AVZ 4.15 + AVZGuard - тестирование, обсуждение, предложения по доработке

[quote=Dream Worker]
.....
Спасибо, что я мог принять хоть какое-то участие (я так думаю) в тестировании, тем более я слаб в программировании и это пойдет мне на пользу (извините, что мессага такая большая вышла).[/quote]
Все просто - AVZ Guard не успевает активироваться. Если в таймере задать время порядка 500 мс, то подобный фокус не пройдет. Руткит-маскировку процесса AVZ делать не нужно - AVZ Guard по сути и есть руткит.
-----------
Итак, грядет выход v4.15. Предлагаю подитожить пожелания (поиск национальных символов и вывод предупреждения уже сделан).

[QUOTE=aintrust]Хм... странно... в этой ветке стали пропадать сообщения. Ладно, повторюсь:



1) v3.15 - это как надо понимать? Вроде как [U]уже[/U] имеем 4.15...
2) Новый анти-кейлоггер тоже увидим в предстоящей версии?[/QUOTE]
Я восстановил - тема по сути и так на 50% флейм, чистить ее смысла нет, под новую версию я новую заведу, а эту прибъем.
Версия 4.15, это очепятка. Антикейлоггер там однозначно будет.

Да народ уже просто соскучился... давно ждет новой версии... :)

[url]http://sources.h11.ru/soft/instruments/index.html[/url]
-набор полу-хакерских инструментов какого-то чела.

Если запустить сперва Instruments, потом AVZ, потом включить
AVZGuard, то из Instruments прибить AVZ.exe все равно можно. (останется работать AVZGuard -> перегружаться)

Олег, а на вопросы (выше) ответить можно? :)

[QUOTE=Dream Worker]
...
Если запустить сперва Instruments, потом AVZ, потом включить
AVZGuard, то из Instruments прибить AVZ.exe все равно можно. (останется работать AVZGuard -> перегружаться)[/QUOTE]
Да, есть такое дело, и это известно уже практически с самого первого дня появления AVZGuard (смотрите старые посты в этой теме). AVZ в любом режиме работы (даже с включенным AVZGuard) легко убивается даже через обычный Task Manager.

[I]PS. Мой вам совет - бросьте вы эту затею с убиением AVZ. Пока что в AVZ нет надежных механизмов самозащиты (и, по всей видимости, в ближайшее время не появится), так что убить его не представляет никакого труда даже "начинающему программисту"![/I]

[QUOTE=aintrust]Да, есть такое дело, и это известно уже практически с самого первого дня появления AVZGuard (смотрите старые посты в этой теме). AVZ в любом режиме работы (даже с включенным AVZGuard) легко убивается даже через обычный Task Manager.

[I]PS. Мой вам совет - бросьте вы эту затею с убиением AVZ. Пока что в AVZ нет надежных механизмов самозащиты (и, по всей видимости, в ближайшее время не появится), так что убить его не представляет никакого труда даже "начинающему программисту"![/I][/QUOTE]
Вот именно. AVZGuard расчитан на противодействие троянам - т.е. известно не менее 50 методов прибить процесс, но в реальность подавляющее большинство троянов применяют OpenProcess/TerminateProcess и маниакально бороться с другими методами мне пока лень, я давлю по факту.

[quote=kps]Олег, а на вопросы (выше) ответить можно? :)[/quote]
Можно - их сначало заметить нужно, я почистил пару листов флейма.
1. Можно, прямо сейчас прикручу, чтобы не забыть
2. Пока в стадии рассмотрения.

Вчера после проведения проверки на чистой системе AVZGuard уронил всё :(
Выдержка из БСОДа:
[B][COLOR="Blue"]avzsg.sys
DRIVER_UNLOADED_WHITHOUT_CANCELLING_PENDING_OPERTATIONS
Stop: 0x000000CE (0xF7BF730C,0, 0xF7BF730C, 0)[/COLOR][/B]

Последовательность примерно такая: запустил AVZ, активировал guard, проверил процессы и cистемные каталоги, запустил доверенный cmd.exe, запускал там то ли ping, то ли trace (т.к. при этом был подключен к инету и присписчило что-то проверить, а запущенный до AVZ ФАР обломалСЯ с запуском), попытался закрыть avz, остановил guard, попытался закрыть avz (cmd остался), пролучил БСОД.

XP SP2 rus (с обновлениями по март, если это важно)

[QUOTE=Зайцев Олег]...прямо сейчас прикручу, чтобы не забыть
[/QUOTE]
Да, и чтобы "не забыть", еще и это:
1) избавиться от загрузки драйвера [I]avz.sys[/I] в пользу одного единственного [I]avzg.sys[/I] - ты говорил, что сделаешь это обязательно;
2) сделать загрузку драйвера без SCM (я так понял по твоим словам, что это уже практически сделано).

И еще... Может, все же сделаешь кнопку "Пауза" на сканировании файлов (я уже понял тщетность моих просьб насчет выделения GUI в отдельный поток и избавления от модальных окон - я так понял, что тот Дельфи, на котором ты пишешь AVZ, вообще не может нормально работать с несколькими потоками)? Но хоть "Паузу"-то можно как-то реализовать? Это даже и не моя просьба - об этом уже просит буквально каждый из тех, кому я показываю твою утилиту.

[QUOTE=UFANych]Вчера после проведения проверки на чистой системе AVZGuard уронил всё :(
Выдержка из БСОДа:
[B][COLOR="Blue"]avzsg.sys
DRIVER_UNLOADED_WHITHOUT_CANCELLING_PENDING_OPERTATIONS
Stop: 0x000000CE (0xF7BF730C,0, 0xF7BF730C, 0)[/COLOR][/B]

Последовательность примерно такая: запустил AVZ, активировал guard, проверил процессы и cистемные каталоги, запустил доверенный cmd.exe, запускал там то ли ping, то ли trace (т.к. при этом был подключен к инету и присписчило что-то проверить, а запущенный до AVZ ФАР обломалСЯ с запуском), попытался закрыть avz, остановил guard, попытался закрыть avz (cmd остался), пролучил БСОД.

XP SP2 rus (с обновлениями по март, если это важно)[/QUOTE]
А антивирусный монитор есть (т.е. AVZ показывает перехваты режима ядра без включения Guard) ? И второе уточнение - тип процессора (1 или 2 штуки и есть ли HT).

[QUOTE=UFANych]Вчера после проведения проверки на чистой системе AVZGuard уронил всё :(
...
[/QUOTE]
А если вы повторите описанную последовательность действий, AVZ снова завалит систему? Попробуйте, если не сложно.

Также, если есть минидамп, закиньте его, пожалуйста, сюда.

[QUOTE=Зайцев Олег]
И второе уточнение - тип процессора (1 или 2 штуки и есть ли HT).[/QUOTE]
Не думаю, что в этом может быть проблема... По крайней мере, у меня HT - таких "завалов" ни разу не было.

Просто что-то осталось в пендинге... бывает.

А что касается многопоточности, то в Дельфи с этим вроде как ок все.

[QUOTE=Xen]
...
А что касается многопоточности, то в Дельфи с этим вроде как ок все.[/QUOTE]
Да я тоже всегда так думал, но, видимо, не все так просто. В общем, я толком не знаю - но Олег говорит, что там много глюков с этими делами.

Надо грамотно синхронизировать потоки и все будет ок. Мои знакомые на дельфи пишут обалденные промышленные мультитред-сервисы, например. Но это уже снова оффтоп.

Повторный эксперимент - попытка вызвать BSOD - успехом не увенчался.
Вот логи с гардом и без него.
[ATTACH]2232[/ATTACH]
[ATTACH]2233[/ATTACH]

Проц - P4 2.8 БЕЗ HT.
В системе установлен Symantec corp 9.0. с прошлого раза его базы не обновлялись.
AVZ запускался оба раза с flash-драйва.

хотя, что толку, всё равно BSODа нет...

Ну, значит ошибка скорее всего "плавающая" - такие воспроизвести и устранить тяжелее всего.

Так как же все-таки насчет минидампа - он у вас есть или нет? Если нет, то советую вам установить соответствующую опцию - тогда следующий раз в случае падения будет хоть какой-то предмет для исследования.

не думал, что минидамп понадобится... потому и нету :(
теперь везде ставить буду!

Интересненькое...

Преамбула:
Рубился сегодня в "Линейку" (LineAge 2). C4 клиент с офф. сайта (тот который с GameGuard) Сервак в очередной раз отвалился, а клиент висит.

Амбула:
Через taskman убить не получилось (доступ запрещен) - работа Gameguard-a. Дай думаю через AVZ, не получилось... менеджер процессов отваливается, так как системная функция перхвачена GameGuard-ом. Пустил нейтрализацию руткитов... результат отрицательный. Во вложениях логи:
avz_km_log - Kernel Mode востановление
avz_um_log - User Mode востановление
avz_taskman_log - ошибка при открытии менеджера процессов

Вдогонку,
Если запустить проверку памяти (с противодействием руткитам или без), то AVZ вываливается после:
2. Проверка памяти
Количество найденных процессов: 22
[DEBUG]>Scan proc C:\WINDOWS\system32\smss.exe
[DEBUG]>Scan proc c:\windows\system32\csrss.exe
[DEBUG]>Scan proc c:\windows\system32\winlogon.exe
[DEBUG]>Scan proc c:\windows\system32\services.exe
[DEBUG]>Scan proc c:\windows\system32\lsass.exe
[DEBUG]>Scan proc c:\windows\system32\svchost.exe
....
[DEBUG]>Scan proc d:\l2c4\system\l2.exe
[DEBUG]>Scan proc c:\windows\system32\taskmgr.exe
[DEBUG]>Scan proc c:\program files\mozilla firefox\firefox.exe
[DEBUG]>Scan proc d:\distrib\av\avz4\avz.exe
[DEBUG]>Scan hidden process
Сканирование длилось 00:00:02

а дальше Эксемшен см вложением

С уважением,

Олег, а обновление баз не апдейтером, а отдельно не делал? И желательно одним файликом.

[B]anton_dr[/B]
Вообще то, для обновления можно написать скрипт, и запускать на отработку скрипт.

[QUOTE=Grey][B]anton_dr[/B]
Вообще то, для обновления можно написать скрипт, и запускать на отработку скрипт.[/QUOTE]
Скрипт можно, но при условии, что встроенный апдейтер сработает. Иногда он не может загрузить файлы (почему - не всегда известно), поэтому наличие архива с полным апдейтом иногда удобно. Я такое сделал, начиная с 4.16 это будет.

Вот у меня как раз тот случай - не работает апдейтер, хоть ты тресни. С любыми настройками.
А когда примерно ждать 4.16?

[quote=anton_dr]Вот у меня как раз тот случай - не работает апдейтер, хоть ты тресни. С любыми настройками.
А когда примерно ждать 4.16?[/quote]
Сегодня к вечеру или завтра утром. Я просто плюнул на изготовлении версии с кучей новшеств - вместо этого проще сделать несколько версий, иначе доработки еще на месяц затянутся.

Ок, будем ждать

Олег, а баги с антируткитом исправлены будут?

[quote=Dandy]Олег, а баги с антируткитом исправлены будут?[/quote]
Возможно - я вроде-бы исправил пару мелких багов.

Итак, ветку закрываем - по причине выхода версии 4.16