AVZ 4.15 + AVZGuard - тестирование, обсуждение, предложения по доработке

[kps]

AVZGuard был введен в AVZ как средство борьбы с определенным классом существующих троянов (как пишет в анонсе Олег, "основное назначение - борьба с трудноудалимыми вредоносными программами, которые активно противодействуют процессу лечение компьютера (Look2me, руткиты, и т.п.)". Надеюсь, вы понимаете, что это вовсе не супер-технология, которая позволит "задавить" одним махом всю компьютерную нечисть и разом очистит от нее компьютер!

Я и не говорил, что это супер-технология. 100%-ой защиты не может быть в любом случае. Я говорил о том, что имхо AVZ используется как утилита именно для чистки уже зараженного компа и что для этой цели AVZGuard более нужный компонент чем монитор.

Какое же решение? Вот тут на авансцену и выходит монитор!

Тут возникает вопрос:
А как уживутся вместе монитор антивируса и монитор AVZ ? Насколько я знаю, два антивирусных монитора, перехватывающих системные функции не очень дружно живут друг с другом

По воду DefenseWall и мониторов различных а/в программ скажу следующее: это все платные продукты, и не каждому они доступны! Бесплатность AVZ - одно из его главных достоинств

Тем не менее, я считаю, что AVZ пока вряд ли может полностью заменить хороший антивирус, т.к. все-таки уступает в кол-ве детектируемого зверья по сигнатурам. Но, насколько я понимаю, детектирование по сигнатурам и не является главной фичей AVZ, у утилиты есть некоторые другие мощные методы борьбы с вредоносным ПО, к-рых нет у антивирусов.

т.е. AVZ в нужный момент не может "попросить", скажем, DW или KAV, сделать для него то-то и так-то. Ввиду этого то, что вы предлагаете относительно этих программ, вряд ли представляется в значительной мере перспективным как для AVZ, так и для пользователей.

Относительно этих программ я ничего не предлагал, а лишь заметил, что по моему мнению для цели защиты в реальном времени монитора хорошего антивируса и DefenseWall достаточно, и что утилите монитор, как я считаю, не особо нужен.

[aintrust]

Что-то я не понимаю, если трояны умудряются обойти любую установленную на компьютере защиту, хотя запускаются когда она уже установлена, неужели нельзя написать программу обходящую защиту троянов? Что-то не верится

Можно. Да только плохо это- придётся реагировать на каждую модификацию зловреда, да ещё и постфактум. Некрасиво и не очень эффективно.

По сути, AVZ и пытается воплощать такой подход: он борется против существующих троянских техник (даже не технологий, и пример этого - его анти-руткитовый модуль) и даже (как, в случае с AVZGuard) отдельно взятых троянов! Будучи в своей основе сканером, он действительно вынужден "реагировать на каждую модификацию зловреда" - но это всего лишь специфика программ такого рода.

[Кузя]

Ага, оно... Alcohol использует ту же технологию, что и Daemon Тools (и, видимо, те же драйверы). В общем, можете спокойно проигнорировать эти сообщения.

Спасибо.

[santy]

Тут возникает вопрос:
А как уживутся вместе монитор антивируса и монитор AVZ ? Насколько я знаю, два антивирусных монитора, перехватывающих системные функции не очень дружно живут друг с другом

В любом случае, антивирусный монитор придется отключить на время лечения, тем более, если он не обеспечил защиты от заражения.

Может быть, имеет смысл сразу запускать АВЗ в том или ином режиме, с загрузкой или без драверов защиты? Не включением_выключением из оболочки модулей AVZGuard или AVZMon, а запуском с ключами, к примеру: AVZ /s(сканирование, лечение), AVZ /s/m(сканирование, лечение в режиме защиты монитора, в режиме автозагрузки)?

Быть платным, или бесплатным АВЗ... думаю, все равно когда-нибудь решать Олегу. Каким он хочет видеть в будущем данный (несомненно очень полезный в работе) инструмент.

[aintrust]

Я говорил о том, что имхо AVZ используется как утилита именно для чистки уже зараженного компа и что для этой цели AVZGuard более нужный компонент чем монитор.

Хм... И сколько еще таких AVZGuard-ов в различных ипостасях будет изобретено Олегом, чтобы побороть очередные флуктуации троянов? 5, 10? А смысл? Вот хоть убейте - не вижу!

Тут возникает вопрос:
А как уживутся вместе монитор антивируса и монитор AVZ ? Насколько я знаю, два антивирусных монитора, перехватывающих системные функции не очень дружно живут друг с другом

Ну, ведь уживается же как-то DefenseWall, который тоже перехватывает системные функции, с другими мониторами. Это всего лишь вопрос качества программирования.

Но, насколько я понимаю, детектирование по сигнатурам и не является главной фичей AVZ, у утилиты есть некоторые другие мощные методы борьбы с вредоносным ПО, к-рых нет у антивирусов.

Согласен! У утилиты действительно есть развитые методы диагностики и даже лечения системы, но все они в той или иной степени заточены, в основном, на троянское ПО, непосредственное лечение которого все равно производится именно за счет сигнатур!

Если же говорить о каждом методе ручной диагностики/лечения в отдельности, то утилиты сторонних производителей зачастую обладают гораздо большей функциональностью, чем то, что мы видим в AVZ (взять, к примеру, хотя бы утилиты от Sysinternals, от DiamondCS, от F-Secure или тот же ProcessHunter с wasm.ru). Это и неудивительно, т.к. если встроить все эти функции в AVZ, то получится такой монстр, что только на его закачку с сайта пользователи будут тратить десятки минут!

...
утилите монитор, как я считаю, не особо нужен.

Конечно, если речь идет о мониторе, который предлагает Олег Зайцев, а именно:

3. Сложность изготовления монитора практически ничем не отличима от сложности изготовления AVZ-Guard (при моем подходе).
...
Так вот мониторинг AVZ-Guard и мониторинг некоего "AVZ-Monitor" почти идентичны (или 100% идентичны - чтобы драйвера не плодить)
...

то я с вами согласен - монитор такого рода не нужен.

[Geser]

По сути, AVZ и пытается воплощать такой подход: он борется против существующих троянских техник (даже не технологий, и пример этого - его анти-руткитовый модуль) и даже (как, в случае с AVZGuard), отдельно взятых троянов. Будучи в своей основе сканером, он действительно вынужден "реагировать на каждую модификацию зловреда" - но это всего лишь специфика программ такого рода.

А почему AVZGuard борется с отдельно взятым трояном? Может я чего-то не понимаю, но, как мне кажется, AVZGuard способен нейтрализовать множество троянов, которых Олег в глаза не видел. И это не сигнатурный подход, а концептуальный.

[aintrust]

А почему AVZGuard борется с отдельно взятым трояном? Может я чего-то не понимаю, но, как мне кажется, AVZGuard способен нейтрализовать множество троянов, которых Олег в глаза не видел. И это не сигнатурный подход, а концептуальный.

Если быть точным, то это сочетание методов - концептуального (чтобы нейтрализовать) и, само собой, сигнатурного (чтобы потом убить)! Отвечу также словами Олега Зайцева:

Теперь о главном - AVZGuard в текущем виде создан для решения вполне конкретной задачи - имеется что-то типа знаменитых look2me или nail.exe, которые прибить штатными средствами крайне трудно, т.к. "зверь" активно сопротивляется. Следовательно, нужен инструмент для их изничтожения - вот и был создан AVZGuard. Он не строился как непробиваемая защита (такие в природе не водятся) и не ставилась самоцель перекрыть все на 100%.

Но по большому счету, вы, конечно, правы - это все-таки очередной шаг вперед (таким же шагом является, к примеру, антируткитовый модуль)! Хотелось бы, однако, чтобы это был действительно "полновесный" шаг, а не "пол-шажка", как это сейчас, на мой взгляд, реализовано в AVZGuard.

[Geser]

Хм... И сколько еще таких AVZGuard-ов в различных ипостасях будет изобретено Олегом, чтобы побороть очередные флуктуации троянов? 5, 10? А смысл? Вот хоть убейте - не вижу!

Если бы была возможность написать монитор 100% предотвращающий заражение или 100% способный справиться с любым активным трояном, написавший его человек мог бы после этого всю жизнь грести деньги лопатой. Я уверен что такое невозможно даже теоретически. Будет монитор - его тоже нужно будет постоянно совершенствовать. Какая разница 10 версий монитора или 10 версий AVZGuard?
Опять же, я не вижу разницы между AVZGuard и монитором в плане противодействия троянам написанным именно против АВЗ.
Если троян имеет средства противодействия АВЗ, то он не даст запуститься даже инсталятору. И какая тогда разница, есть монитор или нет? Никакой.
Другое дело, если какие-то системные функции невозможно перехватить без перегрузки, то нужно просто поменять логику работы AVZGuard. Прописал куда нужно драйвер, рестарт, полечил, убрал драйвер, рестарт.
А постоянных мониторов перехватывающих всё подряд и так хватает. Вот скоро выйдет КИС2006, там монитор будет всё что можно перехватывать.

Я считаю концепцию Олега правильной. Постоянный монитор должен быть незаметен, и не мешать нормальной работе системы. При этом его возможности блокировать вредоносные действия либо ограничены, либо пользователь будет вынужден отвечать на огромное количество непонятных вопросов.
AVZGuard, как временная мера на время лечения, фактически нарушает нормальную работу системы(именно то что от него и ждут). Вместе с тем он блокирует и работу всех вредоносных программ, не задавя никаких вопросов. Насколько я понимаю, он может помочь так же и в борьбе с вирусами, остановив их деятельность на время лечения. И здесь особенно важно уметь запускаться без инсталяции, с защищённого от записи носителя.

[rav]

Не думаю что на каждую. Количество системных функций которые можно перехватить, и количество способов перехвата конечно. Так что реагировать нужно только на каждую новую концепцию, и рано или поздно можно всё перекрыть
Другое дело что на каждый троян написанный конкретно что бы убивать АВЗ действительно прийсётся реагировать отдельно. Опять же, количество способов должно быть конечным

Я имел в виду немного другое. Дело в том, что потенциальных точек внедрения в систему на уровне ядра очень много. С точки зрения программиста- практически бесконечное. И реагировать придётся на каждую только что появившуюся точку, причём постфактум. Именно это я и имел в виду под "не очень красиво".

То есть. Да, сейчас AVZGuard противодействует Look2me в процессе его лечения. Но, к примеру, в следующей модификации зловреда могут появиться спецсредства обхода AVZGuard. Олегу придётся делать средства обхода средств обхода. И так далее. Война брони и снаряда. А всё потому, что Look2me загрузил свой драйвер до AVZ. Войну можно выиграть лишь загрузив свой драйвер самым первым, на чистую систему!

[Geser]

Я имел в виду немного другое. Дело в том, что потенциальных точек внедрения в систему на уровне ядра очень много. С точки зрения программиста- практически бесконечное. И реагировать придётся на каждую только что появившуюся точку, причём постфактум. Именно это я и имел в виду под "не очень красиво".

То есть. Да, сейчас AVZGuard противодействует Look2me в процессе его лечения. Но, к примеру, в следующей модификации зловреда могут появиться спецсредства обхода AVZGuard. Олегу придётся делать средства обхода средств обхода. И так далее. Война брони и снаряда. А всё потому, что Look2me загрузил свой драйвер до AVZ. Войну можно выиграть лишь загрузив свой драйвер самым первым, на чистую систему!

Так в том-то и дело, что АВЗ почти всегда устанавливается на зараженную систему.
Представь себе что ты приходишь к врачу, и просишь лекарство от простуды, а он тебе говорит что лекарство есть, но нужно его начинать принимать до того как простудился. Есть в этом смысл? Никакого.

[aintrust]

Если бы была возможность написать монитор 100% предотвращающий заражение или 100% способный справиться с любым активным трояном, написавший его человек мог бы после этого всю жизнь грести деньги лопатой. Я уверен что такое невозможно даже теоретически. Будет монитор - его тоже нужно будет постоянно совершенствовать. Какая разница 10 версий монитора или 10 версий AVZGuard?

Большая, я бы сказал даже принципиальная! Очевидно, что вы не программист, поэтому попробую объяснить еще раз:
1) монитор загружается на этапе загрузки ОС, AVZGuard - "по желанию"/"при необходимости". Степень контроля системы принципиально разная! AVZGuard, загруженный "по желанию", реально не может контролировать даже то, что у него анонсировано, не говоря уже о многом другом. И в этом смысле та степень контроля над системой, что мог бы обеспечить монитор (нет, не 100% - где вы вообще это взяли? я этого нигде не говорил!), будет на порядок лучше того, что сможет сделать любой AVZGuard, как бы хорошо он ни был написан! Конечно, в наиболее предпочтительном варианте монитор должен грузиться в чистую систему, но даже и на "грязной" его эффективность могла бы быть на порядок лучше всех этих бесконечных "методик"!
2) 10 версий монитора не понадобится, в отличие от 10 версий AVZGuard (или подобных "методик" - называйте, как хотите)! Дело в том, что все те методики, которые сейчас включаются/выключаются в разных местах AVZ (анти-руткит, анти-кейлоггер, AVZGuard и т.п.) мог бы иметь один-единственный монитор, и его степень контроля на этими вещами была бы намного более эффективной (возьмите тот же DefenseWall, к примеру!)!

Опять же, я не вижу разницы между AVZGuard и монитором в плане противодействия троянам написанным именно против АВЗ.

На самом деле, это вполне очевидные вещи для программиста... тут даже не нужно ничего обяснять - просто примите это к сведению, ок?

Другое дело, если какие-то системные функции невозможно перехватить без перегрузки, то нужно просто поменять логику работы AVZGuard. Прописал куда нужно драйвер, рестарт, полечил, убрал драйвер, рестарт.

Вот это уже и будет монитор, о котором я все время тут говорю!

А постоянных мониторов перехватывающих всё подряд и так хватает. Вот скоро выйдет КИС2006, там монитор будет всё что можно перехватывать.

Если Касперские его доведут до ума (давно его не видел, не знаю текущего состояния дел), то на системах, где будет установлен KAV6/KIS6, AVZ, по идее, уже вряд ли понадобится...

Я считаю концепцию Олега правильной. Постоянный монитор должен быть незаметен, и не мешать нормальной работе системы. При этом его возможности блокировать вредоносные действия либо ограничены, либо пользователь будет вынужден отвечать на огромное количество непонятных вопросов.

Посмотрите внимательно на DefenseWall! Конечно, это другая программа, для других целей предназначенная - но она
1) "незаметна";
2) практически "не мешает нормальной работе системы";
3) "пользователю не нужно отвечать на огромное количество непонятных вопросов".
Значит, можно все-таки достичь этих целей, если захотеть!

AVZGuard, как временная мера на время лечения, фактически нарушает нормальную работу системы(именно то что от него и ждут). Вместе с тем он блокирует и работу всех вредоносных программ, не задавя никаких вопросов. Насколько я понимаю, он может помочь так же и в борьбе с вирусами, остановив их деятельность на время лечения. И здесь особенно важно уметь запускаться без инсталяции, с защищённого от записи носителя.

Поймите меня... я бы согласился с вами тысячу раз насчет любого AVZGuard-а, загружаемого теперешним способом, если бы не одно но... Это но - степень контроля! Как ни старайся, как ни крути, но степень контроля системы у таких "методик", по сути, нулевая...

PS. Мне кажется, надо прекращать эту дискуссию... Олегу, я так понимаю, это неинтересно - его доводы в пользу "постепенного закрывания брешей по мере их появления" я слышу уже более полутора лет - с тех пор, как он все "пишет и пишет" монитор. Если AVZGuard - это и есть прототип монитора, то, думаю, обсуждать тут больше нечего. Пусть все будет так, как есть!

[Geser]

Посмотрите внимательно на DefenseWall

ПОсмотрел внимательно(несколько месяцев стоит). Конфликт с каждым новым приложением решается путём выпуска новой версии. Фактически можно сказать что DefenseWall предназначен для защиты определённого набора приложений. Включение защиты для приложений с которыми DefenseWall не был проверен на совместимость черевата разнообразными глюками. Фактически с ним должен идти список программ которые можно им защищать.
Это универсальное решение?
Включённая по умолчанию защита интерпритаторов скриптов может служить источником таких глюков, что домохозяйка застрелится(до самого далеко не сразу дошло в чём проблема).

[aintrust]

ПОсмотрел внимательно(несколько месяцев стоит).
...

Я, естественно, имел ввиду несколько другое, когда просил "посмотреть внимательно"... впрочем, это и не важно...

[Dandy]

Вот это уже и будет монитор, о котором я все время тут говорю!

ок. А что делать в случае, когда животное контролирует утсановку этого самого драйвера (после установки которого, рестарт, лечение и т.д) ?!
Как раз и нужны средства, чтобы несмотря на противодействие утсановить драйвер. Хотя это уже будет, что-то вроде хака системы...

[rav]

ок. А что делать в случае, когда животное контролирует утсановку этого самого драйвера (после установки которого, рестарт, лечение и т.д) ?!
Как раз и нужны средства, чтобы несмотря на противодействие утсановить драйвер. Хотя это уже будет, что-то вроде хака системы...

А лекарство уже мною описано- установка своего драйвера до зловреда!

[rav]

ПОсмотрел внимательно(несколько месяцев стоит). Конфликт с каждым новым приложением решается путём выпуска новой версии. Фактически можно сказать что DefenseWall предназначен для защиты определённого набора приложений. Включение защиты для приложений с которыми DefenseWall не был проверен на совместимость черевата разнообразными глюками. Фактически с ним должен идти список программ которые можно им защищать.
Это универсальное решение?

Ну, на порядок более универсальное, чем сигнатурно-ориентированные антивирусы или классические HIPS типа ProcessGuard. Как говорили герои "Кто-то любит погорячее": "Никто не идеален". И мой софт не исключение. Но одно то, что ты его пользуешь, а не забросил на полку, говорит о многом...

Включённая по умолчанию защита интерпритаторов скриптов может служить источником таких глюков, что домохозяйка застрелится(до самого далеко не сразу дошло в чём проблема).

Домохозяйка не использует js/vbs скриптов. Но, в любом случае, это будет переделано в защиту на основе правил (как у .bat/.cmd- скриптов).

[Зайцев Олег]

А лекарство уже мною описано- установка своего драйвера до зловреда!

Не спасет
Предположим, у меня зараженный ПК. На нем обитает trojan.sys, прописанный как Boot. Защитый драйвер грузится до trojan.sys, и каковы его действия ?? Как понять, что trojan.sys зловред и его нужно блокировать ??

[aintrust]

Не спасет
Предположим, у меня зараженный ПК. На нем обитает trojan.sys, прописанный как Boot. Защитый драйвер грузится до trojan.sys, и каковы его действия ?? Как понять, что trojan.sys зловред и его нужно блокировать ??

Конечно, каждый метод имеет право на существование - и проактивный, и сигнатурный, и отрицать это в общем случае не имеет смысла.

Однако, если в такой ситуации драйвер защиты имеет хотя бы равные права с драйвером трояна, и может в какой-то степени пытаться контролировать ситуацию (смотреть системные модули, области, структуры и т.д.) и даже предупредить пользователя о чем-то странном в системе, то сигнатурные программы (типа AVZ) могут его даже и не заметить (как по причине отсутствия сигнатуры, так и по причине противодействия со стороны "зловреда" динамической установке драйверов, к примеру), не говоря уже про какой-либо контроль!

[Зайцев Олег]

Конечно, каждый метод имеет право на существование - и проактивный, и сигнатурный, и отрицать это в общем случае не имеет смысла.

Однако, если в такой ситуации драйвер защиты имеет хотя бы равные права с драйвером трояна, и может в какой-то степени пытаться контролировать ситуацию (смотреть системные модули, области, структуры и т.д.) и даже предупредить пользователя о чем-то странном в системе, то сигнатурные программы (типа AVZ) могут его даже и не заметить (как по причине отсутствия сигнатуры, так и по причине противодействия со стороны "зловреда" динамической установке драйверов, к примеру), не говоря уже про какой-либо контроль!

... и при этом собственно ничто не мешает AVZGuard-у будующих версий на такой случай получить возможность приписаться как boot драйверу, и попросить перезагрузки. А после перезагрузки AVZGuard немедленно удаляет свою регистрацию (на случай багов) и на полученный сеанс действует его защита (далее подгружается AVZ и начинается сигнатурынй поиск и ручная чистка).

[Geser]

Я, естественно, имел ввиду несколько другое, когда просил "посмотреть внимательно"... впрочем, это и не важно...

Я посмотрел с точки зрения пользователя. А если пользователю неудобно пользоваться, то пусть программа написано гениально и идиально с точки зрения программиста, можно её только ф топку