Медленно, но верно мы катимся к инсталляции AVZСообщение от Nick222
Медленно, но верно мы катимся к инсталляции AVZ
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Не хотелось бы - во всяком случае тогда стоит делать сразу две версии: с установкой и portable.Медленно, но верно мы катимся к инсталляции AVZ
Версия 4.22 содержит опциональный монитор - для отлова DKOM руткитов ... Но он не влияет на портативность/носимость, хотя меню для инсталляции и удаления драйвера появляется. Аналогично будет и далее - антируткитный драйвер со временем разовьется в монитор, но он будет примочкой к AVZ.Медленно, но верно мы катимся к инсталляции AVZ
А когда и где будет версия 4.22 и в какой ветке форума будет обсуждаться?
Она уже вышла в виде пре-релиза, описана в закрытом разделе форума - без тестов со стороны хелперов я пока не рискую публиковать ссылку на него. Но тесты 4.22 в стадии завершения - ждать осталось недолго
Нельзя ли уточнить термин "Прямое чтение".
Это значит , АВЗ читает файл в обход стандратному методу ,потому что файл на данный момент" заблокирован монопольным открытием или чем-то типа руткита. Это в частности может быть следствием работы механизма самозащиты антивируса/Firewall "
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Олег! Проблема с работой скриптов в исследовании системы. Если имя файла содержит пробел, что оно записывается в кавычках: "C:\Documents and Settings\Санечка\Local Settings\Application Data\smss.exe".
Именно так оно попадает в команды java-script которые добавляют в карантин или удаляют файл. Но у этих команд еще есть собственные двойные кавычки. Эти кавычки "наслаиваются" друг на друга и в итоге скрипты не работают. Пример проблемного лога тут: http://virusinfo.info/showthread.php?t=6910
Понял, спасибо ! это злобный баг и будет немедленно пофиксен... Он уже вылезал однажды в отложенном удалении. Выход новой версии ожидается на днях, в 4.22 это обязательно будет исправлено.
Скажите, плз, существует такая программа BHODemon:
Её развитие остановлено...BHODemon 2.0.0.23 - утилита для Интернет-броузера для просмотра Browser Helper Objects (BHO) (в т.ч. позволяет их включать-отключать). Definitive Solutions. 19.06.2005. http://www.definitivesolutions.com/bhodemon.htm
Вопрос:
Покрывает ли нынешняя версия AVZ возможности BHODemon и, если нет, то какой программой для этого стоит пользоваться? Если нет, то предполагается ли встроить работу с BHO в AVZ в будущем?
Спасибо!
Да, в версиях кажется начиная с 4.00 есть менеджер BHO и расширений IE - их там можно отключать и удалять.
А почему Java и OpenOffice.org в различных менеджерах AVZ отображаются не зелёным - просто не внесены в базу безопасных?
Скорее всего - тут два варианта:
1. Файл не значится в базе безопасных - тогда его стоит прислать для включения в эту базу
2. Это мусор в реестре, т.е. ссылка есть, а файла на диске - нет
Скорее всего именно первое ...
Достаточно тяжело прислать всю Джаву (20 Мб) и ОпенОфис 140 Мб...
К тому же, откуда гарантия, что именно мои файлы безопасны?
Достаточно прислать те файлы, которые AVZ сам запихает в карантин при выполнении опции "автокарантин". Их должно быть немного ... а файлы я всеравно изучаю, заодно и узнает, опасные они или безопасные.
Если уже спрашивалось - простите, за темой слежу нерегулярно.
Есть ли какая-либо информация о взаимоотношениях AVZ и Vista?
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Они совместимы. Несовместимость будет в AVZ Guard, но он проверялся на пререлизах Vista - после выхода релиза обновится база с драйвером и релиз будет поддерживаться. Монитор для отлова DKOM руткитов (и в будущем - для проверки запускаемых файлов и загружаемых библиотек) исходно делается по требованиям MS с использованием стандартного API для мониторинга - для того, чтобы не было проблем с несовместимостью.
Соответственно никакого специального билда для Vista не будет. Хорошо
Если речь идет о 32-битной Vista, то, конечно же, нет смысла делать специальный билд, т.к. дело, видимо, ограничится специально заточенными под нее драйверами (а, может, все заработает и без переделок - я завтра проверю на Vista RTM). Что же касается Vista x64 (как флагманского продукта), то, по понятным причинам, в связи с введением KPP там все будет по-другому.
Проверял кое-что в AVZ и увидел следующее сообщение:
Пара замечаний:Функция ZwOpenProcess (7A) - модификация машинного кода. Метод PushAndRet.
1) в данном случае нужно писать NtOpenProcess, т.к. речь идет о функциях-сервисах в таблицах SSDT;
2) в этом перехвате на самом деле используется команда jmp
по которой вполне можно было бы определить системный модуль-перехватчик. В общем, завтра надо будет это обсудить более пристально...Код:push 0xc8 ; это оригинальный push, присутствующий в NtOpenProcess jmp xxxxxxxx ; это, фактически, и есть перехват
Ваши права в разделе
