-
Сообщение от
Зайцев Олег
В англоязычной версии локализуется весь программный код и подключается переводчик для перевода динамических сообщений. Вот тут-то и был косяк - антируткит что-то нашел, решил доложить - а модуль перевода глюкнул ... Это словил SEH и блокировал дальнейшую работу антируткита.
Это означает, что англоязычный вариант утилиты все время будет подвержен такого рода "особенностям" в своей работе, периодически приводящим к почти полной неработоспособности всей утилиты? Неутешительно как-то... Может, тебе стоит подумать над более стабильным вариантом локализации, например переносом всех сообщений в отдельный(-ые) файл(-ы), подключаемый динамически в зависимости от установки языка в системе, а в утилите оставить только теги/указатели на эти сообщения? Или в Дельфи такое сделать нельзя?
Сообщение от
Зайцев Олег
По поводу его руткита - я брал не ту версию (у него какая-то на сайте версия есть - ту AVZ отлично ловит).
Чудеса какие-то! Другой версии там, у него на сайте, вроде и не было (я смотрел и в пятницу, когда посылал тебе адрес его сайта, и сегодня) - да и он сам пишет в своем посте, что AVZ не ловит ВСЕ версии RkDemo - так что как-то старанновато это... Или ты что-то вообще другое проверял? Пришли, плиз, это "чудо" мне взглянуть!
Сообщение от
Зайцев Олег
Эту не ловит, но прична банальна - драйвер не прописан в автозапуск ! Т.е. после перезагрузки системы его не будет ... AVZ такое игнорирует, иначе он бы матерился на каждый второй динамически устанавливаемый драйвер.
А как связан автозапуск драйвера и то, что AVZ не видит уже загруженный в систему драйвер? Я как-то не нахожу тут связи... Мы ведь говорим о "Модулях пространства ядра", а не о "Диспетчере служб и драйверов", я полагаю?
Я, слегка испугавшись, проверил-таки твои слова: AVZ динамическую загрузку драйвера все-таки НЕ "игнорирует" - такой драйвер прекрасно виден в "Модулях пространства ядра", если, конечно, как в случае с RkDemo, его не "спрятать" преднамеренно. Да и что могло бы означать такое вот "игноририрование" - это ведь было бы супер-забавной фичей (или супер-дырой) AVZ! 
Сообщение от
Зайцев Олег
А вот что он макировку не почуял - это плохо (я скачал этого "руткита" - как говорил Холмс, "это дело на одну трубку"
- драйвер невероятно прост и метод маскировки ясен с первого взгляда).
Да, "спасибо" автору , там все открыто! Правда, ведь это не единственный руткит (из тех, по крайней мере, что он перечислил), который не видится AVZ...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Я пришлю образец во вторник - он у меня на работе лежит (он еще маскирует процесс).
По поводу вынесения перевода в базу и встраивания тегов – это можно, но в AVZ 1155 разных текстовых сообщений без повторов, часть из них в базах, часть размазана по коду. Глюков по идее быть не должно, просто англоязычный вариант толком не тестировался и мелкие перекосы дают о себе знать в совершенно неожиданных местах. После получения десятка багрепортов от англоязычных пользователей я вытравил большинство и я надеюсь, что к версии 4.22 они исчезнут как класс.
Говоря о маскировке драйвера, я имел в виду несколько иное – рассмотрим все ситуации:
1. если драйвер прописан как автозагружаемый, и виден в модулях ядра – все нормально
2. если драйвер прописан как автозагружаемый, и не виден в модулях ядра (он не загрузился, или маскируется) – тогда он попадет в исследование и его можно убить через диспетчер драйверов
3. драйвер прописан как автозагружаемый, но его ключи реестра (и возможно он сам) активно маскируются – это обнаружится и сработает тревога.
4. драйвер есть и ключа реестра нет - то считается, что это динамически загруженный "одноразовый" драйвер и тревога на него не выводится.
5. драйвер загружен, динамическая загрузка (нет ключей в реестре и следовательно автозапуска), и он маскируется - т.е. не виден в модулях пространства ядра. Это плохо и должно ловиться, но AVZ такое не ловит - и это реальный повод для доработки. С другой стороны, опасности в том нет - реальный зловред на таком принципе не построить, так как он не сможет запуститься - для запуска придется как-то загрузить драйвер, и он "засветится" в исследовании системы.
-
-
Сообщение от
Зайцев Олег
Я пришлю образец во вторник - он у меня на работе лежит (он еще маскирует процесс).
Все же меня не покидает ощущение, что мы говрим о каких-то разных руткитах! Я, в частности, говорю вот об этом: RkDemo. Это как раз тот руткит, на котором, в частности, проверял работу AVZ упомянутый выше автор утилиты RkUhooker. Этот руткит маскирует как драйвер, так и процесс. AVZ версии 4.21, соответственно, не видит ни его процесс, ни драйвер - и никакие установки в AVZ на это не влияют (по крайней мере, в моей конфигурации).
Сообщение от
Зайцев Олег
...
5. драйвер загружен, динамическая загрузка (нет ключей в реестре и следовательно автозапуска), и он маскируется - т.е. не виден в модулях пространства ядра. Это плохо и должно ловиться, но AVZ такое не ловит - и это реальный повод для доработки. С другой стороны, опасности в том нет - реальный зловред на таком принципе не построить, так как он не сможет запуститься - для запуска придется как-то загрузить драйвер, и он "засветится" в исследовании системы.
Тебе не кажется, что ты сам себе противоречишь, говоря, с одной стороны, что "это реальный повод для доработки AVZ", а с другой - "опасности в том нет"? Ведь, как в рекламе, если нет опасности, то зачем дорабатывать AVZ?
Но если серьезно, то я бы не был столь оптимистичен, говоря о безопасности того, что драйвер в текущий момент не прописан в автозагрузке - ведь прописаться в автозагрузку, если уж ОЧЕНЬ хочется - тоже не проблема, т.к. сделать это можно, к примеру, на этапе shutdown-а системы - а в текущем состоянии AVZ, даже с загруженным AVZGuard, вряд ли сможет этому помешать, не так ли?
PS. Кстати, последнее, как это ни забавно выглядит, легко моделируется на двух запущенных копиях AVZ: 1-я копия запускается в обычном режиме, вторая - с последущей загрузкой AVZGuard. После загрузки AVZGuard 2-й копией, 1-я копия может легко снять все перехваты AVZGuard, ну а дальше уже можно "творить" все, что заблагорассудится, в том числе править реестр, автозагрузки и прочее, причем доступно это будет ЛЮБОМУ процессу! Идея в том, что любой модуль ядра может легко снять все перехваты AVZGuard, причем в любое время - ну, а дальше все понятно и без объяснений.
-
-
Я себе не противоречу - я одной строны явной опасности нет, с другой - метод маскировки настолько прост, что реализуется в течении одной минуты. А такая маскировка может повлиять на анализ системы с помощью AVZ - а вот это уже неприятно. И если пока такой метод не получил массового применения, то не значит, что он его не получит ...
По поводу снятия перехватов, восстановления ключей - это реализуемо, но экзотично. Я исследовал несколько тысяч зверей, из них подобные штучки применяют десятки (но применяют !!). Я видел две характерные реализации - "скрытый автозапуск" (когда в момент shutdown создается ключ, в момент запуска зловреда - удалятся. Лечится просто - нажатием кнопки reset), и "невидимый BHO" (там ключ реестра создавался на доли секунды - он создавался в моменс создания окна IE и уничтожался после загрузки троянской BHO. Но во втором варианте для этих фокусов нужно некое приложение "X" ... Драйвер может пойти первым путем, в совокупности с маскировкой его будет сложно словить - но первое же повисание ПК его убъет.
-
-
aintrust: Драйвер AVZGuard в принципе достаточно агрессивен, хотя некоторые драйвера агрессивнее и действительно способны снять его хуки - тот же драйвер System Safety Monitor. Три четверти AVZ я уже перевел (к слову сказать), надеюсь, понравится
-
Сообщение от
Зайцев Олег
...
По поводу снятия перехватов, восстановления ключей - это реализуемо, но экзотично. Я исследовал несколько тысяч зверей, из них подобные штучки применяют десятки (но применяют !!). Я видел две характерные реализации - "скрытый автозапуск" (когда в момент shutdown создается ключ, в момент запуска зловреда - удалятся. Лечится просто - нажатием кнопки reset)
...
но первое же повисание ПК его убъет.
...
Сдается мне, что, при всей кажущейся простоте и эффективности таких "методов" борьбы с вирусами, вряд ли найдется хотя бы один производитель защитного софта, который "рискнет" предложить пользователю в качестве метода борьбы с руткитом (или в качестве "последней надежды"?) нажать кнопку 'Reset' или дождаться зависания компьютера - ибо ведь засмеют!!! 
-
-
Сообщение от
NickGolovko
aintrust: Драйвер AVZGuard в принципе достаточно агрессивен, хотя некоторые драйвера агрессивнее и действительно способны снять его хуки - тот же драйвер System Safety Monitor.
...
"Достаточно агрессивен" - это, мне кажется, скорее из психологии, чем из компьтерного мира. Что именно вы имели ввиду? Что и тот, и другой имеют средства противодействия другим программам? Ну, так это, вроде, всем известно... Или что-то другое?
-
-
заметил такой баг - по окончании проверки в какое-либо поле ввода всталяется строка вида "тесттесттесттесттесттест..."
-
-
Сообщение от
Surfer
заметил такой баг - по окончании проверки в какое-либо поле ввода всталяется строка вида "тесттесттесттесттесттест..."
Это, вообще-то, не баг - это проявление работы модуля поиска кейлоггеров в AVZ.
-
-
AVZ 4.21 от 26.10.2006
При запуске скнирования или выполнении скрипта "Поиск и нейтрализации RootKit UserMode и KernelMode" система падает, вылетает синий экран, ошибка C0000005 в файле uty2mti1.sys.
Искал этот файл, не нашёл.
Пробовал выгрузить все процессы и приложения, не помогает.
Система WinXP SP2.
В чём причина?
-
-
В Safe Mode проверка идёт без ошибок.
Вылетает на проверке RootKit Kernel-Mode.
Из ПО установлен Agnitum Outpost FireWall 4.0.888.6607, Demon Tools 4.06HE
-
-
Сообщение от
stor
AVZ 4.21 от 26.10.2006
При запуске скнирования или выполнении скрипта "Поиск и нейтрализации RootKit UserMode и KernelMode" система падает, вылетает синий экран, ошибка C0000005 в файле uty2mti1.sys.
Искал этот файл, не нашёл.
Это, наверное, антируткитовый драйвер AVZ. IMHO, надо Олегу исследование вашей системы заслать. А уж дальше как он скажет.
-
-
Сообщение от
stor
В Safe Mode проверка идёт без ошибок.
Вылетает на проверке RootKit Kernel-Mode.
Из ПО установлен Agnitum Outpost FireWall 4.0.888.6607, Demon Tools 4.06HE
Этот файл - драйвер AVZ. Форкус в том, что ядреная часть Outpost 4 - крайне нестабильное приложение, живущее по принципу - "после меня - хоть потоп". Поэтому в любом случае применять нейтрализацию руткитов при активном Outpost 4 не стоит - часто заканчивается паданием системы или глюками. Кстати говоря, аналогично с другим ПО, которое устанавливает ядреные драйвера и перехваты.
Последний раз редактировалось Зайцев Олег; 07.11.2006 в 09:18.
-
-
Сообщение от
stor
AVZ 4.21 от 26.10.2006
При запуске скнирования или выполнении скрипта "Поиск и нейтрализации RootKit UserMode и KernelMode" система падает, вылетает синий экран, ошибка C0000005 в файле uty2mti1.sys.
Искал этот файл, не нашёл.
Пробовал выгрузить все процессы и приложения, не помогает.
Система WinXP SP2.
В чём причина?
Если у вас остался мини-дамп, то запостите его, плиз, сюда...
-
-
Насколько мне помнится, Outpost 4 все время следит за состоянием своих хуков в таблице SSDT и восстанавливает ее, если видит изменение. Вполне вероятно, что это именно такой случай.
Олег, мне кажется, что в хелпе к AVZ надо особым образом подчеркнуть, что использование режима AVZGuard в случаях, когда на компьютере уже установлен защитный софт от других А/В производителей, может приводить к BSOD и зависаниям компьютера.
Последний раз редактировалось aintrust; 07.11.2006 в 10:15.
-
-
Сообщение от
aintrust
Насколько мне помнится, Outpost 4 все время следит за состоянием своих хуков в таблице SSDT и восстанавливает ее, если видит изменение. Вполне вероятно, что это именно такой случай.
Олег, мне кажется, что в хелпе к AVZ надо особым образом подчеркнуть, что использование режима AVZGuard в случаях, когда на компьютере уже установлен защитный софт от других А/В производителей, может приводить к BSOD и зависаниям компьютера.
AVZ 4.21 нейтрализует драйвера, которые восстанавливают свои хуки в SSDT (причем делает это коректно - тот-же Haxdoor иначе не нейтрализовать). Но тут естественно начинает драка, кто-кого. Результатом иногда бывает BSOD - причем я не исключаю, что BSOD генерируется искусственно - типа "ты нейтрализовал мои перехват - ну так получай"
Я обязательно пропишу в справке и FAQ про это ...
-
-
Попробовал деинсталлировать Outpost, и деинсталлировал Demon Tools.
Драйвера их удалены.
Ошибка всё равно выскакивает.
Установлен Avast 4.7.844.0, но из автозагрузки и в службах он отключен.
-
-
Сообщение от
stor
Попробовал деинсталлировать Outpost, и деинсталлировал Demon Tools.
Драйвера их удалены.
Ошибка всё равно выскакивает.
Установлен Avast 4.7.844.0, но из автозагрузки и в службах он отключен.
Тогда нужно сделать исследование системы (Файл/Исследование системы) и прислать протокол. Перед исследованием следует произвести сканирование с настройками по умолчанию (не выделяя дисков и не включая нейтрализацию руткитов). Полученный протокол исследования можно приложить к этой теме или прислать мне по почте.
-
-
Сообщение от
stor
Попробовал деинсталлировать Outpost, и деинсталлировал Demon Tools.
Драйвера их удалены.
Ошибка всё равно выскакивает.
Установлен Avast 4.7.844.0, но из автозагрузки и в службах он отключен.
Повторюсь: если не трудно, пришлите сюда мини-дамп (если у вас не отключено их создание). Мини-дампы лежат в каталоге %SystemRoot%\Minidump (т.е., обычно в C:\WINDOWS\Minidump), пришлите последний по дате файл.
-
-
Сообщение от
aintrust
"Достаточно агрессивен" - это, мне кажется, скорее из психологии, чем из компьтерного мира. Что именно вы имели ввиду? Что и тот, и другой имеют средства противодействия другим программам? Ну, так это, вроде, всем известно... Или что-то другое?
Извините меня за персональную терминологию. Я основываюсь на показаниях протоколов AVZ: при установке нового драйвера на те же хуки остается только один драйвер на конкретном хуке. Стало быть, он агрессивнее. Чем драйвер агрессивнее, тем эффективнее он сопротивляется противодействию.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
