-
Visiting Helper
- Вес репутации
- 76
>А это сделано для того что бы правильно строилось дерево при просмотре в древовидном виде
ну пусть она будет активна всегда... и добавлять мессадж в конетс а если нажал на пимпу то по типу дерева... напрягает уже чесс слово
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Sanja
>А это сделано для того что бы правильно строилось дерево при просмотре в древовидном виде
ну пусть она будет активна всегда... и добавлять мессадж в конетс а если нажал на пимпу то по типу дерева... напрягает уже чесс слово
Ок, по заказам зрителей.
-
-
Посмотрел я "исследование системы".
Текстовый протокол нечитабилен. Нужно либо выровнять колонки пробелами, либо генерировать его таблицей html, потом можно сохранить и открыть в браузере.
А кроме того, я так понял это список того что в памяти. А по хорошему отчёт должен включать и список автозапуска.
А менеджер звтозапуска так и не работает
-
-
Visiting Helper
- Вес репутации
- 76
>Ок, по заказам зрителей.
Ура!
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
-
Junior Member
- Вес репутации
- 71
AVZ 3.43
Растолкуйте, пожалуйста, чайнику что это значит?
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082480)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559480
KiST = 817B4218 (297)
>>>Внимание, таблица KiST перемещена ! (804E26A8(284)->817B4218(297))
Функция ZwClose (19) перехвачена (80566B49->B6D432D0), перехватчик D:\WINDOWS\system32\Drivers\klif.sys
D:\WINDOWS\system32\NVWRSRU.DLL>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши
-
Full Member
- Вес репутации
- 74
На двух машинах проявляется глючок в avz 3.43. Если поставить птичку у имени диска - проверять весь диск - то проверка не происходит. Если снять птичку у к-л подкаталога - все остальное проверяется. На других доступных мне компах все работает нормально.
Железо на этих машинах идентичное, и отличается от всех других, приведу его на всякий случай:
CPU Name AMD Athlon 700.0 MHz
Motherboard model ABIT 8363-686A(KT7[A][-RAID],KT7E)
Chipset VIA KT133A rev. 3
Southbridge VIA VT82C686 rev. 40
Windows XP Prof SP2 RUS
-
Сообщение от
Fly
Растолкуйте, пожалуйста, чайнику что это значит?
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082480)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559480
KiST = 817B4218 (297)
>>>Внимание, таблица KiST перемещена ! (804E26A8(284)->817B4218(297))
Функция ZwClose (19) перехвачена (80566B49->B6D432D0), перехватчик D:\WINDOWS\system32\Drivers\klif.sys
D:\WINDOWS\system32\NVWRSRU.DLL>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши
Первый файл - от антивируса Касперского, второй - судя по всему от Nowell клиента. Оба стоит прислать на [email protected] для анализа и занесения в базы безопасных файлов ...
-
-
Сообщение от
userr
На двух машинах проявляется глючок в avz 3.43. Если поставить птичку у имени диска - проверять весь диск - то проверка не происходит. Если снять птичку у к-л подкаталога - все остальное проверяется. На других доступных мне компах все работает нормально.
Железо на этих машинах идентичное, и отличается от всех других, приведу его на всякий случай:
CPU Name AMD Athlon 700.0 MHz
Motherboard model ABIT 8363-686A(KT7[A][-RAID],KT7E)
Chipset VIA KT133A rev. 3
Southbridge VIA VT82C686 rev. 40
Windows XP Prof SP2 RUS
Нужно попробовать вопроизвести эту ситуацию ... - а какой диск так не сканироуется (первый в списке дисков, в середине, последний) ??
-
-
Сообщение от
Зайцев Олег
Нужно попробовать вопроизвести эту ситуацию ... - а какой диск так не сканироуется (первый в списке дисков, в середине, последний) ??
Первый, он же единственный хард
userr
-
-
Кстати, Олег, если посмотреть на вот эту тему: http://virusinfo.info/forum/showthread.php?t=2520
В системие сидел вариант Пинча с распространённым для вируса именем. У тебя есть эвристическая проверка, но я так понимаю ты заносиш имена файлов вручную. Почему бы не сделать что бы имена всех просканированных файлов сравнивались с именами файлов всех известных зверей, и в случае совпадения выдавать предупреждение?
-
-
Олег, обнови у себя на сайте номер версии AVZ. Там написано, что она- 3.40. И ещё- для того, чтобы нормально тестировать систему на внедрения и лечить её совершенно необязательно восстанавливать SDT. Можно (я бы даже сказал- нужно) работать в обход неё.
-
-
Сообщение от
rav
Олег, обнови у себя на сайте номер версии AVZ. Там написано, что она- 3.40. И ещё- для того, чтобы нормально тестировать систему на внедрения и лечить её совершенно необязательно восстанавливать SDT. Можно (я бы даже сказал- нужно) работать в обход неё.
Да, с номером прокол - в понедельник исправлю.
Работа в обход SDT в ядре AVZ предусмотрена и будет применяться ... но восстановление я в любом случае оставлю - дело в том, что нет гарантии обнаружения маскирующегося процесса самими AVZ (такое уже было при отлове HackDef и Haxdoor - блокировка идет нормально, а сигнатур "зверя" у AVZ нету ....
Другое дело, что сейчас делается избирательное восстановление SDT - т.е. не все функций, а по разным критериям (например, не восстанавливать перехваты антивирей/Firewall)
-
-
Мелкий глюк:
Сервис/Проверить файл по базе безопасных файлов. Если в окне "Открыть..." сразу нажать "Отмена", выдается пустой MessageBox и, как следствие, в лог записывается "паразитное" сообщение. Похоже, кнопка "Отмена" вообще не анализируется?
-
-
Сообщение от
Sanja
Олег - добавь в АВЗ XP Manifest file / component
авз сразу станет красивым
AVZ при этом становится смесью "французского с нижегородским" (плюс еще и некоторые глюки проявляются). Вот если бы AVZ был полностью написан на стандартных контролах, то простое добавление манифеста действительно бы "помогло".
Последний раз редактировалось aintrust; 21.05.2005 в 16:57.
-
-
Сообщение от
aintrust
AVZ при этом становится смесью "французского с нижегородским".
Вот если бы AVZ был полностью написан на стандартных контролах, то простое добавление манифеста действительно бы "помогло".
В текущем варианте манифест подключить можно, но в некоторых местах интерфейса шалит Так что это будет, но потребуется небольшая доработка.
Мелкий глюк:
Сервис/Проверить файл по базе безопасных файлов. Если в окне "Открыть..." сразу нажать "Отмена", выдается пустой MessageBox и, как следствие, в лог записывается "паразитное" сообщение. Похоже, кнопка "Отмена" вообще не анализируется?
Я вывод окна и запись в лог поместил за пределами блока проверки результатов вызова диалога. В итоге проверка шла только при выборе файла, а запись в лог и Message - в любом случае. Пофиксено ...
-
-
Сообщение от
rav
...
И ещё- для того, чтобы нормально тестировать систему на внедрения и лечить её совершенно необязательно восстанавливать SDT. Можно (я бы даже сказал- нужно) работать в обход неё.
С этим трудно не согласиться, и даже более того: чтобы "нормально тестировать систему на внедрения", у AVZ пока еще довольно мало методов, но процесс, как говорится, потихоньку идет. Возможность восстановления SDT - это только первый шаг на пути борьбы с km руткитами, пусть не самый удачный (пока что, как мы видим в этой ветке, все начали "бороться" с файерволлами и антивирусами), но уже это - "хоть что-то" . А отображение перехватов системных функций в SDT, наряду с другими, более "изощренными" методами, можно использовать для анализа системы, если возникло подозрение. Понятно, что манипуляция SDT - это далеко не единственный метод маскировки руткитов, а в силу его хорошей документированности и повсеместного применения разными файерволлами и антивирусами - так еще и "избегаемый" хорошими руткитами! Но тут надо смотреть с практической точки зрения: если такой метод применяется простейшими руткитами, то почему бы не включить возможность его анализа и попытку восстановления, в том числе и через восстановление оригинальной SDT? А позднее и другие методы появятся, я надеюсь!
Теперь непосредственно о "восстановлении" SDT. Потестировал AVZ на возможность "восстановления" от работающего DefencePlus (ваш продукт, если не ошибаюсь?) - ведь последний использует множество перехватов функций как в um, так и в km. Результат: пока что "побеждает" DefencePlus. Попытка борьбы с перехваченными в SDT функциями приводит к ошибке AVZ "Access violation at address xxxxxxxx in module 'avz.exe'. Read of address yyyyyyyy" сразу после:
---
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=078540)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D4000
---
Полагаю, что Олегу будет над чем задуматься... Но! Если попытку восстановления повторить несколько раз, не выходя из AVZ, то SDT восстанавливается, хотя после этого система ведет себя абсолютно некорректно.
И 3-е: пока сталкивал лбами AVZ и DefencePlus, обнаружил, что по какой-то причине AVZ не видит перехвата DefencePlus в kernel32.dll. Я поначалу подумал даже (был такой прокол), что AVZ вообще не ищет там перехватов, но после проверки (правки 1-го байта ф-ции Beep) выяснилось, что видит:
---
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:Beep (2 перехвачена, метод CodeHijack (метод не определен)...
Анализ ntdll.dll, таблица экспорта найдена в секции .text
---
Я зашел дебаггером в AVZ, посмотрел на kernel32!SetUnhandledExceptionFilter - да, действительно, перехват есть (acshield - это acshield.dll - компонента DefencePlus, подключаемая через SetWindowsHookEx):
---
> u kernel32!SetUnhandledExceptionFilter
kernel32!SetUnhandledExceptionFilter:
4ebfe4f4 e9274940c1 jmp acshield+0x2e20 (10002e20)
---
Но AVZ его почему-то не видит! Чудеса!
-
-
п.п. 3: с SetUnhandledExceptionFilter все оказывается достаточно просто - у AVZ в настройках антируткита описываются правила анализа системы (какие DLL анализировать, какие функции проверять/не проверять, что восстанавливать/не восстанавливать). Kernel32 исторически была первой и у нее в настройке описана проверка списка избранных функций, около сотни штук. SetUnhandledExceptionFilter в этот список не была включена, отсюда и отсутствие реакции... для остальных DLL прописано проверять все и заданы исключения.
п.п. 2: это явный баг и его нужно изловить
п.п. 1: я на настоящий момент думаю так - восстановление SDT - это крайняя мера, на которую человек идет в случае поддозрения на руткит. На этот случай такая возможность обязана быть. Далее, в принципе мои следующие шаги таковы:
1. Работа в обход SDT. Сейчас это реализовано в экспериментальном виде и неплохо работает, я думаю включить это в AVZ. Эта методика не требует восстановления SDT и почти не влияет на работу системы (за исключением некоторой вероятности BSOD в случае сбоя такого обращения);
2.Анализ машинного кода ядреных функций. Логика тут аналогична UserMode и распадается на две составляющих - анализ экспортируемых функций ntoskrnl и анализ кода функций SDT с возможностью восстановления. Последнее уже реализовано и завтра будет помещено на моем сайте - это "накроет" еще одну категорию перехватчиков, которые предпочитают правку машинного кода правке адресов в таблицах SDT.
-
-
Сообщение от
Зайцев Олег
...
SetUnhandledExceptionFilter в этот список не была включена, отсюда и отсутствие реакции... для остальных DLL прописано проверять все и заданы исключения.
Да, я уже все понял - устроил 5 минут назад AVZ маленькую проверочку "на вшивость". А почему, собственно, такая "нелюбовь" к большому числу ф-ций, не попавших в список? Как-то не видится (пока) реальных причин для этого...
п.п. 2: это явный баг и его нужно изловить
DefencePlus находится в свободной триальной загрузке на месяц, URL - в подписи у rav, так что это относительно легко воспроизвести (правда с ним пришлось "повозиться": сначала при установке - он явно не хотел "дружить" с драйверами от Kaspersky KIS 2006 P2, которые у меня оставались "болтаться" для тестов, а потом еще и после удаления пришлось "подтирать за ним" реестр, но это уже совсем другая история к приколами - извиняюсь за офф-топик). Понятно, однако, что дело не в DefencePlus как таковом, а в наборе тех возможных методов, применяемых, в частности, DefencePlus, которые руткит может использовать в качестве "противодействия".
Последний раз редактировалось aintrust; 22.05.2005 в 18:25.
-
-
Сообщение от
Зайцев Олег
2.Анализ машинного кода ядреных функций.
Так им гадам, туды их в качель!
userr
-
-
Сообщение от
aintrust
Да, я уже все понял - устроил 5 минут назад AVZ маленькую проверочку "на вшивость".
А почему, собственно, такая "нелюбовь" к большому числу ф-ций, не попавших в список? Как-то не видится (пока) реальных причин для этого...
Это исторически сложившаяся методика. Причина - см. лог в аттаче - это список функций kernel32.dll с эталонной XP SP2, адреса которых не совпадают с заявленными у нее в таблице экспорта, их там штук 30. В принципе, сейчас легко пойти "от противного" - т.е. запретить анализировать эти 30 и разрешить все остальное - это достигается настройкой, так что в принципе перенастроить очень легко
-