AVZ 4.00 - тестирование, обсуждение, предложения по доработке

[agnec]

когда и где ее можно будет почитать ?

[Зайцев Олег]

пока не апдейтится (с вирусинфо)
а с z-oleg пишет что файл signf002.avz поврежден

Я перезалил - какой-то баг с передачей файла передачей по FTP. Я перезалил файлы, теперь все нормально.

[Geser]

Да, функциональность ADinf в AVZ нужна и она появится в течении месяца.

Включая прямое чтение с диска?

[Зайцев Олег]

когда и где ее можно будет почитать ?

Кого почитать ? Если книгу, которую я пишу, то я должен сдать ее до конца марта этого года, сейчас работы в самом разгаре - я написал сейчас чуть больше 1/3 материала.

[Зайцев Олег]

Включая прямое чтение с диска?

Конечно - для этого в AVZ встраивается два драйвера (для поддержки FAT и NTFS при прямом чтении диска). Это не только для ADinf Идеи полезно, но и для отлова руткитов методом "а-ля Руссинович" (т.е. прочитать диск напрямую, затем - через API. А затем - сравнить

[Geser]

Конечно - для этого в AVZ встраивается два драйвера (для поддержки FAT и NTFS при прямом чтении диска). Это не только для ADinf Идеи полезно, но и для отлова руткитов методом "а-ля Руссинович" (т.е. прочитать диск напрямую, затем - через API. А затем - сравнить

Вот это уже круто

[santy]

пока не апдейтится (с вирусинфо)
а с z-oleg пишет что файл signf002.avz поврежден

Я обновился с virusinfo. Обновление прошло нормально.

[Geser]

Кстати, вот тема: http://virusinfo.info/showthread.php?t=4435

В логах HJT есть такая строчка:
O23 - Service: Workstation NetLogon Service ( 11FЯд#·єДЦ`I) - Unknown owner - C:\WINDOWS\system32\syslf.exe (file missing)

А в логах АВЗ её нет

Кстати, вспомнил что еще хотал написать. Очень нужны две фичи:
1. Возможность в диспетчере процессов убить несколько просессов одновременно.
2. Более сложно - просвинутае убийство. Т.е. выбирается процесс, и выбирается "продвинутое убийство" при этом АВЗ автоматом создаёт сигнатуру и убивает все процессы с такой же сигнатурой. кроме того, перехватываются АПИ запуска процессов и предотвращается запуск любого процесса с такой же сигнатурой.

[RiC]

2. Более сложно - просвинутае убийство. Т.е. выбирается процесс, и выбирается "продвинутое убийство" при этом АВЗ автоматом создаёт сигнатуру и убивает все процессы с такой же сигнатурой. кроме того, перехватываются АПИ запуска процессов и предотвращается запуск любого процесса с такой же сигнатурой.

А если просто переименовывать ? Kill и Kill+Rename.
Убил - переименовал ... и т.д. Покрайней мере запустить убитого уже не выйдет, если он конечно не запущен в n-дцати экземплярах? Зачастую винда даёт переименовать даже запущенный файл.

Кстати трюк с сигнатурой обходится любым EXE пакером Imho.

[Dandy]

Я так понимаю, что предлагается вычислять сигнатуру динамически (аля подпись конктретного экземляра). Или я что-то не то уловил?

[PrM@ster]

to Зайцев Олег
Если "зверь" запущен и включен расширенный анализ при маскимальной эвристике, то AVZ должен был бы сообщить в р-тах анализа о том, что файл запакован. Более того, в этом режиме IRC боты могут детектится эвристикой.[/QUOTE]
Запущенный ловится, но в этом случее может быть уже позно.

Ещё интересный момент:
Анализатор - изучается файл D:\Files\Download Master\dmaster.exe
[ES]:Может работать с сетью
[ES]:Может отправлять почту ?!
[ES]:EXE упаковщик ?
[ES]:Предположительно может бороться с антивирусами
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
На каком основании делается вывод, что dmaster может боротся с антивирусами?

[Geser]

А если просто переименовывать ? Kill и Kill+Rename.
Убил - переименовал ... и т.д. Покрайней мере запустить убитого уже не выйдет, если он конечно не запущен в n-дцати экземплярах? Зачастую винда даёт переименовать даже запущенный файл.

Кстати трюк с сигнатурой обходится любым EXE пакером Imho.

Вот именно для случаев когда запущено несколько екземпларов одного файла, и каждый охраняет остальные. А перепаковывать он себя что ли будет сам?

[PrM@ster]

При максимальном уровне проверки странная обработка имён процессов:
c:\winnt\system32\svchost.exe - чист, найден в базе безопасных
c:\winnt\system32\svchost.exe:KAVICHS:$DATA - чист, в базе безопасных НЕ значится
Что самое интересное, каспер не установлен

[Xen]

Хотелось бы, конечно, более подробного описалова, на каких основаниях программа делает те или иные выводы. Или, например, взять то же противодействие руткитам. Что конкретно делается при этом противодействии? Насколько оно безопасно для работающей системы?

Так как программа предназначена для админов, то давайте уже обсуждать ее фичи "по взрослому", тем более, что продвинутых программистов, способных поддержать разговор, тут хватает ;-)

Да, по теме драйверов для работы с FAT и NTFS - Олегу респект!

[Geser]

Непонятный глюк с поиском по дате создания/изменения. Ничего не ищется

[kesic]

При максимальном уровне проверки странная обработка имён процессов:
c:\winnt\system32\svchost.exe - чист, найден в базе безопасных
c:\winnt\system32\svchost.exe:KAVICHS:$DATA - чист, в базе безопасных НЕ значится
Что самое интересное, каспер не установлен

И не был установлен? Если был, то это возможно его поток.

[PrM@ster]

И не был установлен? Если был, то это возможно его поток.

само сабой это остатки дров каспера, странно то, что они отсвечивает тольков при максимальном уровне проверки
Ну и неправельное определение файла AVZ

Xen
поддерживаю

[merge]

Функция ZwCreateKey (29) перехвачена (8056F063->F9942AC8 ), перехватчик sptd.sys
Функция ZwEnumerateKey (47) перехвачена (8056F76A->F9942C22), перехватчик sptd.sys
Функция ZwEnumerateValueKey (49) перехвачена (805801FE->F9942F9A), перехватчик sptd.sys
Функция ZwOpenKey (77) перехвачена (805684D5->F994298E), перехватчик sptd.sys
Функция ZwQueryKey (A0) перехвачена (8056F473->F9943064), перехватчик sptd.sys
Функция ZwQueryValueKey (B1) перехвачена (8056B9A8->F9942EFC), перехватчик sptd.sys
Функция ZwSetValueKey (F7) перехвачена (80575527->F99430EC), перехватчик sptd.sys

вот такую хрень увидел у себя... в сервисах этот файл не светится, зато есть в реестре...

посмотрите у себя, есть ли этот файл у вас? WinXPSP2

[Зайцев Олег]

При максимальном уровне проверки странная обработка имён процессов:
c:\winnt\system32\svchost.exe - чист, найден в базе безопасных
c:\winnt\system32\svchost.exe:KAVICHS:$DATA - чист, в базе безопасных НЕ значится
Что самое интересное, каспер не установлен

:KAVICHS:$DATA - это поток с данными внутри файла, который содержит результаты проверки антивирусом Касперского или какими-то иными программами ЛК, что-то типа контрольной суммы. Фокус в том, что при копировании файла с одного NTFS тома на другой потоки тоже копируются. Не исключено, что так и произошло в данном случае. Причем поток в файле никакого отношения к драйверам KAV не имеет ...
По поводу D:\Files\Download Master\dmaster.exe - а к нему антивирусная проверка не прикручена ?? Если прикручена, то поддержка запуска/останова процессов антивирей может дать такое срабатывание. Сказать точнее трудно, т.к. факторов в анализе очень много. Если есть ссылка на это версию Download Master, я могу запустить ее у себя и тогда сказать точно, что конкретно привело к такой реакции.

[PrM@ster]

Зайцев Олег, вот ссылка hXXp://www.westbyte.com/dm/
АВ проверка там подключается только через плагины(у меня не включинна).