сказать одобрительное слово, дзинькнуть фужером о монитор там... ;D, что ещё?
сказать одобрительное слово, дзинькнуть фужером о монитор там... ;D, что ещё?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Главное - это ловить глюки ;DСообщение от egik
с нашей строны какая нужна помощь в твоем нелегком деле
И естественно придумывать новые идеи (что необходимо, для чего и как ...), особенно в области интерфеса или эвристической проверки системы ...
[quote author=Зайцев Олег link=board=28;threadid=857;start=220#msg11393 date=1114537258]
Главное - это ловить глюки ;D
[/quote]
Вуаля
Если запустить "Поиск файлов на диске", в области поиска отметить галочкой какой-нибудь подкаталог (к примеру C:\Windows\ и ищем любые файлы *.* ), то будут найдены также файлы из корневого каталога, хотя указано искать только в подкаталоге. Надо бы пофиксить.
Перечитал темы форума о предыдущих версиях, и возникло несколько вопросов/замечаний.
1. 1.2 Поиск перехватчиков API, работающих в KernelMode
Эталонная KeServiceDescriptorTable найдена
Еще ни разу не видел, чтобы в этом пункте выдавалось что-то другое. С чем это связано? Существуют ли такие перехватчики, которые обнаруживаются этой микропрограммой? А такие, которые не обнаруживаются? Каково (навскидку) процентное соотношение тех и других?
2. Пункт блокировать работу RootKit нужно как-то переименовать - формулировка расплывчатая и многие ошибочно полагают, что работа RootKit будет заблокирована для всей системы, а не для одного процесса AVZ.
3. Как можно бороться с руткитом, который перехватывает функции работы с файлами и при чтении измененных в памяти библиотек подсовывает измененные версии?
Олег, может ее подучить по поводу процессов общеизвстных программ, не все знает, даже которые здесь озвучиваются.
Это не баг, это фичаВуаля
Если запустить "Поиск файлов на диске", в области поиска отметить галочкой какой-нибудь подкаталог (к примеру C:\Windows\ и ищем любые файлы *.* ), то будут найдены также файлы из корневого каталога, хотя указано искать только в подкаталоге. Надо бы пофиксить.Т.е. сейчас обходя дерево каталогов AVZ проверяет файлы для каждого каталога, у которого частично проверяются вложенные подкаталоги. Этот алгоритм естественно можно изменить - например, проверять файлы каталога только при условии, что он проверяется целиком (тогда файлы в корне диска будут проверяться при условии, что отмечен весь диск целиком и т.п.). Я просто не знаю, как правельнее и логичнее - это стоит обсудить...
Posted by: RobinFood
Логично, небольшие уточнения по пунктам:
1. Этот режим работает, но перехваты не ловит - т.е. он находит таблицу/эталонную таблицу, сканирует ее функции - но отлов перехватов специально заблокирован. Причина - перехват SDT распространенное явление, срабатываний будет очень много. Но это временное явление и будет доработано к очередному апдейту. Решение (как я его вижу сейчас) - проверять не все функции, а только определенный набор
2. Можно и нужно, сделаю. И в доке я отдельно пропишу, что это делается умышленно - логика проста - а если это никакой не руткит, а перехватчик Firewall или антивируса ... - "вылечив" его на уровне системы я нарушу работу полезного ПО... кстати именно поэтому у меня проблемы с п.п. 1 - "лечение" SDT влияет на всю систему и может легко привести к BSOD
3. Такое теоретически возможно, но на практике достаточно трудно реализуемо ... хотя теоретически возможно все и в новой версии я закладываю дополнительные спец. проверки - пока я предполагаю выделить 10-15 критических функций ntdll, и дизассемблировать их в ходе проверки, проводя далее анализ их кода (это не очень трудно, поскольку функции эти шаблонны и по сути являются переходниками)
Posted by: egik
Подучить кого - анализатор безопасных файлов ? Если анализатор, то я двумя руками "за" - для этого нужно насобирать образцов и прислать их мне (а еще лучше - положить на http) - я занесу их в базы. Это вдвойне полезная вещь, т.к. я насобирал уже около 10 ГБ "полезных" файлах и теперь тестирую на этой коллекции сигнатурный сканер AVZ - это полезная затея, позволяет обнаружить ложные срабатывания эвристика
[quote author=Зайцев Олег link=board=28;threadid=857;start=220#msg11501 date=1114712290]
Это не баг, это фича
[/quote]
Мое мнение - логичнее второй вариант. Т.е. если я в области поиска отмечаю галочкой, скажем, каталог C:\Windows\System и запускаю поиск файлов в этом каталоге, то я хочу, чтобы он искал файлы только в C:\Windows\System, а не в C:\Windows\ или C:\
Если бы я хотел искать в корневом каталоге, то я бы выделил галочкой этот каталог, а не его подкаталог.
[quote author=Зайцев Олег link=board=28;threadid=857;start=220#msg11501 date=1114712290]
Posted by: egik
Подучить кого - анализатор безопасных файлов ? Если анализатор, то я двумя руками "за" - для этого нужно насобирать образцов и прислать их мне (а еще лучше - положить на http) - я занесу их в базы. Это вдвойне полезная вещь, т.к. я насобирал уже около 10 ГБ "полезных" файлах и теперь тестирую на этой коллекции сигнатурный сканер AVZ - это полезная затея, позволяет обнаружить ложные срабатывания эвристика
[/quote]Олег раскрой немного, чтоб я правильно понял, что значит понасобирать образцов, насобираю и пришлю с радостью
Это просто - рассказываю: берем любой ПК (для начала свой), запускаем там AVZ, в нем - диспетчер процессов. Там есть кнопка "Копировать в карантин все процессы, не опознанные как безопасные" - при ее нажатии все программы, которые запущены и не значатся в базе безопасных AVZ уйдет в карантин. Аналогично с DLL - можно посмотреть список DLL у нескольких системных процессов - там есть аналогичная кнопка. Причем файлы лучше посылать порциями - по отдельности с каждого ПК (можно почтой - но лучше положить на FTP или HTTP). При получении очередной порции я могу сразу выслать апдейт базы безопасных файлов - объем апдейта составляет несколько килобайт ... Более того, в ходе подобных мероприятий часто удается поймать в присланных файлах 1-2 новых SpyWareОлег раскрой немного, чтоб я правильно понял, что значит понасобирать образцов, насобираю и пришлю с радостью
процессы которые он поместит на карантин, он их не убъет, а то потом восстанавливать надо, или как?
При копировании в карантин естественно ничего не убивается, просто в карантине делается копия неопознанных файлов, причем без повторов.
Хорошо, тогда еще дополнительно понаставлю всяких прог
После работы программы AVZ которая нашла всякие вирусы, ADware и другие подобные программы, AVZ вывела список подозрительных файлов, среди которых были NEWDOT и SSSensor.exe Я их удалил после рестарта. Теперь, у меня пропал инет. Точнее, я не могу зайти в инет ни через один из 3 браузеров. При загрузке windows выдает ошибки с окном RUNDLL, в котором сообщается, что невозможно запустить D:\PROGRA~1\NEWDOT~1\NEWDOT~2.dll и окно SMC.exe с сообщением, что невозможно найти SSSensor.dll Подскажите, что делать?SSSENSOR.DLL, размер около 77 кб, ничем не упакован, поисков в теле видны строки типа ?CreateScreenSaverSensor и т.п. ?? Аналогичный есть в Panda Antivirus, отслеживает запуск скринсейвера и еще что-то. Ставит хук типа 3 (WH_GETMESSAGE) на все процессы - т.е. SSSENSOR.DLL внедряется во все GUI процессы и перехватывает все сообщение, передаваемые приложениями в очередь сообщений
во первых , подозрительные никогда не удаляют , а отсылают разработчикам на проверку .
во вторых , если птичка стояла "копировать подозрительные " то идёшь в Просмотр карантина " и возвращаешь на места файлы .
Сейчас поискал в инете и нашел, что newdot действительно типо вируса и те, кто ее удалял сталкивались с подобной проблемой. Но, решения я так и не нашел. Было написоно про копирование файлов, что сейчас и пытаюсь сделать. Файл SMC.exe оказался необходим для работы firewall но как туда попал SSSensor.dll не понятно.подозрительные никогда не удаляют , а отсылают разработчикам на проверку
В том то и дело, что она там не стояла. Я их удалил из системы.если птичка стояла "копировать подозрительные " то идёшь в Просмотр карантина " и возвращаешь на места файлы
у меня тоже сигат стоит , свой sssensor.dll ( этот длл служит сенсором ,для того чтобы при начале работы оконной заставки - блокировать всё "движение") я давно Олегу выслал и АВЗ уже на него в послидних версиях не ругаеться . может у тебя другая версия стенки ?
у меня 5.5 2710 про . если такая же , могу выслать эту длл . если нет , перестановка поможет .
насчёт newdot , это поможет решить spybot s&d . там есть рубрика BHO .
если не знаешь как , лучше открой тему в разделе "помогите " с 2 логами hijackthis и логом последей авз (для каждого компа - отдельную тему ) , поможем починить .
Кстати говоря, АВЗ при запуске проверяет свою контрольную сумму? А то так можно ловить новые вирусы
Нет, не проверяет ... а по идее нужно. Записываю в список доработокКстати говоря, АВЗ при запуске проверяет свою контрольную сумму? А то так можно ловить новые вирусы
вот сегодня выдал...раньше такого не было...поэтому не знаю, что это...и как к этому относиться..?)Протокол антивирусной утилиты AVZ версии 3.20
Сканирование запущено в 04.05.2005 13:05:50
Загружена база: 12964 сигнатуры, 1 нейропрофиль, 43 микропрограммы лечения
Загружены микропрограммы эвристики: 226
Загружены цифровые подписи системных файлов: 29483
Режим эвристического анализатора: Средний уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dllrawIconEx (173) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:GetCursor (253) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:GetIconInfo (271) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:SetWindowPos (609) перехвачена, метод CodeHijack (метод не определен)...
Для начала стоит перезагрузиться и посторить опыт - такое иногда бывает после перезагрузки, вызванной тяжелым сбоем или глюком ... Причина - система сообщает всем, что загружает user32.dll из System32, а на самом деле грузит ее из другой папки ... - и возможно небольшое различие версий
Ваши права в разделе
