Нет, не таким. Выводится в этом же окне. Возможно, файл большой и вы просто не дождались окончания загрузки.
Нет, не таким. Выводится в этом же окне. Возможно, файл большой и вы просто не дождались окончания загрузки.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Файл, действительно, большой (19.4 Мб), но окончания загрузки я вроде дождался, окно перечиталось, поле где был путь и имя файла очистились, но отчета не появилосьСообщение от anton_dr
. Это окно у меня до сих пор открыто - никакого отчета там не появилось. Может загрузка не прошла нормально, например из-за размера? Хотя по счетчику Оперы было передано 19.5 Мб...
Была проблема с загрузкой. Должна быть исправлена сейчасФайл, действительно, большой (19.4 Мб), но окончания загрузки я вроде дождался, окно перечиталось, поле где был путь и имя файла очистились, но отчета не появилось
Мне надо загрузить файл заново?
Да, и сообщить о результате. Внизу страницы по окончанию загрузки будет отчет.
Сообщаю о результате - то же самое, никакого отчета
Олег, а ЛК делится с Вами зловредами ? А Вы с ними ? А вообще с какими АВ обмениваетесь зверями, если не секрет?Или воткнуть в AVZ "Авторизованный партнер ЛК"
Нет, отправка зверей в ЛК односторонняя. Но я отправляю им немного сравнительно - может, штук 300-500 в год. У меня все руки не доходят подключить ИР анализатор для отправки им недетектируемых зверей... у меня и без обмена столько ITW зверей, что девать их некуда (см. стать отчеты http://www.z-oleg.com/secur/virstat/index.php). А так мы с VBA обменивается иногда, плюс я им периодически скидываю архивы по 15-20 мб со зловредами, которые детектит их эвристик в кеше моего ИР анализатора. Плюс с рядом AV контор идет постоянный обмен ITW образами по закрытой сети, там в год проходят тысячи зловредов ...Олег, а ЛК делится с Вами зловредами ? А Вы с ними ? А вообще с какими АВ обмениваетесь зверями, если не секрет?
Олег, я дико извиняюсь, не нашёл как написать напрямую вам на вашем сайте, поэтому пишу тут
Не работает ссылочка в разделе "Описание вирусов" - 20 последних описаний.
Кстати, как там идея выявления руткитов через результаты сканирования диска через операционку и через драйвер прямого доступа. То же и с реестром?
Должна работать - она ведет на http://www.z-oleg.com/secur/virlist/index20.php, вроде все открывается. Она на выходных не работала, там был небольшой глюк.Олег, я дико извиняюсь, не нашёл как написать напрямую вам на вашем сайте, поэтому пишу тут
Не работает ссылочка в разделе "Описание вирусов" - 20 последних описаний.
Идея в стадии. Сейчас идет сравнение до и после нейтрализации руткита, что собственно дает прямой эффект. С прямым чтением диска давно все готово, но это сработает на обычном диске - а если он зашифрованный, виртуальный и т.п. - не факт. Пока меня смущает только тот факт, что сравнение диска путем его прямого чтения и через API требует определенного времени, что увеличит продолжительность сканирования.
Последний раз редактировалось anton_dr; 27.01.2007 в 17:44.
Далее, когда жмем на конкретное описание получаем - 404 и т.д.
А вот нажимать то я и не пробовал
При условии что руткит удалось нейтралисовать, что совсем не факт.
Обычных дисков большинство. Остальное экзотика. А время, кто хочет вылечиться найдёт. Можно сделать сканирование только системного раздела.С прямым чтением диска давно все готово, но это сработает на обычном диске - а если он зашифрованный, виртуальный и т.п. - не факт. Пока меня смущает только тот факт, что сравнение диска путем его прямого чтения и через API требует определенного времени, что увеличит продолжительность сканирования.
В принципе логично ...так как некоторые руткиты нейтрализовать проблемно - например, фильтр файловой системы. При желании его можно нейтрализавать, но пойследствия такого фокуса могут быть губительными. Или нейтрализовывать нечего - так как руткит ничего не перехватывает, маскируясь по DKOM технологии.
Я посмотрел Unreal - что тут сказать, весьма достойная штука (особенно учитывая его размер). Я его пробовал под XP SP2 - там он очень чисто замаскировался.Находим скрытый файл (драйвер - фильтр), удаляем, reboot. ВСЕ! И без последствий. При желании и умении. У меня есть подарок для вас, Олег. Хотелось завершить работу над ним к рождеству, но не получилось. Unreal 1.0 http://rku.xell.ru/?l=r&a=dl. Мне очень интересен ваш перспективный проект. Слежу за изменениями. Удачи!
Я тоже вчера вечером его посмотрел. Да, в отличие от своего частичного идейного предшественника (я имею ввиду phide_ex), Unreal функционирует довольно стабильно - впрочем как и все, что выпускается командой EP_X0FF и MP_ART. =)
Лично на меня в новом рутките наибольшее впечатление произвели две закодированные xor-ом
строки в теле драйвера unreal.sys, а именно "\DeViCe\AvG_AnTi" и "\dEvIcE\aVz". Как говорится, если не можем красиво спрятаться от программ "конкурентов", так просто тихо "замочим" их (далее в драйвере делается IoDeleteDevice на эти девайсы). Скажу прямо: не слишком элегантный способ противодействия "конкурентам" (в кавычках потому, что вряд ли AVZ является прямым конкурентом команде RkU, т.к. никогда не претендовал на звание полноценного детектора руткитов). Добавлю также, что есть более интересные способы избавления от программ нотификации (hint: смотрите в сторону реализации функций PsSet...NotifyRotine в ntoskrnl.exe, а также на группу неэкспортируемых символов типа _PspLoadImageNotifyRoutineCount, _PspLoadImageNotifyRoutine и т.д. для каждой из функций нотификации).
Но в целом это хорошая работа, хотя я бы и не согласился, что размер руткита очень мал (к примеру, драйвер "весит" 6 Кбайт), учитывая специфику сокрытия. В общем, если не учитывать "разборки с AVZ" - это вполне интересная штука!
Подобная "разборка" как раз и нужна, чтобы избавиться от любителей Notify. В планах перейти от личностей к общему и запретить кому-либо пользовать эту рутину. А по поводу красиво-некрасиво: это работает. Просто надо было защитить драйвер на старте, и я это сделал. Вам никто не мешает работать потом, детектите хоть до опупения. В ходе исследования были выявлены откровенные баги во многих антируткитах, позволившие отказаться от больших извратов
Последний раз редактировалось MP_ART; 20.01.2007 в 14:08.
leave it in vista
Разборка с AVZ & AVG только потому что оба используют те же самые грязные методы Notify рутин выдаваемые за детект. Если антируткит, будь то модуль, будь то полноценный арк не способен без этого уродства найти руткит - грош ему цена. Мы могли с тем же успехом вынести всех остальных.Скажу прямо: не слишком элегантный способ противодействия "конкурентам"
Ну, насчет "запретить" - это, конечно, сильно сказано. В любой системе действует железный принцип: "кто первый встал, того и тапки". Если нотификация (любого вида) запустится первой, никакие руткиты ей не страшны, точно так же и наоборот.
Мне кажется, что пора уже давно перестать говорить о "грязных методах Notify рутин". Ничего "грязного" в них нет - это самые обычные и описанные официально методы, причем явно продвигаемые и даже навязываемые Майкрософтом в качестве основных (смотрите в сторону Vista, к примеру). Более того, каждый детектит как хочет (и как может), и для обнаружения зловредов любые методы хороши, лишь бы они давали результат - однако, как я уже говорил, AVZ не детектор и вам не конкурент, т.к. цели у вас немного разные, так чего же его надо так "любить, что лучше даже убить"? =)
Не обижайтесь, но "грязными" я скорее бы назвал те методы борьбы с программами конкурентов, что вы применили в этом рутките. Если бы это было сделано для всех без исключения (просто и красиво), а не примитивно и конкретно для двух отдельно взятых утилит - для меня не было бы и вопросов! =)
Рассмотрим гипотетический случай: Марк Руссинович вставляет в свой RootkitRevealer код, убивающий AVZ или RkU. Смешно? И мне тоже... =)
И, тем не менее, выбор именно этих двух (якобы конкурирующих с вами) утилит показывает, "против кого вы дружите". А смысл какой - ведь, по сути дела, на одном поле воюете...
Ваши права в разделе
