Относительно вопроса ненадежности любого антивируса:
может дополнить AVZ возможностью создания системной дискеты с компонентами AVZ ?
Что может быть надежней, чем проверка системы без активного зловреда?
Относительно вопроса ненадежности любого антивируса:
может дополнить AVZ возможностью создания системной дискеты с компонентами AVZ ?
Что может быть надежней, чем проверка системы без активного зловреда?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Тут два момента:Сообщение от tar
1. Реестр. Загрузившись с системного диска, мы получим доступ к файлам, но не доступ к реестру (если отбросить его чтение/запись напрямую, парсингом файлов реестра)
2. AVZ является Windows GUI приложением - из под DOS его не запустить
А вот если сделать загрузочный диск/флешку типа BertPE или аналогов, и поместить туда AVZ и аналогичные утилиты - тогда эта идея сработает.
Насколько я понимаю, при этом можно будет только просканировать диск "целевой" системы, но не получить протокол ее исследования (автозапуск, службы-драйверы и проч.). А было бы очень здорово иметь средство такого "оффлайнового" исследования! Ведь существуют даже редакторы реестра NT/2k/XP, работающие из-под ДОС (например такой есть на Hiren's Boot CD).если сделать загрузочный диск/флешку типа BertPE или аналогов, и поместить туда AVZ
I am not young enough to know everything...
А какие проблемы? Основная задача зловреда в данном случае - не позволить anti-malware программе (AVZ) выполнить анализ системы с последующим ее лечением. Если эта первичная задача выполняется, то достигается и конечная цель - зловред остается жить в системе. Даже если вы нажмете кнопку Reset, зловред никак не пострадает.
Кроме того, AVZGuard ограничивает выполнение лишь небольшого объема функций, поэтому оставшийся в системе зловред может, если нужно, доставить довольно много неприятностей.
Проблема в том, что система зачастую впадает в тотальный висяк. Ну оно и понятно. Если мне память не изменяет, то не работают даже клавиши перезагрузки и выключения из под Windows. AVZ повторно уже тоже не запустить и остается только ребут... А это драгоценное время.
Если что-то непонятное плывет к Вам прямо в руки, то не спешите обладать им! Приглядитесь, возможно, оно просто не тонет...
Скажу откровенно - я потерял нить... =)
Клавиши перезагрузки и выключения продолжают работать как и ранее - AVZGuard совершенно не мешает им (более того, это так и задумано изначально), но как это соотносится с темой о слабости AVZ в отношении его убиения (возможными) зловредами, я не понял, sorry.
Восстанавливаю нить... Поскольку AVZ иногда убивается зловредами в силу прорех в системе самозащиты (и происходит это обычно при попытках завершения зловредных процессов или при исследовании системы даже при включенном ag), это обстоятельство вызывает проблемы после убиения AVZ зловредом из памяти. В результате данных проблем мы иногда имеем невозможность полноценно работать с Windows, т.к. после убиения avz ЗАВИСАЕТ и explorer.exe в т.ч, становится невозможным повторный запуск avz и, соответственно, выгрузка ag из памяти. Т.Е. единственным выходом из ситуации становится перезагрузка компьютера, сопряженная с потерями времени, а также с началом работы по-новой абсолютно без гарантии не наступить на те же грабли.
Извиняюсь за дотошность - это у меня профессиональное... =)
Если что-то непонятное плывет к Вам прямо в руки, то не спешите обладать им! Приглядитесь, возможно, оно просто не тонет...
Это я все понял... =)
Но вот какое дело зловреду, который смог воспрепятствовать AVZ сделать свою работу, до того, что пользователь теряет время на перезагрузку? Ему, зловреду, главное - не дать себя обнаружить и не дать себя пристрелить - ему ведь нет дела до ваших (и AVZ) проблем, связанных с "невозможностью нормальной работы, перезагрузкой компьютера и т.д.", не так ли? Ему, зловреду, нужно делать свою темную работу, он любой ценой должен остаться в системе!
Основная "проблема" утилит типа AVZ состоит в том, что они загружаются в уже зараженную систему. Если эта система содержит нечто (зловред), активно противодействующее загрузке или нормальной работе антивирусногло средства, то толку от такого антивирусного средства - ноль, оно никак не поможет найти и/или убить зловреда. В этом смысле AVZ почти никак не защищен - ни во время своей загрузки в систему, ни во время анализа, ни в режиме AVZGuard. На любом из этих этапов AVZ можно легко обезвредить, не дав ему сделать ничего полезного. Другие же утилиты подобной направленности, например RootkitUnhooker (который также грузится в уже зараженную систему), имеют значительно более высокий уровень самозащиты - как на этапе загрузки утилиты, так и во время ее работы.
Да, бесспорно. Рисование заголовка окна, случайное имя исполняемого файла, упаковка полиморфиком и пр. играют на руку RKU. Но когда тот падает на, казалось бы, ровном месте во время простого исследования системы...все старания разработчиков сходят на нет. Им (разработчикам) бы обрести ту же дружелюбность по отношению к простым смертным, что прослеживается в случае с AVZ, тогда, глядишь, получалось бы лучше в силу возросшей от этого популярности утилиты и большего простора для бета-тестинга. Но это так, к слову.
Ну а то, что самозащиту AVZ есть куда развивать - это безусловно. Хотя бы опыт конкурентов перенять некоторый. Слава Богу, что пока вирусописатели не обращают на AVZ особого внимания в силу не такой уж высокой популярности продукта. За исключением, пожалуй, только авторов Storm, про других пока не слышал. Вроде бы еще и Pandex тоже не совсем дружелюбен к AVZ. Это из того, что известно мне. Возможно, кто-то назовет и больше примеров. Тот же Storm применяет кернелмодное убиение процесса и блокирует подгрузку драйвера. Так что даже банальное переименование исполняемого файла приносит некоторые результаты...
Ведь не исключено что через годик-другой при поддержке ЛК процесс avz.exe станет таким же популярным как и kav.exe =) И тогда уже avz.exe ну просто обязан будет попасть в блэк лист малварописателей. Если, конечно, avz останется такой же самобытной, а не станет частью avp tool да и только...
Последний раз редактировалось XL; 12.11.2007 в 01:37.
Если что-то непонятное плывет к Вам прямо в руки, то не спешите обладать им! Приглядитесь, возможно, оно просто не тонет...
Подскажите пожалуйста, а в какой ветке задавать вопросы по работе программы? А то она выдает 205 строк вида:
Я уже по всякому и проверял и AVZPM стоит, и ProocessExplorer'ом смотрел... ни как не пойму - это ошибка AVZ или у меня все-таки реально 205 замаскированых процессов.Код:Маскировка процесса с PID=452, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 452)
(я работаю на системе Win2k3 EE SP2)
![Аватар для [500mhz]](customavatars/avatar15687_1.gif "Аватар для [500mhz]"){kind=avatar}
не верно, я делал уже пакер/криптор с килянием AVZ еще наверно год назад примерноСлава Богу, что пока вирусописатели не обращают на AVZ особого внимания в силу не такой уж высокой популярности продукта
пс
я бы порекомендовал делать процесс с рандомным именем, и тоже самое относительно окошек и бутонов, покрайне мере таким образом даже без установки драйвера получим защиту от автокликеров
У меня уже даже витает идея с полиморф-генератором - т.е. собиралкой AVZ, которая скажем раз в сутки будет генерить и укладывать на сайт дистрибутив, в котором будут переименованы вся файлы, исполняемый файл будут криптоваться случайно выбираемым пакером из определенного набора, плюс при сборке будут рандомно меняться ключевые моменты типа заголовка и класса окна, и прочее, за что может зацепиться автокликер или искатель окон по именам
Зайцев Олег
я такое под линюх писал ) правда для загрузчика малваре
при каждом срабатывании ехплоита (ИЕ ехплоит) была новая криптовка
в принципе вариант не плохой при каждой скачке с офф сайта АВЗ будет иметь разную структуру
а насчет автокликеров, не просче ли хукать свой собственный процес на предмет фильтрации месаджей контролам?
Можно и так ... и давить все левые мессаджи на корню. Хотя самое опасное для утилиты, которая ставиться на зараженную систему - это блокировка запуска (например, по имени файла, по копирайтам и т.п.), тогда уже ничего не поможет
А не боитесь ли Вы, что все это породит массу ложняков (по одному в день примерно...на каждую новую сборку) со стороны особо чувствительных эвристиков типа Avira? Преценденты уже были...У меня уже даже витает идея с полиморф-генератором - т.е. собиралкой AVZ, которая скажем раз в сутки будет генерить и укладывать на сайт дистрибутив, в котором будут переименованы вся файлы, исполняемый файл будут криптоваться случайно выбираемым пакером из определенного набора, плюс при сборке будут рандомно меняться ключевые моменты типа заголовка и класса окна, и прочее, за что может зацепиться автокликер или искатель окон по именам
Если что-то непонятное плывет к Вам прямо в руки, то не спешите обладать им! Приглядитесь, возможно, оно просто не тонет...
Вот именно этого я и боюсь - поэтому всякие полиморф-шифровки и прочие чудеса не реализованы до сих пор - велика вероятность массовых ложняков, пару месяцев назад мы это уже наблюдали
да неее
у меня есть рабочий вариант полиморфного движка (стековый/в познавательных целях делался-делается) эвристики молчат
если только эмулятор будет ругатся на запуск кода в стеке
Прежде всего, на это будет ругаться Hardware DEP
http://www.softsphere.com - DefenseWall, DefencePlus
точно и 99% юсеров им пользуются
Hardware DEP появился недавно и его поддерживают только новые процессоры. А реализован он нормально лишь в Vista 64 и серверных W2K3. Неувязочка с процентами, не находите?
Опыт — это слово, которым люди называют свои ошибки.
Ваши права в разделе
