AVZ 4.30

[QUOTE]Если запустить avz с параметрами HiddenMode=3 и Script=c:\my_script.txt, а в my_script.txt прописать вызов стандартного скрипта исследования или лечебные процедуры, то активный зловред сможет отследить только по имени процесса? Или окно avz, пусть и невидимое, тоже создаётся и является "красной тряпкой" для вируса?[/QUOTE]
отследить можно много по чему. окно вряд ли создается - я не пробовал смотреть. например можно по именам файлы лочить, мешать драйвер грузить. да много по каким признакам можно находить авз.

[quote=Geser;360981]Получается забавная ситуация. Защита в АВЗ не улучшается для совместимости с антивирусами. В то же время антивирусы АВЗ и так мочат.[/quote]
Так вот даже сейчас мочат ... а если я усилю антируткит в 2-3 раза, то будет полный кирдык - или AVZ-у, или антивирусам. И мочить его начнут на 2-3 продукта, в 10-15

а что если в полиморфной версии (ту, которую юзают очень редко, очень мало, да и то по указанию хелпера) усилить антируткит и другое, что нужно в 2-3 раза, а в обычной оставить как есть?..

[quote=priv8v;361052]а что если в полиморфной версии (ту, которую юзают очень редко, очень мало, да и то по указанию хелпера) усилить антируткит и другое, что нужно в 2-3 раза, а в обычной оставить как есть?..[/quote]
Полиморфную мочат в два раза больше антивирусы (так как там нет подписи с копирайтами ЛК), соотвесттвенно обычную мочат вирусы (по копирайтам ЛК) :)

Да уж, бедная AVZ оказалась между молотом и наковальней :)

[QUOTE=Зайцев Олег;361049]Так вот даже сейчас мочат ... а если я усилю антируткит в 2-3 раза[/QUOTE]
В качестве "компромиса" возможно отключить часть функций при исследовании системы или предусмотреть что-то похожее на "уровни" антируткита, хотя это "полумера", в итоге всё равно на время лечения придется выключать бортовой антивирус пользователя, Cureit уже ни с чем не совместим, AVPTools тоже, чем дальше, тем более навороченный инструмент и хуже совместимость.

[QUOTE=priv8v;360952]если кинуться искать способы убийства АВЗ с гуардом/без гуарда, то получим воз и еще маленькую тележку. Блокировка/удаление файлов, скрытие окна, прощелкивание по кнопкам, закрытие окна и т.д и т.п - причем все это будет на винапи занимать строк 20 от силы
...
[/QUOTE]
Тут вот какое дело... История с разного рода насилием над AVZ проистекает еще из дискуссии 3-годичной давности о полноте функционала AVZGuard - и в моем блоге это явно написано и даже дана ссылка на ветку этого форума. В то время Олег еще пытался активно бороться с попытками деструктивного воздействия на AVZ со стороны зловредов, сейчас - почти нет (в силу перечисленных им выше причин).

Впрочем, чтобы не заподозрить вас в голословности, хотелось бы посмотреть на "строк 20 от силы на винапи" для убиения AVZ в режиме AVZGuard с использованием любого из перечисленных вами методов. Опубликуйте, пожалуйста, в этой ветке хотя бы пару вариантов, желательно вместе с исполнимыми файлами.

Может оффтоп, но хочу высказать пожелание с наилучшими намерениями, так сказать. [B]Можно[/B] в стандартные скрипты, ну или в восстановление системы добавить скрипты на возвращение автозапуска, отключаемое мастером поиска и устранения проблем АВЗ, иногда требуется вернуть автозапуск. (а именно автозапуск с сетевых дисков, съёмных дисков, с СД, жёстких дисков,). Не всегда есть папка Бэкап.

[quote=vistaorxpmoy;361304]Может оффтоп, но хочу высказать пожелание с наилучшими намерениями, так сказать. [B]Можно[/B] в стандартные скрипты, ну или в восстановление системы добавить скрипты на возвращение автозапуска, отключаемое мастером поиска и устранения проблем АВЗ, иногда требуется вернуть автозапуск. (а именно автозапуск с сетевых дисков, съёмных дисков, с СД, жёстких дисков,). Не всегда есть папка Бэкап.[/quote]
Можно - в стандартные скрипты включу

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[quote=aintrust;361300]
Впрочем, чтобы не заподозрить вас в голословности, хотелось бы посмотреть на "строк 20 от силы на винапи" для убиения AVZ в режиме AVZGuard с использованием любого из перечисленных вами методов. Опубликуйте, пожалуйста, в этой ветке хотя бы пару вариантов, желательно вместе с исполнимыми файлами.[/quote]
Имеется в виду воздействие на GUI путем имитации работы юзера. Так кстати современные зловреды нередко "дают прикурить" современным антивирусам :) (т.е. вплоть до банального наведения мыша на заданные координаты и имитации клика). Я иной раз вижу при анализе зверя целые базы GUI элементов, которыми умеет управлять зловред. AVZGuard давит базовые (отправку мессаджа на закрытие главного окна в частности), но не более того

[QUOTE=Зайцев Олег;361305]
Имеется в виду воздействие на GUI путем имитации работы юзера.[/QUOTE]
Ну, это-то как раз очевидно, хотя есть сомнение, что даже в этом варианте код займет "строк 20 отсилы". =)
Вот насчет остальных предложенных методов (манипуляции с окнами/файлами и т.п.) - уже не столь очевидно, поэтому мне и хотелось бы увидеть такой код для режима AVZGuard.

И теперь в тему вопрос: а правда, говорят, AVZ некорректно работает под Windows Vista SP1 и, если да, то почему?

[quote=aintrust;361329]
И теперь в тему вопрос: а правда, говорят, AVZ некорректно работает под Windows Vista SP1 и, если да, то почему?[/quote]
В теории проблем быть никаких быть не должно, я кстати не проверял - руки никак не дойдут. Там проблемы с UAC чаще всего, новая версия будет агрессивно требовать прав админа и не работать в иной ситуации.

Может приделать в АВЗ детект несовместимых ав и требовать от юзера их отключения? Тогда решится вопрос с балансом.

[quote=Alex_Goodwin;361347]Может приделать в АВЗ детект несовместимых ав и требовать от юзера их отключения? Тогда решится вопрос с балансом.[/quote]
Их по последней переписи 156 штук таких :)

Предлагаю, в качестве рационализаторского предложения, сделать версию или даже лучше специальный режим, который будет позволять полноценно работать avz в безопасном режиме (на сколько это возможно)
Прецеденты есть: [url]http://virusinfo.info/showthread.php?t=40213[/url] , антивирусы в основном не работают в безопасном режиме, а вот вирусы начинают чувствовать себя просто замечательно.

[quote=aintrust;361300]Тут вот какое дело... История с разного рода насилием над AVZ проистекает еще из дискуссии 3-годичной давности о полноте функционала AVZGuard - и в моем блоге это явно написано и даже дана ссылка на ветку этого форума. В то время Олег еще пытался активно бороться с попытками деструктивного воздействия на AVZ со стороны зловредов, сейчас - почти нет (в силу перечисленных им выше причин).

Впрочем, чтобы не заподозрить вас в голословности, хотелось бы посмотреть на "строк 20 от силы на винапи" для убиения AVZ в режиме AVZGuard с использованием любого из перечисленных вами методов. Опубликуйте, пожалуйста, в этой ветке хотя бы пару вариантов, желательно вместе с исполнимыми файлами.[/quote]

Наверное как то так. Я не пробовал но говорят работает и многие вири так делают.
Остаётся включенный гуард с выключенной ZAVZ и без доверенных процессов. Дальше только ребут.
[url]http://aintrust.blogspot.com/2006_05_01_archive.html[/url]
[url]http://aintrust.narod.ru/files/avzguardkill.zip[/url]
[url]http://aintrust.narod.ru/files/avzdrivercrash.zip[/url]

Может добавить полиморфной AVZ полиморфный заголовок окна, ну или хотя бы "хвост"?

[QUOTE=Биомеханик;361614]
Сообщение от [B]aintrust[/B]
Впрочем, чтобы не заподозрить вас в голословности, хотелось бы посмотреть на "строк 20 от силы на винапи" для убиения AVZ в режиме AVZGuard с использованием любого из перечисленных вами методов. Опубликуйте, пожалуйста, в этой ветке хотя бы пару вариантов, желательно вместе с исполнимыми файлами.


Наверное как то так.
[B]aintrust[/B].blogspot...
[B]aintrust[/B].narod.ru...
[B]aintrust[/B].narod.ru..
Может добавить полиморфной AVZ полиморфный заголовок окна, ну или хотя бы "хвост"?[/QUOTE]

:L:L:L

Да, aintrust'у процитировать aintrust'а.. сильно:).

Делать заголовок полиморфным не имеет смысла - т.к кол-во зловредов, ловящих АВЗ по этому признаку, стремится к нулю, видимо...

[QUOTE]Вот насчет остальных предложенных методов (манипуляции с окнами/файлами и т.п.) - уже не столь очевидно, поэтому мне и хотелось бы увидеть такой код для режима AVZGuard.[/QUOTE]
код не для режима АВЗГуард, а для самого АВЗ - просто мешаем его запуску каким-нибудь таким способом, а не при включенном авзгуарде начинаем пробовать его вышибить - это я писал про самозащиту АВЗ вообще...

а что до исходного кода, то вот самое безобидное накидал на скору руку, в теории должно компилится:

[CODE]#include <windows.h>
int main ()
{
int IsVis;
HWND havz;
while (1) {
havz = FindWindow ("TMain", "Антивирусная утилита AVZ");
Sleep(3000);
if (havz != 0) {
MessageBox(0,"Включите AVZGuard - мы попробуем его скрыть через 7 секунд!","Info", MB_OK);
Sleep(7000);
ShowWindow (havz, SW_HIDE);
Sleep(1000);
IsVis = IsWindowVisible (havz);
if (IsVis == 0) {
MessageBox(0, "Окно AVZ скрылось!", "OK", MB_OK);
ExitProcess(0);
}
else {
MessageBox(0, "Скрыть окно не удалось!", "Fatal error", MB_OK);
ExitProcess(0);
}
}
}
}[/CODE]

Кто хочет попробовать быстренько:
[url]http://slil.ru/26995918[/url]
Запускаем файл, затем запускаем авз, затем тулза просит включить авз гуард - включаем его (на это у нас 7 секунд) и после этого наслаждаемся жизнью - ребут нам в помощь.


Что до гуя: алт, затем ф, затем вверх, затем ентер.

[QUOTE=priv8v;361664]код не для режима АВЗГуард, а для самого АВЗ - просто мешаем его запуску каким-нибудь таким способом, а не при включенном авзгуарде начинаем пробовать его вышибить - это я писал про самозащиту АВЗ вообще...[/QUOTE]
Понятно...

[QUOTE=Зайцев Олег;361335]В теории проблем быть никаких быть не должно, я кстати не проверял - руки никак не дойдут.[/QUOTE]
Небольшие проблемы действительно есть: в частности, не грузится драйвер AVZGuard, плюс имеется несколько мелких шероховатостей.

[quote=aintrust;361775]Небольшие проблемы действительно есть: в частности, не грузится драйвер AVZGuard, плюс имеется несколько мелких шероховатостей.[/quote]
Про Guard я уже знаю - мне сейчас принесли на прочистку ноутбук с Vista SP1, Guard там не активировался

[quote=Зайцев Олег;361776]Про Guard я уже знаю - мне сейчас принесли на прочистку ноутбук с Vista SP1, Guard там не активировался[/quote]
Мои посты относительно Гуарда на Виста сп1 похоже были проигнорированы(( , абыдно:(

[quote=vistaorxpmoy;361783]Мои посты относительно Гуарда на Виста сп1 похоже были проигнорированы(( , абыдно:([/quote]
Vista в общем и ее SP1 в частности - неправильная операционная система :) Я подкрутил Guard, сегодня вечером выйдет апдейт баз AVZ, после которого на SP1 все заработает

[QUOTE=vistaorxpmoy;361783]Мои посты относительно Гуарда на Виста сп1 похоже были проигнорированы(( , абыдно:([/QUOTE]
Не расстраивайтесь! Видимо количеству (сообщений) нужно было перейти в качество (стимул для модификации AVZ)... =)

PS. Кстати, чисто для справки: в Windows 7 Beta, насколько мне помнится, AVZ тоже некорректно работает!
PPS. Windows 7 Beta на первый взгляд произвела впечатление более "правильной" в сравнении с Vista ОС.

[quote=aintrust;361831]Не расстраивайтесь! Видимо количеству (сообщений) нужно было перейти в качество (стимул для модификации AVZ)... =)

PS. Кстати, чисто для справки: в Windows 7 Beta, насколько мне помнится, AVZ тоже некорректно работает!
PPS. Windows 7 Beta на первый взгляд произвела впечатление более "правильной" в сравнении с Vista ОС.[/quote]

На Windows 7 Beta тот-же Guard отрубится автоматом - там жесткая проверка поддеживаемых версий при старте. В остальном я е не видел, но судя по срокам выхода все повторяется - я помню был долго 98, потом сравнительно быстро вышли подряд кривой ME, затем W2K, затем XP - и ситуация стабилизировалась. При этом XP от W2K ничем супер-радикальым не отличался ... скорее всего тут будет повторение ситуации

Пока ситуация с совместимостью защитных программ с Windows 7 не самая лучшая. Подробнее [url=http://www.cyberguru.ru/operating-systems/windows7/software-compatibility.html]здесь[/url]. Так что, немало кому придется "заточить" своё ПО под Win 7.

[QUOTE]Ну, это-то как раз очевидно, хотя есть сомнение, что даже в этом варианте код займет "строк 20 отсилы". =) [/QUOTE]
это про воздействие на гуй?
если без извращений юзать keybd_event, а не пробовать там всякие сенд/постмессаджи, то выходит как раз в районе 20 строк - вместе с int main, фигурными скобками и т.д

Запускаем тулзу, затем запускаем авз, получаем мессадж о том, что нужно включить гуард. затем авз закроется.
[url]http://slil.ru/26998850[/url]
кому нужно - сорцы в ЛС, а то мне тут подсказывают, что сорцы такого постить не совсем корректно

[QUOTE=priv8v;362232]... выходит как раз в районе 20 строк - вместе с int main, фигурными скобками и т.д[/QUOTE]
Можно и в одну строчку все написать... при необходимости... =)

В справке написано, что AVZ не требует активного соединения с Интернетом, за исключением процесса обновления баз. Почему в правилах "Помогите" написано, что при выполнении скрипта сбора информации необходимо подключиться к Интернет? После ответа на мой вопрос (если таковой последует), неплохо бы внести его в правила.

Многие малваре активируются при наличии линка, поэтому и нужно включать...

[QUOTE]Можно и в одну строчку все написать... при необходимости... =)
[/QUOTE]
ну, в принципе, да:)

[quote=Matias;362297]В справке написано, что AVZ не требует активного соединения с Интернетом, за исключением процесса обновления баз. Почему в правилах "Помогите" написано, что при выполнении скрипта сбора информации необходимо подключиться к Интернет? После ответа на мой вопрос (если таковой последует), неплохо бы внести его в правила.[/quote]
Раз написано - значит надо подключать :) AVZ не требует подключения к Инет, а вот малварь - еще как. А в логе есть например раздел, посвященный TCP/UDP коннектам, и скажем обычный спам-бот в результате хорошо виден хелперу. Если же не выполнить правила и Инет не подключить, то ценная информация в результате не попадет в логи. Аналогично кстати с закрыванием свякого левого ПО (чтобы не замусоривать лог) и запуском браузера (чтобы в лог попали данные о том, что им подгружается)

Будет ли в следующей версии поддержка x64? Понятно, что новые драйвера писать трудно и долго, но хотя бы на уровне доступа в папку system32?

Навеяно темой [url]http://virusinfo.info/showthread.php?t=41135[/url]
Можно ли в ИПУ проверять актуальность установленного софта, чаще всего подверженного уязвимостям?
Например 4-я категория: "Сторонний софт" - Уязвимая версия Adobe Flash

[QUOTE]Можно ли в ИПУ проверять актуальность установленного софта[/QUOTE]
Надо проверять!!! Особенно такого софта через который распространяются ITW зловреды.

[QUOTE=Muffler;370524]Надо проверять!!! Особенно такого софта через который распространяются ITW зловреды.[/QUOTE]
О том и речь.
И в логе исследования эта информация не будет лишней.

Ссылочку для ExecuteRepair в лог нельзя ли добавить?

[quote=PavelA;370800]Ссылочку для ExecuteRepair в лог нельзя ли добавить?[/quote]
Можно, добавлю

Великому кодеру респект! Добавь удаление CLSID руками влом писать:)

Олег,здравствуйте.
после очередного теста,проверки компа,АВЗ выдала такой лог
3. Scanning disks
Direct reading C:\Archivos de programa\Archivos comunes\BitDefender\BitDefender Firewall\bdfirewall.txt
Icons\ClientStation2.ico MailBomb detected !
Icons\icons_blackbox.png MailBomb detected !
Icons\icons_bonds.png MailBomb detected !
Icons\icons_cfdonfutures.png MailBomb detected !
Icons\icons_cfds.png MailBomb detected !
Icons\icons_chart.png MailBomb detected !
Icons\icons_chartstudies.png MailBomb detected !
Icons\icons_forex.png MailBomb detected !
Icons\icons_funds.png MailBomb detected !
Icons\icons_futures.png MailBomb detected !
Icons\icons_generic.png MailBomb detected !
Icons\icons_modules.png MailBomb detected !
Icons\icons_other.png MailBomb detected !
Icons\icons_partner.png MailBomb detected !
Icons\icons_status.png MailBomb detected !
Icons\icons_stocks.png MailBomb detected !
Icons\icons_system.png MailBomb detected !
Icons\Workspace.ico MailBomb detected !
Icons\WorkspaceTemplate.ico MailBomb detected !
Images\about.png MailBomb detected !
Images\browser_working.gif MailBomb detected !
Images\login.png MailBomb detected !
Images\notify_broadcast.gif MailBomb detected !
Images\notify_chat.gif MailBomb detected !
Images\notify_login.gif MailBomb detected !
Images\notify_price_alert.gif MailBomb detected !
Images\notify_tradeconfirmations.gif MailBomb detected !
Images\splash.png MailBomb detected !
keyvaluepairs.xml MailBomb detected !
Styles.xml MailBomb detected !
Direct reading C:\Archivos de programa\BitDefender\BitDefender 2008\as2core\antispam_sig_21443\aspdict.dat

Что это за МаилБомб??

В конце лога значилось что всё чисто.
Files scanned: 107049, extracted from archives: 63167, malicious software found 0, suspicions - 0

спасибо.
Scanning finished at 16/03/2009 0:52:01