Олег, Вы сообщите о выходе исправленной версии?
Олег, Вы сообщите о выходе исправленной версии?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Да, конечно. Просто я затягиваю выход обновления пока активно обнаруживаются багиСообщение от Maxim
Олег, возможно ли в xml-логе исследования использовать одинаковый набор полей для разных категорий исследования:process, dll, drivers, services и др.? С тем, чтобы возможно было логи добавлять в базу данных и проводить сравнительный анализ_обработку для различных хостов.
А для этого не нужен идентичный набор полей ... файл кстати описывается идентичным набором атрибутов, а таскать поле PID скажем в списке BHO - несерьезно. делается это так:
1. Заводится несколько таблиц - по одной на каждую категорию
2. Заводится таблицы:
2.1 Справочник категория (поля: код, имя категории)
2.2 Справочник параметров (поля: код, имя категории, тип). Ссылочная целостность на таблицу 2.1
2.3 Справочник "параметры категорий" (поля: код категории, код параметра), ссылочная целостность на 2.1 и 2.2
2.4 таблица "исследования". там код исследования, дата исследования, примечания, признаки ...
2.5 заводим хранилище - таблица с полями: код исследования, код категории, код строки, код параметра, значение параметра). Ссылочная целостность на 2.1, 2.2 и 2.4, логический контроль по 2.3. И там храним все, что нужно ....
так что все просто ...
А тестеры затягивают тестирование до выхода новой версии.По принципу "три бага нашли - ждём новой версии"
Если честно, хочется по скорее исправленный релиз. Не работающая DeleteService - это серьезно для "Помогите".
А АВЗ совместим с 64 битной версией винды?
У меня не устанавливаются драйвера и не включается гвард, не проходит скрипт на поиск руткитов из за ошибки:
"Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (C:\WINDOWS\system32\ntoskrnl.exe)"
Я не могу проверить, т.к. система 64битная тока дома) стандартный Скрипт на удаление драйверов я выполнял. Может надо найти старую версию? И выполнить в ней? Где то на первых страницах написали что не важна версия. И где мне в случае необходимости скачать старую? В здешних загрузках как я понимаю тока последняя версия.
Заранее благодарен. "Респект и уважуха" за прогу)
нетэто указано в справке программы, почитайте на досуге
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Возможно ли выгружать/удалять что-либо из "Модуля пространства ядра" ?
Иногда,думаю, бывает нужно.
Это технически невозможно ... выгрузка некоего модуля ядра, на содаржащего потоки, обрабатывающего какие-то запросы (про перехват и фильтры типа фильтра файловой системы я вооще молчу) приведет к BSOD. Драйвер можно "вежливо попросить" выгрузиться, если он пожелает это сделать - то выгрузится. Это есть в менеджере служб и драйверов.
Как раз одна из потенциальных дырок в avz. Это возвращаясь к руткитам.
Драйвер isdrv122.sys от последнего IceSword'a применяет несколько руткит-технологий чтобы скрыть присутствие в системе.
Его невидно нигде, кроме "пространства ядра".
Что помешает использовать подобное в реальных зловредах ?
Это "проблема" не AVZ. Это особенность ядерной части Windows.Как раз одна из потенциальных дырок в avz. Это возвращаясь к руткитам.
Драйвер isdrv122.sys от последнего IceSword'a применяет несколько руткит-технологий чтобы скрыть присутствие в системе.
Его невидно нигде, кроме "пространства ядра".
Что помешает использовать подобное в реальных зловредах ?
Идеология примерно такая: если модуль не зарегистрировал в системе функции собственной "выгрузки",
значит этого нельзя сделать без последствий для системы.
Другой вопрос - кто и как пользуется этой особенностью..
Тем более, что никто не может лучше автора драйвера знать как правильно выгрузить его "творение".
The worst foe lies within the self...
А оно уже используется. К примеру в небезызвестном rootkit.agent.eaЕго невидно нигде, кроме "пространства ядра".
Что помешает использовать подобное в реальных зловредах ?
Да и не только в нем. Последние версии bulknet'а ведут себя аналогично.
Если что-то непонятное плывет к Вам прямо в руки, то не спешите обладать им! Приглядитесь, возможно, оно просто не тонет...
Собственно это был простейший пример, есть ещё более извращённые
Модуль драйвера, видимый лишь через пространство модулей ядра, нужно удалять через BootCleaner. А что, сейчас нет удобного способа это сделать?Как раз одна из потенциальных дырок в avz. Это возвращаясь к руткитам.
Драйвер isdrv122.sys от последнего IceSword'a применяет несколько руткит-технологий чтобы скрыть присутствие в системе.
Его невидно нигде, кроме "пространства ядра".
Что помешает использовать подобное в реальных зловредах ?
Или речь о том, что нужно не удаление "Насовсем", а какое-то временное переименование?
Если драйвер малвары загружается раньше, чем это делает bootclean драйвер AVZ, то удалить малвару не получится. Вся беда в том, что они и грузятся раньше. Но по словам Олега в закрытой ветке противоядие на подходе.
Если что-то непонятное плывет к Вам прямо в руки, то не спешите обладать им! Приглядитесь, возможно, оно просто не тонет...
Да? И какие же технологии он применяет для маскировки?Как раз одна из потенциальных дырок в avz. Это возвращаясь к руткитам.
Драйвер isdrv122.sys от последнего IceSword'a применяет несколько руткит-технологий чтобы скрыть присутствие в системе.
Его невидно нигде, кроме "пространства ядра".
Что помешает использовать подобное в реальных зловредах ?
З.Ы. Драйвер этого антируткита не маскируется ни впамяти, ни на диске. Более того - он на диске не существует. И ключи после регистрации и загрузки он удаляет из системного реестра. Применять это малварам не имеет смысла, т.к. после ребута они банально не загрузятся.
anti-malware.ru
что-то потерялосьСтрочка из лога: http://virusinfo.info/showthread.php?t=15676
$AVZ0637: "NWLink IPX/SPX/NetBIOS-совместимый транспортный протокол" --> $AVZ0623 C:\WINDOWS\System32\nwprovau.dll
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Да, это баг. Исправлено.что-то потерялось
http://virusinfo.info/showthread.php?t=15723
C:\WINDOWS\system32\dllcache\winlogon.exe- нет влоге AVZ, но есть в hijackthis
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Ваши права в разделе
