[quote=Зайцев Олег;163093]Нет. Он возникает на W2K SP4, я ловлю его[/quote]
Олег, хочешь я под дельфийским отладчиком посмотрю в чём там дело?
Printable View
[quote=Зайцев Олег;163093]Нет. Он возникает на W2K SP4, я ловлю его[/quote]
Олег, хочешь я под дельфийским отладчиком посмотрю в чём там дело?
Олег, у тебя наверное л.с. забит, поэтому пишу тут :
Насчёт ближайшего релиза -
Не забудь пожалуйста обновить исправления в английской части программы и хепл английский включить в зип, тзкже чтобы автоматом выбирался английский хелп , когда в английском интерфейсе запускаеться программа ;)
[quote=Jef239;163141]Олег, хочешь я под дельфийским отладчиком посмотрю в чём там дело?[/quote]
Отладчик даст место (я его и так знаю), но не причну - поэтому не стоит терять времени. Гораздо интереснее другое - тест на чистом W2K, чтобы понять, это проблема AVZ + W2K или AVZ + W2K + Outpost
[QUOTE=drongo;163255]Олег, у тебя наверное л.с. забит, поэтому пишу тут :
Насчёт ближайшего релиза -
Не забудь пожалуйста обновить исправления в английской части программы и хепл английский включить в зип, тзкже чтобы автоматом выбирался английский хелп , когда в английском интерфейсе запускаеться программа ;)[/QUOTE]
+1
:)
А принципиально нового в AVZ не планируеться?
Так как смотрю что вредоносные программы часто помешают себя в некоторые каталоги, может в отчете avz показывать список потенциально опасных файлов в директориях в которых они по идее не должны находится например(Все без подкаталогов):
[CODE]
Тут искать *.exe *.dll *.sys *.com *.pif *.bat *.cmd *.vbs *.js *.ocx
C:\WINDOWS\Temp
C:\Documents and Settings\%username%\Local Settings\Temp
C:\WINDOWS\Downloaded Program Files
C:\Documents and Settings\%username%\Local Settings\Temporary Internet Files
C:\Program Files
C:\Documents and Settings\All Users\Application Data
Исключить *.sys
C:\WINDOWS\system32\drivers
Исключить *.dll
C:\WINDOWS\system
Искать только *.sys
C:\WINDOWS\system32
C:\WINDOWS
Искать только *.exe *.dll *.vbs *.js *.ocx
C:\
[/CODE]
Правда размер лога может вырасти...
[quote=Зайцев Олег;163263] Гораздо интереснее другое - тест на чистом W2K, чтобы понять, это проблема AVZ + W2K или AVZ + W2K + Outpost[/quote]
При остановленном Outpost (и EXE и сервис) эффект тот же. Выгрузить ещё и драйвера?
В теме [url]http://virusinfo.info/showthread.php?t=15556[/url]
странные пути у файлов в секции "Модули пространства ядра". С переменной
%SystemRoot% все в прорядке. Может ли это быть вызвано нестандартным именем папки для установки Windows (C:\WINDOWS.1)?
[QUOTE=Jef239;163426]При остановленном Outpost (и EXE и сервис) эффект тот же. Выгрузить ещё и драйвера?[/QUOTE]
Обязательно. Драйвера как раз самые подозреваемые и есть.
[quote=pig;163537]Обязательно. Драйвера как раз самые подозреваемые и есть.[/quote]
Анинсталировал Outpost вообще. Запустил AVZ - баг на месте. То есть это вообще не OutPost виноват. А именно SP4. Какие дальше эксперименты делать?
Олег, может быть ты скажешь, где взять текст стандартного скрипта номер 2, а я посмотрю, на какой команде (группе команд) этого скрипта лажает? Да, почти наверняка оно валится на VarClear. Возможно потому, что в вариантной переменной юникодная строка (или мусор). Если ОЧЕНЬ надо - могу под отладчиком посмотреть, где оно всё-таки падает. Но мне будет легче смотреть, если будет известна одна операция скрипта, а не ждать пока весь скрипт пройдёт.
Ещё вариант - можешь обвещшать все вариантные операции отладочной инофрмацией, а я запущу у себя и пришлю трассу.
P.S. У меня фактически preSP5 стоит. То есть все последние патчи + выходивший где-то год назад preSP5.
Да, и еще мои 5 рублей по поводу нововведений в 4.29
Есть основания говорить, что в подозрительные объекты в отчете исследования системы попадает не все. Например, драйверы с цифровой подписью, которые ничего не перехватывают, но при этом загружены в память и являются явными зловредами:
[QUOTE]C:\WINDOWS\System32\Drivers\ndisrd.sys NDISRD helper driver Copyright [B]NT Kernel Resources© 2002-2003[/B] [/QUOTE]
Хотя, если подумать, то автоматику тут использовать почти невозможно. Если только она сама гуглить не станет по именам файлов...
Прикрепил архив с отчетом, который иллюстрирует ситуацию.
Очевидно, как раз для таких случаев и потребуется helpdesk...
У меня 2 предложения по АВЗ.
1. Иногда трояны подменяют собой системные файлы, и при их удалении система не поднимается. Думаю стоит добавить в АВЗ базу данных имён системных файлов (включая полный путь, конечно) и помечать такие файлы в логе. Так хелперы смогут понять что нельзя просто удалять файл, а нужно его заменить на чистый.
Если это проблемно с точки зрения объёма базы, то хотя бы писать в неё файлы которые наиболее часто подменяются троянами.
2. Иногда системные файлы не изменяются, а просто в реестре изменяется ссылка, на файл трояна. Опять же, в случае удаления система не поднимится. Предлагаю так же добавить базу данных ключей изменяемых троянами, и выдавать предупреждения в случае если они ссылаются на файлы отличные от стандартных.
[quote=Geser;163660]У меня 2 предложения по АВЗ.
1. Иногда трояны подменяют собой системные файлы, и при их удалении система не поднимается. Думаю стоит добавить в АВЗ базу данных имён системных файлов (включая полный путь, конечно) и помечать такие файлы в логе. Так хелперы смогут понять что нельзя просто удалять файл, а нужно его заменить на чистый.
Если это проблемно с точки зрения объёма базы, то хотя бы писать в неё файлы которые наиболее часто подменяются троянами.
2. Иногда системные файлы не изменяются, а просто в реестре изменяется ссылка, на файл трояна. Опять же, в случае удаления система не поднимится. Предлагаю так же добавить базу данных ключей изменяемых троянами, и выдавать предупреждения в случае если они ссылаются на файлы отличные от стандартных.[/quote]
Принимается. Это уже реализовано, и первое, и второе ... в версии 4.29. Осталось только базы набить ..
[QUOTE=Зайцев Олег;163682]Принимается. Это уже реализовано, и первое, и второе ... в версии 4.29. Осталось только базы набить ..[/QUOTE]
Я еще не копался в новой версии. Я так понял что это сейчас в визардах. Но нужно что бы пометки были в соответствующих разделах HTML отчета. Т.е. если это процесс, то в списке процессов и т.д.
Лучше также убрать для таких файлов в HTML отчете ссылки на автогенерацию комманд удаления. Так меньше шансов что хелпер по ошибке их все же удалит.
Есть ли новый, исправленный релиз (> 4.29.0.9)?
[quote=santy;163743]Есть ли новый, исправленный релиз (> 4.29.0.9)?[/quote]
Только что скачал - на сайте по-прежнему 4.29.0.9
Посмотрел лог новой версии. Очень понравилось что теперь для драйверов есть как опция удалить файл, так и опция остановить/удалить... службу.
Предлагаю для всех остальных объектов автозапуска добавить опцию удаления ключа из реестра.
Думаю так же будет полезно хинтом прописывать полный путь к этому ключу и его значение
В версии 4.29 при использовании ревизора: база создается,но при сравнении диск<>база,при выборе файла базы, в строке [i]тип файлов[/i] стоит:[b]$AVZ1129[/b]. Соответственно не запускается проверка. Скачал еще раз архив с АВЗ. Все тоже самое. В версии 4.27 все как надо в этой строке:[b]Файлы ревизора(*.frz)[/b]
Это не только с файлами ревизора, но и со всеми прочими диалогами. :)
[quote=barsukRed;163807]В версии 4.29 при использовании ревизора: база создается,но при сравнении диск<>база,при выборе файла базы, в строке [I]тип файлов[/I] стоит:[B]$AVZ1129[/B]. Соответственно не запускается проверка. Скачал еще раз архив с АВЗ. Все тоже самое. В версии 4.27 все как надо в этой строке:[B]Файлы ревизора(*.frz)[/B][/quote]
Это баг - исправлено
Олег, Вы сообщите о выходе исправленной версии?
[quote=Maxim;163817]Олег, Вы сообщите о выходе исправленной версии?[/quote]
Да, конечно. Просто я затягиваю выход обновления пока активно обнаруживаются баги
Олег, возможно ли в xml-логе исследования использовать одинаковый набор полей для разных категорий исследования:process, dll, drivers, services и др.? С тем, чтобы возможно было логи добавлять в базу данных и проводить сравнительный анализ_обработку для различных хостов.
[quote=santy;163828]Олег, возможно ли в xml-логе исследования использовать одинаковый набор полей для разных категорий исследования:process, dll, drivers, services и др.? С тем, чтобы возможно было логи добавлять в базу данных и проводить сравнительный анализ_обработку для различных хостов.[/quote]
А для этого не нужен идентичный набор полей ... файл кстати описывается идентичным набором атрибутов, а таскать поле PID скажем в списке BHO - несерьезно. делается это так:
1. Заводится несколько таблиц - по одной на каждую категорию
2. Заводится таблицы:
2.1 Справочник категория (поля: код, имя категории)
2.2 Справочник параметров (поля: код, имя категории, тип). Ссылочная целостность на таблицу 2.1
2.3 Справочник "параметры категорий" (поля: код категории, код параметра), ссылочная целостность на 2.1 и 2.2
2.4 таблица "исследования". там код исследования, дата исследования, примечания, признаки ...
2.5 заводим хранилище - таблица с полями: код исследования, код категории, код строки, код параметра, значение параметра). Ссылочная целостность на 2.1, 2.2 и 2.4, логический контроль по 2.3. И там храним все, что нужно ....
так что все просто ...
[quote=Зайцев Олег;163824]Да, конечно. Просто я затягиваю выход обновления пока активно обнаруживаются баги[/quote]
А тестеры затягивают тестирование до выхода новой версии. :) По принципу "три бага нашли - ждём новой версии" :biggrin:
Если честно, хочется по скорее исправленный релиз. Не работающая DeleteService - это серьезно для "Помогите".
А АВЗ совместим с 64 битной версией винды?
У меня не устанавливаются драйвера и не включается гвард, не проходит скрипт на поиск руткитов из за ошибки:
"Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (C:\WINDOWS\system32\ntoskrnl.exe)"
Я не могу проверить, т.к. система 64битная тока дома) стандартный Скрипт на удаление драйверов я выполнял. Может надо найти старую версию? И выполнить в ней? Где то на первых страницах написали что не важна версия. И где мне в случае необходимости скачать старую? В здешних загрузках как я понимаю тока последняя версия.
Заранее благодарен. "Респект и уважуха" за прогу)
[quote=LeeDRuid;163913]А АВЗ совместим с 64 битной версией винды?
[/quote]
нет ;) это указано в справке программы, почитайте на досуге:tongue:
Возможно ли выгружать/удалять что-либо из "Модуля пространства ядра" ?
Иногда,думаю, бывает нужно.
[quote=Surfer;163948]Возможно ли выгружать/удалять что-либо из "Модуля пространства ядра" ?
Иногда,думаю, бывает нужно.[/quote]
Это технически невозможно ... выгрузка некоего модуля ядра, на содаржащего потоки, обрабатывающего какие-то запросы (про перехват и фильтры типа фильтра файловой системы я вооще молчу) приведет к BSOD. Драйвер можно "вежливо попросить" выгрузиться, если он пожелает это сделать - то выгрузится. Это есть в менеджере служб и драйверов.
[quote=Зайцев Олег;163967]Это технически невозможно ... выгрузка некоего модуля ядра, на содаржащего потоки, обрабатывающего какие-то запросы (про перехват и фильтры типа фильтра файловой системы я вооще молчу) приведет к BSOD. Драйвер можно "вежливо попросить" выгрузиться, если он пожелает это сделать - то выгрузится. Это есть в менеджере служб и драйверов.[/quote]
Как раз одна из потенциальных дырок в avz. Это возвращаясь к руткитам. :)
Драйвер isdrv122.sys от последнего IceSword'a применяет несколько руткит-технологий чтобы скрыть присутствие в системе.
Его невидно нигде, кроме "пространства ядра".
Что помешает использовать подобное в реальных зловредах ?
[quote=Surfer;163976]Как раз одна из потенциальных дырок в avz. Это возвращаясь к руткитам. :)
Драйвер isdrv122.sys от последнего IceSword'a применяет несколько руткит-технологий чтобы скрыть присутствие в системе.
Его невидно нигде, кроме "пространства ядра".
Что помешает использовать подобное в реальных зловредах ?[/quote]
Это "проблема" не AVZ. Это особенность ядерной части Windows.
Идеология примерно такая: если модуль не зарегистрировал в системе функции собственной "выгрузки",
значит этого нельзя сделать без последствий для системы.
Другой вопрос - кто и как пользуется этой особенностью..
Тем более, что никто не может лучше автора драйвера знать как правильно выгрузить его "творение".
[QUOTE]Его невидно нигде, кроме "пространства ядра".
Что помешает использовать подобное в реальных зловредах ?[/QUOTE]
А оно уже используется. К примеру в небезызвестном rootkit.agent.ea
Да и не только в нем. Последние версии bulknet'а ведут себя аналогично.
Собственно это был простейший пример, есть ещё более извращённые :)
[quote=Surfer;163976]Как раз одна из потенциальных дырок в avz. Это возвращаясь к руткитам. :)
Драйвер isdrv122.sys от последнего IceSword'a применяет несколько руткит-технологий чтобы скрыть присутствие в системе.
Его невидно нигде, кроме "пространства ядра".
Что помешает использовать подобное в реальных зловредах ?[/quote]
Модуль драйвера, видимый лишь через пространство модулей ядра, нужно удалять через BootCleaner. А что, сейчас нет удобного способа это сделать?
Или речь о том, что нужно не удаление "Насовсем", а какое-то временное переименование?
Если драйвер малвары загружается раньше, чем это делает bootclean драйвер AVZ, то удалить малвару не получится. Вся беда в том, что они и грузятся раньше. Но по словам Олега в закрытой ветке противоядие на подходе.
[quote=Surfer;163976]Как раз одна из потенциальных дырок в avz. Это возвращаясь к руткитам. :)
Драйвер isdrv122.sys от последнего IceSword'a применяет несколько руткит-технологий чтобы скрыть присутствие в системе.
Его невидно нигде, кроме "пространства ядра".
Что помешает использовать подобное в реальных зловредах ?[/quote]
Да? И какие же технологии он применяет для маскировки?:biggrin:
З.Ы. Драйвер этого антируткита не маскируется ни впамяти, ни на диске. Более того - он на диске не существует. И ключи после регистрации и загрузки он удаляет из системного реестра. Применять это малварам не имеет смысла, т.к. после ребута они банально не загрузятся.
что-то потерялось :( Строчка из лога: [url]http://virusinfo.info/showthread.php?t=15676[/url]
[QUOTE]$AVZ0637: "NWLink IPX/SPX/NetBIOS-совместимый транспортный протокол" --> $AVZ0623 C:\WINDOWS\System32\nwprovau.dll[/QUOTE]
[quote=PavelA;164603]что-то потерялось :( Строчка из лога: [URL]http://virusinfo.info/showthread.php?t=15676[/URL][/quote]
Да, это баг. Исправлено.
[url]http://virusinfo.info/showthread.php?t=15723[/url]
C:\WINDOWS\system32\dllcache\winlogon.exe- нет влоге AVZ, но есть в hijackthis