-
Если запустить avz с параметрами HiddenMode=3 и Script=c:\my_script.txt, а в my_script.txt прописать вызов стандартного скрипта исследования или лечебные процедуры, то активный зловред сможет отследить только по имени процесса? Или окно avz, пусть и невидимое, тоже создаётся и является "красной тряпкой" для вируса?
отследить можно много по чему. окно вряд ли создается - я не пробовал смотреть. например можно по именам файлы лочить, мешать драйвер грузить. да много по каким признакам можно находить авз.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Geser
Получается забавная ситуация. Защита в АВЗ не улучшается для совместимости с антивирусами. В то же время антивирусы АВЗ и так мочат.
Так вот даже сейчас мочат ... а если я усилю антируткит в 2-3 раза, то будет полный кирдык - или AVZ-у, или антивирусам. И мочить его начнут на 2-3 продукта, в 10-15
-
-
а что если в полиморфной версии (ту, которую юзают очень редко, очень мало, да и то по указанию хелпера) усилить антируткит и другое, что нужно в 2-3 раза, а в обычной оставить как есть?..
-
Сообщение от
priv8v
а что если в полиморфной версии (ту, которую юзают очень редко, очень мало, да и то по указанию хелпера) усилить антируткит и другое, что нужно в 2-3 раза, а в обычной оставить как есть?..
Полиморфную мочат в два раза больше антивирусы (так как там нет подписи с копирайтами ЛК), соотвесттвенно обычную мочат вирусы (по копирайтам ЛК) 
-
-
Да уж, бедная AVZ оказалась между молотом и наковальней
-
-
Сообщение от
Зайцев Олег
Так вот даже сейчас мочат ... а если я усилю антируткит в 2-3 раза
В качестве "компромиса" возможно отключить часть функций при исследовании системы или предусмотреть что-то похожее на "уровни" антируткита, хотя это "полумера", в итоге всё равно на время лечения придется выключать бортовой антивирус пользователя, Cureit уже ни с чем не совместим, AVPTools тоже, чем дальше, тем более навороченный инструмент и хуже совместимость.
-
-
Сообщение от
priv8v
если кинуться искать способы убийства АВЗ с гуардом/без гуарда, то получим воз и еще маленькую тележку. Блокировка/удаление файлов, скрытие окна, прощелкивание по кнопкам, закрытие окна и т.д и т.п - причем все это будет на винапи занимать строк 20 от силы
...
Тут вот какое дело... История с разного рода насилием над AVZ проистекает еще из дискуссии 3-годичной давности о полноте функционала AVZGuard - и в моем блоге это явно написано и даже дана ссылка на ветку этого форума. В то время Олег еще пытался активно бороться с попытками деструктивного воздействия на AVZ со стороны зловредов, сейчас - почти нет (в силу перечисленных им выше причин).
Впрочем, чтобы не заподозрить вас в голословности, хотелось бы посмотреть на "строк 20 от силы на винапи" для убиения AVZ в режиме AVZGuard с использованием любого из перечисленных вами методов. Опубликуйте, пожалуйста, в этой ветке хотя бы пару вариантов, желательно вместе с исполнимыми файлами.
-
-
Junior Member
- Вес репутации
- 64
Может оффтоп, но хочу высказать пожелание с наилучшими намерениями, так сказать. Можно в стандартные скрипты, ну или в восстановление системы добавить скрипты на возвращение автозапуска, отключаемое мастером поиска и устранения проблем АВЗ, иногда требуется вернуть автозапуск. (а именно автозапуск с сетевых дисков, съёмных дисков, с СД, жёстких дисков,). Не всегда есть папка Бэкап.
-
Сообщение от
vistaorxpmoy
Может оффтоп, но хочу высказать пожелание с наилучшими намерениями, так сказать. Можно в стандартные скрипты, ну или в восстановление системы добавить скрипты на возвращение автозапуска, отключаемое мастером поиска и устранения проблем АВЗ, иногда требуется вернуть автозапуск. (а именно автозапуск с сетевых дисков, съёмных дисков, с СД, жёстких дисков,). Не всегда есть папка Бэкап.
Можно - в стандартные скрипты включу
Добавлено через 2 минуты
Сообщение от
aintrust
Впрочем, чтобы не заподозрить вас в голословности, хотелось бы посмотреть на "строк 20 от силы на винапи" для убиения AVZ в режиме AVZGuard с использованием любого из перечисленных вами методов. Опубликуйте, пожалуйста, в этой ветке хотя бы пару вариантов, желательно вместе с исполнимыми файлами.
Имеется в виду воздействие на GUI путем имитации работы юзера. Так кстати современные зловреды нередко "дают прикурить" современным антивирусам (т.е. вплоть до банального наведения мыша на заданные координаты и имитации клика). Я иной раз вижу при анализе зверя целые базы GUI элементов, которыми умеет управлять зловред. AVZGuard давит базовые (отправку мессаджа на закрытие главного окна в частности), но не более того
Последний раз редактировалось Зайцев Олег; 24.02.2009 в 10:43.
Причина: Добавлено
-
-
Сообщение от
Зайцев Олег
Имеется в виду воздействие на GUI путем имитации работы юзера.
Ну, это-то как раз очевидно, хотя есть сомнение, что даже в этом варианте код займет "строк 20 отсилы". =)
Вот насчет остальных предложенных методов (манипуляции с окнами/файлами и т.п.) - уже не столь очевидно, поэтому мне и хотелось бы увидеть такой код для режима AVZGuard.
И теперь в тему вопрос: а правда, говорят, AVZ некорректно работает под Windows Vista SP1 и, если да, то почему?
-
-
Сообщение от
aintrust
И теперь в тему вопрос: а правда, говорят, AVZ некорректно работает под Windows Vista SP1 и, если да, то почему?
В теории проблем быть никаких быть не должно, я кстати не проверял - руки никак не дойдут. Там проблемы с UAC чаще всего, новая версия будет агрессивно требовать прав админа и не работать в иной ситуации.
-
-
Может приделать в АВЗ детект несовместимых ав и требовать от юзера их отключения? Тогда решится вопрос с балансом.
-
-
Сообщение от
Alex_Goodwin
Может приделать в АВЗ детект несовместимых ав и требовать от юзера их отключения? Тогда решится вопрос с балансом.
Их по последней переписи 156 штук таких
-
-
Предлагаю, в качестве рационализаторского предложения, сделать версию или даже лучше специальный режим, который будет позволять полноценно работать avz в безопасном режиме (на сколько это возможно)
Прецеденты есть: http://virusinfo.info/showthread.php?t=40213 , антивирусы в основном не работают в безопасном режиме, а вот вирусы начинают чувствовать себя просто замечательно.
-
-
Сообщение от
aintrust
Тут вот какое дело... История с разного рода насилием над AVZ проистекает еще из дискуссии 3-годичной давности о полноте функционала AVZGuard - и в моем блоге это явно написано и даже дана ссылка на ветку этого форума. В то время Олег еще пытался активно бороться с попытками деструктивного воздействия на AVZ со стороны зловредов, сейчас - почти нет (в силу перечисленных им выше причин).
Впрочем, чтобы не заподозрить вас в голословности, хотелось бы посмотреть на "строк 20 от силы на винапи" для убиения AVZ в режиме AVZGuard с использованием любого из перечисленных вами методов. Опубликуйте, пожалуйста, в этой ветке хотя бы пару вариантов, желательно вместе с исполнимыми файлами.
Наверное как то так. Я не пробовал но говорят работает и многие вири так делают.
Остаётся включенный гуард с выключенной ZAVZ и без доверенных процессов. Дальше только ребут.
http://aintrust.blogspot.com/2006_05_01_archive.html
http://aintrust.narod.ru/files/avzguardkill.zip
http://aintrust.narod.ru/files/avzdrivercrash.zip
Может добавить полиморфной AVZ полиморфный заголовок окна, ну или хотя бы "хвост"?
-
-
-
Да, aintrust'у процитировать aintrust'а.. сильно.
-
Делать заголовок полиморфным не имеет смысла - т.к кол-во зловредов, ловящих АВЗ по этому признаку, стремится к нулю, видимо...
Вот насчет остальных предложенных методов (манипуляции с окнами/файлами и т.п.) - уже не столь очевидно, поэтому мне и хотелось бы увидеть такой код для режима AVZGuard.
код не для режима АВЗГуард, а для самого АВЗ - просто мешаем его запуску каким-нибудь таким способом, а не при включенном авзгуарде начинаем пробовать его вышибить - это я писал про самозащиту АВЗ вообще...
а что до исходного кода, то вот самое безобидное накидал на скору руку, в теории должно компилится:
Код:
#include <windows.h>
int main ()
{
int IsVis;
HWND havz;
while (1) {
havz = FindWindow ("TMain", "Антивирусная утилита AVZ");
Sleep(3000);
if (havz != 0) {
MessageBox(0,"Включите AVZGuard - мы попробуем его скрыть через 7 секунд!","Info", MB_OK);
Sleep(7000);
ShowWindow (havz, SW_HIDE);
Sleep(1000);
IsVis = IsWindowVisible (havz);
if (IsVis == 0) {
MessageBox(0, "Окно AVZ скрылось!", "OK", MB_OK);
ExitProcess(0);
}
else {
MessageBox(0, "Скрыть окно не удалось!", "Fatal error", MB_OK);
ExitProcess(0);
}
}
}
}
Кто хочет попробовать быстренько:
http://slil.ru/26995918
Запускаем файл, затем запускаем авз, затем тулза просит включить авз гуард - включаем его (на это у нас 7 секунд) и после этого наслаждаемся жизнью - ребут нам в помощь.
Что до гуя: алт, затем ф, затем вверх, затем ентер.
-
Сообщение от
priv8v
код не для режима АВЗГуард, а для самого АВЗ - просто мешаем его запуску каким-нибудь таким способом, а не при включенном авзгуарде начинаем пробовать его вышибить - это я писал про самозащиту АВЗ вообще...
Понятно...
Последний раз редактировалось aintrust; 25.02.2009 в 09:05.
-
-
Сообщение от
Зайцев Олег
В теории проблем быть никаких быть не должно, я кстати не проверял - руки никак не дойдут.
Небольшие проблемы действительно есть: в частности, не грузится драйвер AVZGuard, плюс имеется несколько мелких шероховатостей.
-
