Printable View
[QUOTE]Кстати о приоритете - неплохо хелперам брать на заметку все недостатки анализа и куда-то отдельно их собирать - чтобы был максимум информации в одном месте, а иначе они растворяются в десятках листов обсуждения.
[/QUOTE]Угу, создай для этого прикреплённую тему
[QUOTE=Зайцев Олег;87416][++] AVZ доработан для совместимости в Windows Vista, в частности обновлены все KernelMode компоненты[/QUOTE]
Наверно, стоит доработать и справочную систему, т.к. Windows Help program (WinHlp32.exe) is no longer included with Windows: [url]http://support.microsoft.com/kb/917607[/url]
[quote=aintrust]А почему бы EP_X0FF-у самому не прийти сюда (правда, я на 100% знаю, что он читает этот форум), и высказать свое мнение? А если он не хочет этого делать, то есть ли вообще смысл приводить его цитаты?[/quote]
Ну вот, собственно, я и тут. Звали? Чаем угостите? :) Надеюсь, меня жутко не отмодерируют =)))))
@Alex_Goodwin - Может быть имеет смысл ответить мне на damagelab а не бежать докладывать сюда? Так, по моему, правильнее все-таки. Вам в ФСБ надо, =) ну или в КГБ.
[quote=Geser]На самом деле не очень интересно знать мнение EP_X0FF. Гораздо интереснее если бы кто-то проверил эффективность обих программ на нескольких распространённых руткитах.[/quote]
А нечего проверять - поймайте при помощи AVZ Rustock.C и я возьму все свои слова обратно и ещё извинюсь. Модуль руткит-детекта в AVZ вызывает у меня улыбку, ничего более. Антивирусы должны заниматься своим делом и не влезать туда, где убьет. Шутка.
[quote=PrM@ster]AVZ и Rootkit Unhooker пока что спокойно покупаются на изменёные значения в PEB [/quote]
А фига толку от изменений в PEB? Есть такая вещь называется EPROCESS. Очень интересная штука.
[quote=PrM@ster]не все функции контралируются[/quote]
Да ну? Это те что в msvcrt?
[quote]не ловится инжект в сереедину функции[/quote]
А на фига такое надо? =)))) Попробуйте наваять что-нибудь такое.
Что касается глубины контроля - хоть сейчас поправлю цикл, да толку то? Нету таких руткитов с таким извратным пониманием хуков. А если и есть, то SVV никто не отменял.
Возможно кому и не нравиться, как я и мои друзья говорим на sysinternals, но нам от этого не холодно не жарко. С нормальными людьми мы всегда говорим нормально, можете даже западных модераторов спросить. Что касается AVZ - как антивирус замечателен, понравилась эвристика, ещё импонирует, что делается вроде как одним человеком. Вот только антируткитный модуль (веяние времени, я понимаю), мне не по душе. Ну ни как =)))
p.s. Пора замодерировать ренегата, ага?
[QUOTE=Geser;88583]Поскольки АВЗ не антивирус, и его основное предназначание - исследование системы, он должен уметь определять любое вмешательство в систему, не важно, уже используемое реально, или известное только теоретически.
[/QUOTE]
Хотелось бы, но вряд ли это возможно... Это все равно как написать универсальный антивирус.
[QUOTE=EvilPhantasy;88603]Ну вот, собственно, я и тут. Звали? Чаем угостите? :) Надеюсь, меня жутко не отмодерируют =)))))
[/QUOTE]
Не, чая не будет - у нас сегодня четверг, рыбный день! :P
[quote=EvilPhantasy;88603]
А нечего проверять - поймайте при помощи AVZ Rustock.C и я возьму все свои слова обратно и ещё извинюсь. Модуль руткит-детекта в AVZ вызывает у меня улыбку, ничего более. Антивирусы должны заниматься своим делом и не влезать туда, где убьет. Шутка.
.......
Возможно кому и не нравиться, как я и мои друзья говорим на sysinternals, но нам от этого не холодно не жарко. С нормальными людьми мы всегда говорим нормально, можете даже западных модераторов спросить. Что касается AVZ - как антивирус замечателен, понравилась эвристика, ещё импонирует, что делается вроде как одним человеком. Вот только антируткитный модуль (веяние времени, я понимаю), мне не по душе. Ну ни как =)))
[/quote]
Фокус в том, что антируткит AVZ появился в 2004 году, примерно одновременно с антируткитом Руссиновича. Тогда еще не было кучи специальных антируткит-детекторов и из руткитов бы только HackDef и его клоны ... Причем если смотреть на картину с точки зрения статистики, то доминируют примитивные руткиты - типа перехвата SSDT для маскировки ключей реестра и процессов.
По поводу Rustock - я взял свежайшего, по классификации ЛК SpamTool.Win32.Mailbot.bc. Если проверить машину AVZ с включенным противодействием руткитам (а всякий анализ он ведет именно в этом случае), то получим:
>>> Опасно - подозрение на подмену адреса ЦП[1].SYSENTER=806D8D2D C:\WINDOWS\system32\ntoskrnl.exe, драйвер опознан как безопасный
ЦП[1].SYSENTER успешно восстановлен
Проверка IDT и SYSENTER завершена
>>>> Подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys
Далее он убивается скриптом AVZ (надо кстати включить скрипт в базу стандартных скриптов)
Если включен AVZ PM, то плюс к этом получим:
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F5E09000, размер=73728, имя = "\??\C:\WINDOWS\system32:lzx32.sys"
и соответственно драйвер будет виден в модулях пространства ядра и исследовании системы ...
Мне правда сложно судить, соответствует ли зловред "Rustock.C", семейство точно это, а вот разновидностей там тьма - правда поведение у изученных примерно идентичное и в разделе "помогите" посвященные ему темы мелькают с завидной регулярностью.
Так, может, кто-нибудь, у кого этот [I]Rustock.C[/I] есть, пришлет образец на "препарацию" (в PM)? А то как-то непонятно, против чего надо пытаться бороться... ;)
Здравствуй, Олег.
[QUOTE=Зайцев Олег]Фокус в том, что антируткит AVZ появился в 2004 году, примерно одновременно с антируткитом Руссиновича. Тогда еще не было кучи специальных антируткит-детекторов и из руткитов бы только HackDef и его клоны ... [/quote]
Я заметил это по поведению антируткитного модуля.
[quote=Зайцев Олег]По поводу Rustock - я взял свежайшего, по классификации ЛК SpamTool.Win32.Mailbot.bc. [/quote]
Из-за соглашения с автором я не могу представить последнюю версию Rustock v1.2 (aka lzx32.sys), но я могу сказать, что это уже не свежайшая версия примерно с августа. С тех самых пор как эта версия перестала обновляться. Мы тоже можем снести Rustock.B, после сноса сплайсового хука на sysenter становится беззащитным ключ в реестре. ADS выносятся через низкоуровневый разбор NTFS. На самом деле снести этот руткит очень просто, достаточно нажать на Reset вместе с одним из запущенных антируткитов следующего списка - Gmer, DarkSpy, IceSword, BlackLight.
[quote=Зайцев Олег]Мне правда сложно судить, соответствует ли зловред "Rustock.C", семейство точно это, а вот разновидностей там тьма - правда поведение у изученных примерно идентичное и в разделе "помогите" посвященные ему темы мелькают с завидной регулярностью.[/QUOTE]
C вариант только что вышел. Неуловимый. Никем =))))
@EP_X0FF:
я всего лишь процитировал вас, оскорблений/комментов не было.
И ответить вам я не смогу ибо слаб я в обсуждаемой теме. А мнение ваше как специалиста интересно народу, вот я вас и запостил.
@Alex_Goodwin:
Да ладно, но вообще то принято хотя бы линк на оригинал кидать.
[QUOTE=EvilPhantasy;88616]
...
C вариант только что вышел. Неуловимый. Никем =))))[/QUOTE]
В общем, пока этот [I]Rustock.C[/I] не проявится на горизонте, говорить, по сути, не о чем.
[QUOTE=aintrust;88635]В общем, пока этот [I]Rustock.C[/I] не проявится на горизонте, говорить, по сути, не о чем.[/QUOTE]
А никто и не собирается.
Поймают его не скоро и скорее всего случайно в неактивном состоянии товарищи из-за границы. Но это будет Острашенная тайна ;) ибо отношения есть отношения, а технологии - технологиями ;)
[QUOTE=Зайцев Олег;88610] pe386 C:\WINDOWS\system32:lzx32.sys
Далее он убивается скриптом AVZ (надо кстати включить скрипт в базу стандартных скриптов)
Если включен AVZ PM, то плюс к этом получим:
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F5E09000, размер=73728, имя = "\??\C:\WINDOWS\system32:lzx32.sys"
и соответственно драйвер будет виден в модулях пространства ядра и исследовании системы ...
[/QUOTE]
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
E:\WINDOWS\system32\imon.dll --> Подозрение на Keylogger или троянскую DLL
E:\WINDOWS\system32\imon.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
Стоит НОД 2.70.16 ENG.
Анализатор - изучается процесс 1552 E:\WINDOWS\system32\tmloader.exe
>>> Реальный размер предположительно = 2482176
Реальный размер на диске (нет лишних потоков, ссылок) - 3584 байта
НОД в базу чистых занести нельзя? Или так и должно быть?
[quote=Alvares;88747]5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
E:\WINDOWS\system32\imon.dll --> Подозрение на Keylogger или троянскую DLL
E:\WINDOWS\system32\imon.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
Стоит НОД 2.70.16 ENG.
Анализатор - изучается процесс 1552 E:\WINDOWS\system32\tmloader.exe
>>> Реальный размер предположительно = 2482176
Реальный размер на диске (нет лишних потоков, ссылок) - 3584 байта
НОД в базу чистых занести нельзя? Или так и должно быть?[/quote]
Несколько разновидностей imon от NOD есть в базе чистых - но он меняется, так что достаточно прислать этот файл мне для добавления в базу чистых.
Насчет tmloader.exe - его тоже можно прислать до кучи (подобное сообщение выдается сканером памяти в случае резкого расхождения объема образа в памяти и объема, прописанного в его заголовке).
---------------------------
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F5A77000, размер=159744, имя = "\SystemRoot\system32\drivers\kmixer.sys"
---------------------------
- нужно ли отправить этот файл на анализ?
А он в AVZ каким цветом виден? Если не зелёный - присылайте.
[QUOTE=Alex6;88840]
...
нужно ли отправить этот файл на анализ?[/QUOTE]
Не только этот файл на анализ, но также и все логи сюда в соответствии с [URL="http://virusinfo.info/showthread.php?t=1235"]Правилами[/URL] форума. Теоретически м.б. и ложная тревога, поэтому хотелось бы получить картину в целом.
[QUOTE=Alex6;88840]---------------------------
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F5A77000, размер=159744, имя = "\SystemRoot\system32\drivers\kmixer.sys"
---------------------------
- нужно ли отправить этот файл на анализ?[/QUOTE]
Это используете? [QUOTE]The kX Audio Driver is a WDM (Windows Driver Model) driver, designed to be used with any kX-compatible PCI sound-card (notably the Creative Labs SoundBlaster Live! and Audigy series of cards, and E-mu Systems' Audio Production Studio sound-card).[/QUOTE]
"Проблема" даже не столько с этим файлом, [I]kmixer.sys[/I] ("хороший" он или "плохой"), сколько с тем, что AVZ выдал предупреждение о его маскировке. Это м.б. ошибкой AVZ (тогда хотелось бы понять, откуда у нее ноги растут, и постараться избавиться от нее в дальнейшем), но м.б. и реальной проблемой. Без полных логов этого все равно не понять, однако их может оказаться недостаточно для полного понимания проблемы. Так что ждем-с...
Либо там что-то есть, либо версия старая/совсем новая K/L
Версия: 5, 10, 00, 3538J - debug
Дата компиляции: Jan 26 2006 05:32:18
В маскированных не отображается, и списке драйверов отмечена зеленым.
Проверил 3537final, и 3538L последняя бета. Не показывает, зеленые
Для 3538L kmixer.sys B74F2000 02A000 (172032)