PDA

Просмотр полной версии : Антивирусная утилита AVZ - 4.22 + AVZGuard/AVZPM



Страницы : [1] 2

Зайцев Олег
12.12.2006, 16:01
Вышла новая версия антивирусной утилиты AVZ - 4.22 + AVZGuard/AVZPM
Архив с утилитой содержит базу вирусов от 12.12.2006 69173 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, 364 микропрограммы эвристики, 54310 подписей безопасных файлов
Список доработок и модификаций: (http://www.z-oleg.com/secur/avz/download.php)
[++] Новая подсистема AVZPM - мониторинг процессов и драйверов из KernelMode для поиска искажений в системых структурах
[++] AVZ доработан для совместимости в Windows Vista, в частности обновлены все KernelMode компоненты
[++] Скрипты - новые команды для работы с драйверами и службами, управления AVZPM, вызов стандартных скриптов и
скриптов восстановления системы, копирование и переименование файлов. Новые функции описаны в справке,
в справку добавлен ряд типовых примеров скриптов
[++] Проведена дефрагментация AV базы и оптимизация движка с целью повышения его производительности.
[+] Переделан менеджер процессов - к нему подключена система AVZPM
[+] Переделан менеджер модулей пространства ядра - к нему подключена система AVZPM,
введена сортировка по всем столбцам, добавлен отдельный столбец с именем драйвера
[+] Усовершенствовано автообновления - если AVZPM активен в момент обновления, то его драйвер
автоматические обновляется при необходимости
[+] Менеджер модулей пространства ядра - добавлена функция дампирование драйвера,
сортировка по всем полям, раздельные поля для имени драйвера и полного имени драйвера
[+] Поддежка распаковки и сканирования файлов в MIME формате (формат распознается по содержимому)
[+] Опция закрытия сеанса и файлы в менеджере сетевых сеансов
[+] Исследование системы - в конце HTML отчета добавляется код, упрощающий сборку скрипта за
счет автоподстановки типовых команд
[+] Скрипты - усовершенствована функция QuarantineFile - в случае указания имени файла без пути
производится поиск файла по системному алгоритму
[+] Менеджер автозапуска - доработан анализ и модификация AppInit_DLLs
[+] Менеджер общих ресурсов и сетевых сеансов - добавлена функция закрытия сеанса или
открытого по сети файла
[+] Введена шифровка пароля прокси в INI файле
[-] Скрипты - исправлена ошибка в работе функции AutoLSPFix;

Немного подробнее про AVZPM. Это Boot драйвер, задачей которого является слежение за запуском/остановом процессов и загрузкой драйверов. Этот драйвер накапливает информацию, что позволяет в дальнейшем обнаруживать маскируемые процессы/драйверы и детектировать модификации системных структур, выполняемые DKOM руткитами. AVZPM подключен к диспетчеру процессов, диспетчеру модулей пространства ядра и антируткиту. После первого включения AVZPM рекомендуется перезагрузиться, чтобы драйвер собрал информацию о запускающихся процессах. Драйвер можно оставить в системе, так как он практически не потребляет ресурсов и не влияет на быстродействие ПК. В дальнейшем этот драйвер станет прототипом монитора AVZ для проверки процессов в момен их запуска.

DimaT
12.12.2006, 17:38
[++] Новая подсистема AVZPM - мониторинг процессов и драйверов из KernelMode для поиска искажений в системых структурах
A можно поподробнее?

[++] Проведена дефрагментация AV базы и оптимизация движка с целью повышения его производительности.
Со старыми базами как поступать?

Зайцев Олег
12.12.2006, 17:49
A можно поподробнее?

Со старыми базами как поступать?
Старые базы можно выкидывать - в архиве с новой версией новая база. Про AVZPM более подробно есть в справке (раздел 8 http://www.z-oleg.com/secur/avz_doc/), и я еще тут немного позже напишу более расширенное описание.

NickGolovko
12.12.2006, 18:47
Друзья тестеры, хелперы и пользователи!

Английская версия 4.22 вышла с частично моей версией перевода. По всем вопросам, связанным с качеством перевода, просьба пинать меня :) Думаю, можно сказать, что я теперь являюсь официально ответственным за перевод :)

Ego1st
13.12.2006, 03:22
[+] Исследование системы - в конце HTML отчета добавляется код, упрощающий сборку скрипта за
счет автоподстановки типовых команд
Это очень хорошая модификация=))


[-] Скрипты - исправлена ошибка в работе функции AutoLSPFix;
Это означает что NewDoNet теперь нормально лечиться?

Олег ещё вопросик, или к знающим вот примерно такие ключи
HKLM\System\CCS\Services\Tcpip\
HKLM\System\CCS\Services\Tcpip\
HKLM\System\CS1\Services\Tcpip\
за что отвечают или что означают..
Заранее спасибо за ответ!

santy
13.12.2006, 06:25
Олег, добрый день! Что-то непонятно с логикой исследования системы? Говорится: "Вы хотите посмотреть протокол?" Да, а просмотр протокола не запускается. :).

NickGolovko
13.12.2006, 07:28
2 Ego1st: Сейчас посмотрю. ;) Tiny Firewall - Run Administration Center - System Protection - Registry. Ага. Вот оно, мое правило на HKLM/System/CurrentControlSet/Services/Tcpip. А называется оно... ну-ка... Hosts file branch. ;)

Это ветка, определяющая параметры одноименного протокола. В том числе там хранится размещение Hosts файла. Это очень опасная ветка, потому что можно ее изменить и засунуть Hosts файл неведомо куда, в то время как старый файл будет мирно лежать на месте, вводя в заблуждение юзеров и некоторые не совсем умные антишпионы :)

Зайцев Олег
13.12.2006, 09:59
Олег, добрый день! Что-то непонятно с логикой исследования системы? Говорится: "Вы хотите посмотреть протокол?" Да, а просмотр протокола не запускается. :).
А файл на диске сохраняется ? Дело в том, что далее делается попытка отрыть сохраненный файл дефолтной программой ... если таковой программы нет или нарушена ассоциация с файлом htm, то он не откроется.

Geser
13.12.2006, 10:01
2 Ego1st: Сейчас посмотрю. ;) Tiny Firewall - Run Administration Center - System Protection - Registry. Ага. Вот оно, мое правило на HKLM/System/CurrentControlSet/Services/Tcpip. А называется оно... ну-ка... Hosts file branch. ;)

Это ветка, определяющая параметры одноименного протокола. В том числе там хранится размещение Hosts файла. Это очень опасная ветка, потому что можно ее изменить и засунуть Hosts файл неведомо куда, в то время как старый файл будет мирно лежать на месте, вводя в заблуждение юзеров и некоторые не совсем умные антишпионы :)
Хм... А АВЗ достаточно умный?

NickGolovko
13.12.2006, 10:30
Пару месяцев назад я спрашивал Олега, как AVZ определяет местоположение этого файла. :) В общем, к этому моменту AVZ должен уже быть достаточно умным ;) Можете сами проверить :)

Зайцев Олег
13.12.2006, 11:01
Пару месяцев назад я спрашивал Олега, как AVZ определяет местоположение этого файла. :) В общем, к этому моменту AVZ должен уже быть достаточно умным ;) Можете сами проверить :)
Не факт кстати - я не помню, как оно там определяется ... сколько я помню, моя идеалогия была проверять hosts на стандартном месте + подымать тревогу при перемещении файла при помощи правки ключика в реестре.

DoggoD
13.12.2006, 11:36
А как можно узнать нформацию о кол-ве вирусных сигнатур, не начиная проверки ПК? Может поместить ее куда-нить в "Справка -> О программе"..

Irisa
13.12.2006, 12:01
Уважаемый Олег Зайцев, с вашего сайта по ссылке качается версия 4.21. А по ссылке на Рапиде выдает ошибку 406.
А вообще Спасибо за Вашу работу!

pig
13.12.2006, 12:20
С сайта ещё вчера качалась 4.22.

Irisa
13.12.2006, 12:32
С сайта ещё вчера качалась 4.22.

А сейчас, к сожалению, не качается - именно с сайта автора! Вернее я Скачала ( по ссылке, справа от описания обновлений в версии 4.22), но при запуске и контрольной попытке обновления баз, программа просит обновиться до версии 4.22(а это, говорит, версия 4.21!)

Зайцев Олег
13.12.2006, 13:00
Уважаемый Олег Зайцев, с вашего сайта по ссылке качается версия 4.21. А по ссылке на Рапиде выдает ошибку 406.
А вообще Спасибо за Вашу работу!
судя по всему выход в Инет идет через прокси и он кеширует где-то файлы и блокирует операции. На всякий случай я перезарядил файлы на rapidshare - но вые ссылки на страничке загрузки AVZ.

Alvares
13.12.2006, 13:10
На 2003 сервере включил AVZPM, система ушла в синий экран. Драйвер ядра uz-чего-то-там.sys ля-ля-ля-ля. Активен НОД32 2.70.16. С чем конфликт?

Kuzz
13.12.2006, 14:11
Тоже W2k3. антивирь - Симантек. Все работает (в смысле АВЗ 4.22) со вчера и до теперь. А с НОДом я и раньше при проверках АВЗ нарывался на BSOD...

Зайцев Олег
13.12.2006, 14:58
На 2003 сервере включил AVZPM, система ушла в синий экран. Драйвер ядра uz-чего-то-там.sys ля-ля-ля-ля. Активен НОД32 2.70.16. С чем конфликт?
Возможно, NOD пытается как-то вмешаться в работу драйверов AVZ и делает это не совсем корректно - у меня в драйвера кругом понаставлены обработчики ошибок, поэтому BSOD без стороннего вмешательства маловероятен.

drongo
13.12.2006, 15:06
Я предлагаю при запуске сканирования программы авз,добавления монитора -> предупреждать пользователя , что следует отключиться от интернета , и отключить активные компоненты защиты системы (антивирусы ...)во избежания конфликтов , да и сканирование намного быстрее проходит , когда другие антивирусы не мешают .

Зайцев Олег
13.12.2006, 15:10
Я предлагаю при запуске сканирования программы авз,добавления монитора -> предупреждать пользователя , что следует отключиться от интернета , и отключить активные компоненты защиты системы (антивирусы ...)во избежания конфликтов , да и сканирование намного быстрее проходит , когда другие антивирусы не мешают .
Я об этом думал ... но
1. AVZ PM может прекрасно уживаться с антивирусами и FW, не мешает их работе и не подтормаживает компьютер. Другое дело AVZ Guard - но там в инструкции сказано, что рекомендуется вообще закрыть все программы, кроме AVZ
2. Отключение мониторов антивирей на время сканирования действительно резко повышает скорость сканирования, но возникает опасность, в пользователь забудет потом включить монитор.

drongo
13.12.2006, 15:19
2.ну так можно сделать поп-ап с большими красными буквами после завершения сканирования , включить антивирус :)
Из раздела фантастики, можно научить авз опознавать антивирусы и фаэрволы , тогда АВЗ сможет , если пользователь того захочет , останавливать службы антивиров автоматом , а после сканирования сам включать .

Alvares
13.12.2006, 15:43
2.ну так можно сделать поп-ап с большими красными буквами после завершения сканирования , включить антивирус :)
Из раздела фантастики, можно научить авз опознавать антивирусы и фаэрволы , тогда АВЗ сможет , если пользователь того захочет , останавливать службы антивиров автоматом , а после сканирования сам включать .
NOD32 просто так у меня не получалось останавливать. Только после перезагрузки возможно. Кстати, еще вопрос: kist.sys (Касперский)считается перехватчиком ядра. АВЗ его вроде обрубает. А вот НОДовский перехватчик не может. Кстати и не видит. Хотелось бы добиться совместимости. Чтоб не пересекались. Все-таки хороший антивирь, привык я к нему :)

Irisa
13.12.2006, 15:45
судя по всему выход в Инет идет через прокси и он кеширует где-то файлы и блокирует операции. На всякий случай я перезарядил файлы на rapidshare - но вые ссылки на страничке загрузки AVZ.

Попробовала еще несколько раз через IE и Opera - оба выдают ту же ошибку (пардон, не 406) 403 - Forbidden... И чего мне теперь делать, как скачать Вашу программку? :( Самое обидное, что через Рапиду.de только что без проблем скачались 2 файла...

Зайцев Олег
13.12.2006, 15:56
Попробовала еще несколько раз через IE и Opera - оба выдают ту же ошибку (пардон, не 406) 403 - Forbidden... И чего мне теперь делать, как скачать Вашу программку? :( Самое обидное, что через Рапиду.de только что без проблем скачались 2 файла...
Это очень странно, нужно разбираться с тем, как производится выход в Инет и каковы настройки. Вот для разнообразия на другом сервере - http://rapidshare.com/files/7305302/avz4.zip Просто я перезерядил в обед файлы на rapidshare.ru, по новой ссылке за пошедние два часа avz4.zip скачали 30 раз - значит, файл качается.

Irisa
13.12.2006, 16:14
Это очень странно, нужно разбираться с тем, как производится выход в Инет и каковы настройки. Вот для разнообразия на другом сервере - http://rapidshare.com/files/7305302/avz4.zip Просто я перезерядил в обед файлы на rapidshare.ru, по новой ссылке за пошедние два часа avz4.zip скачали 30 раз - значит, файл качается.

Спасибо, через 30 минут отпишусь о результате... А интернет у меня кабельный и возможно именно из за , как вы и сказали, настроек у меня и выдает эту ошибку.

Irisa
13.12.2006, 16:50
Всеее, получилось с Рапиды.de!
Спасибо огромное! Буду и дальше пользовать Вашу программку.

Kuzz
13.12.2006, 17:02
Другое дело AVZ Guard ...
С Guard-ом вообще ничего (синих экр.) не отображается. Мгновенная перезагрузка, но об этом предупреждают (В пункте AVZ Guard - в справке). Действительно, интересно почему не находится драйвер защиты НОДа (как руткит-подобный компонент...).

Зайцев Олег
13.12.2006, 17:20
С Guard-ом вообще ничего (синих экр.) не отображается. Мгновенная перезагрузка, но об этом предупреждают (В пункте AVZ Guard - в справке). Действительно, интересно почему не находится драйвер защиты НОДа (как руткит-подобный компонент...).
А в папке windows\minidump формируются минидампы ? Если да, то пришлите пожалуйста пару штук. Просто очень странно, почему идет такое вылетание - особых причин для конфликта с NOD вроде бы нет.

Kuzz
13.12.2006, 18:07
Дампов нет, т.к. переставил систему.
Ребут получался при попытке запустить/завершить любую программу.
Система: W2k Pro SP4, CPU:AthlonXP, chipset:VIA KT400 :'-( ...

Surfer
13.12.2006, 18:48
День добрый Олег.
Не успели вы пофиксить мои предыдущие файлы , как я уже с новыми :)
http://up-file.com/download/e93c70796206/--New.rar.html
Всё на макс. эверистике.

С уважением.

Kuzz
13.12.2006, 19:01
На 2003 сервере включил AVZPM, система ушла в синий экран. Драйвер ядра uz-чего-то-там.sys ля-ля-ля-ля. Активен НОД32 2.70.16. С чем конфликт?
Еще одна система - как раз Вынь2к3, никаких проблем, а о НОДе уже был мой месс.

RiC
14.12.2006, 00:23
FP - http://virusinfo.info/showthread.php?t=7127

taloran
14.12.2006, 01:56
Сегодня AVZ запускал, вот чтo мне выдалo. До этого пользовался уже несколько раз, подчистил гадость, что была:). Счас вроде всё нормал, только в Kernel Mode неясно, не было вроде нового ничего( а прошлых логов нет, не сохранил)...[br] Олег, спасибо, прога :good: ;)

Зайцев Олег
14.12.2006, 09:07
FP - http://virusinfo.info/showthread.php?t=7127
Ага - ее еще VBA детектирует как Backdoor.Win32.SnooperYB.c ... Я подправил базу, спасибо. Эта DLL, насколько я помню, "проходила по делу" как подозрение на руткит - в теле функции есть код, весьма похожий на руткитный (функции MoveFileWithProgressW, GetVolumeNameForVolumeMountPointW, GetVolumePathNameW, GetLongPathNameW).

Jolly Rojer
14.12.2006, 09:36
Добрый день всем. Сегодня тоже сталкнулся на тестовой машинке Win 2003 server с проблемой AVZPM при установке драйвера машинка себя вела нормально! После попросилась перегрузиться и усе... ;) Перегружаеться непрерывно, в безопасный режим пускает . Также активно установить драйвер AVZPM, удалить драйвер не активно. Хотя судя по всему драйвер установился!

Зайцев Олег
14.12.2006, 09:43
Добрый день всем. Сегодня тоже сталкнулся на тестовой машинке Win 2003 server с проблемой AVZPM при установке драйвера машинка себя вела нормально! После попросилась перегрузиться и усе... ;) Перегружаеться непрерывно, в безопасный режим пускает . Также активно установить драйвер AVZPM, удалить драйвер не активно. Хотя судя по всему драйвер установился!
А минидампы при этом создаются ? Если да, то один из них поможет определить возможные причины

Jolly Rojer
14.12.2006, 09:50
А минидампы при этом создаются ? Если да, то один из них поможет определить возможные причины

Нет Олег к сожалению минидампа не создалось... Вообще создаються когда есть ошибки,но за сегодняшнее число минидампа нет.

Jolly Rojer
14.12.2006, 10:51
По идее не плохо бы было добавить к AVZ возможность отката(поиск,удаление и подчистка всех хвостов) установки драйвера AVZPM для машин c win 9х и для машин с отключенной системой востановления системы. Думаю это будет достаточно актуально.

Зайцев Олег
14.12.2006, 10:55
По идее не плохо бы было добавить к AVZ возможность отката(поиск,удаление и подчистка всех хвостов) установки драйвера AVZPM для машин c win 9х и для машин с отключенной системой востановления системы. Думаю это будет достаточно актуально.
Функцию отката я сделаю - появится сегодня в стандартных скриптах. А вот драйвер под 9x наверное никогда не появится - XP уже собираются снять с поддержки, а 9x - тем более - количество ПК под этой системой стремительно сокращается.

Jolly Rojer
14.12.2006, 11:05
Функцию отката я сделаю - появится сегодня в стандартных скриптах. А вот драйвер под 9x наверное никогда не появится - XP уже собираются снять с поддержки, а 9x - тем более - количество ПК под этой системой стремительно сокращается.
Вот и хорошо что появиться я тогда эту машинку трогать не буду, а заодно и проверим как сработает откат! По поводу 9Х это я просто написал , (все же есть люди которые еще под ней сидят) конечно же их уже единицы...! Олег как я понимаю нужно будет просто обновить базы чтоб появилась функция отката?

Numb
14.12.2006, 11:22
Windows 2000 Workstation SP4 + обновления. Из сетевого/антивирусного софта на машине - Outpost 4 + DrWeb 4.33. Установка драйвера AVZPM проходит нормально. После перезагрузки при попытке удаления драйвера средствами AVZ - "Ошибка удаления драйвера (3)".

Зайцев Олег
14.12.2006, 11:55
Вот и хорошо что появиться я тогда эту машинку трогать не буду, а заодно и проверим как сработает откат! По поводу 9Х это я просто написал , (все же есть люди которые еще под ней сидят) конечно же их уже единицы...! Олег как я понимаю нужно будет просто обновить базы чтоб появилась функция отката?
Да, после обеда выйдет обновленная база, там будет скрипт полной "деинсталляции" AVZ - удаление всех драйверов с диска и их регистрации из реестра.

Geser
14.12.2006, 12:45
1. Осталась проблема с путями в секции модулей пространства ядра:
\SystemRoot\System32\Drivers\dump_atapi.sys
2. Если файл не найден на диске нужно как-то помечать это в логе. Возможно перед этим следует попытаться прочитать его напрямую.

santy
14.12.2006, 13:27
А файл на диске сохраняется ? Дело в том, что далее делается попытка отрыть сохраненный файл дефолтной программой ... если таковой программы нет или нарушена ассоциация с файлом htm, то он не откроется.
Да, сохраняется. На шифрованный диск. Сохранил в Documents& Settings - тот же результат. Рядом с файликом - иконка от файерфокса. Поэтому, обычным нажатием файл открывается.
--------------
Установил драйвер AVZPM под Win 2000 Prof SP4+RollUp. Антивирус NOd32 2.51.26. Сканирую тестовые папки с архивной библиотекой вирусов в режиме блокировки руткитов User-Mode. Конфликта с включенным монитором НОД, вроде нет.

Зайцев Олег
14.12.2006, 14:21
1. Осталась проблема с путями в секции модулей пространства ядра:
\SystemRoot\System32\Drivers\dump_atapi.sys
2. Если файл не найден на диске нужно как-то помечать это в логе. Возможно перед этим следует попытаться прочитать его напрямую.
Я это поправлю - я теперь придумал новую политику выпуска версий - вчера вышла 4.22, а на следующей неделе выйдет 4.22.1 - в ней я поправлю все явные баги, которые вылезут в ходе недели тестирований.
-----
Я обновил AVZ базу, можно обновиться - в стандартных скриптах появилась новая опция - "Удаление всех драйверов и ключей реестра AVZ" - выполнение этого скрипта вычищает с диска и реестра все следы AVZ. В частности, по W2K SP4 обнаружился странный глюк с драйвером AVZPM - он инсталлируется, но удаляться через меню не хочет - вот тут то подобный скрипт пригодится. В 4.22.1 этот глюк уже поправлен.

По поводу путей - в 4.22.1 это исправлено, пути отображаются как положено.

Зайцев Олег
14.12.2006, 14:21
Да, сохраняется. На шифрованный диск. Сохранил в Documents& Settings - тот же результат. Рядом с файликом - иконка от файерфокса. Поэтому, обычным нажатием файл открывается.
--------------
Установил драйвер AVZPM под Win 2000 Prof SP4+RollUp. Антивирус NOd32 2.51.26. Сканирую тестовые папки с архивной библиотекой вирусов в режиме блокировки руткитов User-Mode. Конфликта с включенным монитором НОД, вроде нет.
Подобные опыты очень интересны - для меня очень полезна статистика работы AVZ и AVZPM под разными OS и совместно с различным защитным ПО.

Зайцев Олег
14.12.2006, 14:23
Вот и хорошо что появиться я тогда эту машинку трогать не буду, а заодно и проверим как сработает откат! По поводу 9Х это я просто написал , (все же есть люди которые еще под ней сидят) конечно же их уже единицы...! Олег как я понимаю нужно будет просто обновить базы чтоб появилась функция отката?
Совершенно верно - можно пробовать откат (точнее "деинсталляцию"), Файл\Стандартные скрипты, скрипт номер 6.

Jolly Rojer
14.12.2006, 14:52
Олег деинсталяция драйвера прошла успешно машинку ребутнул операционка загрузилась в обычном режиме! Сейчас еще раз попробую установить драйвер, может мини дамп сформируется... если сформируется закину к тебе на мыло

Зайцев Олег
14.12.2006, 14:54
Деинсталяция драйвера прошла успешна машинку ребутнул операционка загрузилась в обычном режиме!
Осталось только понять, с чем там драйвер мой законфиликтовал ...

Kuzz
14.12.2006, 14:56
Вопрос: а сохранение настроек интерфейса не предполагается?

Jolly Rojer
14.12.2006, 15:27
Ну что вопрос остается открытым... абсолютно не понятно с чем конфликтовал драйвер... повторил 3 раза результат одинаков минидамп так-же не формируется... силового софта на машинке нет ! Загадка да и только! Предложение к тем у кого есть win 2003 server, повторить мой эксперимент и сообщить о результатах. Может быть это частный случай а может и нет, в любом случае Олегу думаю интересно узнать результаты подобных тестов. Да и мне честно сказать тоже! "ПРОШУ НЕ ПРОИЗВОДИТЬ ДАННЫЙ ЭКСПЕРИМЕНТ НА РЕАЛЬНО ДЕЙСТВУЮЩИХ СЕРВЕРАХ, дабы избежать неприятных последствий"

Muffler
14.12.2006, 17:15
Jolly Rojer, а минидамп у тебя включён...?

NickGolovko
14.12.2006, 17:35
Я это поправлю - я теперь придумал новую политику выпуска версий - вчера вышла 4.22, а на следующей неделе выйдет 4.22.1 - в ней я поправлю все явные баги, которые вылезут в ходе недели тестирований.
-----
Я обновил AVZ базу, можно обновиться - в стандартных скриптах появилась новая опция - "Удаление всех драйверов и ключей реестра AVZ" - выполнение этого скрипта вычищает с диска и реестра все следы AVZ. В частности, по W2K SP4 обнаружился странный глюк с драйвером AVZPM - он инсталлируется, но удаляться через меню не хочет - вот тут то подобный скрипт пригодится. В 4.22.1 этот глюк уже поправлен.

По поводу путей - в 4.22.1 это исправлено, пути отображаются как положено.

Буду ждать новые функции на перевод. :)

Да, кстати, забыл добавить пять копеек: AVZPM установился нормально и успешно функционирует. Установка прошла незаметно.

WinXP, SP2, avast, AVG, Tiny, ZA, SSM Free :)

Синауридзе Александр
14.12.2006, 20:49
Подобные опыты очень интересны - для меня очень полезна статистика работы AVZ и AVZPM под разными OS и совместно с различным защитным ПО.
Вот пожалуйста. На машине Win XP Pro SP2 без заплаток и стенки. Антивирус NOD32 2.70.16. Все работает как часовой механизм.:)

Kuzz
14.12.2006, 20:56
Хм, вроде-б невозможность деинсталяции проявляется только на Вынь2к СП4. Все та-же "Ошибка удаления драйвера 3"

Синауридзе Александр
14.12.2006, 21:03
Ну что вопрос остается открытым... абсолютно не понятно с чем конфликтовал драйвер... повторил 3 раза результат одинаков минидамп так-же не формируется... силового софта на машинке нет ! Загадка да и только! Предложение к тем у кого есть win 2003 server, повторить мой эксперимент и сообщить о результатах. Может быть это частный случай а может и нет, в любом случае Олегу думаю интересно узнать результаты подобных тестов. Да и мне честно сказать тоже! "ПРОШУ НЕ ПРОИЗВОДИТЬ ДАННЫЙ ЭКСПЕРИМЕНТ НА РЕАЛЬНО ДЕЙСТВУЮЩИХ СЕРВЕРАХ, дабы избежать неприятных последствий"
У меня Linux-совый сервак, но я позвонил своему товарищу и он для меня все проделал (у него Windows 2003 server). Кстати на реально действующем серваке. Все прошло без каких либо проблем.:)

Kuzz
14.12.2006, 21:10
Все прошло без каких либо проблем.:) На В2к3 тоже прошло все нормально, по-этому сеть работает (В2к3 - внутренний сервак сети..)

Jolly Rojer
15.12.2006, 05:19
Jolly Rojer, а минидамп у тебя включён...?

Да включен!

Jolly Rojer
15.12.2006, 05:30
У меня Linux-совый сервак, но я позвонил своему товарищу и он для меня все проделал (у него Windows 2003 server). Кстати на реально действующем серваке. Все прошло без каких либо проблем.:)
Сегодня востановлю с образа попробую на чистой машинке все же интересно изза чего такой глюк был...? Но все равно не плохо что подобное вылезло... в результате все в выигрыше заодно Олег сделал не плохую функцию как деинтсталяцию драйвера

santy
15.12.2006, 07:01
Подобные опыты очень интересны - для меня очень полезна статистика работы AVZ и AVZPM под разными OS и совместно с различным защитным ПО.
Олег, несмотря на то, что новые версии АВЗ выходят как рабочий релиз (а значит, прошли определенные испытания), может быть, имеет смысл публиковать некоторую программу испытания АВЗ по "болевым точкам"?

Зайцев Олег
15.12.2006, 08:51
Олег, несмотря на то, что новые версии АВЗ выходят как рабочий релиз (а значит, прошли определенные испытания), может быть, имеет смысл публиковать некоторую программу испытания АВЗ по "болевым точкам"?
По стути программа испытаний есть - это список доработок. По любой доработке мне интересны комментарии по ее работоспособности и глюкам.

santy
15.12.2006, 11:39
По стути программа испытаний есть - это список доработок. По любой доработке мне интересны комментарии по ее работоспособности и глюкам.

Ок. По запуску просмотра лога. Проверил режим исследования системы на виртуальной машине VMware - так и есть, лог запускается автоматом. А интерактивное формирование скрипта для лечения системы - это круто! Может быть в будущем, станет возможно автоматически сформировать скрипт для лечения системы в режиме исследования? :).

Зайцев Олег
15.12.2006, 12:34
Ок. По запуску просмотра лога. Проверил режим исследования системы на виртуальной машине VMware - так и есть, лог запускается автоматом. А интерактивное формирование скрипта для лечения системы - это круто! Может быть в будущем, станет возможно автоматически сформировать скрипт для лечения системы в режиме исследования? :).
Именно так и будет - я всячески буду развивать интерактивные функции протокола, чтобы по мере анализа можно было генерировать скрипт карантина/лечения. Кроме того, для хелперов и всех желающих скоро выходит навороченный редактор скриптов с функцией полувизуальной сборки скрипта.

Xen
16.12.2006, 02:43
скоро выходит навороченный редактор скриптов с функцией полувизуальной сборки скрипта


остается присесть и сказать "ку" =) правда, по моему опыту, скрипты пишутся в основном админами достаточно гетерогенных локалок, так что там мало что визуализируешь и пропарсишь, особенно если админы - старые фанаты паскаля =)

Nke22
17.12.2006, 00:25
Не могу понять,куда прописывается монитор в автозагрузку? И сколько он кушает памяти?
И еще. Ну, я установил монитор. И что дальше? Никаких диалогов, никаких менюшек... Как-то не интересно

Зайцев Олег
17.12.2006, 10:16
Не могу понять,куда прописывается монитор в автозагрузку? И сколько он кушает памяти?
И еще. Ну, я установил монитор. И что дальше? Никаких диалогов, никаких менюшек... Как-то не интересно
У AVZ нет монитора в прямом понимании - есть драйвер мониторинга системы. Будучи драйвером он и прописан как Boot-драйвер. Потребляет он около 40 кб памяти. Диалоги и менюшки ему не нужны - AVZ при очередном сканировании сам обнаржит его, запросит у него информацию и будет использовать в антирутките, менеджере процессов и объектов пространства ядра.

NickGolovko
17.12.2006, 10:26
Олег, на моей конфигурации (указана выше) попытка удалить AVZPM заканчивается BSODом (нечто наподобие DRIVER_REMOVAL_WITHOUT_PENDING_OPERATIONS).

aintrust
17.12.2006, 11:51
Олег, на моей конфигурации (указана выше) попытка удалить AVZPM заканчивается BSODом (нечто наподобие DRIVER_REMOVAL_WITHOUT_PENDING_OPERATIONS).
Точнее, видимо, Bug Check 0xCE: DRIVER_UNLOADED_WITHOUT_CANCELLING_PENDING_OPERATI ONS. Минидамп (лучше, конечно, если их будет несколько) в студию! ;)

Конфигурация системы у вас непростая (Tiny, ZA, SSM и прочее с драйверами ядра)... Зачем, если не секрет, так много всего?

NickGolovko
17.12.2006, 20:45
Сейчас у меня в ядре только KIS и SSM. :) Сделайте одолжение, напомните, куда дамп залить.. еще не заливал ни разу :)

Well
18.12.2006, 04:48
Ошибка AVZ Guard: C0000034 это что за ошибка?это функция включить AVZ Guard.

aintrust
18.12.2006, 08:20
Сейчас у меня в ядре только KIS и SSM. :) Сделайте одолжение, напомните, куда дамп залить.. еще не заливал ни разу :)
Да просто сюда залейте архив (вместе с сообщением)...

NickGolovko
18.12.2006, 14:40
Ловите. :)

aintrust
18.12.2006, 14:45
Ловите. :)
thanks... сейчас посмотрим.

aintrust
18.12.2006, 23:23
thanks... сейчас посмотрим.
Ага, ситуация более-менее прояснилась. В общем, так: в данной версии SSM (которая free), вероятно, есть небольшая ошибка. Подробности описывать не буду, ибо мало кому это интересно.

Как преодолеть?
1) удалить эту версию SSM и поставить текущую (у меня последний триал, версия 2.0.0.558, работает с AVZ без проблем);
2) если жалко удалять фришный SSM, то после загрузки драйвера AVZPM в AVZ его вообще не удалять. В принципе, драйвер AVZPM должен жить в системе, особо никому и ничему не мешая. Проблема только одна: при смене версии AVZ его все равно придется удалить, что, вероятнее всего, приведет к синьке; ;)
3) завтра подумаем с Олегом вот над чем: чтобы в дальнейшем избежать подобных "конфликтов" с SSM free, можно не сразу выгружать драйвер AVZPM, а просто удалять запись из реестра и стирать файл драйвера с диска в тот момент, когда пользователь скажет "удалить AVZPM". Иными словами, оставлять драйвер (и мониторинг) в работе до конца текущего сеанса.

unreg_stop
19.12.2006, 02:22
Если поможете, мое счастье не будет знать границ :)
Суть: ставил 2003 se без sp, появились некоторые подозрения, решил прогнать антивирями, в том числе avz. Запустил - проверил, все ок. Перезагрузил, не стартует Kerio Winrout Firewall 6.2.2. Смотрю журнал виндовса, обратил внимание только на эту ошибку:
#1
Тип события: Ошибка
Источник события: IPSec
Драйвер IPSec перешел в режим блокировки. IPSec будет отбрасывать весь входящий и исходящий сетевой трафик TCP/IP, не разрешенный исключениями политики IPSec при загрузке. Действия пользователя: Чтобы восстановить полное незащищенное подключение TCP/IP, отключите службы IPSec и перезагрузите компьютер.
Тоесть он по сети ни туда ни обратно ничего не передает
не стал разбиратся т к комп новый, все снес поставил заново.
На втором компе (рабочий сервер терминалов :( , лог винды под рукой)
уже читал все. Ошибок всего 7 кажется, все разные и первая таже самая. Виндвос фактически еле работает. Как восстановить не знаю! Состояние шоковое.
P.S. не пойму как лог виндовса приклеить.

NickGolovko
19.12.2006, 06:40
ОК, ясно.. :) Попробую поснимать хуки перед удалением ;) Да, вот еще кстати - прислали мне веселую статейку: http://sunbeltblog.blogspot.com/2006/12/gromozon-has-evolved.html. Это некоторое преувеличение или впрямь серьезный вопрос? Как отреагирует AVZ? :)

Зайцев Олег
19.12.2006, 08:44
ОК, ясно.. :) Попробую поснимать хуки перед удалением ;) Да, вот еще кстати - прислали мне веселую статейку: http://sunbeltblog.blogspot.com/2006/12/gromozon-has-evolved.html. Это некоторое преувеличение или впрямь серьезный вопрос? Как отреагирует AVZ? :)
В теории AVZ должен задетектить Громозона с включенным AVZPM - я именно потому и делал PM, что DKOM руткит - это архитривиальная штуковина с точки зрения реализации но крайне сложная с точки зрения детекта - если аккуратно все сделать, то зацепиться не за что - можно к примеру обнаружить маскируемый драйвер, но невозможно установить, кто он и откуда грузится. Аналогично с процессом - можно обраружить маскируемый процесс, но будет проблема с тем, что почти невозможно достоверно узнать его PID и имя исполняемого файла.

Зайцев Олег
19.12.2006, 08:59
Если поможете, мое счастье не будет знать границ :)
Суть: ставил 2003 se без sp, появились некоторые подозрения, решил прогнать антивирями, в том числе avz. Запустил - проверил, все ок. Перезагрузил, не стартует Kerio Winrout Firewall 6.2.2. Смотрю журнал виндовса, обратил внимание только на эту ошибку:
#1
Тип события: Ошибка
Источник события: IPSec
Драйвер IPSec перешел в режим блокировки. IPSec будет отбрасывать весь входящий и исходящий сетевой трафик TCP/IP, не разрешенный исключениями политики IPSec при загрузке. Действия пользователя: Чтобы восстановить полное незащищенное подключение TCP/IP, отключите службы IPSec и перезагрузите компьютер.
Тоесть он по сети ни туда ни обратно ничего не передает
не стал разбиратся т к комп новый, все снес поставил заново.
На втором компе (рабочий сервер терминалов :( , лог винды под рукой)
уже читал все. Ошибок всего 7 кажется, все разные и первая таже самая. Виндвос фактически еле работает. Как восстановить не знаю! Состояние шоковое.
P.S. не пойму как лог виндовса приклеить.
Без логов AVZ сказать что-то трудно, но ничего убить он не может по определению - в режиме сканирования никакие изменения в системе не делаются.

aintrust
19.12.2006, 10:03
ОК, ясно.. :) Попробую поснимать хуки перед удалением ;)...
Боюсь, что предварительно снятие хуков SSM free не поможет, т.к. дело не в них, а в более глубинных вещах, а именно в мониторинге запуска процессов / загрузки образов, которые в SSM и AVZ делаются очень похожим способом. Я бы, если честно, советовал вам просто удалить SSM free - у меня с ним, к примеру, наступают в разных местах жуткие тормоза, и мой безглючный комп вдруг начинает страшно глючить. ;) Вам решать, конечно, но, на мой взгляд, это не очень качественный продукт (не хочу обидеть автора, но перехватывать практически все вызовы в SSDT да плюс еще мониторить все подряд - это уже перебор!)

NickGolovko
19.12.2006, 10:27
У меня нормально работает :) Многое от него и не требуется - просто дополнение к Tiny в режиме ядра :) Tiny, например, не ловит LoadDriver и доступ к физической памяти :)

Geser
19.12.2006, 15:05
Кстати, такие вещи в логах
>>>> Подозрение на RootKit ntio256 C:\WINDOWS\system32\ntio256.sys
>>>> Подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys

наверное стоит цветом выделять. А то можно и не заметить

Зайцев Олег
19.12.2006, 15:51
Кстати, такие вещи в логах
>>>> Подозрение на RootKit ntio256 C:\WINDOWS\system32\ntio256.sys
>>>> Подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys

наверное стоит цветом выделять. А то можно и не заметить
Я уже об оэом подумываю - можно кстати и в самом логе выделить цветом ...

Ego1st
19.12.2006, 23:33
Кстати, такие вещи в логах
>>>> Подозрение на RootKit ntio256 C:\WINDOWS\system32\ntio256.sys
>>>> Подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys

наверное стоит цветом выделять. А то можно и не заметить

да было бы хорошо, а то я уже разок прохлопол, хорошо что поправили..

Dont.care.a.f!g
20.12.2006, 00:46
Вопрос к Олегу Зайцеву:
не могли бы вы размещать копию дистрибутива AVZ на
rapidshare.de или rapidshare.com? Я могу зайти на сайт http://www.rapidshare.ru, но никогда не мог и не могу ничего с него скачать. Также последнее время часто по нескольку дней не могу попасть на ваш сайт, вне зависимости от времени суток.
Последняя версия AVZ, которую мог скачать с вашего сайта - 4.21,
теперь при попытке скачать - каждый раз:
Internet Explorer cannot download avz4.zip from z-oleg.com.
A connection with the server could not be established.
Качалки не помогают. С любых других сайтов могу скачать что угодно - проблем нет. Вероятно, проблема на вашей стороне.
Маловероятно, что в моей системе может присутствовать какое- либо вредоносное по, которое этому мешает - установлено несколько антивирусов и antispyware, регулярно обновляю их базы и программные модули по мере выхода новых версий;регулярно поверяю систему; установлен firewall.

Ego1st
20.12.2006, 01:06
а может в этом топике прикреплять в первом посте AVZ я думаю администрация может 2 метра позволить выделить?

unreg_stop
20.12.2006, 01:12
Причем проверял с максимум эвристик и т п, но проверял без сканирования дисков, только память, порты и т д. Логов просто нет. :)
Думаю дотяну до нового года и переставлю. Фирма просто работает круглосуточно, но на новый год народу мало.
А сама прога AVZ очень удобная и полезная. Спасибо за нее, успехов!

Ego1st
20.12.2006, 01:25
Вопрос AVZ как-нибудь мониторит шару папок (т.е. он может проверить винду есть ли расшареные папки в ней)? есть ли такая возможность?

Alex_Goodwin
20.12.2006, 10:03
Вопрос AVZ как-нибудь мониторит шару папок (т.е. он может проверить винду есть ли расшареные папки в ней)? есть ли такая возможность?
Файл - общие ресурсы и сетевые сеансы чем не устраивает?

Alex_Goodwin
20.12.2006, 10:34
Цитата автора Rootkit Unhooker:

Я не совсем понимаю, как можно сравнивать антивирус с нашей программой. Rootkit Unhooker не является антивирусом и предназначен для "продвинутых пользователей", которые имеют достаточное представление о внутренностях Windows. Если касательно сравнения с "антируткитным" модулем AVZ - я очень долго смеялся над этой поделкой, уж простите меня. Все с чем она может справиться - махровый юзермод, чтобы там Олег в мой адрес не говорил. Он даже не в состоянии определить нормально состояние IDT

Зайцев Олег
20.12.2006, 11:23
Цитата автора Rootkit Unhooker:
ну, собственно автор RU имеет право на свое мнение :)

Зайцев Олег
20.12.2006, 11:32
Вопрос к Олегу Зайцеву:
не могли бы вы размещать копию дистрибутива AVZ на
rapidshare.de или rapidshare.com? Я могу зайти на сайт http://www.rapidshare.ru, но никогда не мог и не могу ничего с него скачать. ....
Нет проблем - я залил avz4.zip на rapidshare.com. Ссылка - http://rapidshare.com/files/7305302/avz4.zip (http://rapidshare.com/files/7305302/avz4.zip)

Зайцев Олег
20.12.2006, 11:35
а может в этом топике прикреплять в первом посте AVZ я думаю администрация может 2 метра позволить выделить?
Не стоит - трафик virusinfo лимитирован, моего сайта - нет. На закачке avz4.zip в месяц у меня расходуется более 200 ГБ трафика. Именно поэтому я кстати стал дублировать AVZ на rapidshare - для разгрузки основного сайта.

xoy
20.12.2006, 11:39
Вобщем попробовал установить AVZPM.
после перезагрузки синий экран.
Система Win2003Server, без сп. Из софта usergate, kav 4.5.
DRIVER_IRQL_NOT_LESS_OR_EQUAL
STOP 0x000000d1 (0xfffffffc 0x00000002 0x00000000 0xf76085ba)
uzqodiy.sys Adress- f76085ba base at f7607000, DateStamp 454e646a

дампа нет.
Смоделирую ситуацию позже(вечером) если будет дамп пришлю.

Зайцев Олег
20.12.2006, 12:02
Вобщем попробовал установить AVZPM.
после перезагрузки синий экран.
Система Win2003Server, без сп. Из софта usergate, kav 4.5.
DRIVER_IRQL_NOT_LESS_OR_EQUAL
STOP 0x000000d1 (0xfffffffc 0x00000002 0x00000000 0xf76085ba)
uzqodiy.sys Adress- f76085ba base at f7607000, DateStamp 454e646a

дампа нет.
Смоделирую ситуацию позже(вечером) если будет дамп пришлю.
Если есть возможность смоделировать ситуацию - это очень хорошо. Мне сегодня прислали минидамп Win2003Server, кординаты места сбоя определены - интерсно сравнить с вашим минидампом.

aintrust
20.12.2006, 13:32
...
DRIVER_IRQL_NOT_LESS_OR_EQUAL
STOP 0x000000d1 (0xfffffffc 0x00000002 0x00000000 0xf76085ba)
uzqodiy.sys Adress- f76085ba base at f7607000, DateStamp 454e646a

дампа нет.
Смоделирую ситуацию позже(вечером) если будет дамп пришлю.
Спасибо, уже не надо! Ошибка локализована и вскоре будет исправлена, о чем будет объявлено дополнительно.

А пока что, плиз, не включайте AVZPM на системах с Windows 2003 Server SP0!

Geser
20.12.2006, 14:55
Что-то не справляется АВЗ с этим руткитом
'C:\WINDOWS\system32:lzx32.sys'

Alex_Goodwin
20.12.2006, 14:57
ну, собственно автор RU имеет право на свое мнение :)
Тогда еще от автора:


Олег решил вплотную заняться мониторингом как у HIPS. Ну что называется, good luck! (первую l заменить на f). Неподъемное это дело для одного человека, да и толку от такого мониторинга - http://damagelab.org/style_emoticons/default/bang.gif Малварные руткиты вообще идут теперь без процессов, к сожалению, Олег все ещё витает в облаках. Лучше бы занялся своей эвристикой - это у него получается лучше всего. Остальное - не дано.

Это коменты на сообщение про BSOD от использования AVZPM и RU

Liong
20.12.2006, 15:36
Что-то не справляется АВЗ с этим руткитом
'C:\WINDOWS\system32:lzx32.sys'
Подтверждаю, даже с C:\WINDOWS\system32\lzx32.sys, не то что с потоком - не справился... вечер бился, потом прошел The Avenger - все помогло. Олег, посмотрите плиз, что-то с удалением теперь не то стало.

Зайцев Олег
20.12.2006, 15:37
Спасибо, уже не надо! Ошибка локализована и вскоре будет исправлена, о чем будет объявлено дополнительно.

А пока что, плиз, не включайте AVZPM на системах с Windows 2003 Server SP0!
Только что вышел апдейт баз AVZ - обновленная база содержит подправленный драйвер, который должен корректно работать на W2K3 SP0

Зайцев Олег
20.12.2006, 15:38
Подтверждаю, даже с C:\WINDOWS\system32\lzx32.sys, не то что с потоком - не справился... вечер бился, потом прошел The Avenger - все помогло. Олег, посмотрите плиз, что-то с удалением теперь не то стало.
Сейчас посмотрю - видимо, создатели этой штуки что-то новое придумали в новых версиях. А какой пошагово алгиритм применялся ? По идее для его убиения нужно:
1. Сканирование с нейтрализацией руткитов
2. Включение AVZ Guard
3. Удаление драйвера с диска + ключей из реестра
4. Перезагрузка.
С изученными PE386 это проходит.

Geser
20.12.2006, 15:41
По моему пора брать на вооружение метод используемый The Avenger

aintrust
20.12.2006, 15:59
Тогда еще от автора:

Это коменты на сообщение про BSOD от использования AVZPM и RU
Вообще, надо сказать, странную манеру общения вы придумали, Alex_Goodwin... ;) Типа выступаете в качестве медиума? :P

А почему бы EP_X0FF-у самому не прийти сюда (правда, я на 100% знаю, что он читает этот форум), и высказать свое мнение? А если он не хочет этого делать, то есть ли вообще смысл приводить его цитаты?

Geser
20.12.2006, 16:09
На самом деле не очень интересно знать мнение EP_X0FF. Гораздо интереснее если бы кто-то проверил эффективность обих программ на нескольких распространённых руткитах.

Зайцев Олег
20.12.2006, 16:15
По моему пора брать на вооружение метод используемый The Avenger
К версии 4.24-4.25 я введу подобную функциональность в AVZ - именно для убиения ключей реестра и файлов, которые не желают удаляться через отложенное удаление (с стандартным отложенным проблема в том, что оно выполняется слишком поздно - зловредный драйвер может уже страртануть и свести к нулю это удаление).

PrM@ster
20.12.2006, 17:21
Geser, и AVZ и Rootkit Unhooker пока что спокойно покупаются на изменёные значения в PEB ;)
Rootkit Unhooker многое не видет, но, ИМХО, он понагляднее
ИМХО, давно стоило добаваить возможность посчёта КС секций кода "безопасных програм" при сканировании памяти, а не только проверку КС файла

Alex_Goodwin
20.12.2006, 17:33
Вообще, надо сказать, странную манеру общения вы придумали, Alex_Goodwin... ;) Типа выступаете в качестве медиума? :P

А почему бы EP_X0FF-у самому не прийти сюда (правда, я на 100% знаю, что он читает этот форум), и высказать свое мнение? А если он не хочет этого делать, то есть ли вообще смысл приводить его цитаты?

Я к нему никак не отношусь . Просто на одном из форумов сегодня появились эти коментарии. Я решил, что Олегу будет интересно и запостил.

Зайцев Олег
20.12.2006, 17:42
Geser, и AVZ и Rootkit Unhooker пока что спокойно покупаются на изменёные значения в PEB ;)
Rootkit Unhooker многое не видет, но, ИМХО, он понагляднее
ИМХО, давно стоило добаваить возможность посчёта КС секций кода "безопасных програм" при сканировании памяти, а не только проверку КС файла
КС секции кода в памяти считать не очень-то хорошо, так как хотя-бы один реаллокейшен изменит эту сумму. Или пакер-криптер, который что-то будет менять. Или хитрая защита навесная ... На компонентах MS это более или менее реализуемо, а на остальном ...

aintrust
20.12.2006, 18:59
Я к нему никак не отношусь . Просто на одном из форумов сегодня появились эти коментарии. Я решил, что Олегу будет интересно и запостил.
Так, может, лучше и проще было бы дать первую цитату прямо со ссылкой на тот форум? Тогда все, кому интересно, в том числе и Олег, там бы и прочитали, и пообсуждали, если бы захотели...

aintrust
20.12.2006, 20:21
Geser, и AVZ и Rootkit Unhooker пока что спокойно покупаются на изменёные значения в PEB ;)

Все эти PEB-ы, TEB-ы и прочая юзермодная шелуха практически не имеет ничего общего с более-менее современными руткитами, и на этих изменениях ничего серьезного все равно не сваришь - так, детский лепет и мелкие прикольчики. Так что насчет "покупаются" - это, наверное, чересчур громко сказано... ;)


Rootkit Unhooker многое не видет, но, ИМХО, он понагляднее

И что же это такое "многое", что RkU "не видЕт"? Можно в деталях?

PrM@ster
20.12.2006, 20:31
Все эти PEB-ы, TEB-ы и прочая юзермодная шелуха практически не имеет ничего общего с более-менее современными руткитами, и на этих изменениях ничего серьезного все равно не сваришь - так, детский лепет и мелкие прикольчики если процес может маскироватся, это уже немало ;)

Можно в деталях?
не все функции контралируются
не ловится инжект в сереедину функции
сам можешь элементарно поэксперементировать

aintrust
20.12.2006, 20:58
На самом деле не очень интересно знать мнение EP_X0FF. Гораздо интереснее если бы кто-то проверил эффективность обих программ на нескольких распространённых руткитах.
Ну, кому как... Кому-то, я полагаю, было бы интересно не только услышать мнение, но даже немного подискутировать по поводу различных анти-руткитов, а также их достоинств и недостатков (не в этой ветке, конечно). Можно, конечно, по-разному относиться к мнению авторов RkU и к той манере, в которой это мнение обычно выражается (читавшие forum.sysinternals.com меня поймут), однако то, что эти ребята написали (и продолжают писать), вполне достойно внимания (как минимум).

Что касается эффективности - да, согласен, можно и даже нужно квалифицированно проверять, только не надо забывать о том, что RkU - это анти-руткит по своей природе, а AVZ - квази-анти-руткит, т.е. анти-руткит "по необходимости". Первый изначально был задуман как средство диагностики и борьбы с различными руткитами, в том числе и "лабораторными" экземплярами, а AVZ имеет различные модули (и анти-руткитный модуль в том числе), предназначенные для борьбы с существующими ITW и достаточно распростаненными "зверями" любой природы, в том числе имеющими руткитовые движки. Нужно понимать, что ниши у этих продуктов изначально были разными!

Впрочем, 100%-ной гарантии защищенности все равно ни один продукт не даст, так что чем больше хороших продуктов разной природы, тем лучше для всех нас! ;)

aintrust
20.12.2006, 21:28
если процес может маскироватся, это уже немало ;)
Да уж... ;)


не все функции контралируются
не ловится инжект в сереедину функции
Ну, зачем так уж сразу в середину? Достаточно обычно отступить байт 10-15 от начала... На самом деле ничего сложного нет в том, чтобы это и еще многое другое контролировать - тот же AVZ мог бы это делать (я имею ввиду тотальный контроль тела функции), благо все необходимое у него для этого есть. Вопрос только в том, насколько это нужно на практике - делать из более-менее работающей программы второй SVV? :P

Зайцев Олег
21.12.2006, 08:47
Да уж... ;)


Ну, зачем так уж сразу в середину? Достаточно обычно отступить байт 10-15 от начала... На самом деле ничего сложного нет в том, чтобы это и еще многое другое контролировать - тот же AVZ мог бы это делать (я имею ввиду тотальный контроль тела функции), благо все необходимое у него для этого есть. Вопрос только в том, насколько это нужно на практике - делать из более-менее работающей программы второй SVV? :P
С точки зрения контроля хулиганства с PEB уже позно - он уже сделан :) Модификация PEB опасна только тем, что скажем можно обозвать процесс svchost.exe и затем подредактировать PEB так, чтобы полное имя процесса по PEB было windows\system32\svchost.exe. Это достигается кодом на десять строчек, но в результате менеджеры процессов думают, что это легитимный svchost.exe

По поводу остального я согласен с мнением aintrust - AVZ не является специализирвоанным антируткитом и особого резона делать из него таковой нет ... принин много, основная - огромное количество пользователей AVZ, как следствие любая новая фича оборачивается глюками (обязательно у кого-нибудь найдется конфигурация, в которой что-то глюкнет), шквалом вопросов и т.п.

Geser
21.12.2006, 10:53
По поводу остального я согласен с мнением aintrust - AVZ не является специализирвоанным антируткитом и особого резона делать из него таковой нет ... принин много, основная - огромное количество пользователей AVZ, как следствие любая новая фича оборачивается глюками (обязательно у кого-нибудь найдется конфигурация, в которой что-то глюкнет), шквалом вопросов и т.п.
Вот это я не понял. Т.е. АВЗ не будет уметь справляться с руткитами что бы не было лишних вопросов? А зачем тогда он нужен?

NickGolovko
21.12.2006, 11:07
Частично поддерживаю. Антируткит - один из ключевых компонентов AVZ, и его нужно развивать :)

Зайцев Олег
21.12.2006, 11:21
Вот это я не понял. Т.е. АВЗ не будет уметь справляться с руткитами что бы не было лишних вопросов? А зачем тогда он нужен?
Нет, речь немного не о том - антируткит AVZ является прикладным антируткитом - его задачей является подавление руткит-функций ITW заразы настолько, чтобы ее можно было заметить в исследовании системы и прибить (вручную, скриптом или автоматом). Но при этом не ставится цель охоты на "лабораторных крыс" - т.е. детектирования разнообразных концептуальных наработок. Пример с Haxdoor - когда появился Haxdoor, который успешно восстанавиливал перехваты, антируткит AVZ был усовершенствован таким образом, чтобы бороться с этим. Другой пример - перехват правкой SYSENTER - этот метод довольно долго витал в теории, но после его реализации в зловредах типа Costrat (PE386) в AVZ появились средства проверки и воссстановления SYSENTER. В сей момент проходит полевое испытание новая "пилюля" против последних видов PE386 - идеалогическая помесь руткита и Avenger. И т.п. - т.е. моя концепция такова - появится реальный зловред - будем думать, как его задавить. Иначе нельзя - поскольку есть десятки методов сокрытия процесса так, что ни один антируткит его не найдет.

aintrust
21.12.2006, 12:54
С точки зрения контроля хулиганства с PEB уже позно - он уже сделан
Да я, собственно, и имел ввиду, что эта "детская шалость" довольно просто контролируется, и то, что этот контроль не был до сих пор реализован в AVZ - это всего лишь небольшое упущение, т.к. базовая возможность для него уже имелась. В результате непосредственно на эту "доработку" было потрачено всего несколько минут...

Geser
21.12.2006, 13:02
Иначе нельзя - поскольку есть десятки методов сокрытия процесса так, что ни один антируткит его не найдет.

Поскольки АВЗ не антивирус, и его основное предназначание - исследование системы, он должен уметь определять любое вмешательство в систему, не важно, уже используемое реально, или известное только теоретически.
Я уже не раз писал, что для любого продукта самое важное определить точно его нишу. АВЗ имеет ценность именно как интегрированная среда для исследования системы. А всё остальное вторично. ИМХО, конечно.

Зайцев Олег
21.12.2006, 14:16
Поскольки АВЗ не антивирус, и его основное предназначание - исследование системы, он должен уметь определять любое вмешательство в систему, не важно, уже используемое реально, или известное только теоретически.
Я уже не раз писал, что для любого продукта самое важное определить точно его нишу. АВЗ имеет ценность именно как интегрированная среда для исследования системы. А всё остальное вторично. ИМХО, конечно.
Так оно и делается - просто реальным вмешательствам (т.е. есть ITW зверь и AVZ не позволяет хелперу его засечь или удалить) уделяется основной приоритет. А все остальное - конечно берется на заметку, изучается - но приоритет уже другой. Кстати о приоритете - неплохо хелперам брать на заметку все недостатки анализа и куда-то отдельно их собирать - чтобы был максимум информации в одном месте, а иначе они растворяются в десятках листов обсуждения.
-------
Поступили данные по поводу AVZPM, который лежит в обновленной базе - он нормально заработал на W2K3 SP0.

Geser
21.12.2006, 14:40
Кстати о приоритете - неплохо хелперам брать на заметку все недостатки анализа и куда-то отдельно их собирать - чтобы был максимум информации в одном месте, а иначе они растворяются в десятках листов обсуждения.
Угу, создай для этого прикреплённую тему

berezdetsky
21.12.2006, 16:38
[++] AVZ доработан для совместимости в Windows Vista, в частности обновлены все KernelMode компоненты
Наверно, стоит доработать и справочную систему, т.к. Windows Help program (WinHlp32.exe) is no longer included with Windows: http://support.microsoft.com/kb/917607

EvilPhantasy
21.12.2006, 16:42
А почему бы EP_X0FF-у самому не прийти сюда (правда, я на 100% знаю, что он читает этот форум), и высказать свое мнение? А если он не хочет этого делать, то есть ли вообще смысл приводить его цитаты?

Ну вот, собственно, я и тут. Звали? Чаем угостите? :) Надеюсь, меня жутко не отмодерируют =)))))

@Alex_Goodwin - Может быть имеет смысл ответить мне на damagelab а не бежать докладывать сюда? Так, по моему, правильнее все-таки. Вам в ФСБ надо, =) ну или в КГБ.


На самом деле не очень интересно знать мнение EP_X0FF. Гораздо интереснее если бы кто-то проверил эффективность обих программ на нескольких распространённых руткитах.

А нечего проверять - поймайте при помощи AVZ Rustock.C и я возьму все свои слова обратно и ещё извинюсь. Модуль руткит-детекта в AVZ вызывает у меня улыбку, ничего более. Антивирусы должны заниматься своим делом и не влезать туда, где убьет. Шутка.


AVZ и Rootkit Unhooker пока что спокойно покупаются на изменёные значения в PEB

А фига толку от изменений в PEB? Есть такая вещь называется EPROCESS. Очень интересная штука.


не все функции контралируются

Да ну? Это те что в msvcrt?


не ловится инжект в сереедину функции

А на фига такое надо? =)))) Попробуйте наваять что-нибудь такое.
Что касается глубины контроля - хоть сейчас поправлю цикл, да толку то? Нету таких руткитов с таким извратным пониманием хуков. А если и есть, то SVV никто не отменял.

Возможно кому и не нравиться, как я и мои друзья говорим на sysinternals, но нам от этого не холодно не жарко. С нормальными людьми мы всегда говорим нормально, можете даже западных модераторов спросить. Что касается AVZ - как антивирус замечателен, понравилась эвристика, ещё импонирует, что делается вроде как одним человеком. Вот только антируткитный модуль (веяние времени, я понимаю), мне не по душе. Ну ни как =)))

p.s. Пора замодерировать ренегата, ага?

aintrust
21.12.2006, 16:47
Поскольки АВЗ не антивирус, и его основное предназначание - исследование системы, он должен уметь определять любое вмешательство в систему, не важно, уже используемое реально, или известное только теоретически.

Хотелось бы, но вряд ли это возможно... Это все равно как написать универсальный антивирус.

aintrust
21.12.2006, 16:51
Ну вот, собственно, я и тут. Звали? Чаем угостите? :) Надеюсь, меня жутко не отмодерируют =)))))

Не, чая не будет - у нас сегодня четверг, рыбный день! :P

Зайцев Олег
21.12.2006, 17:21
А нечего проверять - поймайте при помощи AVZ Rustock.C и я возьму все свои слова обратно и ещё извинюсь. Модуль руткит-детекта в AVZ вызывает у меня улыбку, ничего более. Антивирусы должны заниматься своим делом и не влезать туда, где убьет. Шутка.
.......
Возможно кому и не нравиться, как я и мои друзья говорим на sysinternals, но нам от этого не холодно не жарко. С нормальными людьми мы всегда говорим нормально, можете даже западных модераторов спросить. Что касается AVZ - как антивирус замечателен, понравилась эвристика, ещё импонирует, что делается вроде как одним человеком. Вот только антируткитный модуль (веяние времени, я понимаю), мне не по душе. Ну ни как =)))

Фокус в том, что антируткит AVZ появился в 2004 году, примерно одновременно с антируткитом Руссиновича. Тогда еще не было кучи специальных антируткит-детекторов и из руткитов бы только HackDef и его клоны ... Причем если смотреть на картину с точки зрения статистики, то доминируют примитивные руткиты - типа перехвата SSDT для маскировки ключей реестра и процессов.

По поводу Rustock - я взял свежайшего, по классификации ЛК SpamTool.Win32.Mailbot.bc. Если проверить машину AVZ с включенным противодействием руткитам (а всякий анализ он ведет именно в этом случае), то получим:
>>> Опасно - подозрение на подмену адреса ЦП[1].SYSENTER=806D8D2D C:\WINDOWS\system32\ntoskrnl.exe, драйвер опознан как безопасный
ЦП[1].SYSENTER успешно восстановлен
Проверка IDT и SYSENTER завершена
>>>> Подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys

Далее он убивается скриптом AVZ (надо кстати включить скрипт в базу стандартных скриптов)

Если включен AVZ PM, то плюс к этом получим:
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F5E09000, размер=73728, имя = "\??\C:\WINDOWS\system32:lzx32.sys"
и соответственно драйвер будет виден в модулях пространства ядра и исследовании системы ...

Мне правда сложно судить, соответствует ли зловред "Rustock.C", семейство точно это, а вот разновидностей там тьма - правда поведение у изученных примерно идентичное и в разделе "помогите" посвященные ему темы мелькают с завидной регулярностью.

aintrust
21.12.2006, 17:34
Так, может, кто-нибудь, у кого этот Rustock.C есть, пришлет образец на "препарацию" (в PM)? А то как-то непонятно, против чего надо пытаться бороться... ;)

EvilPhantasy
21.12.2006, 17:36
Здравствуй, Олег.


Фокус в том, что антируткит AVZ появился в 2004 году, примерно одновременно с антируткитом Руссиновича. Тогда еще не было кучи специальных антируткит-детекторов и из руткитов бы только HackDef и его клоны ...

Я заметил это по поведению антируткитного модуля.


По поводу Rustock - я взял свежайшего, по классификации ЛК SpamTool.Win32.Mailbot.bc.

Из-за соглашения с автором я не могу представить последнюю версию Rustock v1.2 (aka lzx32.sys), но я могу сказать, что это уже не свежайшая версия примерно с августа. С тех самых пор как эта версия перестала обновляться. Мы тоже можем снести Rustock.B, после сноса сплайсового хука на sysenter становится беззащитным ключ в реестре. ADS выносятся через низкоуровневый разбор NTFS. На самом деле снести этот руткит очень просто, достаточно нажать на Reset вместе с одним из запущенных антируткитов следующего списка - Gmer, DarkSpy, IceSword, BlackLight.


Мне правда сложно судить, соответствует ли зловред "Rustock.C", семейство точно это, а вот разновидностей там тьма - правда поведение у изученных примерно идентичное и в разделе "помогите" посвященные ему темы мелькают с завидной регулярностью.

C вариант только что вышел. Неуловимый. Никем =))))

Alex_Goodwin
21.12.2006, 17:55
@EP_X0FF:
я всего лишь процитировал вас, оскорблений/комментов не было.
И ответить вам я не смогу ибо слаб я в обсуждаемой теме. А мнение ваше как специалиста интересно народу, вот я вас и запостил.

EvilPhantasy
21.12.2006, 18:43
@Alex_Goodwin:
Да ладно, но вообще то принято хотя бы линк на оригинал кидать.

aintrust
21.12.2006, 18:48
...
C вариант только что вышел. Неуловимый. Никем =))))
В общем, пока этот Rustock.C не проявится на горизонте, говорить, по сути, не о чем.

EvilPhantasy
21.12.2006, 18:59
В общем, пока этот Rustock.C не проявится на горизонте, говорить, по сути, не о чем.

А никто и не собирается.

Поймают его не скоро и скорее всего случайно в неактивном состоянии товарищи из-за границы. Но это будет Острашенная тайна ;) ибо отношения есть отношения, а технологии - технологиями ;)

Alvares
22.12.2006, 16:03
pe386 C:\WINDOWS\system32:lzx32.sys

Далее он убивается скриптом AVZ (надо кстати включить скрипт в базу стандартных скриптов)

Если включен AVZ PM, то плюс к этом получим:
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F5E09000, размер=73728, имя = "\??\C:\WINDOWS\system32:lzx32.sys"
и соответственно драйвер будет виден в модулях пространства ядра и исследовании системы ...


5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
E:\WINDOWS\system32\imon.dll --> Подозрение на Keylogger или троянскую DLL
E:\WINDOWS\system32\imon.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано

Стоит НОД 2.70.16 ENG.

Анализатор - изучается процесс 1552 E:\WINDOWS\system32\tmloader.exe
>>> Реальный размер предположительно = 2482176

Реальный размер на диске (нет лишних потоков, ссылок) - 3584 байта

НОД в базу чистых занести нельзя? Или так и должно быть?

Зайцев Олег
22.12.2006, 17:55
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
E:\WINDOWS\system32\imon.dll --> Подозрение на Keylogger или троянскую DLL
E:\WINDOWS\system32\imon.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано

Стоит НОД 2.70.16 ENG.

Анализатор - изучается процесс 1552 E:\WINDOWS\system32\tmloader.exe
>>> Реальный размер предположительно = 2482176

Реальный размер на диске (нет лишних потоков, ссылок) - 3584 байта

НОД в базу чистых занести нельзя? Или так и должно быть?
Несколько разновидностей imon от NOD есть в базе чистых - но он меняется, так что достаточно прислать этот файл мне для добавления в базу чистых.
Насчет tmloader.exe - его тоже можно прислать до кучи (подобное сообщение выдается сканером памяти в случае резкого расхождения объема образа в памяти и объема, прописанного в его заголовке).

Alex6
23.12.2006, 14:49
---------------------------
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F5A77000, размер=159744, имя = "\SystemRoot\system32\drivers\kmixer.sys"
---------------------------
- нужно ли отправить этот файл на анализ?

pig
23.12.2006, 16:00
А он в AVZ каким цветом виден? Если не зелёный - присылайте.

aintrust
23.12.2006, 16:47
...
нужно ли отправить этот файл на анализ?
Не только этот файл на анализ, но также и все логи сюда в соответствии с Правилами (http://virusinfo.info/showthread.php?t=1235) форума. Теоретически м.б. и ложная тревога, поэтому хотелось бы получить картину в целом.

IgorA
23.12.2006, 17:24
---------------------------
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F5A77000, размер=159744, имя = "\SystemRoot\system32\drivers\kmixer.sys"
---------------------------
- нужно ли отправить этот файл на анализ?

Это используете?
The kX Audio Driver is a WDM (Windows Driver Model) driver, designed to be used with any kX-compatible PCI sound-card (notably the Creative Labs SoundBlaster Live! and Audigy series of cards, and E-mu Systems' Audio Production Studio sound-card).

aintrust
23.12.2006, 21:39
"Проблема" даже не столько с этим файлом, kmixer.sys ("хороший" он или "плохой"), сколько с тем, что AVZ выдал предупреждение о его маскировке. Это м.б. ошибкой AVZ (тогда хотелось бы понять, откуда у нее ноги растут, и постараться избавиться от нее в дальнейшем), но м.б. и реальной проблемой. Без полных логов этого все равно не понять, однако их может оказаться недостаточно для полного понимания проблемы. Так что ждем-с...

IgorA
23.12.2006, 22:02
Либо там что-то есть, либо версия старая/совсем новая K/L

Версия: 5, 10, 00, 3538J - debug
Дата компиляции: Jan 26 2006 05:32:18
В маскированных не отображается, и списке драйверов отмечена зеленым.

Проверил 3537final, и 3538L последняя бета. Не показывает, зеленые
Для 3538L kmixer.sys B74F2000 02A000 (172032)

Зайцев Олег
24.12.2006, 11:08
Либо там что-то есть, либо версия старая/совсем новая K/L

Версия: 5, 10, 00, 3538J - debug
Дата компиляции: Jan 26 2006 05:32:18
В маскированных не отображается, и списке драйверов отмечена зеленым.
В такой ситуации поможет протокол, сохраненный их окна "Модули пространста ядра" + сообщение о маскировке, выдаваемое в этом сеансе. Есть предположение, что у них базовые адреса различаются.

Well
25.12.2006, 04:04
может мне всетаки ответит кто как это исправить-Ошибка - невозможно загрузить AV базу

SuperBrat
25.12.2006, 07:46
может мне всетаки ответит кто как это исправить-Ошибка - невозможно загрузить AV базу
Можно поподробнее?

aintrust
25.12.2006, 08:14
может мне всетаки ответит кто как это исправить-Ошибка - невозможно загрузить AV базу
Так какая все-таки у вас ошибка, вот эта:

Ошибка AVZ Guard: C0000034 это что за ошибка?это функция включить AVZ Guard.
или же проблема с загрузкой базы? Если сообщение об ошибке AVZGuard, то, боюсь, понадобится более детальное расследование. Приведите в точности то сообщение, которое выдает вам AVZ и объясните, в каком месте это происходит. А иначе, полагаю, никто вам ничего не ответит!

Зайцев Олег
25.12.2006, 09:11
может мне всетаки ответит кто как это исправить-Ошибка - невозможно загрузить AV базу
Такая ошибка возникает по статистике в двух случаях:
1. Если запустить AVZ прямо из архива, не распаковывая его
2. Если распаковать avz.zip частично, вытащив только avz.exe, или распаковать архив каким-либо кривым архиватором, который извлечет все файлы в отну папку.

Well
26.12.2006, 00:29
скачала ещё раз-архиватор вин рар-не кривой.при запуске программы появляется сообщение о котором я писала и появляется на рабочем столе папка BAZE.хорошая программка хотелось бы чтоб работала)всем спасибо!

pig
26.12.2006, 03:11
Так откуда запускаете-то? Прямо из архива?

Зайцев Олег
26.12.2006, 08:42
скачала ещё раз-архиватор вин рар-не кривой.при запуске программы появляется сообщение о котором я писала и появляется на рабочем столе папка BAZE.хорошая программка хотелось бы чтоб работала)всем спасибо!
Программу нужно сначала извлечь из архива (все файлы), получится папка AVZ4, а затем нужно запускать avz.exe из этой папки на диске... а не наоброт.

Alex5
26.12.2006, 22:49
На сайте http://www.rku.xell.ru/ нашел Тестовый руткит проекта Rootkit Unhooker (Скрытый процесс+скрытый драйвер). AVZ его видет, но не может завершить процесс. Почему?

aintrust
27.12.2006, 08:37
Завершает (убивает) без проблем, вроде...