Бетта тестирование AVZ 3.60

[QUOTE=Зайцев Олег]тут просто проблема в том, что это для нас понятно - опасный, безопасный ... а беда в том, что увидев такое предупредление пользователь может поубивать подозрительные файлы :)[/QUOTE]
Если делать расчет на неподготовленного пользователя, то, по хорошему, убедившись, что TCP/5000 прослушивает легитимный процесс от Microsoft, надо тихонечко и мягко предупредить, что мол все ОК, проверено, модуль от MS и, скорее всего, волноваться не стоит. Но есть другая сторона: этот сервис может быть включен по-умолчанию у пользователя, которому он вообще не нужен. В такой ситуации, естественно, надо предупреждать и, возможно, давать рекомендации по отключению (останову сервиса) - т.е. снова возвращаемся к доке или FAQ-у! Стоит ли специально разбираться с такими случаями? Не знаю... :)
Но на вопрос "предупреждать/не предупреждать?" ответ для меня однозначен: предупреждать! Иными словами: "Предупрежден - значит вооружен!"

Логично, для порта 5000 я написал отдельную статью FAQ - [url]http://z-oleg.com/secur/avz_doc/index.html?faq_4.htm[/url]

При сканированиия "все файлы" прогресс-индикатор и оставшееся до конца сканирования время достигают 100% и 0, соответственно, за долго до окончания сканирования.

[QUOTE=WildFox]При сканированиия "все файлы" прогресс-индикатор и оставшееся до конца сканирования время достигают 100% и 0, соответственно, за долго до окончания сканирования.[/QUOTE]
Такого не должно быть ... сейчас проверю

Есть такое. Причем и в предыдущей версии было так же.

Получил при сканировании такой результат:
C:WINDOWS\SYSTEM32\drivers\klif.sys Перехватчик KernelMode
D:\****\Outpost\kernel\FILTNT.sys Перехватчик KernelMode
мне кажется что это-вполне легальные компоненты Касперского и Оутпоста.НЕплохо былобы иметь возможность для пользователя поместить их в Игнор.Лист,чтобы не раздражали ....(а на работе у меня еще и RAdmin, и оболочка подменяет Explorer.....)

[QUOTE=NewUser]...мне кажется что это-вполне легальные компоненты Касперского и Оутпоста.НЕплохо былобы иметь возможность для пользователя поместить их в Игнор.Лист,чтобы не раздражали ....(а на работе у меня еще и RAdmin, и оболочка подменяет Explorer.....)[/QUOTE]
А мне кажется ответ дан в 41-м посте ([url]http://virusinfo.info/showpost.php?p=50117&postcount=41[/url]). Тоже самое, но про совпадения с опасными портами.

[QUOTE=NewUser]Получил при сканировании такой результат:
C:WINDOWS\SYSTEM32\drivers\klif.sys Перехватчик KernelMode
D:\****\Outpost\kernel\FILTNT.sys Перехватчик KernelMode
мне кажется что это-вполне легальные компоненты Касперского и Оутпоста.НЕплохо былобы иметь возможность для пользователя поместить их в Игнор.Лист,чтобы не раздражали ....(а на работе у меня еще и RAdmin, и оболочка подменяет Explorer.....)[/QUOTE]

Согласен, что обычному пользователю информация о легитимных драйверах от известных производителей как правило не нужна. Скорее всего, Олегу надо, как и в случае с кейлоггерами, поместить эти драйверы в "белый список" и сделать опцию, блокирующую вывод сообщений о перехватах для драйверов из белого списка или же эту информацию выдавать в более мягкой форме (типа перехватчик мне известен и он "белый и пушистый" :)). Тем не менее, я бы все-таки советовал сделать дополнительный флажок, который позволил бы иметь полную информацию (и относительно драйверов, и относительно кейлоггеров) - это бывает полезно в сложных случаях (множественные перехваты и пр.). Т.е. "белый список" - это хорошая идея, но также д.б. возможность получения полной информации.

Что же касается именно RAdmin, то AVZ "не видит" его, т.к. драйвер RAdmin не перехватывает системные сервисы.

[QUOTE=aintrust]Согласен, что обычному пользователю информация о легитимных драйверах от известных производителей как правило не нужна. Скорее всего, Олегу надо, как и в случае с кейлоггерами, поместить эти драйверы в "белый список" и сделать опцию, блокирующую вывод сообщений о перехватах для драйверов из белого списка или же эту информацию выдавать в более мягкой форме (типа перехватчик мне известен и он "белый и пушистый" :)). Тем не менее, я бы все-таки советовал сделать дополнительный флажок, который позволил бы иметь полную информацию (и относительно драйверов, и относительно кейлоггеров) - это бывает полезно в сложных случаях (множественные перехваты и пр.). Т.е. "белый список" - это хорошая идея, но также д.б. возможность получения полной информации.

Что же касается именно RAdmin, то AVZ "не видит" его, т.к. драйвер RAdmin не перехватывает системные сервисы.[/QUOTE]
да, проверку на легитимность я введу, но ведь возможен множественный перехват: [системный обработчик]-[RootKit]-[легитимный драйвер]. AVZ то видит последнйи обработчик в цепочке .... Логично сделать опцию - т.е. "отображать все" или "отображать неопознанные". В первом случае можно показывать опознанные процессы.
------
В связи с вышесказанным вышла новая версия AVZ 3.60.5, все на прежнем месте:
1. Переделан анализ системы. Теперь DLL идут для каждого процесса или отдельным списком без повторов, как предлагал Geser. Во втором случае есть отдельная колонка со списком PID процессов, использующих DLL - каждый PID является гиперссылкой, по ней происходит прыжок на строку с процессом
2. Устранен глюк с тем, что не срабатывало удаление обнаруженной заразы
3. Устранен баг с прогресс-индикатором в случае проверки диска в режиме "проверять все файлы"
4. Доработан антируткит - для опознанных по базе безопаснхы драйверов в лог пишется информация о том, что драйвер легитимный
5. база зверей - 14718 сигнатур ...
Я поменял версию на единичку, но не менял дату - ядро то не переделывалось ...

[QUOTE=Зайцев Олег]Я поменял версию на единичку, но не менял дату - ядро то не переделывалось ...[/QUOTE]
может ввести третью цифру?
Для мелких переделок и быстроустранённых багов... а то немного можно запутаться. Я имею в виду что версия 3.60 пересобиралась раза три, и тогда бы можно видеть изменения сборки. Напимер текущую назвать 3.60.4
Сумбурно, но наверно понятно....

[QUOTE=shu_b]может ввести третью цифру?
Для мелких переделок и быстроустранённых багов... а то немного можно запутаться. Я имею в виду что версия 3.60 пересобиралась раза три, и тогда бы можно видеть изменения сборки. Напимер текущую назвать 3.60.4
Сумбурно, но наверно понятно....[/QUOTE]
Логично - я уже дано задумываюсь о введение номера сборки, тем более что Delphi считает их автоматом ...

А можно окно исследования системы привести в нормальный вид. А то оно у меня покорёжено всё, и даже кнопки "Пуск" не видно

[QUOTE]
А можно окно исследования системы привести в нормальный вид. А то оно у меня покорёжено всё, и даже кнопки "Пуск" не видно
[/QUOTE]
v 3.60.7 - в ней вроде окно приведено в порядок + я привел нумерацию версий в норму путем введения третьей цифры. И еще переделано окно "Модули пространства ядра" - там тоже была кривизна ...

[QUOTE=Зайцев Олег]да, проверку на легитимность я введу, но ведь возможен множественный перехват: [системный обработчик]-[RootKit]-[легитимный драйвер]. AVZ то видит последнйи обработчик в цепочке .... Логично сделать опцию - т.е. "отображать все" или "отображать неопознанные". В первом случае можно показывать опознанные процессы.
[/QUOTE]
В случае множественного перехвата, естественно, отследить цепочку перехватов не представляется возможным. Другое дело - восстановление KiServiceTable: ты восстанавливаешь сразу до уровня "правильных" системных сервисов, т.е. до тех адресов, что прописаны в оригинальной KiServiceTable в ntoskrnl.exe. В связи с этим случай множественного перехвата представляет интерес чисто для возможного более глубокого анализа, а отображение такой информации пользователю ничего интересного не даст. Что касается "галочки", то ее, полагаю, надо будет со временем ввести.

[QUOTE=Зайцев Олег]v 3.60.7 - в ней вроде окно приведено в порядок + я привел нумерацию версий в норму путем введения третьей цифры.[/QUOTE]Ну и для полного счастья... осталось внедрить информацию о current build выложенной версии на страничке загрузки. Чтобы наверняка знать стоит ли её качать. :) Спасибо.

[QUOTE=Зайцев Олег]1. Переделан анализ системы. Теперь DLL идут для каждого процесса или отдельным списком без повторов, как предлагал Geser. Во втором случае есть отдельная колонка со списком PID процессов, использующих DLL - каждый PID является гиперссылкой, по ней происходит прыжок на строку с процессом[/QUOTE]
Эти гиперссылки не работают. PID в колонке "Используется процессами" почему-то не совпадают с PID самих процессов.

Ага - есть такой баг, я не заметил его, т.к. проявляется от только на 9x (PID процесса там большой и число форматируется как Integer, а не как DWORD ... отсюда и глюк - сейчас исправлю)

Проверял сегодня машину. Поставил в настройках "проверять все файлы", "копировать удаляемые файлы в Infected", "максимальный уровень эвристики", "расширенный анализ". Выловил пару зверей. Естественно их скопировало в Infected. Думал для будущего оставить. Но AVZ просканировал и Infected, после чего там осталось 3 ini-файла и больше ничего, всё там умерло. Но возникает вопрос, зачем тогда опция "копировать удаляемые файлы в Infected", если оттуда файлы удаляются? Может стоит как-то эти файлы оставлять? Ведь интересно проверить их другими антивирусами. Возможно стоит их автоматически архивировать со стандартным паролем virus, к примеру, чтобы была возможность эти образцы сохранить.

[QUOTE=ALEX(XX)]Проверял сегодня машину. Поставил в настройках "проверять все файлы", "копировать удаляемые файлы в Infected", "максимальный уровень эвристики", "расширенный анализ". Выловил пару зверей. Естественно их скопировало в Infected. Думал для будущего оставить. Но AVZ просканировал и Infected, после чего там осталось 3 ini-файла и больше ничего, всё там умерло. Но возникает вопрос, зачем тогда опция "копировать удаляемые файлы в Infected", если оттуда файлы удаляются? Может стоит как-то эти файлы оставлять? Ведь интересно проверить их другими антивирусами. Возможно стоит их автоматически архивировать со стандартным паролем virus, к примеру, чтобы была возможность эти образцы сохранить.[/QUOTE]
Аналогичный баг был с карантином (он проверялся). С Infected я сейчас разбирусь, это неправильное поведение - копии файлов в Infected конечно не должны проверяться и удаляться. Просто у них расширене DAT, оно по умолчанию не проверяется ... - сейчас доработаю алгоритм проверки.

Привет!
у меня есть просьба:
а нельзя ли что б репорт файл сохронялся в формате unicode? у меня например из-за того что default non-Unicode стоит не на cyrillic то все опции видны в ????????????... а что не так, на русском...

[img]http://img98.echo.cx/img98/2143/1117kl.jpg[/img]

а когда пытаюсь сохранить или копировать репорт то всё выходит вот так:
[quote]Ïðîòîêîë àíòèâèðóñíîé óòèëèòû AVZ âåðñèè 3.20
Ñêàíèðîâàíèå çàïóùåíî â 06/05/2005 19:15:46
Çàãðóæåíà áàçà: 12964 ñèãíàòóðû, 1 íåéðîïðîôèëü, 43 ìèêðîïðîãðàììû ëå÷åíèÿ
Çàãðóæåíû ìèêðîïðîãðàììû ýâðèñòèêè: 226
Çàãðóæåíû öèôðîâûå ïîäïèñè ñèñòåìíûõ ôàéëîâ: 29483
Ðåæèì ýâðèñòè÷åñêîãî àíàëèçàòîðà: Ñðåäíèé óðîâåíü ýâðèñòèêè
1. Ïîèñê RootKit è ïðîãðàìì, ïåðåõâàòûâàþùèõ ôóíêöèè API[/quote]п.с.
я знаю что есть версия более новая чем на скиншоте что я дал (3.60.7), но там тоже самое...