Антивирусная утилита AVZ - 4.23 + AVZGuard/AVZPM/BootCleaner

Нет, не таким. Выводится в этом же окне. Возможно, файл большой и вы просто не дождались окончания загрузки.

[QUOTE=anton_dr;91514]Нет, не таким. Выводится в этом же окне. Возможно, файл большой и вы просто не дождались окончания загрузки.[/QUOTE]

Файл, действительно, большой (19.4 Мб), но окончания загрузки я вроде дождался, окно перечиталось, поле где был путь и имя файла очистились, но отчета не появилось :? . Это окно у меня до сих пор открыто - никакого отчета там не появилось. Может загрузка не прошла нормально, например из-за размера? Хотя по счетчику Оперы было передано 19.5 Мб...

[QUOTE=Arhimed;91515]Файл, действительно, большой (19.4 Мб), но окончания загрузки я вроде дождался, окно перечиталось, поле где был путь и имя файла очистились, но отчета не появилось :? . Это окно у меня до сих пор открыто - никакого отчета там не появилось. Может загрузка не прошла нормально, например из-за размера? Хотя по счетчику Оперы было передано 19.5 Мб...[/QUOTE]
Была проблема с загрузкой. Должна быть исправлена сейчас

[QUOTE=Geser;91523]Была проблема с загрузкой. Должна быть исправлена сейчас[/QUOTE]

Мне надо загрузить файл заново?

[QUOTE=Arhimed;91524]Мне надо загрузить файл заново?[/QUOTE]
Да, и сообщить о результате. Внизу страницы по окончанию загрузки будет отчет.

[QUOTE=Geser;91526]Да, и сообщить о результате. Внизу страницы по окончанию загрузки будет отчет.[/QUOTE]

Сообщаю о результате - то же самое, никакого отчета :(

[QUOTE=Зайцев Олег;91194]:) Или воткнуть в AVZ "Авторизованный партнер ЛК" :) Последнее кстати в теории возможно, правда при условии, что для изучения ПК пострадавших в их конференции они положат архив у себя на сервере. У меня кстати с начала месяца намоталось 205 ГБ трафика ...[/QUOTE]
Олег, а ЛК делится с Вами зловредами ? А Вы с ними ? А вообще с какими АВ обмениваетесь зверями, если не секрет? :)

[QUOTE=userr;91659]Олег, а ЛК делится с Вами зловредами ? А Вы с ними ? А вообще с какими АВ обмениваетесь зверями, если не секрет? :)[/QUOTE]
Нет, отправка зверей в ЛК односторонняя. Но я отправляю им немного сравнительно - может, штук 300-500 в год. У меня все руки не доходят подключить ИР анализатор для отправки им недетектируемых зверей... у меня и без обмена столько ITW зверей, что девать их некуда (см. стать отчеты [url]http://www.z-oleg.com/secur/virstat/index.php)[/url]. А так мы с VBA обменивается иногда, плюс я им периодически скидываю архивы по 15-20 мб со зловредами, которые детектит их эвристик в кеше моего ИР анализатора. Плюс с рядом AV контор идет постоянный обмен ITW образами по закрытой сети, там в год проходят тысячи зловредов ...

Олег, я дико извиняюсь, не нашёл как написать напрямую вам на вашем сайте, поэтому пишу тут :)
Не работает ссылочка в разделе "Описание вирусов" - 20 последних описаний.

Кстати, как там идея выявления руткитов через результаты сканирования диска через операционку и через драйвер прямого доступа. То же и с реестром?

[QUOTE=MedvedD;91829]Олег, я дико извиняюсь, не нашёл как написать напрямую вам на вашем сайте, поэтому пишу тут :)
Не работает ссылочка в разделе "Описание вирусов" - 20 последних описаний.[/QUOTE]
Должна работать - она ведет на [url]http://www.z-oleg.com/secur/virlist/index20.php[/url], вроде все открывается. Она на выходных не работала, там был небольшой глюк.

[QUOTE=Geser;91830]Кстати, как там идея выявления руткитов через результаты сканирования диска через операционку и через драйвер прямого доступа. То же и с реестром?[/QUOTE]
Идея в стадии. Сейчас идет сравнение до и после нейтрализации руткита, что собственно дает прямой эффект. С прямым чтением диска давно все готово, но это сработает на обычном диске - а если он зашифрованный, виртуальный и т.п. - не факт. Пока меня смущает только тот факт, что сравнение диска путем его прямого чтения и через API требует определенного времени, что увеличит продолжительность сканирования.

[QUOTE=Зайцев Олег;91834]Должна работать - она ведет на [url]http://www.z-oleg.com/secur/virlist/index20.php[/url], вроде все открывается. Она на выходных не работала, там был небольшой глюк.[/QUOTE]

Далее, когда жмем на конкретное описание получаем - 404 и т.д.

[QUOTE=Iceman;91836]Далее, когда жмем на конкретное описание получаем - 404 и т.д.[/QUOTE]
А вот нажимать то я и не пробовал :) Спасибо, глюк исправлен

[QUOTE=Зайцев Олег;91835]Идея в стадии. Сейчас идет сравнение до и после нейтрализации руткита, что собственно дает прямой эффект. [/QUOTE]
При условии что руткит удалось нейтралисовать, что совсем не факт.
[QUOTE]С прямым чтением диска давно все готово, но это сработает на обычном диске - а если он зашифрованный, виртуальный и т.п. - не факт. Пока меня смущает только тот факт, что сравнение диска путем его прямого чтения и через API требует определенного времени, что увеличит продолжительность сканирования.[/QUOTE]Обычных дисков большинство. Остальное экзотика. А время, кто хочет вылечиться найдёт. Можно сделать сканирование только системного раздела.

[QUOTE=Geser;91847]При условии что руткит удалось нейтралисовать, что совсем не факт.
Обычных дисков большинство. Остальное экзотика. А время, кто хочет вылечиться найдёт. Можно сделать сканирование только системного раздела.[/QUOTE]
В принципе логично ...так как некоторые руткиты нейтрализовать проблемно - например, фильтр файловой системы. При желании его можно нейтрализавать, но пойследствия такого фокуса могут быть губительными. Или нейтрализовывать нечего - так как руткит ничего не перехватывает, маскируясь по DKOM технологии.

[QUOTE=MP_ART;91970]Находим скрытый файл (драйвер - фильтр), удаляем, reboot. ВСЕ! И без последствий. При желании и [B]умении[/B]. У меня есть подарок для вас, Олег. Хотелось завершить работу над ним к рождеству, но не получилось. Unreal 1.0 [URL="http://rku.xell.ru/?l=r&a=dl"]http://rku.xell.ru/?l=r&a=dl[/URL]. Мне очень интересен ваш перспективный проект. Слежу за изменениями. Удачи! :)[/QUOTE]
Я посмотрел Unreal - что тут сказать, весьма достойная штука (особенно учитывая его размер). Я его пробовал под XP SP2 - там он очень чисто замаскировался.

[QUOTE=Зайцев Олег;91980]Я посмотрел Unreal - что тут сказать, весьма достойная штука (особенно учитывая его размер). Я его пробовал под XP SP2 - там он очень чисто замаскировался.[/QUOTE]
Я тоже вчера вечером его посмотрел. Да, в отличие от своего частичного идейного предшественника (я имею ввиду [I]phide_ex[/I]), [I]Unreal[/I] функционирует довольно стабильно - впрочем как и все, что выпускается командой [B]EP_X0FF[/B] и [B]MP_ART[/B]. =)

Лично на меня в новом рутките наибольшее впечатление произвели две закодированные [I]xor[/I]-ом
строки в теле драйвера [I]unreal.sys[/I], а именно [I]"\DeViCe\AvG_AnTi"[/I] и [I]"\dEvIcE\aVz"[/I]. Как говорится, если не можем красиво спрятаться от программ "конкурентов", так просто тихо "замочим" их (далее в драйвере делается [I]IoDeleteDevice[/I] на эти девайсы). Скажу прямо: не слишком элегантный способ противодействия "конкурентам" (в кавычках потому, что вряд ли [I]AVZ[/I] является прямым конкурентом команде [I]RkU[/I], т.к. никогда не претендовал на звание полноценного детектора руткитов). Добавлю также, что есть более интересные способы избавления от программ нотификации (hint: смотрите в сторону реализации функций [I]PsSet...NotifyRotine[/I] в [I]ntoskrnl.exe[/I], а также на группу неэкспортируемых символов типа [I]_PspLoadImageNotifyRoutineCount[/I], [I]_PspLoadImageNotifyRoutine[/I] и т.д. для каждой из функций нотификации).

Но в целом это хорошая работа, хотя я бы и не согласился, что размер руткита очень мал (к примеру, драйвер "весит" 6 Кбайт), учитывая специфику сокрытия. В общем, если не учитывать "разборки с AVZ" - это вполне интересная штука!

Подобная "разборка" как раз и нужна, чтобы избавиться от любителей Notify. В планах перейти от личностей к общему и запретить кому-либо пользовать эту рутину. А по поводу красиво-некрасиво: это работает. Просто надо было защитить драйвер на старте, и я это сделал. Вам никто не мешает работать потом, детектите хоть до опупения. В ходе исследования были выявлены откровенные баги во многих антируткитах, позволившие отказаться от больших извратов

[quote] Скажу прямо: не слишком элегантный способ противодействия "конкурентам"[/quote]

Разборка с AVZ & AVG только потому что оба используют те же самые грязные методы Notify рутин выдаваемые за детект. Если антируткит, будь то модуль, будь то полноценный арк не способен без этого уродства найти руткит - грош ему цена. Мы могли с тем же успехом вынести всех остальных.

[QUOTE=MP_ART;91988]Подобная "разборка" как раз и нужна, чтобы избавиться от любителей Notify. В планах перейти от личностей к общему и запретить кому-либо пользовать эту рутину.[/QUOTE]
Ну, насчет "запретить" - это, конечно, сильно сказано. В любой системе действует железный принцип: "кто первый встал, того и тапки". Если нотификация (любого вида) запустится первой, никакие руткиты ей не страшны, точно так же и наоборот.

[QUOTE=EvilPhantasy;91990]Разборка с AVZ & AVG только потому что оба используют те же самые грязные методы Notify рутин выдаваемые за детект. Если антируткит, будь то модуль, будь то полноценный арк не способен без этого уродства найти руткит - грош ему цена. Мы могли с тем же успехом вынести всех остальных.[/QUOTE]
Мне кажется, что пора уже давно перестать говорить о "грязных методах Notify рутин". Ничего "грязного" в них нет - это самые обычные и описанные [U]официально[/U] методы, причем явно продвигаемые и даже навязываемые Майкрософтом в качестве основных (смотрите в сторону Vista, к примеру). Более того, каждый детектит как хочет (и как может), и для обнаружения зловредов любые методы хороши, лишь бы они давали результат - однако, как я уже говорил, AVZ не детектор и вам не конкурент, т.к. цели у вас немного разные, так чего же его надо так "любить, что лучше даже убить"? =)

Не обижайтесь, но "грязными" я скорее бы назвал те методы борьбы с программами конкурентов, что вы применили в этом рутките. Если бы это было сделано для всех без исключения (просто и красиво), а не примитивно и конкретно для двух отдельно взятых утилит - для меня не было бы и вопросов! =)

Рассмотрим гипотетический случай: Марк Руссинович вставляет в свой [I]RootkitRevealer[/I] код, убивающий [I]AVZ[/I] или [I]RkU[/I]. Смешно? И мне тоже... =)

[QUOTE=EvilPhantasy;91990]Мы могли с тем же успехом вынести всех остальных.[/QUOTE]
И, тем не менее, выбор именно этих двух (якобы конкурирующих с вами) утилит показывает, "против кого вы дружите". А смысл какой - ведь, по сути дела, на одном поле воюете...

Уважаемый Олег!
Огромное спасибо за победу над Trojan-Clicker.Win32.Costrat.n(lzx32.sys)!
Блестящая работа!

Александр Куликов, программист.

[quote="aintrust"]Если нотификация (любого вида) запустится первой, никакие руткиты ей не страшны, точно так же и наоборот.[/quote]

Сомнительное заявление. Очень помогла нотификация АВГ. Он просто умер от щастья.

[quote="aintrust"]Мне кажется, что пора уже давно перестать говорить о "грязных методах Notify рутин"[/quote]

Конечно, только их почему то используют не в Висте и только когда не могут ничего другого. Чистый детект - это детект со старта, все остальное это демагогия и ламерство.

[quote="aintrust"]Не обижайтесь, но "грязными" я скорее бы назвал те методы борьбы с программами конкурентов, что вы применили в этом рутките.[/quote]

Какие конкуренты, такие и методы. И мне глубоко .... кто что на этот счет думает и каким образом это оценивается. Автору громозона также. Нужен будет специфик код на все антируткиты? - без проблем, они все будут сыпать msgbox'ами с ошибками на старте.

[quote="aintrust"]Рассмотрим гипотетический случай: Марк Руссинович вставляет в свой RootkitRevealer код, убивающий AVZ или RkU. Смешно? И мне тоже... =)[/quote]

Марк вместе с Брюсом в Майкрософт, им теперь до фени до своего PoC'а. И вообще, что-то я не понял логики сравнения. Мы что грохаем АВЗ и АВГ в своей программе? Только GMER, и то в старых версиях.

p.s.

Что то не видел я нигде заявлений о конкуренции ни с одной ни с другой стороны. До этого момента.

Для меня вообще новость, что мы конкурируем.

[QUOTE=EvilPhantasy;92004]p.s.
Что то не видел я нигде заявлений о конкуренции ни с одной ни с другой стороны. До этого момента.[/QUOTE]
[QUOTE=MP_ART;92006]Для меня вообще новость, что мы конкурируем.[/QUOTE]
Именно по этой причине слово "конкуренты" я взял в кавычки (см. мое первое сообщение).

[QUOTE=EvilPhantasy;92002]Сомнительное заявление. Очень помогла нотификация АВГ. Он просто умер от щастья.[/QUOTE]
Я же говорю о нормальной реализации нотификации. К примеру то, как это сейчас сделано в AVZ, тоже нуждается в серьезном изменении - ну и что с того-то? Это ведь сейчас не мешает AVZ успешно бороться с рядом руткитов (и с Rustock-ами в том числе).

[QUOTE=EvilPhantasy;92002]Чистый детект - это детект со старта, все остальное это демагогия и ламерство.[/QUOTE]
Я бы с вами согласился на 100%, если бы практика (да и теория тоже) не опровергала этого. Детект со старта - это, конечно, красиво и очень непросто в реализации, и это, безусловно, не ламерство, однако надежность методов очень далека от 100% (впрочем, как и любого другого метода детекта). По сути (для себя лично) я всегда рассматриваю борьбу "руткит - антируткит-детектор" не более чем игру "кто кого", типа шахмат или карт - кто "умнее", изощреннее и т.д. Это типа практики для ума. Пока что вы с вашим главным продуктом в этом преуспеваете - молодцы! =)

[QUOTE=EvilPhantasy;92002]И вообще, что-то я не понял логики сравнения. Мы что грохаем АВЗ и АВГ в своей программе? Только GMER, и то в старых версиях.[/QUOTE]
Скажу честно: как бы вы ни относились к стороннему мнению, мне лично очень бы не хотелось, чтобы ваше "дело праведной борьбы с инакомыслящими" дошло до методик, примененных не так давно против GMER-а. Мой вам [U]дружеский[/U] совет (хотите прислушивайесь, хотите - нет, дело ваше): оставьте вы в покое AVZ и иже с ними, они ведь делают свое непростое дело, и зачастую даже очень неплохо! В области старт-детекта они вам сейчас действительно не конкуренты, и для конечного пользователя это даже плюс, т.к. все равно никогда не будет одной единственной программы, которая бы в одиночку смогла победить все и вся!

В общем, творческих успехов и good luck! =)

GMER был, есть и будет нашей единственной мишенью (по личным и чисто эстетическим причинам). Что касается остальных я не вижу никакого смысла запрещать кого-либо из антивирусов/антируткитов или хипс. Ничего подобного в RkU нет и не будет. А вот когда дело дойдет до боевых руткитов =) Против детекторов применяющих нотифи будут применены самые жестокие средства и методы, которые гарантированно выведут их из строя. Это уже обкатаная в боях технология.

О детекте.
Ни один метод по определению не может дать 100% результат. Что касается notify рутин - ф топку их и их пользователей, для меня использование подобной технологии - д и л. Любой доступный на сегодняшний день руткит можно найти со старта.

Так, я не понял... ну ещё один демо руткит, который спокойно находит AVZ:

[CODE]1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=872D0000, размер=8192, имя = "\??\C:\:unreal.sys"[/CODE]

В чём прикол?

Muffler ,a какой формат у вас на диске C ?
Fat32 или NTFS ?

[B]drongo[/B], NTFS

Тут на примере wineak32.dll
[url]http://virusinfo.info/showthread.php?t=7590[/url]
видно что поиск файлов без полного прописанного пути не работает как положено. [B]А это очень важно![/B]

Ещё одна необходимая "плюшка" копирование фалов в карантин из BootCleaner`a.

[QUOTE=RiC;92056]Ещё одна необходимая "плюшка" копирование фалов в карантин из BootCleaner`a.[/QUOTE]

ОЧЕНЬ НЕОБХОДИМАЯ!!!!

Причём с детальным видениям логов(если не добавлен в карантин, то почему, код ошыбки, а если найден в базе безопасных, то надо так и писать, что файл найден в базе безопасных).

[QUOTE=Muffler;92042]Так, я не понял... ну ещё один демо руткит, который спокойно находит AVZ:

[CODE]1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=872D0000, размер=8192, имя = "\??\C:\:unreal.sys"[/CODE]

В чём прикол?[/QUOTE]

А прикол в том, что не находит. Впрочем, у него несколько другая специализация, руткиты находить не его дело. А то что я сейчас вижу в этом логе обсуждалось выше. Это не детект, а его активная симуляция. А если драйвер будет на бут старте, до старта всех нотифи? Или если я их все сниму, что тогда? Или специфик код под AVZ? =) А тишина будет. Файл на диске найти очень просто, более того это уже реализовано и уйдет в февральский релиз. Драйвер детектится также без каких-то незаменимых "нотифи" теми же самыми приемами, при помощи которых он был скрыт. Русток С использует несколько иной подход к скрытию базирующийся на глубоких хуках в одном.sys, так что он совершенно определенно запалиться нашим inline сканером. Впрочем, автор руткита имеет другое мнение (:, но это его право.

[URL=http://imageshack.us][IMG]http://img259.imageshack.us/img259/6933/mem7ki.png[/IMG][/URL]

Я заметил у меня в системе проводник стал больше памяти кушать . Посмотрел в диспетчер проводника . Нашёл не очень понятные для меня ключи . Отключил с помощью АВЗ .
Правда имеет место быть пару глюков :
не могу удалить или скопировать ключ ни в буфер обмена , ни в карантин ,ни по линкам - искать в поисковиках . Просто тупо даёт линк на поисковик , а должен в поле вставлять ключик .

Возможна ли с AVZ Автоматическая проверка закаченных файлов при помощи даунлоад менеджеров (download master)?
в настройках DM можно указать командную строку антивируса, но с AVZ почемуто ничего неполучается...

[QUOTE=пользователь;92476]Возможна ли с AVZ Автоматическая проверка закаченных файлов при помощи даунлоад менеджеров (download master)?
в настройках DM можно указать командную строку антивируса, но с AVZ почемуто ничего неполучается...[/QUOTE]
Подобная интеграция возможна (в точки зрения передачи ему файлов для проверки и запуска таковой), но результат придется смотреть в самом AVZ. Я посмотрю, как менеджеры закачки интегрируются с менеджерами закачки и либо пропишу про это в хелпе, либо в новой версии введу пару ключей командной строки для этого.

1.AVZGuard ведёт лог , что было заблокировано ?
2.Нет мыслишки его(AVZGuard) в какойнить мини-HIPS вырастить ? ;))

[QUOTE=Зайцев Олег;92502]Подобная интеграция возможна (в точки зрения передачи ему файлов для проверки и запуска таковой), но результат придется смотреть в самом AVZ. Я посмотрю, как менеджеры закачки интегрируются с менеджерами закачки и либо пропишу про это в хелпе, либо в новой версии введу пару ключей командной строки для этого.[/QUOTE]

В принципе реализовать несложно путем введения параметров в командной строке, такие менеджеры как Download Master после окончания закачки сами инициируют запуск антивируса, с возможностью указать параметр, в том числе и имя только что закаченного файла..

[QUOTE=пользователь;92614]В принципе реализовать несложно путем введения параметров в командной строке, такие менеджеры как Download Master после окончания закачки сами инициируют запуск антивируса, с возможностью указать параметр, в том числе и имя только что закаченного файла..[/QUOTE]
Это поддерживается - если запустить
[I]avz.exe Run=Y WebServerMode=Y имя_файла1 имя_файла2[/I]
То запустится AVZ и проверит указанные файлы. Если еще добавить DelVir=Y - то он прибъет найденных зловредов. Но AVZ не выставляет код возврата, в результате Download Master не будет знать, нашел он зловредов или нет

[QUOTE=GxG;92553]1.AVZGuard ведёт лог , что было заблокировано ?
2.Нет мыслишки его(AVZGuard) в какойнить мини-HIPS вырастить ? ;))[/QUOTE]
Есть вариант, который ведет такой лог (но в публичной версии вариант без протоколирования). Но событий много, он же рубит все от недоверенных приложений, и запись такого лога тормозит систему. Некийх HIPS + монитор меня давно просят сделать, чтобы применять AVZ как полноценный антиспайвер (мониторинг и блокировка критических опеарций и т.п.). Но тут беда в том, что для этого потребуется перехватить ряд функций, что может привести к конфликту с другими проактивками и антивирусными мониторами.

@Зайцеву Олегу
Есть ли возможность отделить директории карантина,журнала от самой программы.
Например, программа развернута на CD и пользователь просто с него ее стартует. А нам, в головной офис высылает логи и карантин.

Можно выбрасывать окно обзора, если папка AVZ закрыта для редактирования..

Насчет HIPS: возможно, стоит оформить этот функционал отдельной утилитой? AVZ все ж-таки диагност, а не защитник..