Бетта тестирование AVZ 3.60

[QUOTE=Зайцев Олег]тут просто проблема в том, что это для нас понятно - опасный, безопасный ... а беда в том, что увидев такое предупредление пользователь может поубивать подозрительные файлы :)[/QUOTE]
Если делать расчет на неподготовленного пользователя, то, по хорошему, убедившись, что TCP/5000 прослушивает легитимный процесс от Microsoft, надо тихонечко и мягко предупредить, что мол все ОК, проверено, модуль от MS и, скорее всего, волноваться не стоит. Но есть другая сторона: этот сервис может быть включен по-умолчанию у пользователя, которому он вообще не нужен. В такой ситуации, естественно, надо предупреждать и, возможно, давать рекомендации по отключению (останову сервиса) - т.е. снова возвращаемся к доке или FAQ-у! Стоит ли специально разбираться с такими случаями? Не знаю... :)
Но на вопрос "предупреждать/не предупреждать?" ответ для меня однозначен: предупреждать! Иными словами: "Предупрежден - значит вооружен!"

Логично, для порта 5000 я написал отдельную статью FAQ - [url]http://z-oleg.com/secur/avz_doc/index.html?faq_4.htm[/url]

При сканированиия "все файлы" прогресс-индикатор и оставшееся до конца сканирования время достигают 100% и 0, соответственно, за долго до окончания сканирования.

[QUOTE=WildFox]При сканированиия "все файлы" прогресс-индикатор и оставшееся до конца сканирования время достигают 100% и 0, соответственно, за долго до окончания сканирования.[/QUOTE]
Такого не должно быть ... сейчас проверю

Есть такое. Причем и в предыдущей версии было так же.

Получил при сканировании такой результат:
C:WINDOWS\SYSTEM32\drivers\klif.sys Перехватчик KernelMode
D:\****\Outpost\kernel\FILTNT.sys Перехватчик KernelMode
мне кажется что это-вполне легальные компоненты Касперского и Оутпоста.НЕплохо былобы иметь возможность для пользователя поместить их в Игнор.Лист,чтобы не раздражали ....(а на работе у меня еще и RAdmin, и оболочка подменяет Explorer.....)

[QUOTE=NewUser]...мне кажется что это-вполне легальные компоненты Касперского и Оутпоста.НЕплохо былобы иметь возможность для пользователя поместить их в Игнор.Лист,чтобы не раздражали ....(а на работе у меня еще и RAdmin, и оболочка подменяет Explorer.....)[/QUOTE]
А мне кажется ответ дан в 41-м посте ([url]http://virusinfo.info/showpost.php?p=50117&postcount=41[/url]). Тоже самое, но про совпадения с опасными портами.

[QUOTE=NewUser]Получил при сканировании такой результат:
C:WINDOWS\SYSTEM32\drivers\klif.sys Перехватчик KernelMode
D:\****\Outpost\kernel\FILTNT.sys Перехватчик KernelMode
мне кажется что это-вполне легальные компоненты Касперского и Оутпоста.НЕплохо былобы иметь возможность для пользователя поместить их в Игнор.Лист,чтобы не раздражали ....(а на работе у меня еще и RAdmin, и оболочка подменяет Explorer.....)[/QUOTE]

Согласен, что обычному пользователю информация о легитимных драйверах от известных производителей как правило не нужна. Скорее всего, Олегу надо, как и в случае с кейлоггерами, поместить эти драйверы в "белый список" и сделать опцию, блокирующую вывод сообщений о перехватах для драйверов из белого списка или же эту информацию выдавать в более мягкой форме (типа перехватчик мне известен и он "белый и пушистый" :)). Тем не менее, я бы все-таки советовал сделать дополнительный флажок, который позволил бы иметь полную информацию (и относительно драйверов, и относительно кейлоггеров) - это бывает полезно в сложных случаях (множественные перехваты и пр.). Т.е. "белый список" - это хорошая идея, но также д.б. возможность получения полной информации.

Что же касается именно RAdmin, то AVZ "не видит" его, т.к. драйвер RAdmin не перехватывает системные сервисы.

[QUOTE=aintrust]Согласен, что обычному пользователю информация о легитимных драйверах от известных производителей как правило не нужна. Скорее всего, Олегу надо, как и в случае с кейлоггерами, поместить эти драйверы в "белый список" и сделать опцию, блокирующую вывод сообщений о перехватах для драйверов из белого списка или же эту информацию выдавать в более мягкой форме (типа перехватчик мне известен и он "белый и пушистый" :)). Тем не менее, я бы все-таки советовал сделать дополнительный флажок, который позволил бы иметь полную информацию (и относительно драйверов, и относительно кейлоггеров) - это бывает полезно в сложных случаях (множественные перехваты и пр.). Т.е. "белый список" - это хорошая идея, но также д.б. возможность получения полной информации.

Что же касается именно RAdmin, то AVZ "не видит" его, т.к. драйвер RAdmin не перехватывает системные сервисы.[/QUOTE]
да, проверку на легитимность я введу, но ведь возможен множественный перехват: [системный обработчик]-[RootKit]-[легитимный драйвер]. AVZ то видит последнйи обработчик в цепочке .... Логично сделать опцию - т.е. "отображать все" или "отображать неопознанные". В первом случае можно показывать опознанные процессы.
------
В связи с вышесказанным вышла новая версия AVZ 3.60.5, все на прежнем месте:
1. Переделан анализ системы. Теперь DLL идут для каждого процесса или отдельным списком без повторов, как предлагал Geser. Во втором случае есть отдельная колонка со списком PID процессов, использующих DLL - каждый PID является гиперссылкой, по ней происходит прыжок на строку с процессом
2. Устранен глюк с тем, что не срабатывало удаление обнаруженной заразы
3. Устранен баг с прогресс-индикатором в случае проверки диска в режиме "проверять все файлы"
4. Доработан антируткит - для опознанных по базе безопаснхы драйверов в лог пишется информация о том, что драйвер легитимный
5. база зверей - 14718 сигнатур ...
Я поменял версию на единичку, но не менял дату - ядро то не переделывалось ...

[QUOTE=Зайцев Олег]Я поменял версию на единичку, но не менял дату - ядро то не переделывалось ...[/QUOTE]
может ввести третью цифру?
Для мелких переделок и быстроустранённых багов... а то немного можно запутаться. Я имею в виду что версия 3.60 пересобиралась раза три, и тогда бы можно видеть изменения сборки. Напимер текущую назвать 3.60.4
Сумбурно, но наверно понятно....

[QUOTE=shu_b]может ввести третью цифру?
Для мелких переделок и быстроустранённых багов... а то немного можно запутаться. Я имею в виду что версия 3.60 пересобиралась раза три, и тогда бы можно видеть изменения сборки. Напимер текущую назвать 3.60.4
Сумбурно, но наверно понятно....[/QUOTE]
Логично - я уже дано задумываюсь о введение номера сборки, тем более что Delphi считает их автоматом ...

А можно окно исследования системы привести в нормальный вид. А то оно у меня покорёжено всё, и даже кнопки "Пуск" не видно

[QUOTE]
А можно окно исследования системы привести в нормальный вид. А то оно у меня покорёжено всё, и даже кнопки "Пуск" не видно
[/QUOTE]
v 3.60.7 - в ней вроде окно приведено в порядок + я привел нумерацию версий в норму путем введения третьей цифры. И еще переделано окно "Модули пространства ядра" - там тоже была кривизна ...

[QUOTE=Зайцев Олег]да, проверку на легитимность я введу, но ведь возможен множественный перехват: [системный обработчик]-[RootKit]-[легитимный драйвер]. AVZ то видит последнйи обработчик в цепочке .... Логично сделать опцию - т.е. "отображать все" или "отображать неопознанные". В первом случае можно показывать опознанные процессы.
[/QUOTE]
В случае множественного перехвата, естественно, отследить цепочку перехватов не представляется возможным. Другое дело - восстановление KiServiceTable: ты восстанавливаешь сразу до уровня "правильных" системных сервисов, т.е. до тех адресов, что прописаны в оригинальной KiServiceTable в ntoskrnl.exe. В связи с этим случай множественного перехвата представляет интерес чисто для возможного более глубокого анализа, а отображение такой информации пользователю ничего интересного не даст. Что касается "галочки", то ее, полагаю, надо будет со временем ввести.

[QUOTE=Зайцев Олег]v 3.60.7 - в ней вроде окно приведено в порядок + я привел нумерацию версий в норму путем введения третьей цифры.[/QUOTE]Ну и для полного счастья... осталось внедрить информацию о current build выложенной версии на страничке загрузки. Чтобы наверняка знать стоит ли её качать. :) Спасибо.

[QUOTE=Зайцев Олег]1. Переделан анализ системы. Теперь DLL идут для каждого процесса или отдельным списком без повторов, как предлагал Geser. Во втором случае есть отдельная колонка со списком PID процессов, использующих DLL - каждый PID является гиперссылкой, по ней происходит прыжок на строку с процессом[/QUOTE]
Эти гиперссылки не работают. PID в колонке "Используется процессами" почему-то не совпадают с PID самих процессов.

Ага - есть такой баг, я не заметил его, т.к. проявляется от только на 9x (PID процесса там большой и число форматируется как Integer, а не как DWORD ... отсюда и глюк - сейчас исправлю)

Проверял сегодня машину. Поставил в настройках "проверять все файлы", "копировать удаляемые файлы в Infected", "максимальный уровень эвристики", "расширенный анализ". Выловил пару зверей. Естественно их скопировало в Infected. Думал для будущего оставить. Но AVZ просканировал и Infected, после чего там осталось 3 ini-файла и больше ничего, всё там умерло. Но возникает вопрос, зачем тогда опция "копировать удаляемые файлы в Infected", если оттуда файлы удаляются? Может стоит как-то эти файлы оставлять? Ведь интересно проверить их другими антивирусами. Возможно стоит их автоматически архивировать со стандартным паролем virus, к примеру, чтобы была возможность эти образцы сохранить.

[QUOTE=ALEX(XX)]Проверял сегодня машину. Поставил в настройках "проверять все файлы", "копировать удаляемые файлы в Infected", "максимальный уровень эвристики", "расширенный анализ". Выловил пару зверей. Естественно их скопировало в Infected. Думал для будущего оставить. Но AVZ просканировал и Infected, после чего там осталось 3 ini-файла и больше ничего, всё там умерло. Но возникает вопрос, зачем тогда опция "копировать удаляемые файлы в Infected", если оттуда файлы удаляются? Может стоит как-то эти файлы оставлять? Ведь интересно проверить их другими антивирусами. Возможно стоит их автоматически архивировать со стандартным паролем virus, к примеру, чтобы была возможность эти образцы сохранить.[/QUOTE]
Аналогичный баг был с карантином (он проверялся). С Infected я сейчас разбирусь, это неправильное поведение - копии файлов в Infected конечно не должны проверяться и удаляться. Просто у них расширене DAT, оно по умолчанию не проверяется ... - сейчас доработаю алгоритм проверки.

Привет!
у меня есть просьба:
а нельзя ли что б репорт файл сохронялся в формате unicode? у меня например из-за того что default non-Unicode стоит не на cyrillic то все опции видны в ????????????... а что не так, на русском...

[img]http://img98.echo.cx/img98/2143/1117kl.jpg[/img]

а когда пытаюсь сохранить или копировать репорт то всё выходит вот так:
[quote]Ïðîòîêîë àíòèâèðóñíîé óòèëèòû AVZ âåðñèè 3.20
Ñêàíèðîâàíèå çàïóùåíî â 06/05/2005 19:15:46
Çàãðóæåíà áàçà: 12964 ñèãíàòóðû, 1 íåéðîïðîôèëü, 43 ìèêðîïðîãðàììû ëå÷åíèÿ
Çàãðóæåíû ìèêðîïðîãðàììû ýâðèñòèêè: 226
Çàãðóæåíû öèôðîâûå ïîäïèñè ñèñòåìíûõ ôàéëîâ: 29483
Ðåæèì ýâðèñòè÷åñêîãî àíàëèçàòîðà: Ñðåäíèé óðîâåíü ýâðèñòèêè
1. Ïîèñê RootKit è ïðîãðàìì, ïåðåõâàòûâàþùèõ ôóíêöèè API[/quote]п.с.
я знаю что есть версия более новая чем на скиншоте что я дал (3.60.7), но там тоже самое...

1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана

Попытка запуска с сетевого диска, само собой с сети драйвер грузить нельзя, поэтому и обламывается, может имеет смысл на время проверки в таком случае копировать драйвер в %Temp%, и запускать оттуда ?

[QUOTE=RiC]1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана

Попытка запуска с сетевого диска, само собой с сети драйвер грузить нельзя, поэтому и обламывается, может имеет смысл на время проверки в таком случае копировать драйвер в %Temp%, и запускать оттуда ?[/QUOTE]
Да, это старинная ошибочка... По хорошему копировать драйвер в %Тemp% надо во всех случаях, не только для сетевого расположения avz, а сам драйвер имело бы смысл хранить не отдельно, в виде avz.sys, а в ресурсе .exe модуля, как это, к примеру, сделано у всех продуктов SysInternals или у BlackLight от F-Server.

Сильно не бейте если не в тему.
Уважаемые разработчики и эксперты у меня такая проблема. Завёлся на машине 5й svchost.exe . Мой антивирь в этом вообще невидит никакой проблемы. А ваш ( за что вам огромное спасибо!!! ) ВИДИТ!!! Но к сожалению ничё сделать с ним неможет :'-( пишет >> опасно: порт 5000 TCP - Сервис UPNP, Bubbel, Back Door Setup, Sockets de Troie, Socket 23 (c:\windows\system32\svchost.exe) при удалении требует перегрузки. Может быть можно сделать так чтоб прога при необходимости сама перегружала и делала необходимые операции (конешно после запроса пользователя) Потомушто я сам перегружаю но к сожалению он не лечится. а может я чёто не так делаю? Может кто знает как с этим в ручную бороться? :pray:

[QUOTE=MicroZ]Сильно не бейте если не в тему.
Уважаемые разработчики и эксперты у меня такая проблема. Завёлся на машине 5й svchost.exe . Мой антивирь в этом вообще невидит никакой проблемы. А ваш ( за что вам огромное спасибо!!! ) ВИДИТ!!! Но к сожалению ничё сделать с ним неможет :'-( пишет >> опасно: порт 5000 TCP - Сервис UPNP, Bubbel, Back Door Setup, Sockets de Troie, Socket 23 (c:\windows\system32\svchost.exe) при удалении требует перегрузки. Может быть можно сделать так чтоб прога при необходимости сама перегружала и делала необходимые операции (конешно после запроса пользователя) Потомушто я сам перегружаю но к сожалению он не лечится. а может я чёто не так делаю? Может кто знает как с этим в ручную бороться? :pray:[/QUOTE]
Не нужно его удалять. Это системный процесс. АВЗ иногда ругается не по делу на открытые порты.

[QUOTE=MicroZ]Сильно не бейте если не в тему.
Уважаемые разработчики и эксперты у меня такая проблема. Завёлся на машине 5й svchost.exe . Мой антивирь в этом вообще невидит никакой проблемы. А ваш ( за что вам огромное спасибо!!! ) ВИДИТ!!! Но к сожалению ничё сделать с ним неможет :'-( пишет >> опасно: порт 5000 TCP - Сервис UPNP, Bubbel, Back Door Setup, Sockets de Troie, Socket 23 (c:\windows\system32\svchost.exe) при удалении требует перегрузки. Может быть можно сделать так чтоб прога при необходимости сама перегружала и делала необходимые операции (конешно после запроса пользователя) Потомушто я сам перегружаю но к сожалению он не лечится. а может я чёто не так делаю? Может кто знает как с этим в ручную бороться? :pray:[/QUOTE]
Это скорее всего системный сервис. Эта стиуация простая и описана в FAQ - [url]http://z-oleg.com/secur/avz_doc/faq_4.htm[/url]
Тем не менее, если есть подозрения на то, что на ПК "живет" зверь - тогда нужно в разделе "Помогите" согласто правилам создать раздел - посмотрим логи, вынесем вердикт.

Новый релиз - [b]3.60.12[/b]
Из доработок:
1. Доработано исследование системы, устранены обнаруженные там ошибки
2. AVZ при сворачивании окна сворачивается в Tray
3. Появилась проверка архивов (в настоящее время поддерживаются ZIP, WinZIP, CAB, JAR) - выключатель "Проверять архивы" на закладке "Типы файлов". Естетсвенно, что включение проверки архивов приводит к ощутимым тормозам ...
4. Устранена ошибка в защите от рекурсивного лечения собственной папки Infected

Максимальный уровень эвристики, расширенный анализ, включена проверка архивов. Получился очень большой лог, содержащий многократно повторяемую строчку:
C:\DOCUME~1\6EED~1\LOCALS~1\Temp\avz_3696_1.tmp - PE файл с нестандартным расширением(степень опасности 5%)

Кроме того, при проверке большого архива (например, i386\driver.cab) нет реакции на кнопку «стоп», сканирование останавливается только после окончания проверки этого архива.

[QUOTE=Участковый]Максимальный уровень эвристики, расширенный анализ, включена проверка архивов. Получился очень большой лог, содержащий многократно повторяемую строчку:
C:\DOCUME~1\6EED~1\LOCALS~1\Temp\avz_3696_1.tmp - PE файл с нестандартным расширением(степень опасности 5%)

Кроме того, при проверке большого архива (например, i386\driver.cab) нет реакции на кнопку «стоп», сканирование останавливается только после окончания проверки этого архива.[/QUOTE]
Да, такие эффекты имеют место ... я заблокирую реакцию AVZ на его временные файлы (avz_3696_1.tmp расшифровывается как временный файл AVZ с PID=3696, уровень вложенности 1 - на макс. уровне с расширенным анализом он ругается на каждый извлекаемый из архива exe файл). С большими архивами я сейчас разбираюсь - функция остановки поиска в движке разархивачии есть, но судя по всему срабатывает пока не до конца.

Ну что ..прежде всего..не совсем по теме..но надо. Прога просто супер...Эту версию ещё не тестировал,но предидущие очень понравились :0) Так держать !

На днях использовал АВЗ не по назначению. Не ставился алкоголь, говорил, драйвер уже загружен. Выдавал ошибку, перегруз и чистка реестра не помогли. Запустил АВЗ - дисптчер драйверов - и вуаля - находим драйвер и удаляем. Еще раз спасибо за отличную программу.

В исследовании системы нужно добавить птичку "Считать MD5"

Поиск по сигнатуре нужен - что-то типа искать по -
6F ?? 6B ?? 32 ?? 4D ?? 65 *10 20 ?? 41 ?? 70 ?? 70 в файле.
?? - любой байт
*10 - "дырка" от 0 до 10 любых байт.

[QUOTE=Geser]В исследовании системы нужно добавить птичку "Считать MD5"[/QUOTE]
Добавлю. Но тогда его в логи придется выводить, что собственно не трудно ... - только места по ширине больше займет.
[QUOTE]
Поиск по сигнатуре нужен - что-то типа искать по -
6F ?? 6B ?? 32 ?? 4D ?? 65 *10 20 ?? 41 ?? 70 ?? 70 в файле.
[/QUOTE]
Такой поиск тормозить будет ... хотя привернуть такой искатель можно, польза от этого будет - тем более что ядро в принципе умеет искать по таким сигнатурами, т.е. изобретать ничего не придется

приостанавливается работа поиска-провеки,

[QUOTE=Зайцев Олег]Такой поиск тормозить будет ... хотя привернуть такой искатель можно, польза от этого будет - тем более что ядро в принципе умеет искать по таким сигнатурами, т.е. изобретать ничего не придется[/QUOTE]
Ну и пусть тормозит. Главное чтобы искал, иногда требуется, приходится изобретать каждый раз.

[QUOTE=RiC]Ну и пусть тормозит. Главное чтобы искал, иногда требуется, приходится изобретать каждый раз.[/QUOTE]
Тогда решено... может, и не будет особых тормозов при поиске. Сделаем так - если введена строка поиска, то ищется строка. Если строка вида $SIGN(...) - включается сигнатурный поиск.

1)Олег, я вам высылал MIPro.dll, и в какой то недавней версии он был включен в базу безопастных, а сейчас же с версией 3.60.12 он снова попал "Нейросеть: файл с вероятностью 98.65% похож на типовой перехватчик событий клавиатуры/мыши"
2)Проверка в архивах - это очень хорошо, но на данный момент очень частое не правильное определение файла на момент что он является архивом: "C:\Tools\Delphi\Components\SpellCheck\Speller\Speller.dcp Invalid file - not a PKZip file". И так почти все DCP файлы.

[QUOTE=Grey]1)Олег, я вам высылал MIPro.dll, и в какой то недавней версии он был включен в базу безопастных, а сейчас же с версией 3.60.12 он снова попал "Нейросеть: файл с вероятностью 98.65% похож на типовой перехватчик событий клавиатуры/мыши"
2)Проверка в архивах - это очень хорошо, но на данный момент очень частое не правильное определение файла на момент что он является архивом: "C:\Tools\Delphi\Components\SpellCheck\Speller\Speller.dcp Invalid file - not a PKZip file". И так почти все DCP файлы.[/QUOTE]
MIPro.dll я обязательно проверю - дело в том, что я переделываю базы и периодически могут быть некие нестыковки ... наверное, он "вылетел" из баз, такой глюк недавно имел место.
Насчет Spel ler.dcp - если не трудно, пришлите мне их штуки 2-3 (из тех, на которые AVZ ругается). Скорее всего они по сигнатуре похожи на архив, вот он и срабатывает ( not a PKZip file ... я потом уберу, но на время тестов он ругается на "архивы", которые не может открыть)

хочу поблагодарить автора етого замечятельнго софта очень качерный продукт , сериозное чистит безжалостно , однао не без упреков кое чего сериозное пропускает, я толко сегодня нашел етот форум посему сожалею что раньше о нем не знал однако я проводил свои собственные иследования сравнения антиспаев , хотелсь бы чтобы автор программы как то прокоментировал их , хотя и проиграла по несколким параметрам парочке других софтин я остаюсь поклонником етой програмы мой тест проведенный з апоследние 2 месаца можно посмотреть вот тут [url]http://members.lycos.co.uk/steelrats/forum/viewthread.php?forum_id=21&thread_id=111&rowstart=20[/url] .respect

SORRY for my gramm errors in txt , i use transliterator ))