Относительно вопроса ненадежности любого антивируса:
может дополнить AVZ возможностью создания системной дискеты с компонентами AVZ ?
Что может быть надежней, чем проверка системы без активного зловреда?
Printable View
Относительно вопроса ненадежности любого антивируса:
может дополнить AVZ возможностью создания системной дискеты с компонентами AVZ ?
Что может быть надежней, чем проверка системы без активного зловреда?
[quote=tar;149166]Относительно вопроса ненадежности любого антивируса:
может дополнить AVZ возможностью создания системной дискеты с компонентами AVZ ?
Что может быть надежней, чем проверка системы без активного зловреда?[/quote]
Тут два момента:
1. Реестр. Загрузившись с системного диска, мы получим доступ к файлам, но не доступ к реестру (если отбросить его чтение/запись напрямую, парсингом файлов реестра)
2. AVZ является Windows GUI приложением - из под DOS его не запустить :)
А вот если сделать загрузочный диск/флешку типа BertPE или аналогов, и поместить туда AVZ и аналогичные утилиты - тогда эта идея сработает.
[quote]если сделать загрузочный диск/флешку типа BertPE или аналогов, и поместить туда AVZ[/quote]
Насколько я понимаю, при этом можно будет только просканировать диск "целевой" системы, но не получить протокол ее исследования (автозапуск, службы-драйверы и проч.). А было бы очень здорово иметь средство такого "оффлайнового" исследования! Ведь существуют даже редакторы реестра NT/2k/XP, работающие из-под ДОС (например такой есть на Hiren's Boot CD).
[QUOTE=XL;149130]Да, вот только драйвер защиты (тот самый AG) продолжает фунциклировать после пристреливания без возможности его выгрузки, что доствавляет немало проблем, если AVZ была убита чем-либо в памяти...[/QUOTE]
А какие проблемы? Основная задача зловреда в данном случае - не позволить anti-malware программе (AVZ) выполнить анализ системы с последующим ее лечением. Если эта первичная задача выполняется, то достигается и конечная цель - зловред остается жить в системе. Даже если вы нажмете кнопку Reset, зловред никак не пострадает.
Кроме того, AVZGuard ограничивает выполнение лишь небольшого объема функций, поэтому оставшийся в системе зловред может, если нужно, доставить довольно много неприятностей.
Проблема в том, что система зачастую впадает в тотальный висяк. Ну оно и понятно. Если мне память не изменяет, то не работают даже клавиши перезагрузки и выключения из под Windows. AVZ повторно уже тоже не запустить и остается только ребут... А это драгоценное время.
[QUOTE=XL;149223]Проблема в том, что система зачастую впадает в тотальный висяк.[/QUOTE]
Скажу откровенно - я потерял нить... =)
Клавиши перезагрузки и выключения продолжают работать как и ранее - AVZGuard совершенно не мешает им (более того, это так и задумано изначально), но как это соотносится с темой о слабости AVZ в отношении его убиения (возможными) зловредами, я не понял, sorry.
Восстанавливаю нить... Поскольку AVZ иногда убивается зловредами в силу прорех в системе самозащиты (и происходит это обычно при попытках завершения зловредных процессов или при исследовании системы даже при включенном ag), это обстоятельство вызывает проблемы после убиения AVZ зловредом из памяти. В результате данных проблем мы иногда имеем невозможность полноценно работать с Windows, т.к. после убиения avz ЗАВИСАЕТ и explorer.exe в т.ч, становится невозможным повторный запуск avz и, соответственно, выгрузка ag из памяти. Т.Е. единственным выходом из ситуации становится перезагрузка компьютера, сопряженная с потерями времени, а также с началом работы по-новой абсолютно без гарантии не наступить на те же грабли.
Извиняюсь за дотошность - это у меня профессиональное... =)
Это я все понял... =)
Но вот какое дело зловреду, который смог воспрепятствовать AVZ сделать свою работу, до того, что пользователь теряет время на перезагрузку? Ему, зловреду, главное - не дать себя обнаружить и не дать себя пристрелить - ему ведь нет дела до ваших (и AVZ) проблем, связанных с "невозможностью нормальной работы, перезагрузкой компьютера и т.д.", не так ли? Ему, зловреду, нужно делать свою темную работу, он любой ценой должен остаться в системе!
Основная "проблема" утилит типа AVZ состоит в том, что они загружаются в уже зараженную систему. Если эта система содержит нечто (зловред), активно противодействующее загрузке или нормальной работе антивирусногло средства, то толку от такого антивирусного средства - ноль, оно никак не поможет найти и/или убить зловреда. В этом смысле AVZ почти никак не защищен - ни во время своей загрузки в систему, ни во время анализа, ни в режиме AVZGuard. На любом из этих этапов AVZ можно легко обезвредить, не дав ему сделать ничего полезного. Другие же утилиты подобной направленности, например RootkitUnhooker (который также грузится в уже зараженную систему), имеют значительно более высокий уровень самозащиты - как на этапе загрузки утилиты, так и во время ее работы.
Да, бесспорно. Рисование заголовка окна, случайное имя исполняемого файла, упаковка полиморфиком и пр. играют на руку RKU. Но когда тот падает на, казалось бы, ровном месте во время простого исследования системы...все старания разработчиков сходят на нет. Им (разработчикам) бы обрести ту же дружелюбность по отношению к простым смертным, что прослеживается в случае с AVZ, тогда, глядишь, получалось бы лучше в силу возросшей от этого популярности утилиты и большего простора для бета-тестинга. Но это так, к слову.
Ну а то, что самозащиту AVZ есть куда развивать - это безусловно. Хотя бы опыт конкурентов перенять некоторый. Слава Богу, что пока вирусописатели не обращают на AVZ особого внимания в силу не такой уж высокой популярности продукта. За исключением, пожалуй, только авторов Storm, про других пока не слышал. Вроде бы еще и Pandex тоже не совсем дружелюбен к AVZ. Это из того, что известно мне. Возможно, кто-то назовет и больше примеров. Тот же Storm применяет кернелмодное убиение процесса и блокирует подгрузку драйвера. Так что даже банальное переименование исполняемого файла приносит некоторые результаты...
Ведь не исключено что через годик-другой при поддержке ЛК процесс avz.exe станет таким же популярным как и kav.exe =) И тогда уже avz.exe ну просто обязан будет попасть в блэк лист малварописателей. Если, конечно, avz останется такой же самобытной, а не станет частью avp tool да и только...
Подскажите пожалуйста, а в какой ветке задавать вопросы по работе программы? А то она выдает 205 строк вида:
[code]Маскировка процесса с PID=452, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 452)[/code]
Я уже по всякому и проверял и AVZPM стоит, и ProocessExplorer'ом смотрел... ни как не пойму - это ошибка AVZ или у меня все-таки реально 205 замаскированых процессов.
(я работаю на системе Win2k3 EE SP2)
[QUOTE]Слава Богу, что пока вирусописатели не обращают на AVZ особого внимания в силу не такой уж высокой популярности продукта[/QUOTE]
не верно, я делал уже пакер/криптор с килянием AVZ еще наверно год назад примерно
пс
я бы порекомендовал делать процесс с рандомным именем, и тоже самое относительно окошек и бутонов, покрайне мере таким образом даже без установки драйвера получим защиту от автокликеров
[quote='[500mhz];149838']не верно, я делал уже пакер/криптор с килянием AVZ еще наверно год назад примерно
пс
я бы порекомендовал делать процесс с рандомным именем, и тоже самое относительно окошек и бутонов, покрайне мере таким образом даже без установки драйвера получим защиту от автокликеров[/quote]
У меня уже даже витает идея с полиморф-генератором - т.е. собиралкой AVZ, которая скажем раз в сутки будет генерить и укладывать на сайт дистрибутив, в котором будут переименованы вся файлы, исполняемый файл будут криптоваться случайно выбираемым пакером из определенного набора, плюс при сборке будут рандомно меняться ключевые моменты типа заголовка и класса окна, и прочее, за что может зацепиться автокликер или искатель окон по именам
Зайцев Олег
я такое под линюх писал ) правда для загрузчика малваре
при каждом срабатывании ехплоита (ИЕ ехплоит) была новая криптовка
в принципе вариант не плохой при каждой скачке с офф сайта АВЗ будет иметь разную структуру
а насчет автокликеров, не просче ли хукать свой собственный процес на предмет фильтрации месаджей контролам?
[quote='[500mhz];149842']
а насчет автокликеров, не просче ли хукать свой собственный процес на предмет фильтрации месаджей контролам?[/quote]
Можно и так ... и давить все левые мессаджи на корню. Хотя самое опасное для утилиты, которая ставиться на зараженную систему - это блокировка запуска (например, по имени файла, по копирайтам и т.п.), тогда уже ничего не поможет :)
[QUOTE]У меня уже даже витает идея с полиморф-генератором - т.е. собиралкой AVZ, которая скажем раз в сутки будет генерить и укладывать на сайт дистрибутив, в котором будут переименованы вся файлы, исполняемый файл будут криптоваться случайно выбираемым пакером из определенного набора, плюс при сборке будут рандомно меняться ключевые моменты типа заголовка и класса окна, и прочее, за что может зацепиться автокликер или искатель окон по именам[/QUOTE]
А не боитесь ли Вы, что все это породит массу ложняков (по одному в день примерно...на каждую новую сборку) со стороны особо чувствительных эвристиков типа Avira? Преценденты уже были...
[quote=XL;149891]А не боитесь ли Вы, что все это породит массу ложняков (по одному в день примерно...на каждую новую сборку) со стороны особо чувствительных эвристиков типа Avira? Преценденты уже были...[/quote]
Вот именно этого я и боюсь - поэтому всякие полиморф-шифровки и прочие чудеса не реализованы до сих пор - велика вероятность массовых ложняков, пару месяцев назад мы это уже наблюдали
да неее
у меня есть рабочий вариант полиморфного движка (стековый/в познавательных целях делался-делается) эвристики молчат
если только эмулятор будет ругатся на запуск кода в стеке
[QUOTE='[500mhz];149928']если только эмулятор будет ругатся на запуск кода в стеке[/QUOTE]
Прежде всего, на это будет ругаться Hardware DEP :)
точно и 99% юсеров им пользуются
[QUOTE='[500mhz];150018']точно и 99% юсеров им пользуются[/QUOTE]
Hardware DEP появился недавно и его поддерживают только новые процессоры. А реализован он нормально лишь в Vista 64 и серверных W2K3. Неувязочка с процентами, не находите?
SuperBrat а вы не находите что в моем ответе была доля сарказма?
[QUOTE=Зайцев Олег;149840]У меня уже даже витает идея с полиморф-генератором - т.е. собиралкой AVZ, которая скажем раз в сутки будет генерить и укладывать на сайт дистрибутив, в котором будут переименованы вся файлы...
...исполняемый файл будут криптоваться случайно выбираемым пакером...
[/QUOTE]
Нет, ну зачем сразу бросаться в крайности с полиморфами, криптованием и прочей ерундой? Для начала хватило бы нескольких простых и довольно эффективных вещей типа случайного имени исполнимого файла, самостоятельной отрисовки заголовка окна, случайных имен девайсов и пр.
[quote=aintrust;150082]Нет, ну зачем сразу бросаться в крайности с полиморфами, криптованием и прочей ерундой? Для начала хватило бы нескольких простых и довольно эффективных вещей типа случайного имени исполнимого файла, самостоятельной отрисовки заголовка окна, случайных имен девайсов и пр.[/quote]
Так методика то от этого не изменится ! Т.е. получается следующий алгоритм - имеется робот, задача которого состоит в том, чтобы запускаться по крону через заданный интервал времени и по некоему алгоритму собрать дистрибутив AVZ, архивировать его и укладывать куда следует. Далее рассматриваем методики, по которым зверь может понять, что это AVZ. Их можно поделить на:
1. Методы поиска статических признаков файлов (на момент их открытия или запуска) - это имена файлов, копирайты файлов, их размер и CRC, характерные сигнатуры. До сигнатур дело видимо не дойдет, обычно идет лобовая блокировка по имени файла. Методы защиты - переименовать файлы, пересобрать EXE ...
2. Методы поиска статических признаков процесса. Аналогично для процесса - поиск имени/класса окна, характерных имен чего-то в интерфейсе, характерные строки в памяти процесса и т.п. Обычно реализации опять-же простейшие - типа поиска окна с заданными параметрами
3. Методы поведенческой блокировки - защищают зловред не от конкретного продукта, а от конкретных действий - открытия его процесса, убиения процесса и т.п. Известны методики на основе ловушки - например, создать маскируемый процесс и убивать всякого, кто попробует его открыть или убить
Олег, ты для кого это пишешь? =) Ведь с методикой все было ясно еще два (или даже более) года назад, когда появились первые "опыты" по борьбе с AVZ, в том числе и мои. Сейчас уже вполне можно обсуждать конкретику реализации тех или иных вещей, и особенно того, что идет под 3-м пунктом.
На мой взгляд, вопрос тут в другом... Зная твой прагматичный подход относительно того, что нужно реализовывать в AVZ, а что может подождать еще некоторое время, а также твою занятость в ЛК (что уже сильно сказывается на разработке AVZ), я бы задал следующий вопрос: а насколько вообще актуальна данная тема с самозащитой? Стоит ли она того, чтобы начинать ею заниматься прямо сейчас? Может, в первую очередь сосредоточиться на анализаторе xml-логов и довести его до релиза?
[QUOTE]Для начала хватило бы нескольких простых и довольно эффективных вещей типа случайного имени исполнимого файла, самостоятельной отрисовки заголовка окна, случайных имен девайсов и пр.[/QUOTE]
ой не хватит
Зайцев верно написал, если еще и по сигнатурам будут авз палить то придется выдумывать криптовку
а еще можно по последовательности вызовов апи спалить )))
[QUOTE='[500mhz];150121']
... если еще и по сигнатурам будут авз палить ...
[/QUOTE]
Ключевое слово тут - "если". Вот [U]если[/U] начнут "палить", тогда и... =)
aintrust
PoC написать? )))
PoC написать может любой школьник, начавший программировать пару месяцев назад. Я сейчас говорю не о PoC-ах, а о реальной жизни. [U]Если[/U] (или [U]когда[/U]) появятся (более-менее массово) зловреды, "палящие" AVZ по сигнатурам, тогда и будет иметь смысл что-то в этом плане делать.
хочется как лучше а получается как всегда
"гром не грянет, мужик не перекрестится" )))
зачем исправлять последствия если можно изначально прибить причину?
[QUOTE=aintrust;150117]
На мой взгляд, вопрос тут в другом... Зная твой прагматичный подход относительно того, что нужно реализовывать в AVZ, а что может подождать еще некоторое время, а также твою занятость в ЛК (что уже сильно сказывается на разработке AVZ), я бы задал следующий вопрос: а насколько вообще актуальна данная тема с самозащитой? Стоит ли она того, чтобы начинать ею заниматься прямо сейчас? Может, в первую очередь сосредоточиться на анализаторе xml-логов и довести его до релиза?[/QUOTE]
+1
господа!
никто не говорит о том что Зайцев должен все бросать и начинать релизить модуль самообороны, мы же рассуждаем не так ли?
на то форумы и нужны что бы люди высказывались и мнениями обменивались
а однобокая позиция "нафик надо все равно это еще никто не использует" приводит к смешной ситуации схожей в противостоянии КИСЫ и автокликеров
[QUOTE='[500mhz];150156']господа!
на то форумы и нужны что бы люди высказывались и мнениями обменивались
[/QUOTE]
Конечно! На этом форуме вообще не принято что называется "затыкать рот", и модераторы тут очень лояльные, так что высказывайтесь, обменивайтесь мнениями (даже очень критическими, why not?) - думаю, многим будет интересно. =)
[quote=aintrust;150180]Конечно! На этом форуме вообще не принято что называется "затыкать рот", и модераторы тут очень лояльные, так что высказывайтесь, обменивайтесь мнениями (даже очень критическими, why not?) - думаю, многим будет интересно. =)[/quote]
Поддерживаю. Критика, ежели она по делу и конструктивна, равно как и полезные предложения по поводу того, что и где следует делать - это полезно и очень хорошо. Это же не означает, что следует все бросить и кинуться это делать - достаточно просто взять на заметку, продумать, затем можно провести какие-то опыты в данном направлении ...
По поводу XML анализатора и прочих анализаторов/исправляторов и т.п. - как раз реализацией анализа системы я сейчас и занимаюсь ...
Олег, есть какие-то религиозные соображения по которым неактивные службы и драйверы отсутствуют в логе исследования системы? Я думаю что включить их туда очень важно.
[quote=Geser;150215]Олег, есть какие-то религиозные соображения по которым неактивные службы и драйверы отсутствуют в логе исследования системы? Я думаю что включить их туда очень важно.[/quote]
Есть - там зачастую в много мусора среди неактивных служб. Но новый AVZ 4.28 будет их показывать в логе - появились ITW зловреды, службы которых неактивны
[QUOTE=Зайцев Олег;150218]Есть - там зачастую в много мусора среди неактивных служб. Но новый AVZ 4.28 будет их показывать в логе - появились ITW зловреды, службы которых неактивны[/QUOTE]
Возможно стоит вынести их в конец лога.
Кроме того, как на счет того что бы по каждому файлу выводить состояние
1. Отсутствует на диске
2. Присутствует доступ невозможен.
3. Присутствует доступ возможен
Я думаю будет [B]очень[/B] полезно.
Гесер опередил, я тоже хотел предложить ;)Идея очень полезная.
Не забудь пожалуйста в рубрике " о программе " сделать тоже самое как на сайте по количеству зловредов.
Также перед сканированием или открытия рубрики скриптов - AVZ должен проверить дату на компьютере и дату своих антивирусных баз , при разногласии - большой жирный pop-up со ссылкой на обновления.
Да, и неплохо было бы сделать возможность удаления файлов по маске из скрипта, это часто бывает полезным, но до сих пор не реализовано, если я не ошибаюсь... Например, таким образом можно почистить папку временных файлов и пр.
[quote=XL;150335]Да, и неплохо было бы сделать возможность удаления файлов по маске из скрипта, это часто бывает полезным, но до сих пор не реализовано, если я не ошибаюсь... Например, таким образом можно почистить папку временных файлов и пр.[/quote]
Удаление файлов по маске реализовать несложно, но представим, что будет, если скомандовать DeleteFileMask('c:\*.*') ?!
[QUOTE=Зайцев Олег;150617]представим, что будет, если скомандовать DeleteFileMask('c:\*.*') ?![/QUOTE]
Ну, разве это причина для того, чтобы не реализовывать удаление по маске?
Я бы вообще предложил немного другой синтаксис этой команды, к примеру:
[I]DeleteFileMask(папка, маска, удаление_в_подпапках, ...)[/I]
Тогда приведенная выше команда будет выглядеть так:
[I]DeleteFileMask('C:', '*.*', 'yes', ...)[/I]
Такой случай, когда в качестве "папки" используется только диск, можно специально оговорить или даже запретить, заменив его отдельной специальной командой.
Кстати, есть такая команда, [I]DeleteDirectory(папки)[/I]. Почему у тебя не было сомнений в ее реализации, ведь с ее помощью тоже можно прибить систему всего лишь одной "неловкой" командой?