Бета-тестирование антивируса "ВирусБлокАда" 2

[QUOTE=antanta;451377]Нащёт обсуждения в другой ветке, согласен. Только скажите, в какой именно. Хотя, скорее окончательно уйду в потчту, а там по результатам.
Ссылка на антируткит станет рабочей, если я кликну ее из другой ветки? Я не сильно удивлюсь. "Вопросы крови — самые сложные вопросы в мире!" (тоже чей-то копирайт, какого-то провинциального автора, не заслуживающего упоминания). Вопросы адресации в глобальных сетях вообще, и резольвинга в частности - тож не подарок. Видел (и правил) такие чудеса расчудесные! :O
Касаемо данного случая: раньше был путь /pub/beta/... а теперь просто /beta/... Конечно же, оно теперь работает. Ладно бы Опера кешировала, дык я ж и ослом проверял, и другими путями на фтп лазил, чай не впервой. Я не тетушка Полли, а Вы не Том Сойер (хотя,аватар подходящий), и речь не о серебряных ложках. Хватит делать из меня дурака, и так плющит :O
Ну почему при любой тактичной попытке указать на маленькую оплошность на этом ресурсе всегда нарываешься на подколы и прочие мухо-котлеты? Неужели трудно сказать "Спасиба, братан, чо бы мы биз тибя делали?" (Тут мне скащуха нащет языка по правилам форума, я нииз России)
В общем, все в русле форума, все в стиле %GlobalModerName%. Если что-то не про дизайн и прочую ботву, то либо не видим, либо ни слова по делу.[/QUOTE]

Обсуждение антируткита здесь:

[URL="http://virusinfo.info/showthread.php?t=41137"]http://virusinfo.info/showthread.php?t=41137[/URL]

[QUOTE=antanta;451377]
[B] Что с ключами в Services, если путь не указан? Тищина-а-а... Ляпота...[/B] На... (кой черт) тогда объявлять бетатестинг?[/QUOTE]

Еще раз повторяю (первый раз было в письме): предоставьте скриншоты или ключи реестра того, что вы там творите со своей системой. Из ваших постов ничего не ясно.

И переползайте в соответствующую ветку форума.

[QUOTE=sergey ulasen;451335]Сегодня ночью выходит обновление антивирусного ядра. В данный апдейт вошли работы по оптимизации эмулятора. Благодаря этому прирост скорости сканирования PE-файлов доходит до 20%! Это очень здорово, на мой взгляд :)[/QUOTE]

Сегодня еще немножко подрихтовали эмулятор, исправив в нем небольшие ошибки. Также взяли винчестер "среднестатического юзверя" и произвели на нем замеры скорости с максимальными настройками:

Было - 05:31:56
Стало - 03:39:57

Поставил на Win 7, по работе пока сказать нечего, еще пробую.
С центром поддержки семерки не дружит, он его просто не узнает и просит антивирь.
При первом запуске после установки зависание системы, после принудительного перестарта все в норме.

[QUOTE=prowler;461468]С центром поддержки семерки не дружит, он его просто не узнает и просит антивирь.[/QUOTE]

У Microsoft теперь несколько иная политика выдачи SDK к Security Center. Решаем эту проблему.

[size="1"][color="#666686"][B][I]Добавлено через 5 часов 41 минуту[/I][/B][/color][/size]

*** 03.09.2009

* Улучшена эвристика на вредоносные упаковщики (Malware-Cryptor.Win32.General.3)

* Улучшена эвристика на вредоносные программы на AutoIT-скриптах

* Увеличена общая стабильность работы АВ-ядра

Я все-таки дождалась утрешних обновлений и перед уходом на работу протестировала сканер. Работает все не так как должно и это видно даже визуально (нет зависимости от скорости сканирования). Скорее всего, в линуксовой версии алгоритм реализован по-другому. В нескольких местах наблюдалась полная остановка, хотя это должно быть только при зависании.

+ В консольный сканер под Windows добавлен маркер загруженности потока проверки

+ Добавлено детектирование новых веток автозагрузки

* Внесены изменения в технологию, позволяющую избегать ложных срабатываний на файлах, подписанных ЭЦП

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

[QUOTE=Aleksandra;468915]Я все-таки дождалась утрешних обновлений и перед уходом на работу протестировала сканер. Работает все не так как должно и это видно даже визуально (нет зависимости от скорости сканирования). Скорее всего, в линуксовой версии алгоритм реализован по-другому. В нескольких местах наблюдалась полная остановка, хотя это должно быть только при зависании.[/QUOTE]
Вы имеете ввинду первый пункт сегодняшнего обновления?

[QUOTE=Aleksandra;468915]Я все-таки дождалась утрешних обновлений и перед уходом на работу протестировала сканер. Работает все не так как должно и это видно даже визуально (нет зависимости от скорости сканирования). Скорее всего, в линуксовой версии алгоритм реализован по-другому. В нескольких местах наблюдалась полная остановка, хотя это должно быть только при зависании.[/QUOTE]

Не готов это признать. Используется один и тот же механизм. Разница только в отрисовке, но это проблема терминалов.

Летом прошлого года нами были выпущены в свет следующие изменения в ядре:

[QUOTE=sergey ulasen;240372]
[COLOR="Red"]+ Добавлена технология, позволяющая избежать ложных срабатываний на файлах, подписанных ЭЦП[/COLOR]

[COLOR="#ff0000"]+ Добавлена технология, позволяющая детектировать вредоносные файлы, подписанные "троянской" ЭЦП[/COLOR]

[COLOR="#ff0000"]+ Добавлена технология, позволяющая детектировать эвристическим анализатором модифицированные файлы с внедренной ЭЦП (доступна на Избыточном уровне эвристики /ha=3)[/COLOR]
[/QUOTE]

Сейчас данные изменения были серьезно пересмотрены и улучшены.
Во-первых, избавились от детектирования параноидальной эвристикой модифицированных файлов с ЭЦП. Практического применения ей не нашлось, а вопросов она вызывала тьму тьмущую.
Во-вторых, вместо понижения детекта при FP до эвристического на файлах с ЭЦП, было решено вообще его убрать. Добавив при это соответствующую настройку в комплекс.
Поэтому сегодня ночью (по традиции) в бете появятся следующие изменения:

+ В антивирусное ядро добавлен новый режим работы, который исключает ложные срабатывания на файлах, подписанных ЭЦП. При попадании некорректной записи в базу и срабатывании этой записи на файле с ЭЦП, детектирование такого файла не произойдет. Данный режим включен по умолчанию

* В консольный сканер под Windows добавлен ключ /na, который отключает режим исключения ложных срабатываний на файлах с ЭЦП

Сегодня в бете:

[COLOR="Red"]+ Поддержка 7zip-архивов[/COLOR]

"Как долго я тебя ждала....." (с)

[COLOR="Red"]+ В консольные сканеры добавлены ключи:
/SD[+|-] - удаление подозрительных файлов
/SR[+|-] - переименование подозрительных файлов
/SM+[каталог] - перемещение подозрительных файлов в указанный каталог (по умолчанию C:\Virus)[/COLOR]

Необходимость в данных ключах давно назрела. А появление Vba32 Rescue и Vba32 Check, в которых используются консольные сканеры, заставило нас решить эту проблему :).

[COLOR="Red"]+ В консольные сканеры в список расширений обрабатываемых по умолчанию добавлены *.pdf, *.swf[/COLOR]

[COLOR="Red"]+ Обновился модуль Vba32 AntiRootkit до версии 3.12.3.3 beta[/COLOR]

Модули антируткита обновлены в комплексе и заодно добавлены в консольный сканер под Windows.

[COLOR="Red"]* Улучшена работа эмулятора ОС[/COLOR]

[COLOR="Red"]* Исправлены ошибки в алгоритме обработки архивов (спасибо Thierry Zoller)[/COLOR]

[COLOR="Red"]* Актуализированы языковые файлы[/COLOR]

В бете могут наблюдаться некоторые проблемы с детектирование скриптовых вирусов и эксплоитов. Данный функционал был подвергнут большой переработке, но еще до конца не завершен. В течение ближайших нескольких недель должны с ним окончательно разобраться.

Если вдруг столкнетесь с чем-то непонятным, жалуйтесь.

Какие-то проблемы с ключом /DUMP_ROOTKITS после обновлений?

[QUOTE=Aleksandra;484550]Какие-то проблемы с ключом /DUMP_ROOTKITS после обновлений?[/QUOTE]

Ключ /dump_rootkits удален из консольного сканера. Логика следующая:

1. Все длинные ключи в консольном сканере являются недокументированными, а некоторые из них имеют короткую жизнь. К примеру, на время подключения и отладки некоторой новой технологии;
2. Достаточно серьезно развился антируткит, и перед нами встал вопрос расширения той информации, которая выводилась по данному ключу в сканере;
3. В состав комплекса давно входил антируткит, а сейчас он был добавлен и в состав консольного сканера;
4. В антирутките ведется достаточно хороший лог;
5. Было решено не дублировать ту информацию, которая уже и так есть в антирутките, в лог сканера, а вообще от нее отказаться;
6. Чуть позже эта же судьба ждет и ключ /dump_autorun.

Консольный сканер умеет обновляться через прокси? В экзешнике есть путь в реестре к настройкам Internet Explorer, но сканер пытается обновляться напрямую. Проверял ветки HKLM и HKCU.
Антируткит в составе консольного сканера - 2.1, а отдельная версия уже 3.12.3.3. Положил свежий антируткит в каталог консольного сканера вместо старой версии - новая версия не увидела антивирусные базы сканера. Старый антируткит видит их нормально.

[QUOTE=Oyster;485057]Консольный сканер умеет обновляться через прокси?[/QUOTE]
Умеет. :) Создайте батник с содержимым:

[QUOTE]@vbaupdx.exe [url]http://anti-virus.by/beta/update/[/url] /p=<address:port> /r+update.log[/QUOTE]

[QUOTE=Oyster;485057]Антируткит в составе консольного сканера - 2.1, а отдельная версия уже 3.12.3.3. Положил свежий антируткит в каталог консольного сканера вместо старой версии - новая версия не увидела антивирусные базы сканера. Старый антируткит видит их нормально.[/QUOTE]

Так, давайте разбираться по порядку...
Вопрос: вы пользуетесь бета- или релиз-версией консольного сканера? Вопрос связан с тем, что в релизную версию консольного сканера антируткит еще не добавлен. Он был добавлен только на прошлой неделе и только в бета-версию.

[QUOTE=sergey ulasen;485510]Вопрос: вы пользуетесь бета- или релиз-версией консольного сканера?[/QUOTE]
Брал по ссылке [URL]ftp://vba.ok.by/vba/Vba32Check.exe[/URL] , пишет про себя:
+----------------------------------------------------------+
| VirusBlokAda (Console scanner) |
| Vba32 Windows/CL 3.12.10.11 / 2009.10.12 11:22 (Vba32.W) |
| Copyright (c) 1993-2009 by VBA Ltd. |
+----------------------------------------------------------+
User: Vba32 Check
License #000002294 Valid till 31.12.09

[B]2Oyster[/B]

Теперь стало яснее :)

Вы скопировали файлы в папку Vba32Check\Vba32AntiRootkit или в Vba32Check\vba32w ?
Если в Vba32Check\vba32w, то проверка ядром в антирутките должна работать. Но так как есть некоторые проблемы совместимости текущего релизного ядра и беты антируткита, в релизном консольном сканере не будут работать некоторые режимы проверки памяти.

[QUOTE=sergey ulasen;485989]Вы скопировали файлы в папку Vba32Check\Vba32AntiRootkit или в Vba32Check\vba32w ?[/QUOTE]Как правильная Маша, копировал в Vba32Check\Vba32AntiRootkit :D

[QUOTE=Oyster;486117]Как правильная Маша, копировал в Vba32Check\Vba32AntiRootkit :D[/QUOTE]

Понятно :)

В таком режиме антируткит не загружает антивирусное ядро. Для того, чтобы он его загрузил, скопируйте его в папку Vba32Check\vba32w.
Но:

1) при копировании будет произведена замена файла vba32ar.dll (c 2.1 на 3.12.3.3);
2) после копирования и замены файла, антируткит будет работать нормально, а с работой консольного сканера будут некоторые проблемы;
3) каждый раз после обновления консольного сканера, файл vba32ar.dll будет восстанавливаться в исходное состояние.

Все указанные проблемы решены в текущей бете и будут доступны с релизом 3.12.12.0

Есть вопросы по консольному сканеру, версия Vba32 Windows/CL 3.12.10.11
1. В bat-файлах check_all.bat, collect_susp.bat и т.д. встречаются параметры командной строки /ic и /nc, а команда /help про них не пишет. Каково их значение?
2. В файле cure_PE.bat используются параметры /af (обрабатывать все файлы), /ar (проверять архивы), /ml (проверка почтовых баз), и в то же время /ext=exe.sys.dll.scr.pif Нет ли здесь противоречия? Проверка архивов ещё понятна, но почта и "все файлы"?
3. Для архивации используется консольный Rar - всё ли в порядке с лицензией? :) Как вариант - 7Zip-ом паковать в zip.

[QUOTE=Oyster;488939]Есть вопросы по консольному сканеру, версия Vba32 Windows/CL 3.12.10.11[/QUOTE]

Готов на них отвечать.

[QUOTE=Oyster;488939]1. В bat-файлах check_all.bat, collect_susp.bat и т.д. встречаются параметры командной строки /ic и /nc, а команда /help про них не пишет. Каково их значение?[/QUOTE]

Это недокументированные ключи.

/ic - "ignore corrupted". Игнорирует проверку целостности при запуске консольного сканера.

/nc - "no com". В случае установленного на компьютер комплекса Vba32, не будет работать через COM, а загрузит свою копию ядра и баз.

[QUOTE=Oyster;488939]2. В файле cure_PE.bat используются параметры /af (обрабатывать все файлы), /ar (проверять архивы), /ml (проверка почтовых баз), и в то же время /ext=exe.sys.dll.scr.pif Нет ли здесь противоречия? Проверка архивов ещё понятна, но почта и "все файлы"?[/QUOTE]

Да, явное противоречие. Спасибо.

[QUOTE=Oyster;488939]3. Для архивации используется консольный Rar - всё ли в порядке с лицензией? :) Как вариант - 7Zip-ом паковать в zip.[/QUOTE]

Да, проблемы точно есть :) Еще раз спасибо.

После выхода релиза 3.12.12.0 мы обязательно пересмотрим Vba32Check. Нужно будет и батники откорректировать, т.к. там добавятся новые ключи. Часть батников вообще нужно будет убрать, т.к. они ниразу не пригодились. А возможность отправки на сервер отчетов, скорее всего, отрубим, т.к. это тоже явно избыточный функционал. Тогда ни rar ни 7zip не понадобятся :) До НГ исправимся.