Уважаемый Олег!
Огромное спасибо за победу над Trojan-Clicker.Win32.Costrat.n(lzx32.sys)!
Блестящая работа!
Александр Куликов, программист.
Уважаемый Олег!
Огромное спасибо за победу над Trojan-Clicker.Win32.Costrat.n(lzx32.sys)!
Блестящая работа!
Александр Куликов, программист.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Сомнительное заявление. Очень помогла нотификация АВГ. Он просто умер от щастья.Сообщение от aintrust
Конечно, только их почему то используют не в Висте и только когда не могут ничего другого. Чистый детект - это детект со старта, все остальное это демагогия и ламерство.
Какие конкуренты, такие и методы. И мне глубоко .... кто что на этот счет думает и каким образом это оценивается. Автору громозона также. Нужен будет специфик код на все антируткиты? - без проблем, они все будут сыпать msgbox'ами с ошибками на старте.
Марк вместе с Брюсом в Майкрософт, им теперь до фени до своего PoC'а. И вообще, что-то я не понял логики сравнения. Мы что грохаем АВЗ и АВГ в своей программе? Только GMER, и то в старых версиях.
p.s.
Что то не видел я нигде заявлений о конкуренции ни с одной ни с другой стороны. До этого момента.
Для меня вообще новость, что мы конкурируем.
leave it in vista
Именно по этой причине слово "конкуренты" я взял в кавычки (см. мое первое сообщение).
Я же говорю о нормальной реализации нотификации. К примеру то, как это сейчас сделано в AVZ, тоже нуждается в серьезном изменении - ну и что с того-то? Это ведь сейчас не мешает AVZ успешно бороться с рядом руткитов (и с Rustock-ами в том числе).
Я бы с вами согласился на 100%, если бы практика (да и теория тоже) не опровергала этого. Детект со старта - это, конечно, красиво и очень непросто в реализации, и это, безусловно, не ламерство, однако надежность методов очень далека от 100% (впрочем, как и любого другого метода детекта). По сути (для себя лично) я всегда рассматриваю борьбу "руткит - антируткит-детектор" не более чем игру "кто кого", типа шахмат или карт - кто "умнее", изощреннее и т.д. Это типа практики для ума. Пока что вы с вашим главным продуктом в этом преуспеваете - молодцы! =)
Скажу честно: как бы вы ни относились к стороннему мнению, мне лично очень бы не хотелось, чтобы ваше "дело праведной борьбы с инакомыслящими" дошло до методик, примененных не так давно против GMER-а. Мой вам дружеский совет (хотите прислушивайесь, хотите - нет, дело ваше): оставьте вы в покое AVZ и иже с ними, они ведь делают свое непростое дело, и зачастую даже очень неплохо! В области старт-детекта они вам сейчас действительно не конкуренты, и для конечного пользователя это даже плюс, т.к. все равно никогда не будет одной единственной программы, которая бы в одиночку смогла победить все и вся!
В общем, творческих успехов и good luck! =)
GMER был, есть и будет нашей единственной мишенью (по личным и чисто эстетическим причинам). Что касается остальных я не вижу никакого смысла запрещать кого-либо из антивирусов/антируткитов или хипс. Ничего подобного в RkU нет и не будет. А вот когда дело дойдет до боевых руткитов =) Против детекторов применяющих нотифи будут применены самые жестокие средства и методы, которые гарантированно выведут их из строя. Это уже обкатаная в боях технология.
О детекте.
Ни один метод по определению не может дать 100% результат. Что касается notify рутин - ф топку их и их пользователей, для меня использование подобной технологии - д и л. Любой доступный на сегодняшний день руткит можно найти со старта.
Так, я не понял... ну ещё один демо руткит, который спокойно находит AVZ:
В чём прикол?Код:1.4 Поиск маскировки процессов и драйверов >> Маскировка драйвера: Base=872D0000, размер=8192, имя = "\??\C:\:unreal.sys"
Muffler ,a какой формат у вас на диске C ?
Fat32 или NTFS ?
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
drongo, NTFS
Тут на примере wineak32.dll
http://virusinfo.info/showthread.php?t=7590
видно что поиск файлов без полного прописанного пути не работает как положено. А это очень важно!
Ещё одна необходимая "плюшка" копирование фалов в карантин из BootCleaner`a.
ОЧЕНЬ НЕОБХОДИМАЯ!!!!
Причём с детальным видениям логов(если не добавлен в карантин, то почему, код ошыбки, а если найден в базе безопасных, то надо так и писать, что файл найден в базе безопасных).
А прикол в том, что не находит. Впрочем, у него несколько другая специализация, руткиты находить не его дело. А то что я сейчас вижу в этом логе обсуждалось выше. Это не детект, а его активная симуляция. А если драйвер будет на бут старте, до старта всех нотифи? Или если я их все сниму, что тогда? Или специфик код под AVZ? =) А тишина будет. Файл на диске найти очень просто, более того это уже реализовано и уйдет в февральский релиз. Драйвер детектится также без каких-то незаменимых "нотифи" теми же самыми приемами, при помощи которых он был скрыт. Русток С использует несколько иной подход к скрытию базирующийся на глубоких хуках в одном.sys, так что он совершенно определенно запалиться нашим inline сканером. Впрочем, автор руткита имеет другое мнение (:, но это его право.
Я заметил у меня в системе проводник стал больше памяти кушать . Посмотрел в диспетчер проводника . Нашёл не очень понятные для меня ключи . Отключил с помощью АВЗ .
Правда имеет место быть пару глюков :
не могу удалить или скопировать ключ ни в буфер обмена , ни в карантин ,ни по линкам - искать в поисковиках . Просто тупо даёт линк на поисковик , а должен в поле вставлять ключик .
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Возможна ли с AVZ Автоматическая проверка закаченных файлов при помощи даунлоад менеджеров (download master)?
в настройках DM можно указать командную строку антивируса, но с AVZ почемуто ничего неполучается...
Подобная интеграция возможна (в точки зрения передачи ему файлов для проверки и запуска таковой), но результат придется смотреть в самом AVZ. Я посмотрю, как менеджеры закачки интегрируются с менеджерами закачки и либо пропишу про это в хелпе, либо в новой версии введу пару ключей командной строки для этого.
1.AVZGuard ведёт лог , что было заблокировано ?
2.Нет мыслишки его(AVZGuard) в какойнить мини-HIPS вырастить ?)
В принципе реализовать несложно путем введения параметров в командной строке, такие менеджеры как Download Master после окончания закачки сами инициируют запуск антивируса, с возможностью указать параметр, в том числе и имя только что закаченного файла..
Это поддерживается - если запустить
avz.exe Run=Y WebServerMode=Y имя_файла1 имя_файла2
То запустится AVZ и проверит указанные файлы. Если еще добавить DelVir=Y - то он прибъет найденных зловредов. Но AVZ не выставляет код возврата, в результате Download Master не будет знать, нашел он зловредов или нет
Есть вариант, который ведет такой лог (но в публичной версии вариант без протоколирования). Но событий много, он же рубит все от недоверенных приложений, и запись такого лога тормозит систему. Некийх HIPS + монитор меня давно просят сделать, чтобы применять AVZ как полноценный антиспайвер (мониторинг и блокировка критических опеарций и т.п.). Но тут беда в том, что для этого потребуется перехватить ряд функций, что может привести к конфликту с другими проактивками и антивирусными мониторами.1.AVZGuard ведёт лог , что было заблокировано ?
2.Нет мыслишки его(AVZGuard) в какойнить мини-HIPS вырастить ?
Последний раз редактировалось anton_dr; 27.01.2007 в 17:42.
@Зайцеву Олегу
Есть ли возможность отделить директории карантина,журнала от самой программы.
Например, программа развернута на CD и пользователь просто с него ее стартует. А нам, в головной офис высылает логи и карантин.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Можно выбрасывать окно обзора, если папка AVZ закрыта для редактирования..
Насчет HIPS: возможно, стоит оформить этот функционал отдельной утилитой? AVZ все ж-таки диагност, а не защитник..
Последний раз редактировалось anton_dr; 27.01.2007 в 17:42.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Ваши права в разделе
