Уважаемый Олег!
Огромное спасибо за победу над Trojan-Clicker.Win32.Costrat.n(lzx32.sys)!
Блестящая работа!
Александр Куликов, программист.
Printable View
Уважаемый Олег!
Огромное спасибо за победу над Trojan-Clicker.Win32.Costrat.n(lzx32.sys)!
Блестящая работа!
Александр Куликов, программист.
[quote="aintrust"]Если нотификация (любого вида) запустится первой, никакие руткиты ей не страшны, точно так же и наоборот.[/quote]
Сомнительное заявление. Очень помогла нотификация АВГ. Он просто умер от щастья.
[quote="aintrust"]Мне кажется, что пора уже давно перестать говорить о "грязных методах Notify рутин"[/quote]
Конечно, только их почему то используют не в Висте и только когда не могут ничего другого. Чистый детект - это детект со старта, все остальное это демагогия и ламерство.
[quote="aintrust"]Не обижайтесь, но "грязными" я скорее бы назвал те методы борьбы с программами конкурентов, что вы применили в этом рутките.[/quote]
Какие конкуренты, такие и методы. И мне глубоко .... кто что на этот счет думает и каким образом это оценивается. Автору громозона также. Нужен будет специфик код на все антируткиты? - без проблем, они все будут сыпать msgbox'ами с ошибками на старте.
[quote="aintrust"]Рассмотрим гипотетический случай: Марк Руссинович вставляет в свой RootkitRevealer код, убивающий AVZ или RkU. Смешно? И мне тоже... =)[/quote]
Марк вместе с Брюсом в Майкрософт, им теперь до фени до своего PoC'а. И вообще, что-то я не понял логики сравнения. Мы что грохаем АВЗ и АВГ в своей программе? Только GMER, и то в старых версиях.
p.s.
Что то не видел я нигде заявлений о конкуренции ни с одной ни с другой стороны. До этого момента.
Для меня вообще новость, что мы конкурируем.
[QUOTE=EvilPhantasy;92004]p.s.
Что то не видел я нигде заявлений о конкуренции ни с одной ни с другой стороны. До этого момента.[/QUOTE]
[QUOTE=MP_ART;92006]Для меня вообще новость, что мы конкурируем.[/QUOTE]
Именно по этой причине слово "конкуренты" я взял в кавычки (см. мое первое сообщение).
[QUOTE=EvilPhantasy;92002]Сомнительное заявление. Очень помогла нотификация АВГ. Он просто умер от щастья.[/QUOTE]
Я же говорю о нормальной реализации нотификации. К примеру то, как это сейчас сделано в AVZ, тоже нуждается в серьезном изменении - ну и что с того-то? Это ведь сейчас не мешает AVZ успешно бороться с рядом руткитов (и с Rustock-ами в том числе).
[QUOTE=EvilPhantasy;92002]Чистый детект - это детект со старта, все остальное это демагогия и ламерство.[/QUOTE]
Я бы с вами согласился на 100%, если бы практика (да и теория тоже) не опровергала этого. Детект со старта - это, конечно, красиво и очень непросто в реализации, и это, безусловно, не ламерство, однако надежность методов очень далека от 100% (впрочем, как и любого другого метода детекта). По сути (для себя лично) я всегда рассматриваю борьбу "руткит - антируткит-детектор" не более чем игру "кто кого", типа шахмат или карт - кто "умнее", изощреннее и т.д. Это типа практики для ума. Пока что вы с вашим главным продуктом в этом преуспеваете - молодцы! =)
[QUOTE=EvilPhantasy;92002]И вообще, что-то я не понял логики сравнения. Мы что грохаем АВЗ и АВГ в своей программе? Только GMER, и то в старых версиях.[/QUOTE]
Скажу честно: как бы вы ни относились к стороннему мнению, мне лично очень бы не хотелось, чтобы ваше "дело праведной борьбы с инакомыслящими" дошло до методик, примененных не так давно против GMER-а. Мой вам [U]дружеский[/U] совет (хотите прислушивайесь, хотите - нет, дело ваше): оставьте вы в покое AVZ и иже с ними, они ведь делают свое непростое дело, и зачастую даже очень неплохо! В области старт-детекта они вам сейчас действительно не конкуренты, и для конечного пользователя это даже плюс, т.к. все равно никогда не будет одной единственной программы, которая бы в одиночку смогла победить все и вся!
В общем, творческих успехов и good luck! =)
GMER был, есть и будет нашей единственной мишенью (по личным и чисто эстетическим причинам). Что касается остальных я не вижу никакого смысла запрещать кого-либо из антивирусов/антируткитов или хипс. Ничего подобного в RkU нет и не будет. А вот когда дело дойдет до боевых руткитов =) Против детекторов применяющих нотифи будут применены самые жестокие средства и методы, которые гарантированно выведут их из строя. Это уже обкатаная в боях технология.
О детекте.
Ни один метод по определению не может дать 100% результат. Что касается notify рутин - ф топку их и их пользователей, для меня использование подобной технологии - д и л. Любой доступный на сегодняшний день руткит можно найти со старта.
Так, я не понял... ну ещё один демо руткит, который спокойно находит AVZ:
[CODE]1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=872D0000, размер=8192, имя = "\??\C:\:unreal.sys"[/CODE]
В чём прикол?
Muffler ,a какой формат у вас на диске C ?
Fat32 или NTFS ?
[B]drongo[/B], NTFS
Тут на примере wineak32.dll
[url]http://virusinfo.info/showthread.php?t=7590[/url]
видно что поиск файлов без полного прописанного пути не работает как положено. [B]А это очень важно![/B]
Ещё одна необходимая "плюшка" копирование фалов в карантин из BootCleaner`a.
[QUOTE=RiC;92056]Ещё одна необходимая "плюшка" копирование фалов в карантин из BootCleaner`a.[/QUOTE]
ОЧЕНЬ НЕОБХОДИМАЯ!!!!
Причём с детальным видениям логов(если не добавлен в карантин, то почему, код ошыбки, а если найден в базе безопасных, то надо так и писать, что файл найден в базе безопасных).
[QUOTE=Muffler;92042]Так, я не понял... ну ещё один демо руткит, который спокойно находит AVZ:
[CODE]1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=872D0000, размер=8192, имя = "\??\C:\:unreal.sys"[/CODE]
В чём прикол?[/QUOTE]
А прикол в том, что не находит. Впрочем, у него несколько другая специализация, руткиты находить не его дело. А то что я сейчас вижу в этом логе обсуждалось выше. Это не детект, а его активная симуляция. А если драйвер будет на бут старте, до старта всех нотифи? Или если я их все сниму, что тогда? Или специфик код под AVZ? =) А тишина будет. Файл на диске найти очень просто, более того это уже реализовано и уйдет в февральский релиз. Драйвер детектится также без каких-то незаменимых "нотифи" теми же самыми приемами, при помощи которых он был скрыт. Русток С использует несколько иной подход к скрытию базирующийся на глубоких хуках в одном.sys, так что он совершенно определенно запалиться нашим inline сканером. Впрочем, автор руткита имеет другое мнение (:, но это его право.
[URL=http://imageshack.us][IMG]http://img259.imageshack.us/img259/6933/mem7ki.png[/IMG][/URL]
Я заметил у меня в системе проводник стал больше памяти кушать . Посмотрел в диспетчер проводника . Нашёл не очень понятные для меня ключи . Отключил с помощью АВЗ .
Правда имеет место быть пару глюков :
не могу удалить или скопировать ключ ни в буфер обмена , ни в карантин ,ни по линкам - искать в поисковиках . Просто тупо даёт линк на поисковик , а должен в поле вставлять ключик .
Возможна ли с AVZ Автоматическая проверка закаченных файлов при помощи даунлоад менеджеров (download master)?
в настройках DM можно указать командную строку антивируса, но с AVZ почемуто ничего неполучается...
[QUOTE=пользователь;92476]Возможна ли с AVZ Автоматическая проверка закаченных файлов при помощи даунлоад менеджеров (download master)?
в настройках DM можно указать командную строку антивируса, но с AVZ почемуто ничего неполучается...[/QUOTE]
Подобная интеграция возможна (в точки зрения передачи ему файлов для проверки и запуска таковой), но результат придется смотреть в самом AVZ. Я посмотрю, как менеджеры закачки интегрируются с менеджерами закачки и либо пропишу про это в хелпе, либо в новой версии введу пару ключей командной строки для этого.
1.AVZGuard ведёт лог , что было заблокировано ?
2.Нет мыслишки его(AVZGuard) в какойнить мини-HIPS вырастить ? ;))
[QUOTE=Зайцев Олег;92502]Подобная интеграция возможна (в точки зрения передачи ему файлов для проверки и запуска таковой), но результат придется смотреть в самом AVZ. Я посмотрю, как менеджеры закачки интегрируются с менеджерами закачки и либо пропишу про это в хелпе, либо в новой версии введу пару ключей командной строки для этого.[/QUOTE]
В принципе реализовать несложно путем введения параметров в командной строке, такие менеджеры как Download Master после окончания закачки сами инициируют запуск антивируса, с возможностью указать параметр, в том числе и имя только что закаченного файла..
[QUOTE=пользователь;92614]В принципе реализовать несложно путем введения параметров в командной строке, такие менеджеры как Download Master после окончания закачки сами инициируют запуск антивируса, с возможностью указать параметр, в том числе и имя только что закаченного файла..[/QUOTE]
Это поддерживается - если запустить
[I]avz.exe Run=Y WebServerMode=Y имя_файла1 имя_файла2[/I]
То запустится AVZ и проверит указанные файлы. Если еще добавить DelVir=Y - то он прибъет найденных зловредов. Но AVZ не выставляет код возврата, в результате Download Master не будет знать, нашел он зловредов или нет
[QUOTE=GxG;92553]1.AVZGuard ведёт лог , что было заблокировано ?
2.Нет мыслишки его(AVZGuard) в какойнить мини-HIPS вырастить ? ;))[/QUOTE]
Есть вариант, который ведет такой лог (но в публичной версии вариант без протоколирования). Но событий много, он же рубит все от недоверенных приложений, и запись такого лога тормозит систему. Некийх HIPS + монитор меня давно просят сделать, чтобы применять AVZ как полноценный антиспайвер (мониторинг и блокировка критических опеарций и т.п.). Но тут беда в том, что для этого потребуется перехватить ряд функций, что может привести к конфликту с другими проактивками и антивирусными мониторами.
@Зайцеву Олегу
Есть ли возможность отделить директории карантина,журнала от самой программы.
Например, программа развернута на CD и пользователь просто с него ее стартует. А нам, в головной офис высылает логи и карантин.
Можно выбрасывать окно обзора, если папка AVZ закрыта для редактирования..
Насчет HIPS: возможно, стоит оформить этот функционал отдельной утилитой? AVZ все ж-таки диагност, а не защитник..