У меня нормально работает :) Многое от него и не требуется - просто дополнение к Tiny в режиме ядра :) Tiny, например, не ловит LoadDriver и доступ к физической памяти :)
Printable View
У меня нормально работает :) Многое от него и не требуется - просто дополнение к Tiny в режиме ядра :) Tiny, например, не ловит LoadDriver и доступ к физической памяти :)
Кстати, такие вещи в логах
>>>> Подозрение на RootKit ntio256 C:\WINDOWS\system32\ntio256.sys
>>>> Подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys
наверное стоит цветом выделять. А то можно и не заметить
[QUOTE=Geser;88244]Кстати, такие вещи в логах
>>>> Подозрение на RootKit ntio256 C:\WINDOWS\system32\ntio256.sys
>>>> Подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys
наверное стоит цветом выделять. А то можно и не заметить[/QUOTE]
Я уже об оэом подумываю - можно кстати и в самом логе выделить цветом ...
[QUOTE=Geser;88244]Кстати, такие вещи в логах
>>>> Подозрение на RootKit ntio256 C:\WINDOWS\system32\ntio256.sys
>>>> Подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys
наверное стоит цветом выделять. А то можно и не заметить[/QUOTE]
да было бы хорошо, а то я уже разок прохлопол, хорошо что поправили..
Вопрос к [B]Олегу Зайцеву[/B]:
не могли бы вы размещать копию дистрибутива [B]AVZ[/B] на
rapidshare.de или rapidshare.com? Я могу зайти на сайт [url]http://www.rapidshare.ru[/url], но никогда не мог и не могу ничего с него скачать. Также последнее время часто по нескольку дней не могу попасть на ваш сайт, вне зависимости от времени суток.
Последняя версия [B]AVZ[/B], которую мог скачать с вашего сайта - 4.21,
теперь при попытке скачать - каждый раз:
Internet Explorer cannot download avz4.zip from z-oleg.com.
A connection with the server could not be established.
Качалки не помогают. С любых других сайтов могу скачать что угодно - проблем нет. Вероятно, проблема на вашей стороне.
Маловероятно, что в моей системе может присутствовать какое- либо вредоносное по, которое этому мешает - установлено несколько антивирусов и antispyware, регулярно обновляю их базы и программные модули по мере выхода новых версий;регулярно поверяю систему; установлен firewall.
а может в этом топике прикреплять в первом посте AVZ я думаю администрация может 2 метра позволить выделить?
Причем проверял с максимум эвристик и т п, но проверял без сканирования дисков, только память, порты и т д. Логов просто нет. :)
Думаю дотяну до нового года и переставлю. Фирма просто работает круглосуточно, но на новый год народу мало.
А сама прога AVZ очень удобная и полезная. Спасибо за нее, успехов!
Вопрос AVZ как-нибудь мониторит шару папок (т.е. он может проверить винду есть ли расшареные папки в ней)? есть ли такая возможность?
[quote=Ego1st;88370]Вопрос AVZ как-нибудь мониторит шару папок (т.е. он может проверить винду есть ли расшареные папки в ней)? есть ли такая возможность?[/quote]
Файл - общие ресурсы и сетевые сеансы чем не устраивает?
Цитата автора Rootkit Unhooker:
[QUOTE]Я не совсем понимаю, как можно сравнивать антивирус с нашей программой. Rootkit Unhooker не является антивирусом и предназначен для "продвинутых пользователей", которые имеют достаточное представление о внутренностях Windows. Если касательно сравнения с "антируткитным" модулем AVZ - я очень долго смеялся над этой поделкой, уж простите меня. Все с чем она может справиться - махровый юзермод, чтобы там Олег в мой адрес не говорил. Он даже не в состоянии определить нормально состояние IDT [/QUOTE]
[QUOTE=Alex_Goodwin;88408]Цитата автора Rootkit Unhooker:[/QUOTE]
ну, собственно автор RU имеет право на свое мнение :)
[quote=Dont.care.a.f!g;88363]Вопрос к [B]Олегу Зайцеву[/B]:
не могли бы вы размещать копию дистрибутива [B]AVZ[/B] на
rapidshare.de или rapidshare.com? Я могу зайти на сайт [URL]http://www.rapidshare.ru[/URL], но никогда не мог и не могу ничего с него скачать. ....[/quote]
Нет проблем - я залил avz4.zip на rapidshare.com. Ссылка - [URL="http://rapidshare.com/files/7305302/avz4.zip"][COLOR=#800080]http://rapidshare.com/files/7305302/avz4.zip[/COLOR][/URL]
[QUOTE=Ego1st;88368]а может в этом топике прикреплять в первом посте AVZ я думаю администрация может 2 метра позволить выделить?[/QUOTE]
Не стоит - трафик virusinfo лимитирован, моего сайта - нет. На закачке avz4.zip в месяц у меня расходуется более 200 ГБ трафика. Именно поэтому я кстати стал дублировать AVZ на rapidshare - для разгрузки основного сайта.
Вобщем попробовал установить AVZPM.
после перезагрузки синий экран.
Система Win2003Server, без сп. Из софта usergate, kav 4.5.
DRIVER_IRQL_NOT_LESS_OR_EQUAL
STOP 0x000000d1 (0xfffffffc 0x00000002 0x00000000 0xf76085ba)
uzqodiy.sys Adress- f76085ba base at f7607000, DateStamp 454e646a
дампа нет.
Смоделирую ситуацию позже(вечером) если будет дамп пришлю.
[QUOTE=xoy;88419]Вобщем попробовал установить AVZPM.
после перезагрузки синий экран.
Система Win2003Server, без сп. Из софта usergate, kav 4.5.
DRIVER_IRQL_NOT_LESS_OR_EQUAL
STOP 0x000000d1 (0xfffffffc 0x00000002 0x00000000 0xf76085ba)
uzqodiy.sys Adress- f76085ba base at f7607000, DateStamp 454e646a
дампа нет.
Смоделирую ситуацию позже(вечером) если будет дамп пришлю.[/QUOTE]
Если есть возможность смоделировать ситуацию - это очень хорошо. Мне сегодня прислали минидамп Win2003Server, кординаты места сбоя определены - интерсно сравнить с вашим минидампом.
[QUOTE=xoy;88419]
...
DRIVER_IRQL_NOT_LESS_OR_EQUAL
STOP 0x000000d1 (0xfffffffc 0x00000002 0x00000000 0xf76085ba)
uzqodiy.sys Adress- f76085ba base at f7607000, DateStamp 454e646a
дампа нет.
Смоделирую ситуацию позже(вечером) если будет дамп пришлю.[/QUOTE]
Спасибо, уже не надо! Ошибка локализована и вскоре будет исправлена, о чем будет объявлено дополнительно.
А пока что, плиз, [U]не включайте AVZPM на системах с Windows 2003 Server SP0[/U]!
Что-то не справляется АВЗ с этим руткитом
'C:\WINDOWS\system32:lzx32.sys'
[quote=Зайцев Олег;88414]ну, собственно автор RU имеет право на свое мнение :)[/quote]
Тогда еще от автора:
[QUOTE]
Олег решил вплотную заняться мониторингом как у HIPS. Ну что называется, good luck! (первую l заменить на f). Неподъемное это дело для одного человека, да и толку от такого мониторинга - [IMG]http://damagelab.org/style_emoticons/default/bang.gif[/IMG] Малварные руткиты вообще идут теперь без процессов, к сожалению, Олег все ещё витает в облаках. Лучше бы занялся своей эвристикой - это у него получается лучше всего. Остальное - не дано.
[/QUOTE]
Это коменты на сообщение про BSOD от использования AVZPM и RU
[QUOTE=Geser;88446]Что-то не справляется АВЗ с этим руткитом
'C:\WINDOWS\system32:lzx32.sys'[/QUOTE]
Подтверждаю, даже с C:\WINDOWS\system32\lzx32.sys, не то что с потоком - не справился... вечер бился, потом прошел The Avenger - все помогло. Олег, посмотрите плиз, что-то с удалением теперь не то стало.
[QUOTE=aintrust;88428]Спасибо, уже не надо! Ошибка локализована и вскоре будет исправлена, о чем будет объявлено дополнительно.
А пока что, плиз, [U]не включайте AVZPM на системах с Windows 2003 Server SP0[/U]![/QUOTE]
Только что вышел апдейт баз AVZ - обновленная база содержит подправленный драйвер, который должен корректно работать на W2K3 SP0
[QUOTE=Liong;88471]Подтверждаю, даже с C:\WINDOWS\system32\lzx32.sys, не то что с потоком - не справился... вечер бился, потом прошел The Avenger - все помогло. Олег, посмотрите плиз, что-то с удалением теперь не то стало.[/QUOTE]
Сейчас посмотрю - видимо, создатели этой штуки что-то новое придумали в новых версиях. А какой пошагово алгиритм применялся ? По идее для его убиения нужно:
1. Сканирование с нейтрализацией руткитов
2. Включение AVZ Guard
3. Удаление драйвера с диска + ключей из реестра
4. Перезагрузка.
С изученными PE386 это проходит.
По моему пора брать на вооружение метод используемый The Avenger
[QUOTE=Alex_Goodwin;88448]Тогда еще от автора:
Это коменты на сообщение про BSOD от использования AVZPM и RU[/QUOTE]
Вообще, надо сказать, странную манеру общения вы придумали, [B]Alex_Goodwin[/B]... ;) Типа выступаете в качестве медиума? :P
А почему бы [B]EP_X0FF[/B]-у самому не прийти сюда (правда, я на 100% знаю, что он читает этот форум), и высказать свое мнение? А если он не хочет этого делать, то есть ли вообще смысл приводить его цитаты?
На самом деле не очень интересно знать мнение EP_X0FF. Гораздо интереснее если бы кто-то проверил эффективность обих программ на нескольких распространённых руткитах.
[QUOTE=Geser;88474]По моему пора брать на вооружение метод используемый The Avenger[/QUOTE]
К версии 4.24-4.25 я введу подобную функциональность в AVZ - именно для убиения ключей реестра и файлов, которые не желают удаляться через отложенное удаление (с стандартным отложенным проблема в том, что оно выполняется слишком поздно - зловредный драйвер может уже страртануть и свести к нулю это удаление).
Geser, и AVZ и Rootkit Unhooker пока что спокойно покупаются на изменёные значения в PEB ;)
Rootkit Unhooker многое не видет, но, ИМХО, он понагляднее
ИМХО, давно стоило добаваить возможность посчёта КС секций кода "безопасных програм" при сканировании памяти, а не только проверку КС файла
[quote=aintrust;88477]Вообще, надо сказать, странную манеру общения вы придумали, [B]Alex_Goodwin[/B]... ;) Типа выступаете в качестве медиума? :P
А почему бы [B]EP_X0FF[/B]-у самому не прийти сюда (правда, я на 100% знаю, что он читает этот форум), и высказать свое мнение? А если он не хочет этого делать, то есть ли вообще смысл приводить его цитаты?[/quote]
Я к нему никак не отношусь . Просто на одном из форумов сегодня появились эти коментарии. Я решил, что Олегу будет интересно и запостил.
[QUOTE=PrM@ster;88489]Geser, и AVZ и Rootkit Unhooker пока что спокойно покупаются на изменёные значения в PEB ;)
Rootkit Unhooker многое не видет, но, ИМХО, он понагляднее
ИМХО, давно стоило добаваить возможность посчёта КС секций кода "безопасных програм" при сканировании памяти, а не только проверку КС файла[/QUOTE]
КС секции кода в памяти считать не очень-то хорошо, так как хотя-бы один реаллокейшен изменит эту сумму. Или пакер-криптер, который что-то будет менять. Или хитрая защита навесная ... На компонентах MS это более или менее реализуемо, а на остальном ...
[QUOTE=Alex_Goodwin;88491]Я к нему никак не отношусь . Просто на одном из форумов сегодня появились эти коментарии. Я решил, что Олегу будет интересно и запостил.[/QUOTE]
Так, может, лучше и проще было бы дать первую цитату прямо со ссылкой на тот форум? Тогда все, кому интересно, в том числе и Олег, там бы и прочитали, и пообсуждали, если бы захотели...
[QUOTE=PrM@ster;88489]Geser, и AVZ и Rootkit Unhooker пока что спокойно покупаются на изменёные значения в PEB ;)
[/QUOTE]
Все эти PEB-ы, TEB-ы и прочая юзермодная шелуха практически не имеет ничего общего с более-менее современными руткитами, и на этих изменениях ничего серьезного все равно не сваришь - так, детский лепет и мелкие прикольчики. Так что насчет "покупаются" - это, наверное, чересчур громко сказано... ;)
[QUOTE=PrM@ster;88489]Rootkit Unhooker многое не видет, но, ИМХО, он понагляднее
[/QUOTE]
И что же это такое "[U]многое[/U]", что [I]RkU[/I] "[U]не видЕт[/U]"? Можно в деталях?
[QUOTE]Все эти PEB-ы, TEB-ы и прочая юзермодная шелуха практически не имеет ничего общего с более-менее современными руткитами, и на этих изменениях ничего серьезного все равно не сваришь - так, детский лепет и мелкие прикольчики[/QUOTE] если процес может маскироватся, это уже немало ;)
[QUOTE]Можно в деталях?[/QUOTE]
не все функции контралируются
не ловится инжект в сереедину функции
сам можешь элементарно поэксперементировать
[QUOTE=Geser;88479]На самом деле не очень интересно знать мнение EP_X0FF. Гораздо интереснее если бы кто-то проверил эффективность обих программ на нескольких распространённых руткитах.[/QUOTE]
Ну, кому как... Кому-то, я полагаю, было бы интересно не только услышать мнение, но даже немного подискутировать по поводу различных анти-руткитов, а также их достоинств и недостатков (не в этой ветке, конечно). Можно, конечно, по-разному относиться к мнению авторов RkU и к той манере, в которой это мнение обычно выражается (читавшие [URL="forum.sysinternals.com"]forum.sysinternals.com[/URL] меня поймут), однако то, что эти ребята написали (и продолжают писать), вполне достойно внимания (как минимум).
Что касается эффективности - да, согласен, можно и даже нужно [U]квалифицированно[/U] проверять, только не надо забывать о том, что RkU - это анти-руткит по своей природе, а AVZ - квази-анти-руткит, т.е. анти-руткит "по необходимости". Первый изначально был задуман как средство диагностики и борьбы с [U]различными руткитами[/U], в том числе и "лабораторными" экземплярами, а AVZ имеет различные модули (и анти-руткитный модуль в том числе), предназначенные для борьбы с существующими ITW и достаточно распростаненными [U]"зверями" любой природы[/U], в том числе имеющими руткитовые движки. Нужно понимать, что ниши у этих продуктов изначально были разными!
Впрочем, 100%-ной гарантии защищенности все равно ни один продукт не даст, так что чем больше хороших продуктов разной природы, тем лучше для всех нас! ;)
[QUOTE=PrM@ster;88504]если процес может маскироватся, это уже немало ;)[/QUOTE]
Да уж... ;)
[QUOTE=PrM@ster;88504]не все функции контралируются
не ловится инжект в сереедину функции[/QUOTE]
Ну, зачем так уж сразу в середину? Достаточно обычно отступить байт 10-15 от начала... На самом деле ничего сложного нет в том, чтобы это и еще многое другое контролировать - тот же AVZ мог бы это делать (я имею ввиду тотальный контроль тела функции), благо все необходимое у него для этого есть. Вопрос только в том, насколько это нужно на практике - делать из более-менее работающей программы второй SVV? :P
[QUOTE=aintrust;88510]Да уж... ;)
Ну, зачем так уж сразу в середину? Достаточно обычно отступить байт 10-15 от начала... На самом деле ничего сложного нет в том, чтобы это и еще многое другое контролировать - тот же AVZ мог бы это делать (я имею ввиду тотальный контроль тела функции), благо все необходимое у него для этого есть. Вопрос только в том, насколько это нужно на практике - делать из более-менее работающей программы второй SVV? :P[/QUOTE]
С точки зрения контроля хулиганства с PEB уже позно - он уже сделан :) Модификация PEB опасна только тем, что скажем можно обозвать процесс svchost.exe и затем подредактировать PEB так, чтобы полное имя процесса по PEB было windows\system32\svchost.exe. Это достигается кодом на десять строчек, но в результате менеджеры процессов думают, что это легитимный svchost.exe
По поводу остального я согласен с мнением aintrust - AVZ не является специализирвоанным антируткитом и особого резона делать из него таковой нет ... принин много, основная - огромное количество пользователей AVZ, как следствие любая новая фича оборачивается глюками (обязательно у кого-нибудь найдется конфигурация, в которой что-то глюкнет), шквалом вопросов и т.п.
[QUOTE]По поводу остального я согласен с мнением aintrust - AVZ не является специализирвоанным антируткитом и особого резона делать из него таковой нет ... принин много, основная - огромное количество пользователей AVZ, как следствие любая новая фича оборачивается глюками (обязательно у кого-нибудь найдется конфигурация, в которой что-то глюкнет), шквалом вопросов и т.п.[/QUOTE]
Вот это я не понял. Т.е. АВЗ не будет уметь справляться с руткитами что бы не было лишних вопросов? А зачем тогда он нужен?
Частично поддерживаю. Антируткит - один из ключевых компонентов AVZ, и его нужно развивать :)
[QUOTE=Geser;88557]Вот это я не понял. Т.е. АВЗ не будет уметь справляться с руткитами что бы не было лишних вопросов? А зачем тогда он нужен?[/QUOTE]
Нет, речь немного не о том - антируткит AVZ является прикладным антируткитом - его задачей является подавление руткит-функций ITW заразы настолько, чтобы ее можно было заметить в исследовании системы и прибить (вручную, скриптом или автоматом). Но при этом не ставится цель охоты на "лабораторных крыс" - т.е. детектирования разнообразных концептуальных наработок. Пример с Haxdoor - когда появился Haxdoor, который успешно восстанавиливал перехваты, антируткит AVZ был усовершенствован таким образом, чтобы бороться с этим. Другой пример - перехват правкой SYSENTER - этот метод довольно долго витал в теории, но после его реализации в зловредах типа Costrat (PE386) в AVZ появились средства проверки и воссстановления SYSENTER. В сей момент проходит полевое испытание новая "пилюля" против последних видов PE386 - идеалогическая помесь руткита и Avenger. И т.п. - т.е. моя концепция такова - появится реальный зловред - будем думать, как его задавить. Иначе нельзя - поскольку есть десятки методов сокрытия процесса так, что ни один антируткит его не найдет.
[QUOTE=Зайцев Олег;88563]С точки зрения контроля хулиганства с PEB уже позно - он уже сделан[/QUOTE]
Да я, собственно, и имел ввиду, что эта "детская шалость" довольно просто контролируется, и то, что этот контроль не был до сих пор реализован в AVZ - это всего лишь небольшое упущение, т.к. базовая возможность для него уже имелась. В результате непосредственно на эту "доработку" было потрачено всего несколько минут...
[QUOTE=Зайцев Олег;88563] Иначе нельзя - поскольку есть десятки методов сокрытия процесса так, что ни один антируткит его не найдет.[/QUOTE]
Поскольки АВЗ не антивирус, и его основное предназначание - исследование системы, он должен уметь определять любое вмешательство в систему, не важно, уже используемое реально, или известное только теоретически.
Я уже не раз писал, что для любого продукта самое важное определить точно его нишу. АВЗ имеет ценность именно как интегрированная среда для исследования системы. А всё остальное вторично. ИМХО, конечно.
[QUOTE=Geser;88583]Поскольки АВЗ не антивирус, и его основное предназначание - исследование системы, он должен уметь определять любое вмешательство в систему, не важно, уже используемое реально, или известное только теоретически.
Я уже не раз писал, что для любого продукта самое важное определить точно его нишу. АВЗ имеет ценность именно как интегрированная среда для исследования системы. А всё остальное вторично. ИМХО, конечно.[/QUOTE]
Так оно и делается - просто реальным вмешательствам (т.е. есть ITW зверь и AVZ не позволяет хелперу его засечь или удалить) уделяется основной приоритет. А все остальное - конечно берется на заметку, изучается - но приоритет уже другой. Кстати о приоритете - неплохо хелперам брать на заметку все недостатки анализа и куда-то отдельно их собирать - чтобы был максимум информации в одном месте, а иначе они растворяются в десятках листов обсуждения.
-------
Поступили данные по поводу AVZPM, который лежит в обновленной базе - он нормально заработал на W2K3 SP0.