-
[QUOTE=PavelA;92809]@Зайцеву Олегу
Есть ли возможность отделить директории карантина,журнала от самой программы.
Например, программа развернута на CD и пользователь просто с него ее стартует. А нам, в головной офис высылает логи и карантин.[/QUOTE]
Можно конечно - я введу соответствующие ключи, чтобы из скрипта или командной строки можно было задать местоположение папок AVZ.
[QUOTE=NickGolovko;92859]Насчет HIPS: возможно, стоит оформить этот функционал отдельной утилитой? AVZ все ж-таки диагност, а не защитник..[/QUOTE]
Это в любом случае будет отдельная программа - типа монитора, использующего базу чистых и базу безопасных AVZ
-
На мой взгляд не стоит (по крайней мере пока) серьезно задумываться о написании HIPS - благо на рынке их и так уже немало, как коммерческих, так и нет. В самой утилите AVZ еще полно мест, где можно и нужно приложить руки и мозги, и распыляться на несколько проектов не имеет большого смысла. И более того - пока живы 32-битные операционки от Майкрософт, спрос на AVZ вряд ли будет существенно падать.
-
Если говорить о нововведениях , есть идея сделать в AVZ возможность видеть что загружаться в boot секторе ..На подобие Менеджеров расширений проводника итд .
Защита от boot-вирусов отодвинулась на задний план в последнее время , все ударились в клепание антируткитов . Над последним тоже не помешает поработать :)
P.s. Странно , что ещё никто не додумался объединить эти два направления и сделать руткит в boot-секторе :)
-
aintrust, просветите меня: какая связь между разрядностью ОС и популярностью AVZ? :)
-
[QUOTE=aintrust;92878]На мой взгляд не стоит (по крайней мере пока) серьезно задумываться о написании HIPS - благо на рынке их и так уже немало, как коммерческих, так и нет. В самой утилите AVZ еще полно мест, где можно и нужно приложить руки и мозги, и распыляться на несколько проектов не имеет большого смысла[/QUOTE]
Согласен
-
[QUOTE=drongo;92883]Защита от boot-вирусов отодвинулась на задний план в последнее время , все ударились в клепание антируткитов .[/QUOTE]
Что есть, то есть... =) "Клепание антируткитов" действительно стало модным пару лет назад, и сейчас только ленивый не написал еще свой антируткит. Впрочем, зачастую опасность этой заразы явно преувеличивается некоторыми компьютерными "специалистами", а потом еще и раздувается в СМИ, причем, как правило, о руткитах пишут люди, которые в этом совершенно "не копенгаген". Сплошные страшилки, в общем... =)
[QUOTE=drongo;92883]P.s. Странно , что ещё никто не додумался объединить эти два направления и сделать руткит в boot-секторе :)[/QUOTE]
Додумался, да и давно уже... В частности, в прошлом году в СМИ было довольно много разговоров и страшилок по этому поводу.
-
[quote="drongo"]P.s. Странно , что ещё никто не додумался объединить эти два направления и сделать руткит в boot-секторе[/quote]
eEye & bootkit, некоторые частные проекты. PoC'и, но довольно интересны для чтения за кофе. Реальных руткитов в этой области не существует и вряд ли будут. Почти всегда ищутся и реализуются наиболее простые варианты. Но хотя китайцы могут что-нибудь налепить (:
-
Ошыбка в хелпе:
[QUOTE]
function GetAVZPMStatus : boolean;
Возвращает текущий статус AVZPM - true=включен, false=выключен.
Пример:
if [COLOR="Red"]GetAVZGuardStatus[/COLOR] then
AddToLog('AVZ PM активен')
else
AddToLog('AVZ PM не активен');
[/QUOTE]
-
Не сохранение в профиле настроек действий по поводу обнаруженых HackTool изначально предполагалось, или является ошибкой?
-
[QUOTE=NickGolovko;92929]aintrust, просветите меня: какая связь между разрядностью ОС и популярностью AVZ? :)[/QUOTE]
Я вроде ничего не говорил о том, что такая связь существует или что спрос на AVZ упадет/вырастет в x64, так что вопрос не совсем в тему. Фраза исходно звучала так:
[QUOTE]И более того - пока живы 32-битные операционки от Майкрософт, спрос на AVZ вряд ли будет существенно падать.[/QUOTE]
Иными словами, я лишь выразил уверенность в том, что ситуация со спросом/востребованностью (я специально не употребил слово "популярность", т.к. это немного разные понятия) на AVZ вряд ли изменится в ближайшее время, т.е. пока будут живы системы x86 с их довольно примитивными встроенными средствами защиты от зловредов. Что же касается систем x64, то про это (про спрос на AVZ) пока ничего конкретного сказать нельзя, так как в этих системах многое устроено по-другому (драйверы ядра и дополнительные требования к ним, KPP - и это только для начала), да и версий AVZ под x64 в ближайшее время не предвидится (по разным причинам). Надеюсь, теперь все стало прозрачнее...
PS. Да, и еще один момент (забыл вчера написать - поздно уже было)... =) Рынок x64 еще только набирает обороты, но ближайшая пара лет может стать переломной в этом вопросе, причем не только для системного и прикладного софта, но также и для зловредов. Вот тогда и будет смысл задумываться о переносе AVZ под x64. А сейчас в системах x86 еще полно дел и нереализованных идей.
-
Жаль, что не предвидится :) Но ладно: год или два у нас еще есть, а там посмотрим :)
-
А что, вам уже сейчас нужна версия AVZ для x64?
-
Лично мне - нет. :) Когда я отвечал, вашего P.S. еще не было - потому ваша фраза звучала весьма категорично: не иначе как AVZ уйдет вместе со старыми системами... ;) Вполне логично, что я выразил сожаление. :)
-
[QUOTE=NickGolovko;93432]не иначе как AVZ уйдет вместе со старыми системами... ;)[/QUOTE]
Ну, я тут не решаю, как вы сами понимаете. =) Мне бы, например, не хотелось!
Хотя рано еще сожалеть о том, чего нет (это в смысле "ухода вместе со старыми системами"). Системы x86, полагаю, еще будут долго живы - по крайней мере, не 2-3 года. Дольше...
-
[QUOTE=aintrust;93461]Ну, я тут не решаю, как вы сами понимаете. =) Мне бы, например, не хотелось!
Хотя рано еще сожалеть о том, чего нет (это в смысле "ухода вместе со старыми системами"). Системы x86, полагаю, еще будут долго живы - по крайней мере, не 2-3 года. Дольше...[/QUOTE]
64-битных операционок еще пока очень немного. Появятся и на них будут проблемы со зверьем - следовательно появится и AVZ для них ...
Теперь по существу - с сделал для AVZ баг-регистратор - [url]http://www.z-oleg.com/secur/avz/report.php[/url] - так что есть просьба внести туда все известные баги, кто что помнит ... и дублировать новые, которые мы обсуждаем сдесь. Каждому обращению присваивается номер, повторы я затем чищу из базы.
-
[QUOTE=Зайцев Олег;93477]Каждому обращению присваивается номер, повторы я затем чищу из базы.[/QUOTE]
А почему бы не сделать настоящий баг-трекер, где была бы возможность увидеть не только то, что уже помещено в эту базу (чтобы не дублировать всем по несколько сотен раз одно и то же), но также и текущее состояние бага/предложения ("исправлен", "в работе", "отложен на 99 лет", ну и т.п.)?
-
[QUOTE=aintrust;93490]А почему бы не сделать настоящий баг-трекер, где была бы возможность увидеть не только то, что уже помещено в эту базу (чтобы не дублировать всем по несколько сотен раз одно и то же), но также и текущее состояние бага/предложения ("исправлен", "в работе", "отложен на 99 лет", ну и т.п.)?[/QUOTE]
Можно и так ... это полноценный трекер, только я убрал отображение и состояние добавленных сообщений. Просто если учесть, какую фигню туда подчас пишут - мне придется его модерировать постоянно. Например, через эту систему за два дня мне прислали три ярлыка от AVZ :)
-
Баги локализации считаются? :)
-
[QUOTE=Зайцев Олег;93502]Просто если учесть, какую фигню туда подчас пишут - мне придется его модерировать постоянно.[/QUOTE]
Я имел ввиду немного другое: дать всем возможность просматривать [U]уже отредактированную тобой информацию[/U], т.е. то, что предварительно прошло твой "фильтр". А ярлыки от AVZ и прочая шелуха, которой будет немало, согласен, вряд ли кому будет интересна.
Ты уже давно говоришь, что собираешь все пожелания и предложения, что встречаются в ветках про AVZ - сейчас можно было бы их выложить на всеобщее обозрение вместе со статусом работы над ними - это могло бы резко снизить количество повторных сообщений об одном и том же.
-
[QUOTE=aintrust;93520]Я имел ввиду немного другое: дать всем возможность просматривать [U]уже отредактированную тобой информацию[/U], т.е. то, что предварительно прошло твой "фильтр". А ярлыки от AVZ и прочая шелуха, которой будет немало, согласен, вряд ли кому будет интересна.
Ты уже давно говоришь, что собираешь все пожелания и предложения, что встречаются в ветках про AVZ - сейчас можно было бы их выложить на всеобщее обозрение вместе со статусом работы над ними - это могло бы резко снизить количество повторных сообщений об одном и том же.[/QUOTE]
Это логично, я нечто подобное сделаю
-
От себя добавлю сделать возможным систему голосования для посетителей сайта (зарегистрированных )Для каждого бага/предложения десятибалльная оценка , тем самым узнаем что народу важнее .
-
Значит такая мысль. Работать с присылаемыми файлами из карантина неудобно. Нужно проверить файл, потом залезть в инишник посмотреть оригинальное имя, и так с несколькими файлами...
Предложение такое. Файл и его ини должны иметь имя близкое к оригинальному. Например, оригинальное имя с оригинальным расширением, а после этого уже случайное число.
P.S. Даже лучше не случайное число, а время добавления, включая миллисекунды, что бы избежать дублей.
-
[QUOTE=Geser;93581]Значит такая мысль. Работать с присылаемыми файлами из карантина неудобно. Нужно проверить файл, потом залезть в инишник посмотреть оригинальное имя, и так с несколькими файлами...
Предложение такое. Файл и его ини должны иметь имя близкое к оригинальному. Например, оригинальное имя с оригинальным расширением, а после этого уже случайное число.
P.S. Даже лучше не случайное число, а время добавления, включая миллисекунды, что бы избежать дублей.[/QUOTE]
В такой ситуации лучше применить QR - переименовывалку карантина. Он обрабатывает пары файлов ini+dat, переименовывая файлы в нормальные имена. Если эта утилита потерялась, я могу положить ее у меня на сайте и скинуть ссылку.
-
[quote=Зайцев Олег;93586]В такой ситуации лучше применить QR - переименовывалку карантина. Он обрабатывает пары файлов ini+dat, переименовывая файлы в нормальные имена. Если эта утилита потерялась, я могу положить ее у меня на сайте и скинуть ссылку.[/quote]
Было бы неплохо.
-
[QUOTE=Зайцев Олег;93586]В такой ситуации лучше применить QR - переименовывалку карантина. Он обрабатывает пары файлов ini+dat, переименовывая файлы в нормальные имена. Если эта утилита потерялась, я могу положить ее у меня на сайте и скинуть ссылку.[/QUOTE]
1. Неудобно запускать дополнительную утилиту.
2. Может удастся наладить какое-то взаимодействие с АВ компаниями по проверке файлов. Им тоже утилиту качать?
-
[QUOTE=Зайцев Олег;93587]Тогда самый простой рецепт - AVZ, выполнить скрипт:
[CODE]
begin
ClearHostsFile;
end.[/CODE]
Команда ClearHostsFile найдет Hosts файл, почистит из него все значащие строки (оставив комментарии) и добавит строчку "127.0.0.1 localhost"[/QUOTE]
Тогда не плохо добавить этот шаблон в лог исследования системы. Так же как и комманды работы с бут драйвером
-
[QUOTE=Geser;93594]Тогда не плохо добавить этот шаблон в лог исследования системы. Так же как и комманды работы с бут драйвером[/QUOTE]
Обязательно добавлю.
Кстати, о командах - я доделываю редактор скриптов, так вот, его базы будут обновляться через Инет, но будут в открытом формате, что позволит редактировать их или дополнять в случае необходимости (реально баз будет две - официальная + cобственная локальная). До сих пор открытым остается вопрос о формате базы - есть два варианта: текстовый файл (по одному файлу на команду) и XML документ. Примеры - в аттаче, прошу высказать мнение - что лучше (с точки зрения перевода, правки и редактирования и т.п.).
-
У меня возникли 2 идеи.
1. Нужна команда которая проходится по реестру и вычищает все ссылки на определённый файл. Желательно что бы при этом создавался рег файл которым можно вернуть на место всё удалённое.
2. Поскольку уже есть бут драйвер который мониторит все запускаемые при старте программы, не плохо бы сделать его лог доступным для просмотра.
-
[QUOTE=Geser;94918]У меня возникли 2 идеи.
1. Нужна команда которая проходится по реестру и вычищает все ссылки на определённый файл. Желательно что бы при этом создавался рег файл которым можно вернуть на место всё удалённое.
2. Поскольку уже есть бут драйвер который мониторит все запускаемые при старте программы, не плохо бы сделать его лог доступным для просмотра.[/QUOTE]
Идеи - это хорошо.
1. Это можно сделать, но
1.1 Это по определению будет медленно.
1.2 Есть опасность убить что-то лишнее или наоборот, что-то недобить. Пример - я убиваю файл c:\program files\trojan.exe. В реестре он может быть прописан как trojan.exe, c:\program files\trojan.exe, c:\progra~1\trojan.exe. Если убивать только по имени файлы, то можно пришибить что-то лишнее
Альтернатива - сканировать не весь реестр, а список ветвей, которые будут описаны в базе AVZ и обновляться по мере необходимости
2. Драйвер может писать лог, но
2.1 Куда его писать ? По идее можно прямо в корень диска
2.2 Как его смотреть и чистить? Опять-же, можно открыть этот файл вручную, равно как можно его стереть. А можно сделать что-то типа Filemon\RegMon - т.е. в AVZ будет окно для просмотра событий в реальном времени. Но тогда потеряется история событий
-
[QUOTE=Зайцев Олег;94616]Примеры - в аттаче, прошу высказать мнение - что лучше (с точки зрения перевода, правки и редактирования и т.п.).[/QUOTE]
Мне понравился пример в txt-формате. Опять же размер меньше у файла. Но на перспективу xml, конечно, предпочтительнее.
-
1.1 Это не страшно
1.2 Я думаю так, искать по полному пути и по ДОС пути и убивать автоматом, плюс выводить список ключей найденных только по имени файла что бы можно было потом уже ручками добить.
2.1 Да куда угодно, хоть и в корень
2.2 Чистить, автоматом удалять старый при прегрузке. В реальном времени это менее интересно. Более интересно вот что. При создании логов исследования системы добавить такой алгоритм. АВЗ берёт этот файл, проверяет все упоминающиеся там файлы по базе безопасных, и все небезопасные добавляет в лог.
-
По базе - и так, и так неплохо :)
-
[QUOTE=NickGolovko;95089]По базе - и так, и так неплохо :)[/QUOTE]
А с точки зрения перевода как лучше ? Фокус в том, что первичная генерация базы будет автоматической, а вот правка вручную.
-
Ну редактировать-то текстовик в любом случае проще :) Если вы об этом :)
-
[QUOTE=Зайцев Олег;95092]А с точки зрения перевода как лучше ? Фокус в том, что первичная генерация базы будет автоматической, а вот правка вручную.[/QUOTE]
Согласен с NickGolovko, тогда лучше txt. Особенно в "военное" время. ;)
-
к тому же хмлник с точки зрения хмл-дизайна получился не фонтан. Видно, что ты за него в первый раз взялся.
[URL="http://msdn2.microsoft.com/en-us/library/15x4407c.aspx"]Вот подобное решение от мелкософта[/URL].
-
[QUOTE=maXmo;95193]к тому же хмлник с точки зрения хмл-дизайна получился не фонтан. Видно, что ты за него в первый раз взялся.
[URL="http://msdn2.microsoft.com/en-us/library/15x4407c.aspx"]Вот подобное решение от мелкософта[/URL].[/QUOTE]
Как раз наоборот :) Просто опыт работы с xml научил меня тому, что надо делать xml с точки зрения простоты/скорости парсинга и удобства применения его в программе, а не с точки зрения дизайна и канонов. Для работы с XML у меня собственный парсер имеется, написанный на asm и как следствие очень шустрый - парсер MS я не применяю.
-
:casha: да, свой парсер на асме – это да…
Но по скорости ини-подобное решение уж побыстрее, наверно, будет.
-
1) Всё говорит о том, что копирование в карантин при помощи прямого чтения с диска не работает. Нужно бы поправить.
2) Очень нужен лог выполнения скриптов, в котором будет указываться успешность выполнения действий, и в случаенеудачи - причина.
-
[QUOTE=Geser;95304]1) Всё говорит о том, что копирование в карантин при помощи прямого чтения с диска не работает. Нужно бы поправить.
2) Очень нужен лог выполнения скриптов, в котором будет указываться успешность выполнения действий, и в случаенеудачи - причина.[/QUOTE]
1. Проверю
2. Да, такая фича будет к новой версии - протоколирование результата выполнения всех важных команд с отметкой о их успешности.
Page generated in 0.01062 seconds with 10 queries