AVZ 4.15 + AVZGuard - тестирование, обсуждение, предложения по доработке

[QUOTE=kps]...
А по-моему AVZGuard нужнее монитора.
...
[/QUOTE]
AVZGuard был введен в AVZ как средство борьбы с определенным классом [U]существующих[/U] троянов (как пишет в анонсе Олег, "[I]основное назначение - борьба с трудноудалимыми вредоносными программами, которые активно противодействуют процессу лечение компьютера (Look2me, руткиты, и т.п.)[/I]". Надеюсь, вы понимаете, что это вовсе не супер-технология, которая позволит "задавить" одним махом всю компьютерную нечисть и разом очистит от нее компьютер!

Более того, к великому сожалению, AVZGuard даже в теории не может на 100% выполнить декларированные в его анонсе функции (не буду их здесь перечислять - смотрите первое сообщение в теме). Скажу более точно: можно максимально приблизиться к выполнению того, что анонсировано в AVZGuard, при выполнении, как минимум, трех условий:
- "зверь" не должен иметь kernel-mode компонент;
- "зверь" не должен мониторить запуск средств, активно ему противодействующих (и AVZ, в частности);
- Олег заткнет ("задавит", как он говорит) существующие в AVZ и AVZGuard дыры (смотрите, в частности, мои предыдущие посты).

Много это или мало? :) Олег говорит, что, те "звери", что находятся у него в коллекции, ничего вышеперечисленного не делают. Означает ли это, что другие "звери" не будут это делать через, скажем, день или месяц? Конечно же нет! А сможет ли AVZGuard (пусть даже модифицированный) противостоять такого рода "зверям"? К сожалению, тоже нет!

Какое же решение? :) Вот тут на авансцену и выходит монитор! Помимо той функциональности, которая обычно присуща разного рода мониторам, на него также будут возложены функции, которые сейчас пытается решать AVZGuard. [U]Только монитор позволит в полной мере выполнить все то, что анонсировано в AVZGuard[/U], т.к. он будет контролировать системную активность от момента загрузки ОС до момента завершения работы,
1) изначально не давая загрузиться известным "зверям" (и тогда не нужно будет тратить время на лечение и более тонкое, трудоемкое и не всегда предсказуемое "долечивание"),
2) контролируя от вторжения/модификации/заражения важнейшие системные области, процессы и пр., и
3) блокируя, если потребуется, любую "звериную" и иную активность!

Конечно, монитор - это на порядок более сложная компонента, нежели чем AVZGuard, и на его дизайн, качественное написание и отладку нужно потратить довольно много времени (полагаю, что не менее полугода!), не говоря уже о том, что надо очень глубоко знать систему и kernel-mode программирование. Для меня нет сомнения, что у AVZ есть только один правильный путь - это путь в сторону создания полноценного монитора, другие же пути - это не более чем "заплатки", полумеры и полуфункциональность!

По воду DefenseWall и мониторов различных а/в программ скажу следующее: это все платные продукты, и не каждому они доступны! Бесплатность AVZ - одно из его главных достоинств (впрочем, и проблем тоже! :)). Кроме того, функциональность, в них заложенная, почти никак не коррелирует с AVZ, т.е. AVZ в нужный момент не может "попросить", скажем, DW или KAV, сделать для него то-то и так-то. Ввиду этого то, что вы предлагаете относительно этих программ, вряд ли представляется в значительной мере перспективным как для AVZ, так и для пользователей.

[QUOTE=aintrust][U]Только монитор позволит в полной мере выполнить все то, что анонсировано в AVZGuard[/U], т.к. он будет контролировать системную активность от момента загрузки ОС до момента завершения работы,
1) изначально не давая загрузиться известным "зверям" (и тогда не нужно будет тратить время на лечение и более тонкое, трудоемкое и не всегда предсказуемое "долечивание"),
2) контролируя от вторжения/модификации/заражения важнейшие системные области, процессы и пр., и
3) блокируя, если потребуется, любую "звериную" и иную активность!
[/QUOTE]

Тогда в очередной раз упираемся в то, что позиционирование AVZ как инструмент по борьбе с "_УЖЕ ЖИВУЩИМИ_ животными" будет полностью перевернуто, о чем собственно, тут уже неоднократно говорилось

[QUOTE=aintrust]
Конечно, монитор - это на порядок более сложная компонента, нежели чем AVZGuard, и на его дизайн, качественное написание и отладку нужно потратить довольно много времени (полагаю, что не менее полугода!)[/QUOTE]

Полгода- это только выпуск нормальной беты. А до релиза- это месяцев восемь как минимум!

[QUOTE=aintrust]
По воду DefenseWall и мониторов различных а/в программ скажу следующее: это все платные продукты, и не каждому они доступны! [/QUOTE]

Ну, я не был бы столь категоричен по поводу доступности. 499 рублей за DW- разве это много? Просто выбор невелик- или проект коммерческий (быстро развивающийся, с хорошим саппортом), или некоммерческий (медленное развитие с плохим саппортом из-за хронической нехватки времени на него). Я выбрал первый путь, Олег- второй. Проблема в том, что AVZ уже становится большим проектом, что автоматически требует добавления разработчиков к проекту. А это или опен-соурс, или коммерциализация. Или смерть проекта из-за слишком медленного развития.

[QUOTE=aintrust]
Кроме того, функциональность, в них заложенная, почти никак не коррелирует с AVZ, т.е. AVZ в нужный момент не может "попросить", скажем, DW или KAV, сделать для него то-то и так-то. [/QUOTE]

Ну, опять таки же, я бы не был столь категоричным. Если Олегу нужна будет интеграция DW и AVZ- это можно будет устроить. Больших проблем с этим я не вижу.

[QUOTE=Dandy]Тогда в очередной раз упираемся в то, что позиционирование AVZ как инструмент по борьбе с "_УЖЕ ЖИВУЩИМИ_ животными" будет полностью перевернуто, о чем собственно, тут уже неоднократно говорилось[/QUOTE]
Почему же? Вся старая функциональность, связанная с убиением/ лечением/долечиванием может быть (и, видимо, должна быть!) оставлена - просто при наличии монитора она перейдет на более высокий качественный уровень!

Не забывайте также, что режим AVZGuard не работает в Windows 9x/Me - и пусть сейчас уже не очень-то много таких установок, но они все же есть, и позиция Олега состоит, на сколько мне известно, в том, чтобы не бросать поддержку этих систем! Что же делать с этими системами? Писать под них отдельную версию монитора - накладно. AVZGuard-а? А стоит ли? :) Как минимум остается теперешний режим - т.е. скан, лечение, исследование и т.д., т.е. все то, что было в AVZ до введения AVZGuard!

Что-то я не понимаю, если трояны умудряются обойти любую установленную на компьютере защиту, хотя запускаются когда она уже установлена, неужели нельзя написать программу обходящую защиту троянов? Что-то не верится :)

[QUOTE]Ну, опять таки же, я бы не был столь категоричным. Если Олегу нужна будет интеграция DW и AVZ- это можно будет устроить. Больших проблем с этим я не вижу.[/QUOTE]
Это было бы классно, конечно, но DW при этом все равно останется платным (т.е. доступным, но не всем)! Иными словами, вряд ли AVZ станет опираться на это взаимодействие, как на основное решение - т.е. для того, чтобы обеспечить "полный комплекс бесплатных услуг", Олегу придется писать что-то свое! Замкнутый круг, в общем... :)

Пожалуйста, разъясните, что это означает...? и что с этим sptd.sys лучше сделать?

"1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082480)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559480
KiST = 804E26A8 (284)
Функция ZwCreateKey (29) перехвачена (8056E761->FC3D0B3A), перехватчик sptd.sys
Функция ZwEnumerateKey (47) перехвачена (8056EE68->FC3D0C7E), перехватчик sptd.sys
Функция ZwEnumerateValueKey (49) перехвачена (8057EB28->FC3D0FF6), перехватчик sptd.sys
Функция ZwOpenKey (77) перехвачена (80567AFB->FC3D0A18), перехватчик sptd.sys
Функция ZwQueryKey (A0) перехвачена (8056EB71->FC3D10C0), перехватчик sptd.sys
Функция ZwQueryValueKey (B1) перехвачена (8056B0BB->FC3D0F58), перехватчик sptd.sys
Функция ZwSetValueKey (F7) перехвачена (80574C1D->FC3D1148), перехватчик sptd.sys
Проверено функций: 284, перехвачено: 7, восстановлено: 0"

Спасибо.

[QUOTE=Кузя]Пожалуйста, разъясните, что это означает...? и что с этим sptd.sys лучше сделать?
...
[/QUOTE]
У вас, по всей видимости, установлен [B]Daemon Tools[/B] 4-й версии? Если это так, то ничего делать не надо - это нормальное поведение.

[QUOTE=Geser]Что-то я не понимаю, если трояны умудряются обойти любую установленную на компьютере защиту, хотя запускаются когда она уже установлена, неужели нельзя написать программу обходящую защиту троянов? Что-то не верится :)[/QUOTE]

Можно. Да только плохо это- придётся реагировать на каждую модификацию зловреда, да ещё и постфактум. Некрасиво и не очень эффективно.

[QUOTE=aintrust]У вас, по всей видимости, установлен [B]Daemon Tools[/B] 4-й версии? Если это так, то ничего делать не надо - это нормальное поведение.[/QUOTE]

нет, Daemon Tools не установлен, но есть Alcohol 120...?

[QUOTE=aintrust]Какое же решение? :) Вот тут на авансцену и выходит монитор! Помимо той функциональности, которая обычно присуща разного рода мониторам, на него также будут возложены функции, которые сейчас пытается решать AVZGuard. [U]Только монитор позволит в полной мере выполнить все то, что анонсировано в AVZGuard[/U], т.к. он будет контролировать системную активность от момента загрузки ОС до момента завершения работы,
1) изначально не давая загрузиться известным "зверям" (и тогда не нужно будет тратить время на лечение и более тонкое, трудоемкое и не всегда предсказуемое "долечивание"),
2) контролируя от вторжения/модификации/заражения важнейшие системные области, процессы и пр., и
3) блокируя, если потребуется, любую "звериную" и иную активность!
[/QUOTE]
Что если рассмотреть компромисс - "монитор для чрезвычайной ситуации"? :) Конкретно, при запуске на зараженной машине AVZ не пытается с ходу противодействовать хитрым зловредам, а только ставит свой монитор и предлагает перезагрузку. Все лечение происходит после перезагрузки, когда AVZGuard "контролирует ситуацию" :)
Такой "монитор", не рассчитанный на постоянную работу, думаю написать легче чем полноценный сторож.
Главный вопрос - смогут ли активные зловреды противостоять встраиванию AVZGuard в систему с расчетом его работы после перезагрузки ?

[QUOTE=rav]Можно. Да только плохо это- придётся реагировать на каждую модификацию зловреда, да ещё и постфактум. Некрасиво и не очень эффективно.[/QUOTE]
Не думаю что на каждую. Количество системных функций которые можно перехватить, и количество способов перехвата конечно. Так что реагировать нужно только на каждую новую концепцию, и рано или поздно можно всё перекрыть :)
Другое дело что на каждый троян написанный конкретно что бы убивать АВЗ действительно прийсётся реагировать отдельно. Опять же, количество способов должно быть конечным :)

[QUOTE=Кузя]нет, Daemon Tools не установлен, но есть Alcohol 120...?[/QUOTE]
Ага, оно... :) Alcohol использует ту же технологию, что и Daemon Тools (и, видимо, те же драйверы). В общем, можете спокойно проигнорировать эти сообщения.

[QUOTE=userr]Что если рассмотреть компромисс - "монитор для чрезвычайной ситуации"? :) Конкретно, при запуске на зараженной машине AVZ не пытается с ходу противодействовать хитрым зловредам, а только ставит свой монитор и предлагает перезагрузку. Все лечение происходит после перезагрузки, когда AVZGuard "контролирует ситуацию" :) [/QUOTE]
Сценарий, который вы сейчас описали, в точности соответствует тому, как должен работать AVZ с монитором ("полнофункциональным" или "неполнофункциональным" (типа AVZGuard)) - не важно. Тут главное то, что процесс контроля за системой должен начаться именно в момент ее старта!

[QUOTE]Такой "монитор", не рассчитанный на постоянную работу, думаю написать легче чем полноценный сторож.[/QUOTE]
Если и легче, то совсем ненамного! Все равно в него придется встраивать практически все функции контроля системы, а это львиная доля работы по его написанию!

[QUOTE]Главный вопрос - смогут ли активные зловреды противостоять встраиванию AVZGuard в систему с расчетом его работы после перезагрузки ?[/QUOTE]
Если они "знают" про AVZ и его монитор - то да, естественно, смогут, и для такого случая AVZ придется устанавливать свой монитор не очень тривиальными способами - но вот это уже совсем близко к маловероятной (хотя и теоретически допустимой) экзотике. Для таких неординарных случаев лучше всего, наверное, подойдут чисто "ручные" методы анализа и борьбы. :)

[QUOTE=aintrust]

Если они "знают" про AVZ и его монитор - то да, естественно, смогут, и для такого случая AVZ придется устанавливать свой монитор не очень тривиальными способами - но вот это уже совсем близко к маловероятной (хотя и теоретически допустимой) экзотике. Для таких неординарных случаев лучше всего, наверное, подойдут чисто "ручные" методы анализа и борьбы. :)[/QUOTE]
Ну какая же экзотика, уже некоторые трояны не дают запустить АВЗ. Нельзя запустить АВЗ - нельзя будет и монитор запустить. Всё дело именно в том, что АВЗ [B]должен[/B] уметь запуститься на [B]зараженной[/B] машине и перехватить управление на себя. Иначе от монитора такая же польза как и от AVZGuard

[QUOTE=Geser]Ну какая же экзотика, уже некоторые трояны не дают запустить АВЗ. Нельзя запустить АВЗ - нельзя будет и монитор запустить. Всё дело именно в том, что АВЗ [B]должен[/B] уметь запуститься на [B]зараженной[/B] машине и перехватить управление на себя. Иначе от монитора такая же польза как и от AVZGuard[/QUOTE]
Все бы это было так, если бы не одно "но": [U]AVZ, запущенный в процессе работы, ну вот никак не сможет полностью "перехватить управление на себя"[/U]! И в этом смысле поставить только монитор (а это может делать специальная компонента, запускаемая даже не из AVZ, а, скажем, вручную, и имя ей каждый раз можно генерить случайное - лишь бы AVZ потом про нее знал!) и попросить пользователя перегрузить компьютер будет на порядок проще, чем
1) запустить AVZ (первое противодействие, возможно уже непреодолимое),
2) в нем загрузить драйвер AVZGuard (второе противодействие, также возможно непреодолимое).
3) перехватить управление на себя (полностью это вообще не удастся - только частично, как это делает сейчас AVZGuard).

А по-хорошему, у AVZ должен быть инсталлятор, который поставит и сам AVZ, и его монитор со всеми необходимыми драйверами.

... я на день "выпал" из дискуссии - работы очень много ...
Так вот, оптом резюмирую:
1. Интегрировать DW и AVZ-Guard нет никакого смысла - как правильно заметил rav, задачи совершенно различны. Задача DW - быть практически незаметным для работающих программ (работая непрерывно с момента запуска системы), но между тем пресекать их поползнования набедакурить в системе. Задача AVZ-Guard - "закрутить гайки" на время лечения, блокировав многие функции системы и по сути нарушив ее нормальную работу.
2. Я отчасти не согласен с aintrust - мы много спорили по этому вопросу, тем не менее я лично разграничиваю две ситуации:
2.1 защита ПК в рельном времени - это AV монитор, Firewall, продукты типа DW ... согласен, что проще защититься, чем бороться с последствиями. Но это в идеале - когда все грамотно установлено, настроено ... и всеравно 100% гарантию защиты никто не даст.
2.2 средства для изучения и зачистки уже зараженного ПК. Т.е. он дефакто заражен ! (т.к. на нем не было средств защиты, они были неправильно настроены, проворонили "зверя" и он прижился и т.п.) Такие случаи были, есть и будут ... и AVZ в первую очередь "заточен" именно под это. Замечу, что хороших антивирей с монитором сейчас существует тьма, но между тем в резделе "помогите" почему-то есть обращения пользователей. Причем даже без монитора грамотная настройка и администрирование Windows позволяет "вырвать зубы" большинству зловредов.
3. Сложность изготовления монитора практически ничем не отличима от сложности изготовления AVZ-Guard (при моем подходе). Принцип таков - есть подсистема мониторинга (перехват функций, иные средства мониторинга и т.п.) + средства принятия решения. Так вот мониторинг AVZ-Guard и мониторинг некоего "AVZ-Monitor" почти идентичны (или 100% идентичны - чтобы драйвера не плодить), а средство принятия решения уже есть - это сам AVZ.

Теперь о главном - AVZGuard в текущем виде создан для решения вполне конкретной задачи - имеется что-то типа знаменитых look2me или nail.exe, которые прибить штатными средствами крайне трудно, т.к. "зверь" активно сопротивляется. Следовательно, нужен инструмент для их изничтожения - вот и был создан AVZGuard. Он не строился как непробиваемая защита (такие в природе не водятся) и не ставилась самоцель перекрыть все на 100%. Поэтому собственно абстрактные рассуждения типа "а вот появится троян, работающий в KermelMode с функцией снятия перехватов и противодействия драйверу ... " - вот появится, станет массовым - тогда и будем искать пути борьбы с ним. Другое дело, что конечно нужно закрывать обнаруживаемые в защите AVZ-Gaurd дыры, чтобы повышать уровень эффективности этой самой защиты.

Текущую версию AVZ я хочу оставить как "программу без инсталляции". В случае появления монитора инсталлятор тоже появится - но этот продукт будет развиваться параллельно с AVZ в чистом виде.

[b]Зайцев Олег, aintrust[/b]
Вы очень точно выразили каждый свою часть моей мысли :), поэтому буду разговаривать цитатами:
[QUOTE=Зайцев Олег]Задача DW - быть практически незаметным для работающих программ (работая непрерывно с момента запуска системы), но между тем пресекать их поползнования набедакурить в системе.
AVZ+AVZ-Guard - средства для изучения и зачистки уже зараженного ПК.
Задача AVZ-Guard - "закрутить гайки" на время лечения, блокировав многие функции системы и по сути нарушив ее нормальную работу. [/QUOTE] Т.е. AVZ-Guard - не "полноценный" монитор, но [QUOTE=aintrust]процесс контроля за системой должен начаться именно в момент ее старта![/QUOTE]

[QUOTE=Зайцев Олег]... я на день "выпал" из дискуссии - работы очень много ...
Так вот, оптом резюмирую:
[/QUOTE]
Не, не буду комментировать... :) и дискутировать тоже... :) скажу кратко: "прикольное резюме, мне понравилось"!

А кстати если AVZ дополняет функциональный антивирус, то как быть с монитором, полагаться на антивирусный монитор или запускать монитор
AVZ (когда он будет)? т.е. дело вкуса пользователя, ведь 2 монитора не уживутся или они не будут конфликтовать.Как будет работать монитор AVZ? т.е. какой принцип работы, как у обычных антивирусов или что-то типа проактивной защиты.

[QUOTE=aintrust]AVZGuard был введен в AVZ как средство борьбы с определенным классом [U]существующих[/U] троянов (как пишет в анонсе Олег, "[I]основное назначение - борьба с трудноудалимыми вредоносными программами, которые активно противодействуют процессу лечение компьютера (Look2me, руткиты, и т.п.)[/I]". Надеюсь, вы понимаете, что это вовсе не супер-технология, которая позволит "задавить" одним махом всю компьютерную нечисть и разом очистит от нее компьютер! [/QUOTE]
Я и не говорил, что это супер-технология. 100%-ой защиты не может быть в любом случае. Я говорил о том, что имхо AVZ используется как утилита именно для чистки [u]уже[/u] зараженного компа и что для [u]этой цели[/u] AVZGuard более нужный компонент чем монитор.

[QUOTE=aintrust]
Какое же решение? :) Вот тут на авансцену и выходит монитор!
[/QUOTE]
Тут возникает вопрос:
А как уживутся вместе монитор антивируса и монитор AVZ ? Насколько я знаю, два антивирусных монитора, перехватывающих системные функции не очень дружно живут друг с другом :)

[QUOTE=aintrust]
По воду DefenseWall и мониторов различных а/в программ скажу следующее: это все платные продукты, и не каждому они доступны! Бесплатность AVZ - одно из его главных достоинств
[/QUOTE]
Тем не менее, я считаю, что AVZ пока вряд ли может полностью заменить хороший антивирус, т.к. все-таки уступает в кол-ве детектируемого зверья по сигнатурам. Но, насколько я понимаю, детектирование по сигнатурам и не является главной фичей AVZ, у утилиты есть некоторые другие мощные методы борьбы с вредоносным ПО, к-рых нет у антивирусов.

[QUOTE=aintrust]
т.е. AVZ в нужный момент не может "попросить", скажем, DW или KAV, сделать для него то-то и так-то. Ввиду этого то, что вы предлагаете относительно этих программ, вряд ли представляется в значительной мере перспективным как для AVZ, так и для пользователей.[/QUOTE]
Относительно этих программ я ничего не предлагал, а лишь заметил, что по моему мнению для цели защиты в реальном времени монитора хорошего антивируса и DefenseWall достаточно, и что утилите монитор, как я считаю, не особо нужен.

[QUOTE=Geser]Что-то я не понимаю, если трояны умудряются обойти любую установленную на компьютере защиту, хотя запускаются когда она уже установлена, неужели нельзя написать программу обходящую защиту троянов? Что-то не верится[/QUOTE]
[QUOTE=rav]Можно. Да только плохо это- придётся реагировать на каждую модификацию зловреда, да ещё и постфактум. Некрасиво и не очень эффективно.[/QUOTE]
По сути, AVZ и пытается воплощать такой подход: он борется против существующих троянских техник (даже не технологий, и пример этого - его анти-руткитовый модуль) и даже (как, в случае с AVZGuard) отдельно взятых троянов! :) Будучи в своей основе сканером, он действительно вынужден "реагировать на каждую модификацию зловреда" - но это всего лишь специфика программ такого рода.

[QUOTE=aintrust]Ага, оно... :) Alcohol использует ту же технологию, что и Daemon Тools (и, видимо, те же драйверы). В общем, можете спокойно проигнорировать эти сообщения.[/QUOTE]
Спасибо.

[QUOTE=kps]
Тут возникает вопрос:
А как уживутся вместе монитор антивируса и монитор AVZ ? Насколько я знаю, два антивирусных монитора, перехватывающих системные функции не очень дружно живут друг с другом :)
[/QUOTE]
В любом случае, антивирусный монитор придется отключить на время лечения, тем более, если он не обеспечил защиты от заражения.

Может быть, имеет смысл сразу запускать АВЗ в том или ином режиме, с загрузкой или без драверов защиты? Не включением_выключением из оболочки модулей AVZGuard или AVZMon, а запуском с ключами, к примеру: AVZ /s(сканирование, лечение), AVZ /s/m(сканирование, лечение в режиме защиты монитора, в режиме автозагрузки)?

Быть платным, или бесплатным АВЗ... думаю, все равно когда-нибудь решать Олегу. Каким он хочет видеть в будущем данный (несомненно очень полезный в работе) инструмент.

[QUOTE=kps]Я говорил о том, что имхо AVZ используется как утилита именно для чистки [u]уже[/u] зараженного компа и что для [u]этой цели[/u] AVZGuard более нужный компонент чем монитор. [/QUOTE]
Хм... И сколько еще таких AVZGuard-ов в различных ипостасях будет изобретено Олегом, чтобы побороть очередные флуктуации троянов? :) 5, 10? А смысл? Вот хоть убейте - [U]не вижу[/U]! :)

[QUOTE=kps]Тут возникает вопрос:
А как уживутся вместе монитор антивируса и монитор AVZ ? Насколько я знаю, два антивирусных монитора, перехватывающих системные функции не очень дружно живут друг с другом :)[/QUOTE]
Ну, ведь уживается же как-то DefenseWall, который тоже перехватывает системные функции, с другими мониторами. Это всего лишь вопрос качества программирования.

[QUOTE=kps]Но, насколько я понимаю, детектирование по сигнатурам и не является главной фичей AVZ, у утилиты есть некоторые другие мощные методы борьбы с вредоносным ПО, к-рых нет у антивирусов.[/QUOTE]
Согласен! У утилиты действительно есть развитые методы диагностики и даже лечения системы, но все они в той или иной степени заточены, в основном, на троянское ПО, непосредственное лечение которого все равно производится именно за счет сигнатур!

Если же говорить о каждом методе ручной диагностики/лечения в отдельности, то утилиты сторонних производителей зачастую обладают гораздо большей функциональностью, чем то, что мы видим в AVZ (взять, к примеру, хотя бы утилиты от Sysinternals, от DiamondCS, от F-Secure или тот же ProcessHunter с wasm.ru). Это и неудивительно, т.к. если встроить все эти функции в AVZ, то получится такой монстр, что только на его закачку с сайта пользователи будут тратить десятки минут! :)

[QUOTE=kps]
...
утилите монитор, как я считаю, не особо нужен.[/QUOTE]
Конечно, если речь идет о мониторе, который предлагает Олег Зайцев, а именно:
[QUOTE=Зайцев Олег]3. Сложность изготовления монитора практически ничем не отличима от сложности изготовления AVZ-Guard (при моем подходе).
...
Так вот мониторинг AVZ-Guard и мониторинг некоего "AVZ-Monitor" почти идентичны (или 100% идентичны - чтобы драйвера не плодить)
...[/QUOTE]
то я с вами согласен - монитор такого рода не нужен.

[QUOTE=aintrust]По сути, AVZ и пытается воплощать такой подход: он борется против существующих троянских техник (даже не технологий, и пример этого - его анти-руткитовый модуль) и даже (как, в случае с AVZGuard), отдельно взятых троянов. Будучи в своей основе сканером, он действительно вынужден "реагировать на каждую модификацию зловреда" - но это всего лишь специфика программ такого рода.[/QUOTE]
А почему AVZGuard борется с отдельно взятым трояном? Может я чего-то не понимаю, но, как мне кажется, AVZGuard способен нейтрализовать множество троянов, которых Олег в глаза не видел. И это не сигнатурный подход, а концептуальный.

[QUOTE=Geser]А почему AVZGuard борется с отдельно взятым трояном? Может я чего-то не понимаю, но, как мне кажется, AVZGuard способен нейтрализовать множество троянов, которых Олег в глаза не видел. И это не сигнатурный подход, а концептуальный.[/QUOTE]
Если быть точным, то это сочетание методов - концептуального (чтобы нейтрализовать) и, само собой, сигнатурного (чтобы потом убить)! Отвечу также словами Олега Зайцева:
[QUOTE=Зайцев Олег]Теперь о главном - AVZGuard в текущем виде создан для решения вполне конкретной задачи - имеется что-то типа знаменитых look2me или nail.exe, которые прибить штатными средствами крайне трудно, т.к. "зверь" активно сопротивляется. Следовательно, нужен инструмент для их изничтожения - вот и был создан AVZGuard. Он не строился как непробиваемая защита (такие в природе не водятся) и не ставилась самоцель перекрыть все на 100%. [/QUOTE]
Но по большому счету, вы, конечно, правы - это все-таки очередной шаг вперед (таким же шагом является, к примеру, антируткитовый модуль)! Хотелось бы, однако, чтобы это был действительно "полновесный" шаг, а не "пол-шажка", как это сейчас, на мой взгляд, реализовано в AVZGuard.

[QUOTE]Хм... И сколько еще таких AVZGuard-ов в различных ипостасях будет изобретено Олегом, чтобы побороть очередные флуктуации троянов? 5, 10? А смысл? Вот хоть убейте - не вижу! [/QUOTE]
Если бы была возможность написать монитор 100% предотвращающий заражение или 100% способный справиться с любым активным трояном, написавший его человек мог бы после этого всю жизнь грести деньги лопатой. Я уверен что такое невозможно даже теоретически. Будет монитор - его тоже нужно будет постоянно совершенствовать. Какая разница 10 версий монитора или 10 версий AVZGuard?
Опять же, я не вижу разницы между AVZGuard и монитором в плане противодействия троянам написанным именно против АВЗ.
Если троян имеет средства противодействия АВЗ, то он не даст запуститься даже инсталятору. И какая тогда разница, есть монитор или нет? Никакой.
Другое дело, если какие-то системные функции невозможно перехватить без перегрузки, то нужно просто поменять логику работы AVZGuard. Прописал куда нужно драйвер, рестарт, полечил, убрал драйвер, рестарт.
А постоянных мониторов перехватывающих всё подряд и так хватает. Вот скоро выйдет КИС2006, там монитор будет всё что можно перехватывать.

Я считаю концепцию Олега правильной. Постоянный монитор должен быть незаметен, и не мешать нормальной работе системы. При этом его возможности блокировать вредоносные действия либо ограничены, либо пользователь будет вынужден отвечать на огромное количество непонятных вопросов.
AVZGuard, как временная мера на время лечения, фактически нарушает нормальную работу системы(именно то что от него и ждут). Вместе с тем он блокирует и работу всех вредоносных программ, не задавя никаких вопросов. Насколько я понимаю, он может помочь так же и в борьбе с вирусами, остановив их деятельность на время лечения. И здесь особенно важно уметь запускаться без инсталяции, с защищённого от записи носителя.

[QUOTE=Geser]Не думаю что на каждую. Количество системных функций которые можно перехватить, и количество способов перехвата конечно. Так что реагировать нужно только на каждую новую концепцию, и рано или поздно можно всё перекрыть :)
Другое дело что на каждый троян написанный конкретно что бы убивать АВЗ действительно прийсётся реагировать отдельно. Опять же, количество способов должно быть конечным :)[/QUOTE]

Я имел в виду немного другое. Дело в том, что потенциальных точек внедрения в систему на уровне ядра очень много. С точки зрения программиста- практически бесконечное. И реагировать придётся на каждую только что появившуюся точку, причём постфактум. Именно это я и имел в виду под "не очень красиво".

То есть. Да, сейчас AVZGuard противодействует Look2me в процессе его лечения. Но, к примеру, в следующей модификации зловреда могут появиться спецсредства обхода AVZGuard. Олегу придётся делать средства обхода средств обхода. И так далее. Война брони и снаряда. А всё потому, что Look2me загрузил свой драйвер до AVZ. Войну можно выиграть лишь загрузив свой драйвер самым первым, на чистую систему!

[QUOTE=rav]Я имел в виду немного другое. Дело в том, что потенциальных точек внедрения в систему на уровне ядра очень много. С точки зрения программиста- практически бесконечное. И реагировать придётся на каждую только что появившуюся точку, причём постфактум. Именно это я и имел в виду под "не очень красиво".

То есть. Да, сейчас AVZGuard противодействует Look2me в процессе его лечения. Но, к примеру, в следующей модификации зловреда могут появиться спецсредства обхода AVZGuard. Олегу придётся делать средства обхода средств обхода. И так далее. Война брони и снаряда. А всё потому, что Look2me загрузил свой драйвер до AVZ. Войну можно выиграть лишь загрузив свой драйвер самым первым, на чистую систему![/QUOTE]
Так в том-то и дело, что АВЗ почти всегда устанавливается на зараженную систему.
Представь себе что ты приходишь к врачу, и просишь лекарство от простуды, а он тебе говорит что лекарство есть, но нужно его начинать принимать до того как простудился. Есть в этом смысл? Никакого.

[QUOTE=Geser]Если бы была возможность написать монитор 100% предотвращающий заражение или 100% способный справиться с любым активным трояном, написавший его человек мог бы после этого всю жизнь грести деньги лопатой. Я уверен что такое невозможно даже теоретически. Будет монитор - его тоже нужно будет постоянно совершенствовать. Какая разница 10 версий монитора или 10 версий AVZGuard?[/QUOTE]
Большая, я бы сказал даже принципиальная! Очевидно, что вы не программист, поэтому попробую объяснить еще раз:
1) монитор загружается на этапе загрузки ОС, AVZGuard - "по желанию"/"при необходимости". Степень контроля системы [U]принципиально[/U] разная! AVZGuard, загруженный "по желанию", реально не может контролировать даже то, что у него анонсировано, не говоря уже о многом другом. И в этом смысле та степень контроля над системой, что мог бы обеспечить монитор (нет, не 100% - где вы вообще это взяли? я этого нигде не говорил!), будет на порядок лучше того, что сможет сделать любой AVZGuard, как бы хорошо он ни был написан! Конечно, в наиболее предпочтительном варианте монитор должен грузиться в чистую систему, но даже и на "грязной" его эффективность могла бы быть на порядок лучше всех этих бесконечных "методик"!
2) 10 версий монитора не понадобится, в отличие от 10 версий AVZGuard (или подобных "методик" - называйте, как хотите)! Дело в том, что все те методики, которые сейчас включаются/выключаются в разных местах AVZ (анти-руткит, анти-кейлоггер, AVZGuard и т.п.) мог бы иметь один-единственный монитор, и его степень контроля на этими вещами была бы [U]намного более эффективной[/U] (возьмите тот же DefenseWall, к примеру!)!

[QUOTE=Geser]Опять же, я не вижу разницы между AVZGuard и монитором в плане противодействия троянам написанным именно против АВЗ.[/QUOTE]
На самом деле, это вполне очевидные вещи для программиста... тут даже не нужно ничего обяснять - просто примите это к сведению, ок? :)

[QUOTE=Geser]Другое дело, если какие-то системные функции невозможно перехватить без перегрузки, то нужно просто поменять логику работы AVZGuard. Прописал куда нужно драйвер, рестарт, полечил, убрал драйвер, рестарт.[/QUOTE]
Вот это уже и будет монитор, о котором я все время тут говорю!

[QUOTE=Geser]А постоянных мониторов перехватывающих всё подряд и так хватает. Вот скоро выйдет КИС2006, там монитор будет всё что можно перехватывать.[/QUOTE]
Если Касперские его доведут до ума (давно его не видел, не знаю текущего состояния дел), то на системах, где будет установлен KAV6/KIS6, AVZ, по идее, уже вряд ли понадобится...

[QUOTE=Geser]Я считаю концепцию Олега правильной. Постоянный монитор должен быть незаметен, и не мешать нормальной работе системы. При этом его возможности блокировать вредоносные действия либо ограничены, либо пользователь будет вынужден отвечать на огромное количество непонятных вопросов.[/QUOTE]
Посмотрите внимательно на DefenseWall! Конечно, это другая программа, для других целей предназначенная - но она
1) "незаметна";
2) практически "не мешает нормальной работе системы";
3) "пользователю не нужно отвечать на огромное количество непонятных вопросов".
Значит, можно все-таки достичь этих целей, если захотеть! :)

[QUOTE]AVZGuard, как временная мера на время лечения, фактически нарушает нормальную работу системы(именно то что от него и ждут). Вместе с тем он блокирует и работу всех вредоносных программ, не задавя никаких вопросов. Насколько я понимаю, он может помочь так же и в борьбе с вирусами, остановив их деятельность на время лечения. И здесь особенно важно уметь запускаться без инсталяции, с защищённого от записи носителя.[/QUOTE]
Поймите меня... я бы согласился с вами тысячу раз насчет любого AVZGuard-а, загружаемого теперешним способом, если бы не одно но... Это но - [U]степень контроля[/U]! Как ни старайся, как ни крути, но степень контроля системы у таких "методик", по сути, нулевая... :(

PS. Мне кажется, надо прекращать эту дискуссию... Олегу, я так понимаю, это неинтересно - его доводы в пользу "постепенного закрывания брешей по мере их появления" я слышу уже более полутора лет - с тех пор, как он все "пишет и пишет" монитор. :) Если AVZGuard - это и есть прототип монитора, то, думаю, обсуждать тут больше нечего. Пусть все будет так, как есть!

[QUOTE]Посмотрите внимательно на DefenseWall[/QUOTE]
ПОсмотрел внимательно(несколько месяцев стоит). Конфликт с каждым новым приложением решается путём выпуска новой версии. Фактически можно сказать что DefenseWall предназначен для защиты определённого набора приложений. Включение защиты для приложений с которыми DefenseWall не был проверен на совместимость черевата разнообразными глюками. Фактически с ним должен идти список программ которые можно им защищать.
Это универсальное решение?
Включённая по умолчанию защита интерпритаторов скриптов может служить источником таких глюков, что домохозяйка застрелится(до самого далеко не сразу дошло в чём проблема).

[QUOTE=Geser]ПОсмотрел внимательно(несколько месяцев стоит).
...[/QUOTE]
Я, естественно, имел ввиду несколько другое, когда просил "посмотреть внимательно"... впрочем, это и не важно...

[QUOTE=aintrust]
Вот это уже и будет монитор, о котором я все время тут говорю!
[/QUOTE]

ок. А что делать в случае, когда животное контролирует утсановку этого самого драйвера (после установки которого, рестарт, лечение и т.д) ?!
Как раз и нужны средства, чтобы [U]несмотря на противодействие[/U] утсановить драйвер. Хотя это уже будет, что-то вроде хака системы...

[QUOTE=Dandy]ок. А что делать в случае, когда животное контролирует утсановку этого самого драйвера (после установки которого, рестарт, лечение и т.д) ?!
Как раз и нужны средства, чтобы [U]несмотря на противодействие[/U] утсановить драйвер. Хотя это уже будет, что-то вроде хака системы...[/QUOTE]

А лекарство уже мною описано- установка своего драйвера до зловреда!

[QUOTE=Geser]ПОсмотрел внимательно(несколько месяцев стоит). Конфликт с каждым новым приложением решается путём выпуска новой версии. Фактически можно сказать что DefenseWall предназначен для защиты определённого набора приложений. Включение защиты для приложений с которыми DefenseWall не был проверен на совместимость черевата разнообразными глюками. Фактически с ним должен идти список программ которые можно им защищать.
Это универсальное решение?[/QUOTE]

Ну, на порядок более универсальное, чем сигнатурно-ориентированные антивирусы или классические HIPS типа ProcessGuard. Как говорили герои "Кто-то любит погорячее": "Никто не идеален". И мой софт не исключение. Но одно то, что ты его пользуешь, а не забросил на полку, говорит о многом... :)

[QUOTE=Geser]
Включённая по умолчанию защита интерпритаторов скриптов может служить источником таких глюков, что домохозяйка застрелится(до самого далеко не сразу дошло в чём проблема).[/QUOTE]

Домохозяйка не использует js/vbs скриптов. Но, в любом случае, это будет переделано в защиту на основе правил (как у .bat/.cmd- скриптов).

[QUOTE=rav]А лекарство уже мною описано- установка своего драйвера до зловреда![/QUOTE]
Не спасет :)
Предположим, у меня зараженный ПК. На нем обитает trojan.sys, прописанный как Boot. Защитый драйвер грузится до trojan.sys, и каковы его действия ?? Как понять, что trojan.sys зловред и его нужно блокировать ??

[QUOTE=Зайцев Олег]Не спасет :)
Предположим, у меня зараженный ПК. На нем обитает trojan.sys, прописанный как Boot. Защитый драйвер грузится до trojan.sys, и каковы его действия ?? Как понять, что trojan.sys зловред и его нужно блокировать ??[/QUOTE]
Конечно, каждый метод имеет право на существование - и проактивный, и сигнатурный, и отрицать это в общем случае не имеет смысла.

Однако, если в такой ситуации драйвер защиты имеет хотя бы равные права с драйвером трояна, и может в какой-то степени пытаться контролировать ситуацию (смотреть системные модули, области, структуры и т.д.) и даже предупредить пользователя о чем-то странном в системе, то сигнатурные программы (типа AVZ) могут его даже и не заметить (как по причине отсутствия сигнатуры, так и по причине противодействия со стороны "зловреда" динамической установке драйверов, к примеру), не говоря уже про какой-либо контроль! :)

[QUOTE=aintrust]Конечно, каждый метод имеет право на существование - и проактивный, и сигнатурный, и отрицать это в общем случае не имеет смысла.

Однако, если в такой ситуации драйвер защиты имеет хотя бы равные права с драйвером трояна, и может в какой-то степени пытаться контролировать ситуацию (смотреть системные модули, области, структуры и т.д.) и даже предупредить пользователя о чем-то странном в системе, то сигнатурные программы (типа AVZ) могут его даже и не заметить (как по причине отсутствия сигнатуры, так и по причине противодействия со стороны "зловреда" динамической установке драйверов, к примеру), не говоря уже про какой-либо контроль! :)[/QUOTE]
... и при этом собственно ничто не мешает AVZGuard-у будующих версий на такой случай получить возможность приписаться как boot драйверу, и попросить перезагрузки. А после перезагрузки AVZGuard немедленно удаляет свою регистрацию (на случай багов) и на полученный сеанс действует его защита (далее подгружается AVZ и начинается сигнатурынй поиск и ручная чистка).

[QUOTE=aintrust]Я, естественно, имел ввиду несколько другое, когда просил "посмотреть внимательно"... впрочем, это и не важно...[/QUOTE]
Я посмотрел с точки зрения пользователя. А если пользователю неудобно пользоваться, то пусть программа написано гениально и идиально с точки зрения программиста, можно её только ф топку :)