-
Junior Member
- Вес репутации
- 67
На компе стоит ZoneAlarm Firewall 5.5.062. AVZ 4.24 r4 пишет
Функция NtConnectPort (1F) перехвачена (8059843A->AADCB5CD), перехватчик C:\WINDOWS\System32\vsdatant.sys
Функция NtDeleteKey (3F) перехвачена (80619062->AADDF110), перехватчик C:\WINDOWS\System32\vsdatant.sys
Функция NtDeleteValueKey (41) перехвачена (80619232->AADDF070), перехватчик C:\WINDOWS\System32\vsdatant.sys
Функция NtLoadKey (62) перехвачена (8061A902->AADDF190), перехватчик C:\WINDOWS\System32\vsdatant.sys
Функция NtOpenProcess (7A) перехвачена (805BFB78->AADDEAB0), перехватчик C:\WINDOWS\System32\vsdatant.sys
Функция NtReplaceKey (C1) перехвачена (8061A7B2->AADDF240), перехватчик C:\WINDOWS\System32\vsdatant.sys
Функция NtRestoreKey (CC) перехвачена (80616FDA->AADDF2C0), перехватчик C:\WINDOWS\System32\vsdatant.sys
Функция NtSecureConnectPort (D2) перехвачена (80597BCE->AADCB6F5), перехватчик C:\WINDOWS\System32\vsdatant.sys
Функция NtSetValueKey (F7) перехвачена (80617292->AADDEFC0), перехватчик C:\WINDOWS\System32\vsdatant.sys
Насколько я знаю, это от фаерволла. А если я нажму галочку блокировать работу Rootkit Kernel Mode, AVZ не восстановит мне эти функции? Фаер будет потом работать нормально?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Alezander
На компе стоит ZoneAlarm Firewall 5.5.062. AVZ 4.24 r4 пишет
Насколько я знаю, это от фаерволла. А если я нажму галочку блокировать работу Rootkit Kernel Mode, AVZ не восстановит мне эти функции? Фаер будет потом работать нормально?
Скачайте новую версию AVZ и обновите её базы.Ваша версия не актуальна.И ZoneAlarm старая 
После сканирования AVZ с опцией блокировать - нужно перегрузиться , чтобы восстановить работоспособность систем защиты .Если сканировать без опции "блокировать"- перегружаться не имеет смысла, так как перехваты не сняты и значит ничего не нарушалось.
P.S. Совет: Чтобы найти что-то интересное нужно :
отключиться от интернета ,выгрузить файрвол и антивирус, поставить галочки на блокировать (обе).После сканирования перегрузиться.Фаер будет потом работать нормально!
Последний раз редактировалось drongo; 02.06.2007 в 12:10.
-
-
@Олег Зайцев Я в теме "В помощь хелперу" написал списочек перхватчиков. Неплохая библиотека различных существующих драйверов
на castelcops.com Часто там проверяю странности из логов.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 67
Сообщение от
Зайцев Олег
2. HIPS систем существует тьма, как в виде отдельных приложений, так и в виде комплексов - взять тот-же KAV6 для примера - антивирус + монитор + проактивка + Firewall.
Верю 
но нормальной проги которая разрешает доступ к конкретному файлу только конкретной программе что-то я не нашел, по крайней мере среди русскоязычных описаний программ
-
bug report
В английской версии во время анализа процессов в лог выдается текст на русском языке. Пример тут:
http://virusinfo.info/showpost.php?p...6&postcount=36
-
-
При использовании скрипта типа
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%WinDir%\Trojan.exe', '');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
файл Trojan.exe попадает в карантин в нескольких экземплярах. Это можно исправить?
-
-
Сообщение от
Baobab
Верю
но нормальной проги которая разрешает доступ к конкретному файлу только конкретной программе что-то я не нашел, по крайней мере среди русскоязычных описаний программ
А через файловую систему NTFS не пробывали? Например завести еще одного пользователя с паролем и с только ему дать права доступа, а программу запускать от имени этого юзера.
-
Это слишком сложно. Вроде бы в DefenseWall есть подобный функционал.
-
-
Сообщение от
MaXim
При использовании скрипта типа
файл Trojan.exe попадает в карантин в нескольких экземплярах. Это можно исправить?
Нет
Сообщение от
Bratez
Это не баг, это поврежден файл. Смотрим тут: http://virusinfo.info/showthread.php?t=7355
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
-
-
Junior Member
- Вес репутации
- 67
Сообщение от
DoSTR
А через файловую систему NTFS не пробывали? Например завести еще одного пользователя с паролем и с только ему дать права доступа, а программу запускать от имени этого юзера.
Спасибо за практический совет! так и сделал
-
Это не баг, это поврежден файл. Смотрим тут:
Значит, уже не первый раз - тенденция, однако
-
-
Сообщение от
MaXim
Почему?
Потому что это отдельные команды.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
Сообщение от
MaXim
При использовании скрипта типа
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%WinDir%\Trojan.exe', '');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
файл Trojan.exe попадает в карантин в нескольких экземплярах. Это можно исправить?
Можно, переписав немного скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
// Поместим файл в карантин
BC_QrFile('%WinDir%\Trojan.exe');
// Сформируем журнал (для проверки успешности выполнения)
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
// Активируем подсистему BC
BC_Activate;
RebootWindows(true);
end.
-
-
@aintrust:
Т.е., Вы предлагаете не использовать Quarantinefile, а карантинить исключительно через BC? Обычно для надежности все применяют схему, показаную MaXim'ом, в итоге часто получая аж три файла - один от первой функции и аж два от BC. Два вопроса:
1. Почему от BC - два файла?
2. Возможны ли ситуации, когда QuarantineFile бы сработал, а ВС - нет?
P.S. При использовании исключительно инструкций Boot Cleaner'a зачем это? -
SearchRootkit(true, true);
SetAVZGuardStatus(True);
-
-
Сообщение от
Bratez
Два вопроса:
1. Почему от BC - два файла?
2. Возможны ли ситуации, когда QuarantineFile бы сработал, а ВС - нет?
P.S. При использовании исключительно инструкций Boot Cleaner'a зачем это? -
1. По логу видно: сначала попытка карантина просто пути, а потом /??/<путь>.
2. Теоретически да.
3. Машинально. В принципе снятие руткитов и блокировка критических операций не помешают.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
А может лучше карантинить и удалять сразу через BC?
-
-
Сообщение от
MaXim
А может лучше карантинить и удалять сразу через BC?
По идее должно быть так, но кто знает, что там написано у Олега (ну, кроме него самого)... По этой причине уже считается почти что правилом дублировать в скриптах похожий функционал разными подсистемами - отсюда получается, что одно и то же (или очень уж похожее) действие может успешно выполняться по нескольку раз (как в случае с карантином файла). С этим, видимо, придется смириться, т.к. лучше действовать по принципу "хелпер знает больше и лучше пользователя и, если что, разберется", нежели чем пропустить что-либо только из-за того, что вы стопроцентно положились только на одну из подсистем.
-
-
Сообщение от
Bratez
1. Почему от BC - два файла?
2. Возможны ли ситуации, когда QuarantineFile бы сработал, а ВС - нет?
P.S. При использовании исключительно инструкций Boot Cleaner'a зачем это? -
По сути NickGolovko уже прокомментировал, я лишь немного добавлю:
1) это издержки реализации - т.е., по сути, вопрос к Олегу;
2) ну, стопроцентной гарантии я бы не дал! Если точнее, я бы более полагался на работу подсистемы BC, нежели чем просто на команду QuarantineFile();
3) не нужно, забыл убрать.
Последний раз редактировалось aintrust; 05.06.2007 в 14:41.
-
-
Подождем комментарий Олега.
-
