Кстати, у меня идея, при сканировании что бы АВЗ писал в лог подозрения на файлы подписанные электронной подписью, но не прошедшие проверку подлинности. Думаю в свете последних троянов которые патчат системные файлы будет очень полезно.
Printable View
Кстати, у меня идея, при сканировании что бы АВЗ писал в лог подозрения на файлы подписанные электронной подписью, но не прошедшие проверку подлинности. Думаю в свете последних троянов которые патчат системные файлы будет очень полезно.
[QUOTE=Geser;97301]Кстати, у меня идея, при сканировании что бы АВЗ писал в лог подозрения на файлы подписанные электронной подписью, но не прошедшие проверку подлинности. Думаю в свете последних троянов которые патчат системные файлы будет очень полезно.[/QUOTE]
Такое возможно, но тормозить будет (если глобально делать). А вот если в рамках исследования системы - другое дело.
[QUOTE=Зайцев Олег;97303]Такое возможно, но тормозить будет (если глобально делать). А вот если в рамках исследования системы - другое дело.[/QUOTE]
Там один из логов это сканирование системного диска, если я не ошибаюсь. Вот там добавить проверку подписей. Медленно, за то надёжно :)
Подскажите, плз, как убрать червей из памяти - никак не могу автозагрузку отключить - опять появляются. Вроде и из диспетчера задач удалял и всё такое...
Дайте ссылку, плз, если есть инструкция подходящая.
Спасибо :)
[quote=Nick222;97408]Подскажите, плз, как убрать червей из памяти..[/quote]
Это вам в [URL="http://virusinfo.info/forumdisplay.php?f=46"]Помогите![/URL]
что-то шрифт какой-то нестандартный в авз
[URL=http://img206.imageshack.us/my.php?image=tmpsm5.png][IMG]http://img206.imageshack.us/img206/236/tmpsm5.th.png[/IMG][/URL]
[QUOTE=maXmo;97459]что-то шрифт какой-то нестандартный в авз
[URL=http://img206.imageshack.us/my.php?image=tmpsm5.png][IMG]http://img206.imageshack.us/img206/236/tmpsm5.th.png[/IMG][/URL][/QUOTE]
Шрифт стандартный - MS Sans Serif, 10 pt. Он крупнее системного, так как системный - 8. Сделано специально, чтобы зрение не портить ... Хотя это можно сделать опциональной фичей
[QUOTE=Geser;97304]Там один из логов это сканирование системного диска, если я не ошибаюсь. Вот там добавить проверку подписей. Медленно, за то надёжно :)[/QUOTE]
Есть еще более красивое решение - патчится таким образом только 2-3 файла (iexplorer, ndis.sys в частности). Для них можно сделать микропрограмму эвритической проверки и выводить в лог предупреждение.
Сегодня 2-3 а завтра больше. МИкропрограмму можно сделать независимо и запускать при обычном сканировании. А когда запускается скрипт проверки для раздела "Помогите" лучше все проверять.
Вопрос такой - при запущенной AVZ курсор стоит или в ТоталКоммандере или там в Excel. Периодически проявляется самопроизвольный набор строки вида "testtesttesttesttesttesttesttesttest". Грешил на троянов, келоггеров, шуток. Обсканировался всем, чем можно. Ни хрена не нашел. Заметил три раза, что только при висящей в памяти AVZ происходит. Это то, о чем я думаю? Или просто известная фишка, про которую я не знаю?
Готов понести заслуженное наказание, если не в тему. Но вот такая ситуация имеет место быть и есть подозрение на утилиту. Автора ни в чем не виню и никогда винить не собираюсь....
Это АВЗ провоцирует кейлогеры, посылая программам тестовую строку как нажатия клавиш.;)
угу...причем сама ни одного не показывает
[QUOTE=Alvares;97516]угу...причем сама ни одного не показывает[/QUOTE]
Я это в FAQ прописал. Как правильно отметил выше [B]Kuzz[/B], это поведенческий антикейлоггер AVZ - он изучает реакцию внедренных DLL на клавиатурные и мышиные события. Но если AVZ не в фокусе ввода, то тестовая последовательность попадет в активное окно. Вреда от этого естественно нуль ... но тем не менее данная фича нуждается в документировании. Или в блокировке, если AVZ свернут и не в фокусе ввода.
Было бы здорово, чтобы при помощи скрипта можно было бы дать команду искать (например имя файла)по реестру из авз, и конечно сохранялся бы лог найденного. Hу а если не найдётся, то уведомление об этом.
[QUOTE=Зайцев Олег;97522]Я это в FAQ прописал. Как правильно отметил выше [B]Kuzz[/B], это поведенческий антикейлоггер AVZ - он изучает реакцию внедренных DLL на клавиатурные и мышиные события. Но если AVZ не в фокусе ввода, то тестовая последовательность попадет в активное окно. Вреда от этого естественно нуль ... но тем не менее данная фича нуждается в документировании. Или в блокировке, если AVZ свернут и не в фокусе ввода.[/QUOTE]
ага даже постоянно замечаю смену расскладки в пунто свитче, при сканировании..
NO-REG писал:
[quote]Может и это будет и лишняя работа, но лично я считаю что было бы неплохо добавить в раздел Файл> Восстановление системы 16-й пункт «Восстановить базовые сервизы» или аналогичный скрипт. Иногда очень устаешь от воплей «ВИРУС!!! ТРОЯН!!! ПЕРЕУСТАНОВКА ВИНДЫ!!!» и т.д. когда достаточно просто восстановить службы после «КРИВЫХ РУК!!!» и «ТУПИКОВОЙ ИЗВИЛИНЫ!!!»
Когда-то что-то похожее попадалось толи на JS, толи VBS, но сейчас ничего похожего не нахожу. Может на AVZ пойдёт? [/quote]
[QUOTE=drongo;97557]Было бы здорово, чтобы при помощи скрипта можно было бы дать команду искать (например имя файла)по реестру из авз, и конечно сохранялся бы лог найденного. Hу а если не найдётся, то уведомление об этом.[/QUOTE]
В новой версии это уже реализовано - универсальный поиск по реестру из скриптов (искать можно глобально, в указанной ветке).
[QUOTE=Зайцев Олег;97522]Я это в FAQ прописал. Как правильно отметил выше [B]Kuzz[/B], это поведенческий антикейлоггер AVZ - он изучает реакцию внедренных DLL на клавиатурные и мышиные события. Но если AVZ не в фокусе ввода, то тестовая последовательность попадет в активное окно. Вреда от этого естественно нуль ... но тем не менее данная фича нуждается в документировании. Или в блокировке, если AVZ свернут и не в фокусе ввода.[/QUOTE]
Спасибо за разъяснения. Теперь ясно на кого грешить :) На "КРИВЫЕ РУКИ" и "ТУПИКОВУЮ ИЗВИЛИНУ". Сорри за беспокойство:*
[SIZE=2]Простите, что беспокою из-за мелких беспорядков... :)
1. Приложение есть в списке Автозапуска, но нет в логе сканирования.
2. "Менеджер расширений проводника" показывает не всё (читал о подобном в предыдущей теме по AVZ). Точнее - выводит список HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ Но до последних пор показывал все ContextMenuHandlers.
(Кстати, перестали показывать и все другие программы, имеющие такую функцию (числом до 20), - за исключением StartupList'а.
То же самое относится к Расширениям ИЭ: теперь AVZ опять показывает всех, но последние две недели выводил только BHO, а модули расширения - нет. Правда, в указанный период все другие тоже перестали показывать расширения, за исключением той же программы.
Видимо, дело в беспорядке в моём реестре.)
[/SIZE]
Можно ли где нибудь в AVZ меню/Справка/О Программе разместить информацию о "свежести" установленных баз.(Суммарное количество сигнатур + дата последнего обновления)
Например, как у Вас на сайте:
[quote]
Версия: 4.23
База: от 01.03.2007
Сигнатуры: 90924
Нейропрофили: 2
МП эвристики: 367
МП лечения: 55
МП восстановления: 15
База безопасных: 56670[/quote]
[QUOTE=DoSTR;97826]Можно ли где нибудь в AVZ меню/Справка/О Программе разместить информацию о "свежести" установленных баз.(Суммарное количество сигнатур + дата последнего обновления)
Например, как у Вас на сайте:[/QUOTE]
Это можно, но сложно - для получения подобных цифр нужно перезагрузить все базы. AVZ исходно этого не делает - базы грузятся по мере необходимости. А данные на страничке статичные - апдейт генерируется по центральной базе данных, поэтому собирающий его демон на сервере автоматом генерит базы, выкладывает их по FTP и обновляет страничку статистики. Как вариант, я нечто подобное могу воткнуть в базу - типа описания базы в текстовом виде.
[quote=Зайцев Олег;97829]Как вариант, я нечто подобное могу воткнуть в базу - типа описания базы в текстовом виде.[/quote]
Может сделать отдельный каждый раз обновляемый файл - содержащий информацию, которая и будет отображаться в программе.
[QUOTE=DoSTR;97864]Может сделать отдельный каждый раз обновляемый файл - содержащий информацию, которая и будет отображаться в программе.[/QUOTE]
Вот об этом и речь ... причем файл можно сделать текстовым, чтобы можно было просмотреть его без помощи AVZ. Я продумаю данный вопрос ...
Олег, добрый день. "Замечает" ли АВЗ удаление одной или нескольких антивирусных баз? Имеет ли смысл в каком-то виде выполнять контроль целостности АВ -баз (возможно, ранее об этом уже говорилось)?
----
Кстати, АВЗ запускается эмулятором Wine в Linux (ubuntu), но не работает нормально.
[QUOTE=santy;97924]Олег, добрый день. "Замечает" ли АВЗ удаление одной или нескольких антивирусных баз? Имеет ли смысл в каком-то виде выполнять контроль целостности АВ -баз (возможно, ранее об этом уже говорилось)?
----
Кстати, АВЗ запускается эмулятором Wine в Linux (ubuntu), но не работает нормально.[/QUOTE]
Нет, удаление одной из баз типа main* он не замечает. Это было сделано специально, чтобы можно было оперативно поменять любой из файлов (добавить, удалить, обновить) вручную. Ввиду появления автоапдейта подобный контроль можно ввести.
По поводу запуска на эмуляторе - да, он запустится - но работать по идее не должен. Есть кстати разновидность версия AVZ под Linux, ее со временем можно довести до ума - там конечно только сканер ...
[QUOTE=Зайцев Олег;97926]Нет, удаление одной из баз типа main* он не замечает. Это было сделано специально, чтобы можно было оперативно поменять любой из файлов (добавить, удалить, обновить) вручную. Ввиду появления автоапдейта подобный контроль можно ввести.
По поводу запуска на эмуляторе - да, он запустится - но работать по идее не должен. Есть кстати разновидность версия AVZ под Linux, ее со временем можно довести до ума - там конечно только сканер ...[/QUOTE]
Может быть, имеет смысл формировать контрольную сумму либо по авторским базам при автоапдейте, и соответственно проверять какой-то функцией из менеджера АВЗ, исключая из суммы базы, созданные пользователем... А версия АВЗ под Линукс работает с теми же базами?
Интересно было бы посмотреть.
Nod32, Drweb под Linux при сканировании детектирует вирусняк под Win. Как работает мониторинг пока не разобрался.
[QUOTE=santy;97957]Может быть, имеет смысл формировать контрольную сумму либо по авторским базам при автоапдейте, и соответственно проверять какой-то функцией из менеджера АВЗ, исключая из суммы базы, созданные пользователем... А версия АВЗ под Линукс работает с теми же базами?
Интересно было бы посмотреть.
Nod32, Drweb под Linux при сканировании детектирует вирусняк под Win. Как работает мониторинг пока не разобрался.[/QUOTE]
Линуксовый AVZ основан на тех-же базах. Мне просто было любопытно, как он будет работать, если портировать его на линкус - оказалось, это не сложно и работает неплохо. Я это делал в свое время для прикручивания AVZ к прокси/почтарю, но до ума так и не довел.
[B]Олег![/B] При отложенном удалении файлов как правильно сделать чистку реестра?
В скрипте идет сначала deletefile, bc_importDeletedList, executesysclean, rebootwindows. извини, если ошибся в названиях функций.
[QUOTE=PavelA;97972][B]Олег![/B] При отложенном удалении файлов как правильно сделать чистку реестра?
В скрипте идет сначала deletefile, bcimportdeletefiles, executeregclean, rebootwindows. извини, если ошибся в названиях функций.[/QUOTE]
Именно так, т.е. :
1. Удаление файлов - DeleteFile
2. Импорт списка удаленных объектов в BootCleaner - BC_ImportDeletedList
3. Чистка реестра - ExecuteSysClean
4. Активация BootCleaner - BC_Activate
5. Перезагрузка - RebootWindows(true);
Олег, неплохо бы сделать в AVZ выбор временного каталога, куда AVZ извлекает архивы. А то у меня антивирус рубит файлы с вирусами, которые AVZ пытается вытащить из архива.
Я, конечно, понимаю что надо отрубать антивирус, на время работы AVZ :) . Но это не всегда удобно, когда хочешь проверить 1-2 файла, на предмет детектирования их AVZ, когда антивирус его уже поймал...
А так, антивиру прописал этот каталог в исключения, и ни какой возни с отключениями...
[QUOTE=Arhimed;98125]Олег, неплохо бы сделать в AVZ выбор временного каталога, куда AVZ извлекает архивы. А то у меня антивирус рубит файлы с вирусами, которые AVZ пытается вытащить из архива.
Я, конечно, понимаю что надо отрубать антивирус, на время работы AVZ :) . Но это не всегда удобно, когда хочешь проверить 1-2 файла, на предмет детектирования их AVZ, когда антивирус его уже поймал...
А так, антивиру прописал этот каталог в исключения, и ни какой возни с отключениями...[/QUOTE]
ОК, сделаю такой ключ командной строки и опцию в скрипте.
Предлагаю включать в лог исследования системы (2 и 3 стандартный скрипт) список установленных программ.
[url=http://www.kpnemo.ru/files/2007/03/05/test_antivirusov_/2.html#comments]Здесь[/url] тестили 100 вирусов. Говорят, что AVZ находит 71.
У самого был [url=http://virusinfo.info/showpost.php?p=97760&postcount=73]zonebac[/url]. Всё сделал, что ему полагалось. :) Симантек заметил его только после восстановления инсталляции. AVZ пост-фактум: последняя база, максимальная эвристика, все файлы, включено лечение с копированием удаляемых, указана папка, где зловреды - не детектирует...
[QUOTE]Есть прога "File Lock v4.2.11", она для закрытия доступа к файлам, папкам, дискам.
Но почему-то AVZ не показывает ее часть (в памяти), которая отвечает за закрытие доступа и ее способ автозапуска.[/QUOTE]
[url]http://www.toplang.com/filelock.htm[/url] -
[QUOTE]Kernel mode protection, uses low level driver to protect your files/folders[/QUOTE]
[QUOTE=Зайцев Олег;97965]Линуксовый AVZ основан на тех-же базах. Мне просто было любопытно, как он будет работать, если портировать его на линкус - оказалось, это не сложно и работает неплохо. Я это делал в свое время для прикручивания AVZ к прокси/почтарю, но до ума так и не довел.[/QUOTE]
Для нас это скоро станет актуально в связи с возможной миграцией на Linux. Проверка файловых серверов+почты, при том, что часть машин будет работать под Win.
Олег, а можно потестировать сканер АВЗ(Linux) в том виде, в котором он сейчас есть? Может быть, и для других это будет интересно - по крайней мере, на форуме ubuntu читал сообщения, типа "не могу жить без антивируса..." :)
[QUOTE=santy;98245]Для нас это скоро станет актуально в связи с возможной миграцией на Linux. Проверка файловых серверов+почты, при том, что часть машин будет работать под Win.
Олег, а можно потестировать сканер АВЗ(Linux) в том виде, в котором он сейчас есть? Может быть, и для других это будет интересно - по крайней мере, на форуме ubuntu читал сообщения, типа "не могу жить без антивируса..." :)[/QUOTE]
Текущая версия кривая, но я возьму вопрос на контроль и постараюсь довести его до ума
[QUOTE=Erekle;98242][url=http://www.kpnemo.ru/files/2007/03/05/test_antivirusov_/2.html#comments]Здесь[/url] тестили 100 вирусов. Говорят, что AVZ находит 71.
У самого был [url=http://virusinfo.info/showpost.php?p=97760&postcount=73]zonebac[/url]. Всё сделал, что ему полагалось. :) Симантек заметил его только после восстановления инсталляции. AVZ пост-фактум: последняя база, максимальная эвристика, все файлы, включено лечение с копированием удаляемых, указана папка, где зловреды - не детектирует...
[url]http://www.toplang.com/filelock.htm[/url] -[/QUOTE]
Оффтоп - при всем уважении это не тест :) ... во первых как я не пробовал, AVZ ловит 93 зверей из этих 100 (надо включить опцию сканировать все файлы - иначе файлы с расширением типа .#xe не проверяются), из остального не ловится FireDLL.dll - это DLL от теста Firewall (а не троян !), VirTools - это не вирус, и 5 вирусов - AVZ их не ловит. Но это так, детали ... главное то тут совершенно в другом - это не ITW зловреды ! а на 80% нечто весьма древнее. Примеры:
Backdoor.Win32.IRCBot.ex = 28.10.2005
Trojan-Spy.Win32.KGSpy.d = 17.03.2005
Trojan-Downloader.Win32.VB.eu = 05.01.2005
Trojan-PSW.Win32.LdPinch.yp = 25.11.2005
Email-Worm.Win32.NetSky.d = 02.03.2004
Virus.DOS.Lapiddan.454 - что-то похожее я видел лет 15 назад
Даты - это дата внесения дефиниции указанного зверя в базу AVZ. Поэтому дальнейшие рассуждения о эффективности антивирусов и сравнения по данной коллекции мягко говоря некорректны - в коллекции почти нет свежих ITW образцов.
------
Теперь по делу - "File Lock v4.2.11" AVZ видит - у него есть немаскируемый процесс FileLock.exe, плагины для Explorer - DisguiseFolder.tlp, EncryptFile.tlp, Trusts.tlp и драйвер - FLOCKXP.SYS - все это не маскируется и AVZ это отображает в исследовании системы и списке модулей ядра. Некоторые версии File Lock есть в базе безопасных, поэтому в исследовании они могут отсутствовать
[QUOTE]Теперь по делу - [/QUOTE]
Да, я тоже увидел, что отображает, но опасался, что чего-то пропустил (скачал эту программу, но в автозагрузку не прописывал).
Не по делу :) - извиняюсь... знаю, что тема не о том. Просто к моему недавнему случаю (кстати, и антивирус во время проверки AVZ был отключен, чтобы не мешать) добавился тот кустарный тест (с Вашего позволения скопирую Ваш ответ туда).
Только один вопрос: есть ли отличия в механизме сканирования и выявления - проведенных по скриптам и с главного окна? Они одинаково эффективны?
[QUOTE=Erekle;98279]Да, я тоже увидел, что отображает, но опасался, что чего-то пропустил.
Не по делу :) - извиняюсь... я тоже знаю, что тема не о том. Просто к моему недавнему случаю (кстати, и антивирус во время проверки AVZ был отключен, чтобы не мешать) добавился тот кустарный тест (с Вашего позволения скопирую Ваш ответ туда).
Только один вопрос: есть ли отличия в механизме сканирования и выявления - проведенных по скриптам и с главного окна? Они одинаково эффективны?[/QUOTE]
По поводу теста - ответ мой можно скопировать, я не против ... это главная беда таких тестов - в Инет гуляют коллекции "вирусов", из которых почти нет ITW - либо древние DOS вирусы, либо древние современные. Причем коллекция явно отобрана по детекту какого-то антивируса X. так нельзя - для объективного теста нужно 3-5 тыс. свежих распространенных ITW образцов, тогда это интересно.
------
По поводу эффективности сканирования - имеется в виду есть ли разница между зхапуском скана AVZ вручную или аналогичное из скрипта ? Если да, то разницы совершенно никакой - используется тот-же алгоритм, все полностью идентично. С исследованием системы немного не так - в скрипте всегда выполняется полное исследование, а в случае ручного запуска исследования в диалоге можно отключить ряд проверок.
1.Процесс, который был запущен до включения AVZGuard, после включения оного все равно может писать в любые файлы и в "exe" в том числе.
2.Поставить ловушку на WH_GETMESSAGE.
SysHook := SetWindowsHookEx(WH_GETMESSAGE,@SysMsgProc, HInstance, 0);
в main begin dll'и
if UpperCase(ExtractFileName(Application.ExeName))= 'AVZ.EXE' then
begin
Application.Terminate;
// или while true do i:=i+1; что веселее
end;
Такая фича не пройдет с AVZ AG=Y, но напоминаю что начиная с 4.20
AVZ AG=Y приводит к Access Violaton
А сделать проверку, какие модули используются самим AVZ на предмет их безопасности
вроде того, как он реагирует на изменение своего CRC?
[quote=Mad Scientist;98418]1.Процесс, который был запущен до включения AVZGuard, после включения оного все равно может писать в любые файлы и в "exe" в том числе.
2.Поставить ловушку на WH_GETMESSAGE.
SysHook := SetWindowsHookEx(WH_GETMESSAGE,@SysMsgProc, HInstance, 0);
в main begin dll'и
if UpperCase(ExtractFileName(Application.ExeName))= 'AVZ.EXE' then
begin
Application.Terminate;
// или while true do i:=i+1; что веселее
end;
Такая фича не пройдет с AVZ AG=Y, но напоминаю что начиная с 4.20
AVZ AG=Y приводит к Access Violaton
А сделать проверку, какие модули используются самим AVZ на предмет их безопасности
вроде того, как он реагирует на изменение своего CRC?[/quote]
1. Писать Guard не запрещает - блокируется только создание новых объектов.
2. Я исправил баг, AG=Y должен теперь работать - он для этого и был сделан ... Проверку модулей AVZ делает, он "знает", что грузил сам, а что внедрилось без его ведома.
----------
Вышла новая версия - 4.24, эту ветку закрываю, ветка для новой версии - [url]http://virusinfo.info/showthread.php?t=8284[/url]