-
Сообщение от
regist
Зайцев Олег, кибер ведь понимает, что эти файлы (библиотеки, драйвера и т.д.) от одной программы? При этом он также видит, что на некоторые из файлов этой программы есть детект. Почему же он тогда добавляет другие части этой программы в базу доверенных? Ещё один пример с такой адварой когда кибер занёс её в базу, но детект на некоторые из её файлов был это Ace Stream.
Машина многое понимает, но скажем в Ace Stream 1-2 файла адварные (он таскает адварь в своем составе), остальное - собственно Ace Stream. Вот и вопрос - все файлы Ace Stream признать адварью, или только часть (причем скорее всего если эту часть прибить, все остальное работать не будет). Другая проблема - это подход к понятию "чистый" (аналогичный проблемы классификации можно кстати видеть и на WL портале ЛК). Суть проблемы в том, что многие адвари в общем-то безопасные, т.е. они ничего не воруют, не уничтожают и не заражают. Подавляющее большинство ставятся с чем-то легитимным по причине того, что пользователь не снял где-то птичку или невнимательно читал условия распространения.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Зайцев Олег
Подавляющее большинство ставятся с чем-то легитимным по причине того, что пользователь не снял где-то птичку или невнимательно читал условия распространения.
У этого подавляющего большиства адварь (тулбар или что там идёт в комплекте) не имеет ничего общего с самой программой. То есть это партнёрская программа со сторонним производителем. В таких случаях, думаю, правильней весь этот бонус от неснятой галочки считать адварью, а не только отдельную .dll, то есть в базу чистых заносить не надо.
-
-
Сообщение от
Зайцев Олег
Юзер не все логи сделал. В его логе видно:
Функция ntdll.dll:NtEnumerateValueKey (29
перехвачена, метод APICodeHijack.JmpTo[00076386]
Функция ntdll.dll:NtQueryDirectoryFile (403) перехвачена, метод APICodeHijack.JmpTo[00076636]
Функция ntdll.dll:NtResumeThread (484) перехвачена, метод APICodeHijack.JmpTo[000753C6]
Функция ntdll.dll
wEnumerateValueKey (1527) перехвачена, метод APICodeHijack.JmpTo[00076386]
Функция ntdll.dll
wQueryDirectoryFile (1631) перехвачена, метод APICodeHijack.JmpTo[00076636]
Функция ntdll.dll
wResumeThread (1712) перехвачена, метод APICodeHijack.JmpTo[000753C6]
Но
нет отметок о снятия перехвата, так как по умолчанию для минимизации глюков и конфликтов с антивирусами на Win7 антируткит AVZ работает без нейтрализации хуков.
Так, Олег, поподробнее можно? Какие ещё логи в AVZ нужно было сделать?
-
-
Зайцев Олег, просьба сделать, чтобы ExecuteFile возвращала вместо boolean больше значимой информации. В частности возращала код ошибки, если запускаемая ею программа завершилась с ошибкой. А также возвращала какой-то код ошибки, если запускаемая программа была принудительно принудительно завершена по истечению таймаута.
-
-
Сообщение от
regist
Зайцев Олег, просьба сделать, чтобы
ExecuteFile возвращала вместо boolean больше значимой информации. В частности возращала код ошибки, если запускаемая ею программа завершилась с ошибкой. А также возвращала какой-то код ошибки, если запускаемая программа была принудительно принудительно завершена по истечению таймаута.
Так пойдет ?
Код:
begin
ExecuteFile('notepad.exe', '', 1, 10000, true);
AddToLog(IntToStr(GetLastExitCode));
end.
Где GetLastExitCode вернет:
- код возврата процесса, если процесс нормально завершился,
- $FFFFFFFF - если была ошибка запуска и процесс не запустился вообще (или не было вызовов ExecuteFile)
- $FFFFFFFE - если процесс запустился и был прибит по таймауту
Если да, то в новой версии это появится, я добавил такую функцию
-
-
Олег, а можно еще одну просьбу.
По мотивам темы http://virusinfo.info/showthread.php?t=169474
Ну очень нужно добавить функцию DeleteDirectoryF (пример есть в скриптах) и кнопочку для ее вставки в скрипт в строках с удалением файлов. Понимаю, что опасно в очумелых ручках неопытных пользователей, но это лучше, чем вручную перелопачивать весь скрипт.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
AVZ не внёс в лог задачу запуска майнера: помогите невозможно сидеть за компьютером (заявка № 170535).
PHP код:
Доп. информация на момент обновления списка
pid = 3820 Радж-ПК\Радж
CmdLine C:\Users\Радж\AppData\Roaming\WinRAR\Reversed\steam.exe overbtc12345.
Процесс создан 20:41:32 [2014.11.10]
С момента создания 00:36:45
parentid = 1188 C:\WINDOWS\SYSTEM32\TASKENG.EXE
ESTABLISHED 192.168.1.5:53249 <-> 5.61.33.146:9001
CmdLine OVERBTC12345.
SHA1 9C8934B69A6037BF7011E5DAD119C5F3B4594545
MD5 0FEBF83DF0A27B75050235D03C44F065
Ссылки на объект
Ссылка C:\WINDOWS\SYSTEM32\TASKS\STEAM-S-1-8-22-9865GUI
И хотелось бы всё-таки увидеть ответ на ранее заданный вопрос, о том, что ещё надо было сделать, чтобы руткит был виден AVZ. 1-й стандартный перед вторым?
- - - - -Добавлено - - - - -
Сообщение от
thyrex
Ну очень нужно добавить функцию DeleteDirectoryF (пример есть в скриптах) и кнопочку для ее вставки в скрипт в строках с удалением файлов. Понимаю, что опасно в очумелых ручках неопытных пользователей, но это лучше, чем вручную перелопачивать весь скрипт.
Поддерживаю, сам мучаюсь...
-
-
Сообщение от
thyrex
Олег, а можно еще одну просьбу.
По мотивам темы
http://virusinfo.info/showthread.php?t=169474
Ну очень нужно добавить функцию DeleteDirectoryF (пример есть в скриптах) и кнопочку для ее вставки в скрипт в строках с удалением файлов. Понимаю, что опасно в очумелых ручках неопытных пользователей, но это лучше, чем вручную перелопачивать весь скрипт.
Хорошо, а если сделать так - в скрипте делается поддержка возможности "импорта" пользовательских библиотек. Т.е. типа :
uses vi;
begin
...
end.
Библиотека лежит в обновляемых базах, и содержит функции, которые помогают хелперам автоматизировать что-то (типа той самой DeleteDirectoryF). Тогда набор поддерживаемых функций можно менять и обновлять, не обновляя самого AVZ, только за счет баз
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Зайцев Олег, а описание этих функций будет в справке к AVZ ? Вставлять в скрипт их надо будет вручную либо через редактор скриптов? Тогда надо сделать ещё поддержку такой обновляемой базы и в редакторе скриптов. (Отдельно возможность подключать свои пользовательские функции без привязки к базам AVZ там есть и сейчас).
-
-
Сообщение от
regist
Зайцев Олег, а описание этих функций будет в справке к AVZ ? Вставлять в скрипт их надо будет вручную либо через редактор скриптов? Тогда надо сделать ещё поддержку такой обновляемой базы и в редакторе скриптов. (Отдельно возможность подключать свои пользовательские функции без привязки к базам AVZ там есть и сейчас).
Если это будет библиотека, то по ней будет отдельный хелп. Просто идея библиотека (а там в библиотеку можно функции затолкать, или класс) хороша тем, что ее можно развивать/документироать/тестировать отдельно, а главное - обновлять через базы
-
-
1) Если изменения будут только в ввиде улучшения в ходе тестирования функции, то тогда понятно. А если через базы туда будут добавляться новые функции, то не несовсем понятно, как это будет документировано. Конечно после обновления баз вы можете обновить хелп на сайте, но многие и не догадаются, что после обновления баз и в хелпе что-то поменялось.
+ Если это выполняется на сайте, то тут хелперы следят и просят обновить базы. А так если добавить новую команду, то может посыпаться много сообщений об ошибках, что мол версия AVZ последняя (только что скачал с оф. сайта), а скрипт выдаёт ошибку. Или к примеру юзео обновлял базы пару дней назад, а за это время эта библиотека обновилась.
2) Дампы падения AVZ. Через форму на сайте загрузил, но на всякий случай дублирую сюда. Скорее всего конфликт с драйвером Sandboxie.
Последний раз редактировалось regist; 20.11.2014 в 11:18.
-
-
http://rghost.ru/59200273
Неправильно распарсило задание.
Код HTML:
<ITEM File="C:\Users\?????????\AppData\Roaming\CCMM.exe /infocmdline=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" JobName="CCMM.job" Status="267011" CheckResult="-1" Enabled="3367648" Descr="" LegalCopyright="" SHPath="" FullCmd="C:\Users\?????????\AppData\Roaming\CCMM.exe /infocmdline=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" />
-
-
Олег, бывают случаи, когда то, о чем написано выше, парсится нормально, бывает, что именно так, как показано, а бывает и вообще ассорти
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Сообщение от
thyrex
Олег, бывают случаи, когда то, о чем написано выше, парсится нормально, бывает, что именно так, как показано, а бывает и вообще ассорти
Все зависит от того, найдется ли файл на диске. Если да, парсинг будет похож на правду, если нет - то у парсера нет понимания, правильно пропарсился путь/имя и файла нет, или файл есть, но парсинг некорректен.
-
-
Но, может быть хоть самые очевидные варианты не коверкать? Через 2 лога на 3-м встречается такое - отсутствующий файл C:\Program Files (x86)\DVD Maker\DVDMaker.exe в автозагрузке попадает в лог, как два объекта:
C:\Program Files (x86)\DVD
и
Maker\DVDMaker.exe
с одним ключом реестра:
Код:
HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Dvd Maker, EventMessageFile
Понятно же, что путь с пробелом.
-
-
Сообщение от
Зайцев Олег
Все зависит от того, найдется ли файл на диске. Если да, парсинг будет похож на правду, если нет - то у парсера нет понимания, правильно пропарсился путь/имя и файла нет, или файл есть, но парсинг некорректен.
При этом почему-то в пути вместо учетки с кириллическими символами в логе знаки "?"
Хотя другие пути с подобным отображаются нормально.
Сообщение от
Vvvyg
Но, может быть хоть самые очевидные варианты не коверкать?
Олег, может дельфийскую процедуру ExtractStrings использовать для реализации? Или это невозможно?
Последний раз редактировалось thyrex; 27.11.2014 в 22:02.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
По поводу парсинга имён напомню, что этот глюк до сих пор не исправлен
-
-
В этом логе, зеркало если вдруг юзер удалит.
Имя пользователя ProfileDir="C:\Users\Losos'"
А при генерации команд по HTML логу эта одинарная кавычка куда-то исчезает.
-
-
Олег, приветствую.
В логах, в разделе планировщика заданий, в колонке Имя файла,
файл с путем отображается как простой текст.
Можно сделать как например в разделе Автозапуск, что бы при наведении мышью на него выпадала всплывающая подсказка с информацией о файле?
-