Типа проверить файл по базе зловредов AVZ. Эта фича есть в командной строке, но хорошо было бы её вывести в GUI...Сообщение от Зайцев Олег
Типа проверить файл по базе зловредов AVZ. Эта фича есть в командной строке, но хорошо было бы её вывести в GUI...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
А, это элементарно - добавлю
Заметил очень странный баг в AVZ: при включении режима AVZGuard небольшая часть файлов системных процессов (у меня, к примеру, всегда - snmp.exe) и часть системных DLL (shell32.dll, browseui.dll и многие другие) начинают отображаться черным цветом (вместо зеленого). После выключения AVZGuard все снова приходит в норму.
Детально не разбирался, но полагаю, что AVZGuard как-то мешает AVZ "увидеть" эти файлы, т.к. похожая история происходит и с проверкой цифровой подписи файлов. Вот пример:
Первое сообщение - AVZGuard не включен, второе сообщение - сразу же после включения AVZGuard.Файл: C:\WINDOWS\system32\browseui.dll. Результат: Файл прошел контроль подлинности Microsoft
Файл: C:\WINDOWS\system32\browseui.dll. Результат: Файл НЕ прошел контроль подлинности Microsoft
Кто-нибудь еще имеет такой глюк?
Надо такое проверить. Гипотеза - эти файлы отсутствуют в базе AVZ и есть в базе MS. При включении Guard он давит доступ к этим файлами и система не может проверить их ЭЦП по запросу AVZ.
Нет-нет, эти файлы точно есть в базе "безопасных" AVZ - они же при выключении AVZGuard становятся зелеными! Кроме того, проверил специально:
Первое сообщение - AVZGuard выключен, второе - сразу после включения.Файл: C:\WINDOWS\system32\browseui.dll. Результат: Файл обнаружен в базе системных и безопасных объектов AVZ
Файл: C:\WINDOWS\system32\browseui.dll. Результат: Файл НЕ обнаружен в базе системных и безопасных объектов AVZ
Странно то, что таких файлов - довольно немного. Попробуй глянуть в DLL-ках системных процессов после включения AVZGuard в окне Диспетчера процессов.
Проверил дома - то же самое, только процессы и DLL-ки другие (к примеру, explorer, winlogon и т.д.). Из порядка 40 процессов после включения AVZGuard "чернеют" 5, причем каждый раз меняют цвет одни и те же процессы (как системные, так и нет) - т.е. определенная стабильность в поведении AVZ имеет место. Проявляется не только в окне Диспетчера процессов, но также и в модулях ядра, и в autoruns и т.д. - видимо, вообще везде.
Явный баг? Или у меня супер-руткит спрятался? =) Кто-нибудь еще, помимо меня, это проверял?
PS. Никакого специально софта, который мог бы провоцировать такое поведение AVZ, у меня не установлено. Версия, кстати, 4.25.
PPS. А вот сейчас мои эксперименты вообще привели к синьке из-за ошибки в драйвере AVZGuard. Олег, ты в последнее время в нем ничего не переделывал случаем?
AVZGuard я очень давно не трогал, наверное порядка года никаких изменений не было. Я проверил для опыта на версии 4.24r4 и на 4.25, там такой баг не проявляется.
У меня с AVZGuard, svchost.exe обнаружен в базе системных и безопасных обьектов. Без AVZGuard, svchost.exe Файл прошел контроль подлинности Microsoft.
browseui.dll и winlogon не зависимо от AVZGuard находится в базе AVZ.
Последний раз редактировалось Макcим; 29.06.2007 в 21:33.
Да, у меня такая же фигня...Кто-нибудь еще, помимо меня, это проверял?
...и такие же файлы.к примеру, explorer, winlogon и т.д.
Странно... Попробую завтра помониторить доступ AVZ к этим файлам-"хамелеонам", может поймаю что-нибудь. Беспокоит то, что у меня это проявляется не на одном компьютере и под немного разными операционками (XP SP1/SP2), причем в не слишком похожих конфигурациях софта.
О! Значит, нас уже двое таких "пострадавших"... =)
Максим, для проверки надо сделать следующее:
1) запустить AVZ (желательно когда на компьютере все более-менее спокойно и количество процессов стабильно, т.е. не меняется);
2) запустить в нем Диспетчер процессов и посчитать количество "черных" процессов, после чего закрыть Диспетчер процессов;
3) сразу же после этого включить режим AVZGuard и проделать то же самое, что и в пункте 2).
Если кол-во "черных" процессов в случаях 2) и 3) совпадет, значит баг у вас, скорее всего, не проявляется. К проверке файлов по базе Майкрософт пока привязываться не имеет смысла - это вторичное.
Последний раз редактировалось aintrust; 29.06.2007 в 21:51.
Есть такой глюк. Процессы hkcmd.exe и igfxpers.exe после включения AVZGuard почернели (файлы от драйвера встроенного видео Intel).Кто-нибудь еще имеет такой глюк?
AVZ 4.25 Windows XP SP2.
Проявляется. Вот скриншоты. Самое интересное, что проявляется на разных файлах (у Вас на системных, у меня на драйвере к принтеру).Если кол-во "черных" процессов в случаях 2) и 3) совпадет, значит баг у вас, скорее всего, не проявляется.
Понятно, глюк имеет место... Спасибо всем, кто принял участие в тестировании!
Я тоже принимал! Но у меня глюка нет
Это, конечно, плюс, но баг уже подтвержден - это означает, что он может произойти у кого угодно и в любой ситуации. В общем, его надо изучать, искать и исправлять - и чем скорее, тем лучше.Я тоже принимал! Но у меня глюка нет
Когда смотришь "Менеджер внедренных DLL", то в графе "Анализатор" не видно текста, он уходит за пределы окна.
Например "....Передает данные процессу xxxx c:\w" а дальше не видно
Ну что же, мне все ясно. Файловый мониторинг показал, что включенный AVZGuard "мешает" AVZ получить информацию о цифровой подписи файлов, как я и предположил ранее. Сейчас для меня остается загадкой лишь то, что этот баг проявляется не у всех.
Итак, подробности. Привожу кусочек лога утилиты FileMon (файл fmon_guard.zip) для окна Диспетчера процессов при включенном AVZGuard. В этом кусочке представлена информация о тех процессах (не в терминах ОС), которые приводят к "почернению" некоторых файлов после включения AVZGuard. Здесь "почернели" следующие файлы (по порядку в логе): winlogon.exe, nvsvc32.exe и explorer.exe. Как видно из лога, сами эти файлы AVZ читает без проблем (от начала и до конца, и ничто ему не мешает), и, видимо, так же без проблем может посчитать их контрольную сумму для проверки по базе "безопасных" (а они там точно присутствуют). Однако, по непонятной мне причине, AVZ начинает вдруг обращаться к системе за проверкой их цифровой подписи по каталогу Microsoft (странно, ведь никто не просит его это делать!) и тут, ввиду присутствия AVZGuard, мешаюшего ему это сделать, AVZ "обламывается". Приняв (что неверно) этот "облом" как ошибку подсчета контрольной суммы, AVZ отрисовывает этот файл черным цветом вместо зеленого. Обратите внимание на еще один момент: файлы ntdll.dll, smss.exe, csrss.exe также имеют цифровую подпись, но AVZ даже и не пытается ее проверить по каталогу Microsoft (почему, ума не приложу) - он удовлетворяется лишь тем, что просто читает эти файлы, подсчитывает для них контрольную сумму, проверяет по своей базе безопасных и затем показывает зеленым цветом.
Привожу еще один лог (файл fmon_noguard.zip), где показано, как происходит операция чтения файла explorer.exe и его проверка по каталогу Microsoft для случая, когда AVZGuard выключен. Как видим, все ОК, с точки зрения AVZ все идет штатным образом, и, как результат, файл показывается зеленым цветом.
Последний раз редактировалось aintrust; 14.08.2007 в 22:40.
Как материал для размышления - AVZ проверяет так: сначала читает данные из файла и расчитывает CRC файла. Если это не удается (файла нет, доступа нет ...), то файл признается небезопасным независимо от прочих условий. Если CRC удается высчитать (т.е. фай есть, его удалось открыть и прочитать его содержимое), то CRC проверяется по базе чистых. Если файл там обнаруживается, то он признается безопасным и процесс проверки завершается. Если нет, то производится проверка по базе MS. В начале следующей недели пойдут тесты 4.26, в ней я воткну дебаг-вывод для функции проверки файла, если баг проявится, узнаем, в чем точно причина.
Ваши права в разделе
