Сейчас посмотрю - видимо, создатели этой штуки что-то новое придумали в новых версиях. А какой пошагово алгиритм применялся ? По идее для его убиения нужно:Сообщение от Liong
1. Сканирование с нейтрализацией руткитов
2. Включение AVZ Guard
3. Удаление драйвера с диска + ключей из реестра
4. Перезагрузка.
С изученными PE386 это проходит.
Последний раз редактировалось Зайцев Олег; 20.12.2006 в 16:04.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
По моему пора брать на вооружение метод используемый The Avenger
Вообще, надо сказать, странную манеру общения вы придумали, Alex_Goodwin...Типа выступаете в качестве медиума?
А почему бы EP_X0FF-у самому не прийти сюда (правда, я на 100% знаю, что он читает этот форум), и высказать свое мнение? А если он не хочет этого делать, то есть ли вообще смысл приводить его цитаты?
На самом деле не очень интересно знать мнение EP_X0FF. Гораздо интереснее если бы кто-то проверил эффективность обих программ на нескольких распространённых руткитах.
К версии 4.24-4.25 я введу подобную функциональность в AVZ - именно для убиения ключей реестра и файлов, которые не желают удаляться через отложенное удаление (с стандартным отложенным проблема в том, что оно выполняется слишком поздно - зловредный драйвер может уже страртануть и свести к нулю это удаление).
Geser, и AVZ и Rootkit Unhooker пока что спокойно покупаются на изменёные значения в PEB
Rootkit Unhooker многое не видет, но, ИМХО, он понагляднее
ИМХО, давно стоило добаваить возможность посчёта КС секций кода "безопасных програм" при сканировании памяти, а не только проверку КС файла
Последний раз редактировалось PrM@ster; 20.12.2006 в 17:28.
Что чайнику - варежка с дырками, то мастеру - перчатка без пальцев.
Я к нему никак не отношусь . Просто на одном из форумов сегодня появились эти коментарии. Я решил, что Олегу будет интересно и запостил.Вообще, надо сказать, странную манеру общения вы придумали, Alex_Goodwin...
А почему бы EP_X0FF-у самому не прийти сюда (правда, я на 100% знаю, что он читает этот форум), и высказать свое мнение? А если он не хочет этого делать, то есть ли вообще смысл приводить его цитаты?
КС секции кода в памяти считать не очень-то хорошо, так как хотя-бы один реаллокейшен изменит эту сумму. Или пакер-криптер, который что-то будет менять. Или хитрая защита навесная ... На компонентах MS это более или менее реализуемо, а на остальном ...Geser, и AVZ и Rootkit Unhooker пока что спокойно покупаются на изменёные значения в PEB
Rootkit Unhooker многое не видет, но, ИМХО, он понагляднее
ИМХО, давно стоило добаваить возможность посчёта КС секций кода "безопасных програм" при сканировании памяти, а не только проверку КС файла
Так, может, лучше и проще было бы дать первую цитату прямо со ссылкой на тот форум? Тогда все, кому интересно, в том числе и Олег, там бы и прочитали, и пообсуждали, если бы захотели...
Все эти PEB-ы, TEB-ы и прочая юзермодная шелуха практически не имеет ничего общего с более-менее современными руткитами, и на этих изменениях ничего серьезного все равно не сваришь - так, детский лепет и мелкие прикольчики. Так что насчет "покупаются" - это, наверное, чересчур громко сказано...Geser, и AVZ и Rootkit Unhooker пока что спокойно покупаются на изменёные значения в PEB
И что же это такое "многое", что RkU "не видЕт"? Можно в деталях?
если процес может маскироватся, это уже немалоВсе эти PEB-ы, TEB-ы и прочая юзермодная шелуха практически не имеет ничего общего с более-менее современными руткитами, и на этих изменениях ничего серьезного все равно не сваришь - так, детский лепет и мелкие прикольчики
не все функции контралируютсяМожно в деталях?
не ловится инжект в сереедину функции
сам можешь элементарно поэксперементировать
Что чайнику - варежка с дырками, то мастеру - перчатка без пальцев.
Ну, кому как... Кому-то, я полагаю, было бы интересно не только услышать мнение, но даже немного подискутировать по поводу различных анти-руткитов, а также их достоинств и недостатков (не в этой ветке, конечно). Можно, конечно, по-разному относиться к мнению авторов RkU и к той манере, в которой это мнение обычно выражается (читавшие forum.sysinternals.com меня поймут), однако то, что эти ребята написали (и продолжают писать), вполне достойно внимания (как минимум).
Что касается эффективности - да, согласен, можно и даже нужно квалифицированно проверять, только не надо забывать о том, что RkU - это анти-руткит по своей природе, а AVZ - квази-анти-руткит, т.е. анти-руткит "по необходимости". Первый изначально был задуман как средство диагностики и борьбы с различными руткитами, в том числе и "лабораторными" экземплярами, а AVZ имеет различные модули (и анти-руткитный модуль в том числе), предназначенные для борьбы с существующими ITW и достаточно распростаненными "зверями" любой природы, в том числе имеющими руткитовые движки. Нужно понимать, что ниши у этих продуктов изначально были разными!
Впрочем, 100%-ной гарантии защищенности все равно ни один продукт не даст, так что чем больше хороших продуктов разной природы, тем лучше для всех нас!
Последний раз редактировалось aintrust; 20.12.2006 в 23:12.
Да уж...если процес может маскироватся, это уже немало
Ну, зачем так уж сразу в середину? Достаточно обычно отступить байт 10-15 от начала... На самом деле ничего сложного нет в том, чтобы это и еще многое другое контролировать - тот же AVZ мог бы это делать (я имею ввиду тотальный контроль тела функции), благо все необходимое у него для этого есть. Вопрос только в том, насколько это нужно на практике - делать из более-менее работающей программы второй SVV?
С точки зрения контроля хулиганства с PEB уже позно - он уже сделанДа уж...
Ну, зачем так уж сразу в середину? Достаточно обычно отступить байт 10-15 от начала... На самом деле ничего сложного нет в том, чтобы это и еще многое другое контролировать - тот же AVZ мог бы это делать (я имею ввиду тотальный контроль тела функции), благо все необходимое у него для этого есть. Вопрос только в том, насколько это нужно на практике - делать из более-менее работающей программы второй SVV?Модификация PEB опасна только тем, что скажем можно обозвать процесс svchost.exe и затем подредактировать PEB так, чтобы полное имя процесса по PEB было windows\system32\svchost.exe. Это достигается кодом на десять строчек, но в результате менеджеры процессов думают, что это легитимный svchost.exe
По поводу остального я согласен с мнением aintrust - AVZ не является специализирвоанным антируткитом и особого резона делать из него таковой нет ... принин много, основная - огромное количество пользователей AVZ, как следствие любая новая фича оборачивается глюками (обязательно у кого-нибудь найдется конфигурация, в которой что-то глюкнет), шквалом вопросов и т.п.
Вот это я не понял. Т.е. АВЗ не будет уметь справляться с руткитами что бы не было лишних вопросов? А зачем тогда он нужен?По поводу остального я согласен с мнением aintrust - AVZ не является специализирвоанным антируткитом и особого резона делать из него таковой нет ... принин много, основная - огромное количество пользователей AVZ, как следствие любая новая фича оборачивается глюками (обязательно у кого-нибудь найдется конфигурация, в которой что-то глюкнет), шквалом вопросов и т.п.
Частично поддерживаю. Антируткит - один из ключевых компонентов AVZ, и его нужно развивать
Нет, речь немного не о том - антируткит AVZ является прикладным антируткитом - его задачей является подавление руткит-функций ITW заразы настолько, чтобы ее можно было заметить в исследовании системы и прибить (вручную, скриптом или автоматом). Но при этом не ставится цель охоты на "лабораторных крыс" - т.е. детектирования разнообразных концептуальных наработок. Пример с Haxdoor - когда появился Haxdoor, который успешно восстанавиливал перехваты, антируткит AVZ был усовершенствован таким образом, чтобы бороться с этим. Другой пример - перехват правкой SYSENTER - этот метод довольно долго витал в теории, но после его реализации в зловредах типа Costrat (PE386) в AVZ появились средства проверки и воссстановления SYSENTER. В сей момент проходит полевое испытание новая "пилюля" против последних видов PE386 - идеалогическая помесь руткита и Avenger. И т.п. - т.е. моя концепция такова - появится реальный зловред - будем думать, как его задавить. Иначе нельзя - поскольку есть десятки методов сокрытия процесса так, что ни один антируткит его не найдет.
Да я, собственно, и имел ввиду, что эта "детская шалость" довольно просто контролируется, и то, что этот контроль не был до сих пор реализован в AVZ - это всего лишь небольшое упущение, т.к. базовая возможность для него уже имелась. В результате непосредственно на эту "доработку" было потрачено всего несколько минут...
Поскольки АВЗ не антивирус, и его основное предназначание - исследование системы, он должен уметь определять любое вмешательство в систему, не важно, уже используемое реально, или известное только теоретически.
Я уже не раз писал, что для любого продукта самое важное определить точно его нишу. АВЗ имеет ценность именно как интегрированная среда для исследования системы. А всё остальное вторично. ИМХО, конечно.
Так оно и делается - просто реальным вмешательствам (т.е. есть ITW зверь и AVZ не позволяет хелперу его засечь или удалить) уделяется основной приоритет. А все остальное - конечно берется на заметку, изучается - но приоритет уже другой. Кстати о приоритете - неплохо хелперам брать на заметку все недостатки анализа и куда-то отдельно их собирать - чтобы был максимум информации в одном месте, а иначе они растворяются в десятках листов обсуждения.
-------
Поступили данные по поводу AVZPM, который лежит в обновленной базе - он нормально заработал на W2K3 SP0.
Ваши права в разделе
