, похоже, явная ошибка дизайна самого AVZ, и сколько еще таких ошибок можно найти, немного повозившись с ним - кто знает? :).

А что касается непосредственно ошибок драйвера, то их еще предстоит исправить - я уже писал об этом намедни... да и проблема с синькой в avzsg.sys также периодически проявляется. На самом деле "проблема" тут только одна - почти полное отсутствие серьезного бета-тестирования продукта, т.е. не на уровне пользователя, пусть даже очень "продвинутого", а на уровне серьезных системщиков и спецов по защите информации. Можно спросить так: "А кому из таковых спецов этот продукт реально нужен"? Ответ, к сожалению, совсем не прост... :(

Мы с Олегом (он не даст соврать) периодически обсуждаем эту проблему с позиционированием AVZ (точнее, с отсутствием точного позиционирования). На мой взгляд, отсюда все и растет. Продукт в одном лице не может удовлетворить нужды и "домохозяйки", и серьезного спеца по защите - и тут надо прибиваться к какому-то берегу, иначе и дальше все будет так, как сейчас...

и сколько еще таких ошибок можно найти, немного повозившись с ним - кто знает?
А для этого и существуют бета-тестеры :)

Продукт в одном лице не может удовлетворить нужды и "домохозяйки", и серьезного спеца по защите - и тут надо прибиваться к какому-то берегу, иначе и дальше все будет так, как сейчас...

Золотые слова! Говорю как специалист по позиционированию...

1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
-------------------------------------------------------------------
Обясните.
Как понимать такую запись?
Это говорит о заражении файла?

Как понимать такую запись?
Это говорит о заражении файла?
нет.

1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
-------------------------------------------------------------------
Обясните.
Как понимать такую запись?
Это говорит о заражении файла?
Это говорит об положении таблицы экспорта имён библиотек в файле, если сказать по простому это говорит о том что указанные системные файлы в порядке и один из нескольких тестов системы на вшивость завершился удачно (в смысле ничего подозрительного не найдено).

Спасибо за ликбез.

было бы неплохо сделать всплывающие подсказки в диспетчерах служб, процессов и др. там где описание или путь к файлу. Просто строка бывает достаточно длинной и нужно скроллить и растягивать окно, чтобы все увидеть - а так навел мышой и все видно

Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
-------------------------------------------------------------------
Обясните.
Как понимать такую запись?
Это говорит о заражении файла?

to Олег
По-моему вот эту информацию по умолчанию не стоит писать в протокол, т.к. она может смутить неопытного пользователя. Думаю, лучше добавить в настройки возможность вести детальный или "нормальный" протокол.

Мы с Олегом (он не даст соврать) периодически обсуждаем эту проблему с позиционированием AVZ (точнее, с отсутствием точного позиционирования). На мой взгляд, отсюда все и растет. Продукт в одном лице не может удовлетворить нужды и "домохозяйки", и серьезного спеца по защите - и тут надо прибиваться к какому-то берегу, иначе и дальше все будет так, как сейчас...
Мнение неспециалиста по безопасности. Может быть, Олегу имеет смысл вести разработку монитора совместно с rav, поскольку идеи AVZGuard в чем-то близки к DefenseWall. Если AVZ позиционируется как инструмент уничтожения вредоносных программ определенного типа, думаю лучше использовать подобный монитор именно на время лечения системы, отключив "промышленный" антивирусный монитор, если он присутствует. По крайней мере, на определенном этапе развития АВЗ.

оффтопик, но... что-то мне подсказывает, что АВЗ еще долго не станет коммерческим продуктом ;-)

Интересно, но в новой версии опять 25...
--
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 319 описаний портов
В ходе проверки возникла ошибка. Проверка не производилась
--
Пару минут назад "произвелась", а через некоторое время, при проверке другой папки, не производилась...

Может быть, Олегу имеет смысл вести разработку монитора совместно с rav, поскольку идеи AVZGuard в чем-то близки к DefenseWall.
Близка, но не совсем. AVZ призван работать на заражённом компьютере и защищаться от внедрения в себя и модификации системы во время лечения. DefenseWall же работает на заведомо чистой машине, защищая её от заражения извне. То есть задачи AVZGuard и DefenseWall диаметрально противоположны. Соответственно, и средства их достижения также различны.

Впрочем, если говорить об AVZGuard vs AVZMonitor, то ты знаешь мое мнение - я не сторонник методов лечения пост-фактум, т.к., на мой взгляд, это пустая трата времени - после такого лечения нет никакой уверенности в том, что у тебя на компьютере чего-нибудь не осталось из живности.

Об этом можно поспорить. Имхо AVZ это как раз и есть инструмент для лечения компьютера пост-фактум и для этой цели утилита и применяется, что очень легко увидеть, заглянув в раздел "Помогите". Там многие, кто просил помощи в лечении уже зараженного компа, убедились, что это не пустая трата времени.
Конечно, надо "предохраняться", но тут есть один момент: даже предохраняясь есть шанс попадания вредоносного ПО на компьютер, т.к. 100%-ной защиты быть не может. И вот тут придется лечить комп пост-фактум :)



Поэтому - только монитор, и чем скорее, тем лучше!!! :)

А по-моему AVZGuard нужнее монитора.
Разве не достаточно монитора хорошего антивируса (KAV, DrWeb, BitDefender, NOD), к-рому AVZ уступает в кол-ве детектируемых сигнатурным методом вредоносных программ?
А если нужен постоянный контроль над недоверенными процессами, разве недостаточно DefenseWall ?
По-моему AVZ это утилита именно для лечения уже зараженного компа, к-рая имеет много полезных инструментов и методов борьбы с вредоносным ПО и монитор ей не особо нужен.

Все это только мое мнение, конечно.

По-моему AVZ это утилита именно для лечения уже зараженного компа, к-рая имеет много полезных инструментов и методов борьбы с вредоносным ПО и монитор ей не особо нужен.

+=1

...
А по-моему AVZGuard нужнее монитора.
...

AVZGuard был введен в AVZ как средство борьбы с определенным классом существующих троянов (как пишет в анонсе Олег, "основное назначение - борьба с трудноудалимыми вредоносными программами, которые активно противодействуют процессу лечение компьютера (Look2me, руткиты, и т.п.)". Надеюсь, вы понимаете, что это вовсе не супер-технология, которая позволит "задавить" одним махом всю компьютерную нечисть и разом очистит от нее компьютер!

Более того, к великому сожалению, AVZGuard даже в теории не может на 100% выполнить декларированные в его анонсе функции (не буду их здесь перечислять - смотрите первое сообщение в теме). Скажу более точно: можно максимально приблизиться к выполнению того, что анонсировано в AVZGuard, при выполнении, как минимум, трех условий:
- "зверь" не должен иметь kernel-mode компонент;
- "зверь" не должен мониторить запуск средств, активно ему противодействующих (и AVZ, в частности);
- Олег заткнет ("задавит", как он говорит) существующие в AVZ и AVZGuard дыры (смотрите, в частности, мои предыдущие посты).

Много это или мало? :) Олег говорит, что, те "звери", что находятся у него в коллекции, ничего вышеперечисленного не делают. Означает ли это, что другие "звери" не будут это делать через, скажем, день или месяц? Конечно же нет! А сможет ли AVZGuard (пусть даже модифицированный) противостоять такого рода "зверям"? К сожалению, тоже нет!

Какое же решение? :) Вот тут на авансцену и выходит монитор! Помимо той функциональности, которая обычно присуща разного рода мониторам, на него также будут возложены функции, которые сейчас пытается решать AVZGuard. Только монитор позволит в полной мере выполнить все то, что анонсировано в AVZGuard, т.к. он будет контролировать системную активность от момента загрузки ОС до момента завершения работы,
1) изначально не давая загрузиться известным "зверям" (и тогда не нужно будет тратить время на лечение и более тонкое, трудоемкое и не всегда предсказуемое "долечивание"),
2) контролируя от вторжения/модификации/заражения важнейшие системные области, процессы и пр., и
3) блокируя, если потребуется, любую "звериную" и иную активность!

Конечно, монитор - это на порядок более сложная компонента, нежели чем AVZGuard, и на его дизайн, качественное написание и отладку нужно потратить довольно много времени (полагаю, что не менее полугода!), не говоря уже о том, что надо очень глубоко знать систему и kernel-mode программирование. Для меня нет сомнения, что у AVZ есть только один правильный путь - это путь в сторону создания полноценного монитора, другие же пути - это не более чем "заплатки", полумеры и полуфункциональность!

По воду DefenseWall и мониторов различных а/в программ скажу следующее: это все платные продукты, и не каждому они доступны! Бесплатность AVZ - одно из его главных достоинств (впрочем, и проблем тоже! :)). Кроме того, функциональность, в них заложенная, почти никак не коррелирует с AVZ, т.е. AVZ в нужный момент не может "попросить", скажем, DW или KAV, сделать для него то-то и так-то. Ввиду этого то, что вы предлагаете относительно этих программ, вряд ли представляется в значительной мере перспективным как для AVZ, так и для пользователей.

Только монитор позволит в полной мере выполнить все то, что анонсировано в AVZGuard, т.к. он будет контролировать системную активность от момента загрузки ОС до момента завершения работы,
1) изначально не давая загрузиться известным "зверям" (и тогда не нужно будет тратить время на лечение и более тонкое, трудоемкое и не всегда предсказуемое "долечивание"),
2) контролируя от вторжения/модификации/заражения важнейшие системные области, процессы и пр., и
3) блокируя, если потребуется, любую "звериную" и иную активность!


Тогда в очередной раз упираемся в то, что позиционирование AVZ как инструмент по борьбе с "_УЖЕ ЖИВУЩИМИ_ животными" будет полностью перевернуто, о чем собственно, тут уже неоднократно говорилось

Конечно, монитор - это на порядок более сложная компонента, нежели чем AVZGuard, и на его дизайн, качественное написание и отладку нужно потратить довольно много времени (полагаю, что не менее полугода!)

Полгода- это только выпуск нормальной беты. А до релиза- это месяцев восемь как минимум!



По воду DefenseWall и мониторов различных а/в программ скажу следующее: это все платные продукты, и не каждому они доступны!

Ну, я не был бы столь категоричен по поводу доступности. 499 рублей за DW- разве это много? Просто выбор невелик- или проект коммерческий (быстро развивающийся, с хорошим саппортом), или некоммерческий (медленное развитие с плохим саппортом из-за хронической нехватки времени на него). Я выбрал первый путь, Олег- второй. Проблема в том, что AVZ уже становится большим проектом, что автоматически требует добавления разработчиков к проекту. А это или опен-соурс, или коммерциализация. Или смерть проекта из-за слишком медленного развития.



Кроме того, функциональность, в них заложенная, почти никак не коррелирует с AVZ, т.е. AVZ в нужный момент не может "попросить", скажем, DW или KAV, сделать для него то-то и так-то.

Ну, опять таки же, я бы не был столь категоричным. Если Олегу нужна будет интеграция DW и AVZ- это можно будет устроить. Больших проблем с этим я не вижу.

Тогда в очередной раз упираемся в то, что позиционирование AVZ как инструмент по борьбе с "_УЖЕ ЖИВУЩИМИ_ животными" будет полностью перевернуто, о чем собственно, тут уже неоднократно говорилось
Почему же? Вся старая функциональность, связанная с убиением/ лечением/долечиванием может быть (и, видимо, должна быть!) оставлена - просто при наличии монитора она перейдет на более высокий качественный уровень!

Не забывайте также, что режим AVZGuard не работает в Windows 9x/Me - и пусть сейчас уже не очень-то много таких установок, но они все же есть, и позиция Олега состоит, на сколько мне известно, в том, чтобы не бросать поддержку этих систем! Что же делать с этими системами? Писать под них отдельную версию монитора - накладно. AVZGuard-а? А стоит ли? :) Как минимум остается теперешний режим - т.е. скан, лечение, исследование и т.д., т.е. все то, что было в AVZ до введения AVZGuard!

Что-то я не понимаю, если трояны умудряются обойти любую установленную на компьютере защиту, хотя запускаются когда она уже установлена, неужели нельзя написать программу обходящую защиту троянов? Что-то не верится :)

Ну, опять таки же, я бы не был столь категоричным. Если Олегу нужна будет интеграция DW и AVZ- это можно будет устроить. Больших проблем с этим я не вижу.
Это было бы классно, конечно, но DW при этом все равно останется платным (т.е. доступным, но не всем)! Иными словами, вряд ли AVZ станет опираться на это взаимодействие, как на основное решение - т.е. для того, чтобы обеспечить "полный комплекс бесплатных услуг", Олегу придется писать что-то свое! Замкнутый круг, в общем... :)

Пожалуйста, разъясните, что это означает...? и что с этим sptd.sys лучше сделать?

"1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082480)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559480
KiST = 804E26A8 (284)
Функция ZwCreateKey (29) перехвачена (8056E761->FC3D0B3A), перехватчик sptd.sys
Функция ZwEnumerateKey (47) перехвачена (8056EE68->FC3D0C7E), перехватчик sptd.sys
Функция ZwEnumerateValueKey (49) перехвачена (8057EB28->FC3D0FF6), перехватчик sptd.sys
Функция ZwOpenKey (77) перехвачена (80567AFB->FC3D0A18), перехватчик sptd.sys
Функция ZwQueryKey (A0) перехвачена (8056EB71->FC3D10C0), перехватчик sptd.sys
Функция ZwQueryValueKey (B1) перехвачена (8056B0BB->FC3D0F58), перехватчик sptd.sys
Функция ZwSetValueKey (F7) перехвачена (80574C1D->FC3D1148), перехватчик sptd.sys
Проверено функций: 284, перехвачено: 7, восстановлено: 0"

Спасибо.

Пожалуйста, разъясните, что это означает...? и что с этим sptd.sys лучше сделать?
...

У вас, по всей видимости, установлен Daemon Tools 4-й версии? Если это так, то ничего делать не надо - это нормальное поведение.

Что-то я не понимаю, если трояны умудряются обойти любую установленную на компьютере защиту, хотя запускаются когда она уже установлена, неужели нельзя написать программу обходящую защиту троянов? Что-то не верится :)

Можно. Да только плохо это- придётся реагировать на каждую модификацию зловреда, да ещё и постфактум. Некрасиво и не очень эффективно.

У вас, по всей видимости, установлен Daemon Tools 4-й версии? Если это так, то ничего делать не надо - это нормальное поведение.

нет, Daemon Tools не установлен, но есть Alcohol 120...?

Какое же решение? :) Вот тут на авансцену и выходит монитор! Помимо той функциональности, которая обычно присуща разного рода мониторам, на него также будут возложены функции, которые сейчас пытается решать AVZGuard. Только монитор позволит в полной мере выполнить все то, что анонсировано в AVZGuard, т.к. он будет контролировать системную активность от момента загрузки ОС до момента завершения работы,
1) изначально не давая загрузиться известным "зверям" (и тогда не нужно будет тратить время на лечение и более тонкое, трудоемкое и не всегда предсказуемое "долечивание"),
2) контролируя от вторжения/модификации/заражения важнейшие системные области, процессы и пр., и
3) блокируя, если потребуется, любую "звериную" и иную активность!

Что если рассмотреть компромисс - "монитор для чрезвычайной ситуации"? :) Конкретно, при запуске на зараженной машине AVZ не пытается с ходу противодействовать хитрым зловредам, а только ставит свой монитор и предлагает перезагрузку. Все лечение происходит после перезагрузки, когда AVZGuard "контролирует ситуацию" :)
Такой "монитор", не рассчитанный на постоянную работу, думаю написать легче чем полноценный сторож.
Главный вопрос - смогут ли активные зловреды противостоять встраиванию AVZGuard в систему с расчетом его работы после перезагрузки ?

Можно. Да только плохо это- придётся реагировать на каждую модификацию зловреда, да ещё и постфактум. Некрасиво и не очень эффективно.
Не думаю что на каждую. Количество системных функций которые можно перехватить, и количество способов перехвата конечно. Так что реагировать нужно только на каждую новую концепцию, и рано или поздно можно всё перекрыть :)
Другое дело что на каждый троян написанный конкретно что бы убивать АВЗ действительно прийсётся реагировать отдельно. Опять же, количество способов должно быть конечным :)

нет, Daemon Tools не установлен, но есть Alcohol 120...?
Ага, оно... :) Alcohol использует ту же технологию, что и Daemon Тools (и, видимо, те же драйверы). В общем, можете спокойно проигнорировать эти сообщения.

Что если рассмотреть компромисс - "монитор для чрезвычайной ситуации"? :) Конкретно, при запуске на зараженной машине AVZ не пытается с ходу противодействовать хитрым зловредам, а только ставит свой монитор и предлагает перезагрузку. Все лечение происходит после перезагрузки, когда AVZGuard "контролирует ситуацию" :)
Сценарий, который вы сейчас описали, в точности соответствует тому, как должен работать AVZ с монитором ("полнофункциональным" или "неполнофункциональным" (типа AVZGuard)) - не важно. Тут главное то, что процесс контроля за системой должен начаться именно в момент ее старта!


Такой "монитор", не рассчитанный на постоянную работу, думаю написать легче чем полноценный сторож.
Если и легче, то совсем ненамного! Все равно в него придется встраивать практически все функции контроля системы, а это львиная доля работы по его написанию!


Главный вопрос - смогут ли активные зловреды противостоять встраиванию AVZGuard в систему с расчетом его работы после перезагрузки ?
Если они "знают" про AVZ и его монитор - то да, естественно, смогут, и для такого случая AVZ придется устанавливать свой монитор не очень тривиальными способами - но вот это уже совсем близко к маловероятной (хотя и теоретически допустимой) экзотике. Для таких неординарных случаев лучше всего, наверное, подойдут чисто "ручные" методы анализа и борьбы. :)

Если они "знают" про AVZ и его монитор - то да, естественно, смогут, и для такого случая AVZ придется устанавливать свой монитор не очень тривиальными способами - но вот это уже совсем близко к маловероятной (хотя и теоретически допустимой) экзотике. Для таких неординарных случаев лучше всего, наверное, подойдут чисто "ручные" методы анализа и борьбы. :)
Ну какая же экзотика, уже некоторые трояны не дают запустить АВЗ. Нельзя запустить АВЗ - нельзя будет и монитор запустить. Всё дело именно в том, что АВЗ должен уметь запуститься на зараженной машине и перехватить управление на себя. Иначе от монитора такая же польза как и от AVZGuard

Ну какая же экзотика, уже некоторые трояны не дают запустить АВЗ. Нельзя запустить АВЗ - нельзя будет и монитор запустить. Всё дело именно в том, что АВЗ должен уметь запуститься на зараженной машине и перехватить управление на себя. Иначе от монитора такая же польза как и от AVZGuard
Все бы это было так, если бы не одно "но": AVZ, запущенный в процессе работы, ну вот никак не сможет полностью "перехватить управление на себя"! И в этом смысле поставить только монитор (а это может делать специальная компонента, запускаемая даже не из AVZ, а, скажем, вручную, и имя ей каждый раз можно генерить случайное - лишь бы AVZ потом про нее знал!) и попросить пользователя перегрузить компьютер будет на порядок проще, чем
1) запустить AVZ (первое противодействие, возможно уже непреодолимое),
2) в нем загрузить драйвер AVZGuard (второе противодействие, также возможно непреодолимое).
3) перехватить управление на себя (полностью это вообще не удастся - только частично, как это делает сейчас AVZGuard).

А по-хорошему, у AVZ должен быть инсталлятор, который поставит и сам AVZ, и его монитор со всеми необходимыми драйверами.

... я на день "выпал" из дискуссии - работы очень много ...
Так вот, оптом резюмирую:
1. Интегрировать DW и AVZ-Guard нет никакого смысла - как правильно заметил rav, задачи совершенно различны. Задача DW - быть практически незаметным для работающих программ (работая непрерывно с момента запуска системы), но между тем пресекать их поползнования набедакурить в системе. Задача AVZ-Guard - "закрутить гайки" на время лечения, блокировав многие функции системы и по сути нарушив ее нормальную работу.
2. Я отчасти не согласен с aintrust - мы много спорили по этому вопросу, тем не менее я лично разграничиваю две ситуации:
2.1 защита ПК в рельном времени - это AV монитор, Firewall, продукты типа DW ... согласен, что проще защититься, чем бороться с последствиями. Но это в идеале - когда все грамотно установлено, настроено ... и всеравно 100% гарантию защиты никто не даст.
2.2 средства для изучения и зачистки уже зараженного ПК. Т.е. он дефакто заражен ! (т.к. на нем не было средств защиты, они были неправильно настроены, проворонили "зверя" и он прижился и т.п.) Такие случаи были, есть и будут ... и AVZ в первую очередь "заточен" именно под это. Замечу, что хороших антивирей с монитором сейчас существует тьма, но между тем в резделе "помогите" почему-то есть обращения пользователей. Причем даже без монитора грамотная настройка и администрирование Windows позволяет "вырвать зубы" большинству зловредов.
3. Сложность изготовления монитора практически ничем не отличима от сложности изготовления AVZ-Guard (при моем подходе). Принцип таков - есть подсистема мониторинга (перехват функций, иные средства мониторинга и т.п.) + средства принятия решения. Так вот мониторинг AVZ-Guard и мониторинг некоего "AVZ-Monitor" почти идентичны (или 100% идентичны - чтобы драйвера не плодить), а средство принятия решения уже есть - это сам AVZ.

Теперь о главном - AVZGuard в текущем виде создан для решения вполне конкретной задачи - имеется что-то типа знаменитых look2me или nail.exe, которые прибить штатными средствами крайне трудно, т.к. "зверь" активно сопротивляется. Следовательно, нужен инструмент для их изничтожения - вот и был создан AVZGuard. Он не строился как непробиваемая защита (такие в природе не водятся) и не ставилась самоцель перекрыть все на 100%. Поэтому собственно абстрактные рассуждения типа "а вот появится троян, работающий в KermelMode с функцией снятия перехватов и противодействия драйверу ... " - вот появится, станет массовым - тогда и будем искать пути борьбы с ним. Другое дело, что конечно нужно закрывать обнаруживаемые в защите AVZ-Gaurd дыры, чтобы повышать уровень эффективности этой самой защиты.

Текущую версию AVZ я хочу оставить как "программу без инсталляции". В случае появления монитора инсталлятор тоже появится - но этот продукт будет развиваться параллельно с AVZ в чистом виде.

Зайцев Олег, aintrust
Вы очень точно выразили каждый свою часть моей мысли :), поэтому буду разговаривать цитатами:

Задача DW - быть практически незаметным для работающих программ (работая непрерывно с момента запуска системы), но между тем пресекать их поползнования набедакурить в системе.
AVZ+AVZ-Guard - средства для изучения и зачистки уже зараженного ПК.
Задача AVZ-Guard - "закрутить гайки" на время лечения, блокировав многие функции системы и по сути нарушив ее нормальную работу. Т.е. AVZ-Guard - не "полноценный" монитор, но
процесс контроля за системой должен начаться именно в момент ее старта!

... я на день "выпал" из дискуссии - работы очень много ...
Так вот, оптом резюмирую:

Не, не буду комментировать... :) и дискутировать тоже... :) скажу кратко: "прикольное резюме, мне понравилось"!

А кстати если AVZ дополняет функциональный антивирус, то как быть с монитором, полагаться на антивирусный монитор или запускать монитор
AVZ (когда он будет)? т.е. дело вкуса пользователя, ведь 2 монитора не уживутся или они не будут конфликтовать.Как будет работать монитор AVZ? т.е. какой принцип работы, как у обычных антивирусов или что-то типа проактивной защиты.

AVZGuard был введен в AVZ как средство борьбы с определенным классом существующих троянов (как пишет в анонсе Олег, "основное назначение - борьба с трудноудалимыми вредоносными программами, которые активно противодействуют процессу лечение компьютера (Look2me, руткиты, и т.п.)". Надеюсь, вы понимаете, что это вовсе не супер-технология, которая позволит "задавить" одним махом всю компьютерную нечисть и разом очистит от нее компьютер!
Я и не говорил, что это супер-технология. 100%-ой защиты не может быть в любом случае. Я говорил о том, что имхо AVZ используется как утилита именно для чистки уже зараженного компа и что для этой цели AVZGuard более нужный компонент чем монитор.



Какое же решение? :) Вот тут на авансцену и выходит монитор!

Тут возникает вопрос:
А как уживутся вместе монитор антивируса и монитор AVZ ? Насколько я знаю, два антивирусных монитора, перехватывающих системные функции не очень дружно живут друг с другом :)



По воду DefenseWall и мониторов различных а/в программ скажу следующее: это все платные продукты, и не каждому они доступны! Бесплатность AVZ - одно из его главных достоинств

Тем не менее, я считаю, что AVZ пока вряд ли может полностью заменить хороший антивирус, т.к. все-таки уступает в кол-ве детектируемого зверья по сигнатурам. Но, насколько я понимаю, детектирование по сигнатурам и не является главной фичей AVZ, у утилиты есть некоторые другие мощные методы борьбы с вредоносным ПО, к-рых нет у антивирусов.



т.е. AVZ в нужный момент не может "попросить", скажем, DW или KAV, сделать для него то-то и так-то. Ввиду этого то, что вы предлагаете относительно этих программ, вряд ли представляется в значительной мере перспективным как для AVZ, так и для пользователей.
Относительно этих программ я ничего не предлагал, а лишь заметил, что по моему мнению для цели защиты в реальном времени монитора хорошего антивируса и DefenseWall достаточно, и что утилите монитор, как я считаю, не особо нужен.

Что-то я не понимаю, если трояны умудряются обойти любую установленную на компьютере защиту, хотя запускаются когда она уже установлена, неужели нельзя написать программу обходящую защиту троянов? Что-то не верится

Можно. Да только плохо это- придётся реагировать на каждую модификацию зловреда, да ещё и постфактум. Некрасиво и не очень эффективно.
По сути, AVZ и пытается воплощать такой подход: он борется против существующих троянских техник (даже не технологий, и пример этого - его анти-руткитовый модуль) и даже (как, в случае с AVZGuard) отдельно взятых троянов! :) Будучи в своей основе сканером, он действительно вынужден "реагировать на каждую модификацию зловреда" - но это всего лишь специфика программ такого рода.

Ага, оно... :) Alcohol использует ту же технологию, что и Daemon Тools (и, видимо, те же драйверы). В общем, можете спокойно проигнорировать эти сообщения.
Спасибо.

Тут возникает вопрос:
А как уживутся вместе монитор антивируса и монитор AVZ ? Насколько я знаю, два антивирусных монитора, перехватывающих системные функции не очень дружно живут друг с другом :)

В любом случае, антивирусный монитор придется отключить на время лечения, тем более, если он не обеспечил защиты от заражения.

Может быть, имеет смысл сразу запускать АВЗ в том или ином режиме, с загрузкой или без драверов защиты? Не включением_выключением из оболочки модулей AVZGuard или AVZMon, а запуском с ключами, к примеру: AVZ /s(сканирование, лечение), AVZ /s/m(сканирование, лечение в режиме защиты монитора, в режиме автозагрузки)?

Быть платным, или бесплатным АВЗ... думаю, все равно когда-нибудь решать Олегу. Каким он хочет видеть в будущем данный (несомненно очень полезный в работе) инструмент.

Я говорил о том, что имхо AVZ используется как утилита именно для чистки уже зараженного компа и что для этой цели AVZGuard более нужный компонент чем монитор.
Хм... И сколько еще таких AVZGuard-ов в различных ипостасях будет изобретено Олегом, чтобы побороть очередные флуктуации троянов? :) 5, 10? А смысл? Вот хоть убейте - не вижу! :)


Тут возникает вопрос:
А как уживутся вместе монитор антивируса и монитор AVZ ? Насколько я знаю, два антивирусных монитора, перехватывающих системные функции не очень дружно живут друг с другом :)
Ну, ведь уживается же как-то DefenseWall, который тоже перехватывает системные функции, с другими мониторами. Это всего лишь вопрос качества программирования.


Но, насколько я понимаю, детектирование по сигнатурам и не является главной фичей AVZ, у утилиты есть некоторые другие мощные методы борьбы с вредоносным ПО, к-рых нет у антивирусов.
Согласен! У утилиты действительно есть развитые методы диагностики и даже лечения системы, но все они в той или иной степени заточены, в основном, на троянское ПО, непосредственное лечение которого все равно производится именно за счет сигнатур!

Если же говорить о каждом методе ручной диагностики/лечения в отдельности, то утилиты сторонних производителей зачастую обладают гораздо большей функциональностью, чем то, что мы видим в AVZ (взять, к примеру, хотя бы утилиты от Sysinternals, от DiamondCS, от F-Secure или тот же ProcessHunter с wasm.ru). Это и неудивительно, т.к. если встроить все эти функции в AVZ, то получится такой монстр, что только на его закачку с сайта пользователи будут тратить десятки минут! :)



...
утилите монитор, как я считаю, не особо нужен.
Конечно, если речь идет о мониторе, который предлагает Олег Зайцев, а именно:

3. Сложность изготовления монитора практически ничем не отличима от сложности изготовления AVZ-Guard (при моем подходе).
...
Так вот мониторинг AVZ-Guard и мониторинг некоего "AVZ-Monitor" почти идентичны (или 100% идентичны - чтобы драйвера не плодить)
...
то я с вами согласен - монитор такого рода не нужен.

По сути, AVZ и пытается воплощать такой подход: он борется против существующих троянских техник (даже не технологий, и пример этого - его анти-руткитовый модуль) и даже (как, в случае с AVZGuard), отдельно взятых троянов. Будучи в своей основе сканером, он действительно вынужден "реагировать на каждую модификацию зловреда" - но это всего лишь специфика программ такого рода.
А почему AVZGuard борется с отдельно взятым трояном? Может я чего-то не понимаю, но, как мне кажется, AVZGuard способен нейтрализовать множество троянов, которых Олег в глаза не видел. И это не сигнатурный подход, а концептуальный.

А почему AVZGuard борется с отдельно взятым трояном? Может я чего-то не понимаю, но, как мне кажется, AVZGuard способен нейтрализовать множество троянов, которых Олег в глаза не видел. И это не сигнатурный подход, а концептуальный.
Если быть точным, то это сочетание методов - концептуального (чтобы нейтрализовать) и, само собой, сигнатурного (чтобы потом убить)! Отвечу также словами Олега Зайцева:

Теперь о главном - AVZGuard в текущем виде создан для решения вполне конкретной задачи - имеется что-то типа знаменитых look2me или nail.exe, которые прибить штатными средствами крайне трудно, т.к. "зверь" активно сопротивляется. Следовательно, нужен инструмент для их изничтожения - вот и был создан AVZGuard. Он не строился как непробиваемая защита (такие в природе не водятся) и не ставилась самоцель перекрыть все на 100%.
Но по большому счету, вы, конечно, правы - это все-таки очередной шаг вперед (таким же шагом является, к примеру, антируткитовый модуль)! Хотелось бы, однако, чтобы это был действительно "полновесный" шаг, а не "пол-шажка", как это сейчас, на мой взгляд, реализовано в AVZGuard.

Хм... И сколько еще таких AVZGuard-ов в различных ипостасях будет изобретено Олегом, чтобы побороть очередные флуктуации троянов? 5, 10? А смысл? Вот хоть убейте - не вижу!
Если бы была возможность написать монитор 100% предотвращающий заражение или 100% способный справиться с любым активным трояном, написавший его человек мог бы после этого всю жизнь грести деньги лопатой. Я уверен что такое невозможно даже теоретически. Будет монитор - его тоже нужно будет постоянно совершенствовать. Какая разница 10 версий монитора или 10 версий AVZGuard?
Опять же, я не вижу разницы между AVZGuard и монитором в плане противодействия троянам написанным именно против АВЗ.
Если троян имеет средства противодействия АВЗ, то он не даст запуститься даже инсталятору. И какая тогда разница, есть монитор или нет? Никакой.
Другое дело, если какие-то системные функции невозможно перехватить без перегрузки, то нужно просто поменять логику работы AVZGuard. Прописал куда нужно драйвер, рестарт, полечил, убрал драйвер, рестарт.
А постоянных мониторов перехватывающих всё подряд и так хватает. Вот скоро выйдет КИС2006, там монитор будет всё что можно перехватывать.

Я считаю концепцию Олега правильной. Постоянный монитор должен быть незаметен, и не мешать нормальной работе системы. При этом его возможности блокировать вредоносные действия либо ограничены, либо пользователь будет вынужден отвечать на огромное количество непонятных вопросов.
AVZGuard, как временная мера на время лечения, фактически нарушает нормальную работу системы(именно то что от него и ждут). Вместе с тем он блокирует и работу всех вредоносных программ, не задавя никаких вопросов. Насколько я понимаю, он может помочь так же и в борьбе с вирусами, остановив их деятельность на время лечения. И здесь особенно важно уметь запускаться без инсталяции, с защищённого от записи носителя.

Не думаю что на каждую. Количество системных функций которые можно перехватить, и количество способов перехвата конечно. Так что реагировать нужно только на каждую новую концепцию, и рано или поздно можно всё перекрыть :)
Другое дело что на каждый троян написанный конкретно что бы убивать АВЗ действительно прийсётся реагировать отдельно. Опять же, количество способов должно быть конечным :)

Я имел в виду немного другое. Дело в том, что потенциальных точек внедрения в систему на уровне ядра очень много. С точки зрения программиста- практически бесконечное. И реагировать придётся на каждую только что появившуюся точку, причём постфактум. Именно это я и имел в виду под "не очень красиво".

То есть. Да, сейчас AVZGuard противодействует Look2me в процессе его лечения. Но, к примеру, в следующей модификации зловреда могут появиться спецсредства обхода AVZGuard. Олегу придётся делать средства обхода средств обхода. И так далее. Война брони и снаряда. А всё потому, что Look2me загрузил свой драйвер до AVZ. Войну можно выиграть лишь загрузив свой драйвер самым первым, на чистую систему!

Я имел в виду немного другое. Дело в том, что потенциальных точек внедрения в систему на уровне ядра очень много. С точки зрения программиста- практически бесконечное. И реагировать придётся на каждую только что появившуюся точку, причём постфактум. Именно это я и имел в виду под "не очень красиво".

То есть. Да, сейчас AVZGuard противодействует Look2me в процессе его лечения. Но, к примеру, в следующей модификации зловреда могут появиться спецсредства обхода AVZGuard. Олегу придётся делать средства обхода средств обхода. И так далее. Война брони и снаряда. А всё потому, что Look2me загрузил свой драйвер до AVZ. Войну можно выиграть лишь загрузив свой драйвер самым первым, на чистую систему!
Так в том-то и дело, что АВЗ почти всегда устанавливается на зараженную систему.
Представь себе что ты приходишь к врачу, и просишь лекарство от простуды, а он тебе говорит что лекарство есть, но нужно его начинать принимать до того как простудился. Есть в этом смысл? Никакого.

Если бы была возможность написать монитор 100% предотвращающий заражение или 100% способный справиться с любым активным трояном, написавший его человек мог бы после этого всю жизнь грести деньги лопатой. Я уверен что такое невозможно даже теоретически. Будет монитор - его тоже нужно будет постоянно совершенствовать. Какая разница 10 версий монитора или 10 версий AVZGuard?
Большая, я бы сказал даже принципиальная! Очевидно, что вы не программист, поэтому попробую объяснить еще раз:
1) монитор загружается на этапе загрузки ОС, AVZGuard - "по желанию"/"при необходимости". Степень контроля системы принципиально разная! AVZGuard, загруженный "по желанию", реально не может контролировать даже то, что у него анонсировано, не говоря уже о многом другом. И в этом смысле та степень контроля над системой, что мог бы обеспечить монитор (нет, не 100% - где вы вообще это взяли? я этого нигде не говорил!), будет на порядок лучше того, что сможет сделать любой AVZGuard, как бы хорошо он ни был написан! Конечно, в наиболее предпочтительном варианте монитор должен грузиться в чистую систему, но даже и на "грязной" его эффективность могла бы быть на порядок лучше всех этих бесконечных "методик"!
2) 10 версий монитора не понадобится, в отличие от 10 версий AVZGuard (или подобных "методик" - называйте, как хотите)! Дело в том, что все те методики, которые сейчас включаются/выключаются в разных местах AVZ (анти-руткит, анти-кейлоггер, AVZGuard и т.п.) мог бы иметь один-единственный монитор, и его степень контроля на этими вещами была бы намного более эффективной (возьмите тот же DefenseWall, к примеру!)!


Опять же, я не вижу разницы между AVZGuard и монитором в плане противодействия троянам написанным именно против АВЗ.
На самом деле, это вполне очевидные вещи для программиста... тут даже не нужно ничего обяснять - просто примите это к сведению, ок? :)


Другое дело, если какие-то системные функции невозможно перехватить без перегрузки, то нужно просто поменять логику работы AVZGuard. Прописал куда нужно драйвер, рестарт, полечил, убрал драйвер, рестарт.
Вот это уже и будет монитор, о котором я все время тут говорю!


А постоянных мониторов перехватывающих всё подряд и так хватает. Вот скоро выйдет КИС2006, там монитор будет всё что можно перехватывать.
Если Касперские его доведут до ума (давно его не видел, не знаю текущего состояния дел), то на системах, где будет установлен KAV6/KIS6, AVZ, по идее, уже вряд ли понадобится...


Я считаю концепцию Олега правильной. Постоянный монитор должен быть незаметен, и не мешать нормальной работе системы. При этом его возможности блокировать вредоносные действия либо ограничены, либо пользователь будет вынужден отвечать на огромное количество непонятных вопросов.
Посмотрите внимательно на DefenseWall! Конечно, это другая программа, для других целей предназначенная - но она
1) "незаметна";
2) практически "не мешает нормальной работе системы";
3) "пользователю не нужно отвечать на огромное количество непонятных вопросов".
Значит, можно все-таки достичь этих целей, если захотеть! :)


AVZGuard, как временная мера на время лечения, фактически нарушает нормальную работу системы(именно то что от него и ждут). Вместе с тем он блокирует и работу всех вредоносных программ, не задавя никаких вопросов. Насколько я понимаю, он может помочь так же и в борьбе с вирусами, остановив их деятельность на время лечения. И здесь особенно важно уметь запускаться без инсталяции, с защищённого от записи носителя.
Поймите меня... я бы согласился с вами тысячу раз насчет любого AVZGuard-а, загружаемого теперешним способом, если бы не одно но... Это но - степень контроля! Как ни старайся, как ни крути, но степень контроля системы у таких "методик", по сути, нулевая... :(

PS. Мне кажется, надо прекращать эту дискуссию... Олегу, я так понимаю, это неинтересно - его доводы в пользу "постепенного закрывания брешей по мере их появления" я слышу уже более полутора лет - с тех пор, как он все "пишет и пишет" монитор. :) Если AVZGuard - это и есть прототип монитора, то, думаю, обсуждать тут больше нечего. Пусть все будет так, как есть!

Посмотрите внимательно на DefenseWall
ПОсмотрел внимательно(несколько месяцев стоит). Конфликт с каждым новым приложением решается путём выпуска новой версии. Фактически можно сказать что DefenseWall предназначен для защиты определённого набора приложений. Включение защиты для приложений с которыми DefenseWall не был проверен на совместимость черевата разнообразными глюками. Фактически с ним должен идти список программ которые можно им защищать.
Это универсальное решение?
Включённая по умолчанию защита интерпритаторов скриптов может служить источником таких глюков, что домохозяйка застрелится(до самого далеко не сразу дошло в чём проблема).

ПОсмотрел внимательно(несколько месяцев стоит).
...
Я, естественно, имел ввиду несколько другое, когда просил "посмотреть внимательно"... впрочем, это и не важно...

Вот это уже и будет монитор, о котором я все время тут говорю!


ок. А что делать в случае, когда животное контролирует утсановку этого самого драйвера (после установки которого, рестарт, лечение и т.д) ?!
Как раз и нужны средства, чтобы несмотря на противодействие утсановить драйвер. Хотя это уже будет, что-то вроде хака системы...

ок. А что делать в случае, когда животное контролирует утсановку этого самого драйвера (после установки которого, рестарт, лечение и т.д) ?!
Как раз и нужны средства, чтобы несмотря на противодействие утсановить драйвер. Хотя это уже будет, что-то вроде хака системы...

А лекарство уже мною описано- установка своего драйвера до зловреда!

ПОсмотрел внимательно(несколько месяцев стоит). Конфликт с каждым новым приложением решается путём выпуска новой версии. Фактически можно сказать что DefenseWall предназначен для защиты определённого набора приложений. Включение защиты для приложений с которыми DefenseWall не был проверен на совместимость черевата разнообразными глюками. Фактически с ним должен идти список программ которые можно им защищать.
Это универсальное решение?

Ну, на порядок более универсальное, чем сигнатурно-ориентированные антивирусы или классические HIPS типа ProcessGuard. Как говорили герои "Кто-то любит погорячее": "Никто не идеален". И мой софт не исключение. Но одно то, что ты его пользуешь, а не забросил на полку, говорит о многом... :)



Включённая по умолчанию защита интерпритаторов скриптов может служить источником таких глюков, что домохозяйка застрелится(до самого далеко не сразу дошло в чём проблема).

Домохозяйка не использует js/vbs скриптов. Но, в любом случае, это будет переделано в защиту на основе правил (как у .bat/.cmd- скриптов).

А лекарство уже мною описано- установка своего драйвера до зловреда!
Не спасет :)
Предположим, у меня зараженный ПК. На нем обитает trojan.sys, прописанный как Boot. Защитый драйвер грузится до trojan.sys, и каковы его действия ?? Как понять, что trojan.sys зловред и его нужно блокировать ??

Не спасет :)
Предположим, у меня зараженный ПК. На нем обитает trojan.sys, прописанный как Boot. Защитый драйвер грузится до trojan.sys, и каковы его действия ?? Как понять, что trojan.sys зловред и его нужно блокировать ??
Конечно, каждый метод имеет право на существование - и проактивный, и сигнатурный, и отрицать это в общем случае не имеет смысла.

Однако, если в такой ситуации драйвер защиты имеет хотя бы равные права с драйвером трояна, и может в какой-то степени пытаться контролировать ситуацию (смотреть системные модули, области, структуры и т.д.) и даже предупредить пользователя о чем-то странном в системе, то сигнатурные программы (типа AVZ) могут его даже и не заметить (как по причине отсутствия сигнатуры, так и по причине противодействия со стороны "зловреда" динамической установке драйверов, к примеру), не говоря уже про какой-либо контроль! :)

Конечно, каждый метод имеет право на существование - и проактивный, и сигнатурный, и отрицать это в общем случае не имеет смысла.

Однако, если в такой ситуации драйвер защиты имеет хотя бы равные права с драйвером трояна, и может в какой-то степени пытаться контролировать ситуацию (смотреть системные модули, области, структуры и т.д.) и даже предупредить пользователя о чем-то странном в системе, то сигнатурные программы (типа AVZ) могут его даже и не заметить (как по причине отсутствия сигнатуры, так и по причине противодействия со стороны "зловреда" динамической установке драйверов, к примеру), не говоря уже про какой-либо контроль! :)
... и при этом собственно ничто не мешает AVZGuard-у будующих версий на такой случай получить возможность приписаться как boot драйверу, и попросить перезагрузки. А после перезагрузки AVZGuard немедленно удаляет свою регистрацию (на случай багов) и на полученный сеанс действует его защита (далее подгружается AVZ и начинается сигнатурынй поиск и ручная чистка).

Я, естественно, имел ввиду несколько другое, когда просил "посмотреть внимательно"... впрочем, это и не важно...
Я посмотрел с точки зрения пользователя. А если пользователю неудобно пользоваться, то пусть программа написано гениально и идиально с точки зрения программиста, можно её только ф топку :)

Домохозяйка не использует js/vbs скриптов. Но, в любом случае, это будет переделано в защиту на основе правил (как у .bat/.cmd- скриптов).
Домохозяйка нет, а вот некоторые программы при инсталяции используют. В результате получаем кривую инсталяцию, которую потом замучаешся вычищть ручками(потому что она упала в середине и деинсталятор не создался).

... и при этом собственно ничто не мешает AVZGuard-у будующих версий на такой случай получить возможность приписаться как boot драйверу, и попросить перезагрузки. А после перезагрузки AVZGuard немедленно удаляет свою регистрацию (на случай багов) и на полученный сеанс действует его защита (далее подгружается AVZ и начинается сигнатурынй поиск и ручная чистка).
Ох, и мечтатель же ты! А лапшу с ушей уже можно снимать? :)

Ну, а если серьёзно, то, слава богу, дискуссия хотя бы немного позволила вырулить в нужном направлении - по крайней мере, даже такое решение - это намного лучше того, что мы имеем сейчас!

Не много не в тему но:
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 319 описаний портов
На данном ПК открыто 1 TCP портов и 2 UDP портов
Проверка завершена, подозрительные порты не обнаружены
теперь это сообщение просто радует глаза ни каких сообщений об ошибке ни при каких условиях!!!!!!

Да нет, ошибка эта осталась (о чём я уже тут умоминал).

Протокол антивирусной утилиты AVZ версии 4.15
Сканирование запущено в 04.03.2006 2:05:44
Загружена база: 20554 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, база от 22.02.2006 10:42
...SKIP...
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 319 описаний портов
В ходе проверки возникла ошибка. Проверка не производилась

2 замечания и вопрос:
1. Проверка только указанной папки так и не реализована. :( Avz рвется проверять все в направлении корня.
2. Неверный вывод при проверке зараженных архивов:
C:\tmp1\socks5.rar - чист, в базе безопасных НЕ значится
C:\tmp1\socks5.rar/{RAR}/socks5.#xe >>>>> Trojan-Proxy.Win32.Small.cf
3. Олег, ты смотришь внимательно файлы, которые проверяются в онлайн с этого сайта? (Проверка файлов антивирусами AVZ и VBA в режиме on-line)

3. Олег, ты смотришь внимательно файлы, которые проверяются в онлайн с этого сайта?
смотрит, когда они к нему попадают. а попадают они кучками. что там не так с этими файлами?

смотрит, когда они к нему попадают. а попадают они кучками. что там не так с этими файлами?
Вопрос вообще-то к Олегу :), интересует степень внимания к файлам, полученным из онлайн-проверки по сравнению с присланным ему на e-mail.

Вопрос вообще-то к Олегу :), интересует степень внимания к файлам, полученным из онлайн-проверки по сравнению с присланным на email
а ответ все равно будет от меня, ибо за онлайн-проверку я отвечаю.
если хотите быстрого внесения в базу - пишите напрямую Олегу. если просто хочется убедиться в чистоте и текущем присутствии/отсутствии в базе - то через сайт. а степень внимания ко всем одинаковая.

Я вдруг подумал, что зря написал здесь мейл Олега в чистом виде.

Я вдруг подумал, что зря написал здесь мейл Олега в чистом виде.
я думаю, что его тут уже столько раз написали, что плюс-минус один раз уже не повредит ;-)
поиск по сайту показывает 157 тем с указанием этого адреса :)

Я вдруг подумал, что зря написал здесь мейл Олега в чистом виде.
Ничего страшного - мой email пробит в хелпе и еще тысяче мест ... Насчет добавления проверяемых в on-line файлов - MOCT периодически скидывает мне подозреваемые/недетектироемые для анализа и включения в базы. Хотя быстрый путь включения файла в базу - это его отправка на [email protected]

Программа IMsecure ( ZONE LABS, INC.)


Анализатор - изучается файл D:\Program Files\IMsecure\IMsecure.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?


D:\Program Files\IMsecure\IMsecure.exe



D:\Program Files\IMsecure\imfrmwk.dll

D:\Program Files\IMsecure\IMUTIL.dll

D:\Program Files\IMsecure\IMINIT.dll

D:\Program Files\IMsecure\IMPUBAPI.dll

C:\WINDOWS\System32\lockbox.dll

D:\Program Files\IMsecure\policymgr.dll

C:\WINDOWS\System32\imslsp.dll

D:\Program Files\IMsecure\imdata.dll

D:\Program Files\IMsecure\immonapi.dll



Некоторые загружаются в Outpost Firewall это


C:\WINDOWS\System32\imslsp.dll

C:\WINDOWS\System32\lockbox.dll


И ещё в оба svchost.exe


C:\WINDOWS\System32\imslsp.dll
C:\WINDOWS\System32\LIBEAY32_0.9.6l.dll
C:\WINDOWS\System32\lockbox.dll



Поставщики транспортных протоколов (TSP, LSP) Поставщик Исп. файл Описание (ДОБАВИЛИСЬ)


imslsp/1140897371 over [MSAFD Tcpip [TCP/IP]] C:\WINDOWS\System32\imslsp.dll Copyright © 1998-2004, Zone Labs, Inc.(1, 5, 0, 39)

imslsp/1140897371 over [MSAFD Tcpip [UDP/IP]] C:\WINDOWS\System32\imslsp.dll Copyright © 1998-2004, Zone Labs, Inc.(1, 5, 0, 39)

imslsp/1140897371 over [MSAFD Tcpip [RAW/IP]] C:\WINDOWS\System32\imslsp.dll Copyright © 1998-2004, Zone Labs, Inc.(1, 5, 0, 39)

imslsp/1140897371 C:\WINDOWS\System32\imslsp.dll Copyright © 1998-2004, Zone Labs, Inc.(1, 5, 0, 39)



Для справки:
Программа повышает безопасность использования ICQ MSN и др. аналогичных программ для обмена сообщениями.
Защищяет от спамеров похищения паролей и утечки личной информации.

Может чтото надо изучить? (Файлы вроде неизвесные для AVZ)

AVZ после тестирования нашла такой файл :

E:\Documents and Settings\ALEXANDER\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \jts.jar-510faa1-3d0211bc.zip Invalid file - not a PKZip file

Этот файл вижу в папке (скрин прилагаю).Найти его и упаковать через поиск файла в AVZ не могу. Задаю имя в поиске,без результата.
Удалил бы его сразу,только может послужит как добавление в базу "гадостей".
Подскажите что можно сделать для упаковки и отправки.

Удалил бы его сразу,только может послужит как добавление в базу "гадостей".
Подскажите что можно сделать для упаковки и отправки.
присылать не нужно - гадостью не является

гадостью не является

Спасибо.

После включения AVZGuard и перезагрузки компьютера система находит новое оборудование. Так как драйвера нет, оно не устанавливается, а в свойствах вижу:ROOT\LEGACY_AVZ\000 .Подскажите, пожалуйста, что всё это значит?

Это и есть AVZ Guard. А вот почему система не находит драйвера - это большой вопрос. Должен быть.

После включения AVZGuard и перезагрузки компьютера система находит новое оборудование. Так как драйвера нет, оно не устанавливается, а в свойствах вижу:ROOT\LEGACY_AVZ\000 .Подскажите, пожалуйста, что всё это значит?
Я несколько раз получал отчеты о таком баге, причны его проявления неизвестны и симулировать его мне пока не удалось. Решение простое - прибить это "устройство", чтобы не появлялось сообщение о обнаруженном оборудовании.

Прибивать приходиться после каждого запуска AVZGuard, но после добавления файла avz_thebat проблема, вроде, исчезла.

Как известно, наличие собственного "белого" списка программ/модулей выгодно отличает AVZ от многих анти-троянских программ и является, наряду с возможностью получения файлов 'Исследования системы', несомненным достоинством AVZ, отмечаемым многими пользователями программы. Однако, при более пристальном рассмотрении оказалось, что при определенных обстоятельствах эти достоинства могут легко превратиться в серьезные недостатки. Итак, ближе к делу...

Несколько дней назад, при обсуждении в соседнем разделе (http://virusinfo.info/showthread.php?t=4971) программ, динамически устанавливающих свои драйверы путем создания временного файла-драйвера, активации драйвера и последущего удаления файла-драйвера (так, как известно, поступают многие программы, в частности - утилиты от Sysinternals, F-Secure BlackLight, некоторые анти-троянские программы и т.д.), МОСТ (http://virusinfo.info/member.php?u=2119) выдвинул предложение о том, что было бы неплохо такие временные файлы помещать в базы "чистых" файлов AVZ с тем, чтобы они при анализе (в частности, в 'Исследовании системы') не попадали в "черные" списки:



aintrust прав все три раза - avz.sys грузится как есть, из каталога AVZ и без переименования, и он естественно распознается как безопасный. Есть подозрение, что mc21.tmp - это что-то типа EXE/DLL, хранимой внутри какого-то приложения. Я подобное поведение десятки раз наблюдал на вполне безопасных программах
однозначно.

а по поводу безопасности - пусть даже и безопасная, так все равно не помешает в базу чистых добавить, чтобы больше такие записи нас не смущали
Не будем сейчас останавливаться на том, как это лучше сделать - путем ли "выдирания" этих файлов из ресурсов, посредством программ восстановления файлов на диске или еще как-то с последующим добавлением в базу "чистых" - это не важно, т.к. "проблему" попадания таких файлов в "черные" списки, как оказалось, это вообще не решает! Связано это с тем, что AVZ, чтобы принять решение о том, поместить ли файл, соответствующий некоторому процессу/модулю, в "белый" список или нет, должен "увидеть" этот файл на диске, т.е. соответствующий процессу/модулю проверяемый файл банально должен существовать - иначе, казалось бы, как сравнить сигнатуру и ее объект? Отсюда простой вывод #1: "соответствующий" процессу/модулю, но не существующий на диске файл AVZ 100%-но помещает в "черный" список. Для проверки этого обстоятельства я провел простой эксперимент. AVZ, как известно, помещает свой основной драйвер, avz.sys, в "белый" список (см. скриншот #1 (http://aintrust.narod.ru/images/avzwhitelist/avz1.png)). Я загрузил AVZ, потом "на лету" переименовал этот файл, avz.sys, в _avz.sys (т.е. файл для AVZ как бы исчез!) - и AVZ сразу же поместил его в "черный" список (см. скриншот #2 (http://aintrust.narod.ru/images/avzwhitelist/avz2.png)). Тогда я пошел дальше: вместо оригинального avz.sys, который так и остался пока что переименованным, я сделал копию avz.exe и переименовал ее в avz.sys - AVZ, само собой, подлога не заметил и сразу же стал считать avz.sys "чистым" (см. скриншот #3 (http://aintrust.narod.ru/images/avzwhitelist/avz3.png) - обратите внимание на длину файла avz.sys в папке AVZ).

Ладно, подумал я, а что будет, если начать "подменять" ("сплайсить") файлы на диске (т.е. после запуска "грязного" файла-оригинала его тут же переименовать (не важно, в какое имя!), а в каталог, где он лежит, переписать заведомо "чистый", например, системный, файл, дав ему старое имя "грязного" файла-оригинала)? И - о чудо! :) "Грязные" файлы, с которыми я провел такие манипуляции, тут же для AVZ превратились в "чистые" - как во всех окнах и отчетах AVZ, так и в 'Исследовании системы'! Я провел этот эксперимент с постоянно запущенным агентом программы Winamp (ему соответствует файл winampa.exe), который изначально не находился в "белом" списке AVZ. Я переименовал этот файл в _winampa.exe, в каталог программы Winamp переписал заведомо "чистый" файл Блокнота (notepad.exe), переименовал его в winampa.exe - и это все! Процесс, инициированный winampa.exe, для AVZ тут же стал "чистым" (см. скриншот #4 (http://aintrust.narod.ru/images/avzwhitelist/avz4.png) - обратите внимание на графу 'Описание' в 'Диспетчере процессов' AVZ :))! Итак, простой вывод #2: описанным выше способом в AVZ можно сделать "чистым" любой запущенный на выполнение файл - даже новый троян или вирус (и это очень просто!), и этот троян/вирус не попадет в 'Исследование системы', а во всех отчетах будет выглядеть "чистым"! Понятно, что если сигнатура такого файла известна AVZ, и мы запустим сканирование файлов, то этот файл неминуемо будет обнаружен. А что, если неизвестна? :)

Отсюда простой вывод #3: существующую в AVZ методику определения "чистых" файлов нужно менять, и чем скорее - тем лучше, т.к. в указанных выше обстоятельствах она не только не помогает, а даже наоборот - вводит в полное заблуждение! Как известно, во время формирования базы "чистых" объектов имя объекта не учитывается, а при анализе же на "чистоту" AVZ ищет объект в файловой системе только по имени (плюс полный путь) - никакие другие "признаки"/атрибуты в расчет не берутся! Даже в этом налицо некоторое противоречие!

Что же нужно сделать? Казалось бы, простую вещь: при проверке процесса на "чистоту" проверять не файл на диске, ему "соответствующий", а его образ в памяти, учитывая при этом только те атрибуты, которые остаются неизменными при загрузке файла в память (ведь изначально база "чистых" формируется из файлов, а не из их образов в памяти!). Это, кстати, решило бы проблему и временных файлов-драйверов, а также прочих похожих объектов - ведь в памяти компьютера все эти объекты практически постоянно присутствуют! Казалось бы простую вещь... :) Конечно же - на деле совсем "не простую": вполне вероятно, что "эта простая вещь" потребует пересмотра даже принципа формирования базы "чистых" объектов, не говоря уже о самой методике проверки!

Такие вот дела...

[edit]
PS. Я сделал необходимые правки в описании (особенно это касается вывода #2), т.к. из моего описания не совсем было понятно, что во время всех манипуляций с файлами "грязный" процесс уже должен быть запущен. Насколько я понимаю, именно из-за этой моей "невнятности" сразу же последовал вопрос от HATTIFNATTOR-а.

по выводу #2:
Простое присвоение файлу, не находящемуся в базе чистых AVZ, имени "чистого" файла не приводит к его "узнаванию" и исчезновению из протокола исследования.

по выводу #2:
Простое присвоение файлу, не находящемуся в базе чистых AVZ, имени "чистого" файла не приводит к его "узнаванию" и исчезновению из протокола исследования.
Естественно - это следует уже хотя бы из того факта, что при добавлении файла в базу "чистых" его имя вообще никак не учитывается! И мой вывод #2, само собой, совсем не про это - т.е. не про подмену "по имени файла" - это вообще в данном случае не имеет смысла (!!!), а про подмену именно "новым (чистым) содержанием, но со старым именем"! Это, согласитесь, совсем разные вещи! :)

Давайте еще раз уточним.
1) Стартует и грузится в память компьютера "грязный" файл trojan.exe (не принципиально, каким образом);
2) Затем этот "грязный" файл переименовывается - делается это процессом trojan (инициированным исходным файлом trojan.exe) - и совсем не важно, в какое имя (к примеру, в 1234.exe) - лишь бы троян о нем знал для дальнейшего использования;
3) Затем в каталог, где лежит этот "грязный" переименованный файл, переписывается (опять же, процессом-трояном) заведомо "чистый" файл (любой системный, например notepad.exe), и ему дается старое имя "грязного" файла-оригинала, т.е. trojan.exe.

"Подмена" как раз в том и состоит, что в памяти мы имеем загруженный trojan.exe, а на диске под его именем скрывается notepad.exe - и этого достаточно, чтобы AVZ начал считать этот "грязный" процесс (и соответствующий ему файл) в своих отчетах "чистым" (что, естественно, не так!).

Все это м.б. описывается сложно, но реализуется зато совершенно элементарно - такой троян пишется в течение 20 минут!

Посмотрите более внимательно на тот пример, что я привел в качестве иллюстрации (скриншот #4 (http://aintrust.narod.ru/images/avzwhitelist/avz4.png)) - там в качестве исходного "грязного" файла и процесса, ему соответствующего, выступает winampa.exe.

to aintrust
для трояна такая методика слишком сложна, хотя от эксплоита до реального трояна один шаг. Вывод - надо думать, как быть.
Проверка объекта в памяти - нереально, я об этом думал уже:
1. Релокейшены и загрузка по разным адресам (положем, это мелочь-у AVZ хороший анализатор PE, он это учтет, равно как выравниванеи секций и прочую дребедень)
2. Пакеры, криптеры, протектеры. Особенно разные протектеры - при их применении возможна расшифровка программы по частям и прочие чудеса
3. Модификации кода программы самой программой. Часто это результат 2 или результаты деятельности самопальных защит
4. Руткиты UserMode и прочие программы мониторинга и анализа, которые патчат свой код программ.
----
Вывод - анализ в памяти возможен инаверное нужен, но это отдельная "база образов чистых объектов" и отдельный подход

Второе - как сейчас AVZ проверяет процесс по базе чистых. Он ищет файл по полному имени на диске. Если не нашел или не смог открыть - файл автоматом считается "грязным" (логика там повсюду такова - файл "грязный", пока не доказано обратное). Если нашел - файл открывается, анализируется его содержимое, проверяется по базе. Попали - чистый, промах - грязный. Имя файла при этом нигде не участвует, исключение - мой стационарный анализатор, в его базах хранятся данные о имени каждого имеющегося в базе чистых файле - чтобы найти его в коллекции в случае чего.
Естественно, что если запустить процесс, затем переименовать его файл и создать чистый файл с таким именем, то систему можно обмануть - она проанализирует чистый файл. Аналогично - перехват CreateFile|OpenFile и открытие чистого файла в место "зверя" для его проврки. Проще всего это видеть на драйвере - его можно легко переименовать или стереть после запуска.

Угу, сообразил, - просто из первого объяснения это явным образом не следовало. :)

http://keep4u.ru/imgs/s/0603/6b833f542618e846e2.jpg (http://keep4u.ru/full/0603/6b833f542618e846e2)

2. Пакеры, криптеры, протектеры. Особенно разные протектеры - при их применении возможна расшифровка программы по частям и прочие чудеса
3. Модификации кода программы самой программой. Часто это результат 2 или результаты деятельности самопальных защит
4. Руткиты UserMode и прочие программы мониторинга и анализа, которые патчат свой код программ.

мы и правда говорим о чистых файлах???
сколько микрософтовских файлов упакованы, декриптуют или патчат себя? ноль!
да и вообще среди файлов из базы чистых будут единицы, удовлетворяющие пунктам 2-4.

Угу, сообразил, - просто из первого объяснения это явным образом не следовало. :)

Да, каюсь... пальцы отставали от мыслей... или наоборот :) Ну, в общем, я в своем первом сообщении (да и во втором тоже) все подправил - теперь не должно быть непонимания! :)

to aintrust
для трояна такая методика слишком сложна, хотя от эксплоита до реального трояна один шаг. Вывод - надо думать, как быть.

Ну, в реальных троянах я не настолько силен, как ты - тебе виднее, конечно. Но эксплойт (или PoC) действительно пишется за 20 минут - впрочем, ты и сам это понимаешь... :)



...
Вывод - анализ в памяти возможен инаверное нужен, но это отдельная "база образов чистых объектов" и отдельный подход

Согласен абсолютно - что-то с этим надо делать, да и такой анализ не только "возможен и нужен" - по хорошему он просто необходим. :) Хотя, конечно, совсем не прост...

2 oleg bql o4en rad uviden serioznqe obnovleniay v avz, NO 1 no correct fonts v winxp eng lish 4asti4no oni korrektq k primery vso na rusike ok a vot posle vklu4enia avzguard , kogda mena prispi4lilo zakrqt avz ona mne vqdala okno tipa text karakulami i vnizy DA NET ny ya vqbral DA , v itoge vse zalo4eno daze sama avz i daze task manager , koe kak sdelal safe shutdown , toze tormozilo prosto vstalo vse , a ved u mena fat32 power reset protivopokazan, i eto sledstvie kak minimum ne korektnqh fonts oni u vas bqvaut ot versii k versii odna rabotaet bez glukov s fonts drugaya kankretno v karakulah, ,, -- ok no eto pol dela , posle prezagruzki u mena poyavilsa new hardware )) kogda ?OTKUDA ?) kogda ya posmotrel 4to za hardvare iz opisania tolko uznal 4to to tipa AVZ/LEGACY 4to to tipa tak , KANKRETNQY GLUK !! krome pro4ego do zapuska AVZ u mena ram memory use 90mb posle zapuska vse 168-170mb , veroyatno ona zapuskaet vse servisq 4to tolko moget zapustit , ,,3 zame4eno bolee medlenaya reakcia 4em v preznih versiah , uze ne momentalno vsplqvaut okoshki avz ..s4itau dolgom soobshit ob etih glukah -- zelau vsa4eskih uda4 -respect

2oleg )) ne unqvai vse ok , ya tut uvidel 4to krupnqe rqbq na teba zubq skalat ,, monitor nakonec postavil v avz a eto perevodit teba v razrad pramqh KONKURENTOV - dla vseh ostalnqh programerov KASPER ? fuck em , AVZ ne gruzit sistemy it all i need )na danqy moment sredi vseh antispyware 4to ya testil a eto okolo 15 raznhqh AVZ rulit , vnedrenie real time protect eto to 4to davno bqlo nuzno ya dla real protect ispolzuu poka AD AWARE poka segodna ne uvidel new version s avzguard , 4toz podozdem poka new version dovedut do uma i ad aware uletit v korziny )

тема ;))
например я ваще этот guard включить не могу.
как сканер прошелся и все- В меню он выключен.