-
Сообщение от
aintrust
Конечно! И все мы в той или иной мере (кто поиском багов, кто советом, кто какой-то свежей мыслью и т.д.) этому способствуем!
Ну, я думаю с поиском руткитов - это как с поиском вирусов - когда я читаю в очередном обзоре, что некий антивирь X может поймать 99.99% заранее неизвесных вирусов/троянов, это вызывает не более как улыбку - всегда можно найти некую методику, которую этот антивирь не изловит. То-же самое с руткитом ... тут имхо нужно давить методы, имеющие распространение по мере их появления.
to Geser
Тут возник у меня вопрос. На работе стоит антивирус. Понятно что этот антивирус (Trend Micro) перехватывает работу с диском, однако АВЗ никаких перехватов не находит. Почему?
Есть две базовые методики перехвата операций с файлами - перехват на уровне функций, вызываемых через SDT (или адрес в KiST, или первые команды кода функции), или написание драйвера-фильтра. Последнее вроде-бы даже как более корректно ... Так вот драйвера-фильтры AVZ пока не ловит, и неизвестно, будет ли ловить на автомате .... а вот сам драйвер от Trend Micro "поймать" легко - он будет в списке модулей пространства ядра
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Зайцев Олег
Так вот драйвера-фильтры AVZ пока не ловит, и неизвестно, будет ли ловить на автомате ....
Почему нет?
-
-
Сообщение от
Зайцев Олег
Ну, я думаю с поиском руткитов - это как с поиском вирусов - когда я читаю в очередном обзоре, что некий антивирь X может поймать 99.99% заранее неизвесных вирусов/троянов, это вызывает не более как улыбку - всегда можно найти некую методику, которую этот антивирь не изловит. То-же самое с руткитом ... тут имхо нужно давить методы, имеющие распространение по мере их появления.
Кстати, внутренние тесты Лаборатории Касперского показывают, что т.н. "проактивная защита" (т.е. использование различных методов предупреждения внедрения вирусов в систему путем резидентного мониторинга) имеет эффективность более 90% на заранее неизвестных вирусах! Это было одной из причин внедрения такого модуля в новый Kaspersky KIS2006, первая бета которого должна появится к середине июня. Про 99.99% я, честно говоря, ни у кого не видел.
Сообщение от
Зайцев Олег
...а вот сам драйвер от Trend Micro "поймать" легко - он будет в списке модулей пространства ядра
А если ты заранее не знаешь его имени или времени появления в системе, или он не содержит в себе никакой идентификации, как в драйверах от Alcohol или Daemon Tools? И "вычисляй" его потом среди сотни драйверов!!! Тогда уже лучше как минимум иметь под руками монитор типа Process Guard или PrevX Pro и ловить это "добро" на этапе пролезания в систему!
-
-
Предложения по улучшению.
Во-первых, почему-то оказалась не реализована очевидная вещь:
в стринг-гриде вы отображаете список файлов (например "Модули пространства ядра"). Почему бы не сделать контекстное меню (по правой клавиши мыши) со следующими пунктами:
1. Скопировать имя файла
2. Google... (поиск в google по имени файла. Довольно популярная команда, использутеся от Starter'a до продуктов SysInternals)
3. Свойства. (показать свойства этого файла)
Во-вторых: Аналогичная возможность, в списках процессов с управлением "видимостью/невидимостью" окон. Очень полезно, и совершенно не трудоёмко в реализации: дескриптор окна у вас уже есть, достаточно по меню или по клику на ячейке таблицы с видимостью выполнить ShowWindow(Handle, SW_RESTORE)
Т.е. мне кажется надо позиционировать программу не только для "чайников" - запустил и забыл, но и как расширенный инструмент для более опытных. Конечно в TaskInfo превращать её не надо, но некоторые похожие функции были бы очень к месту.
А вообще программа очень даже не плохая. Главное что бы у вас не угасал энтузиазм и вы продолжали её развивать.
ЗЫ. По поводу сканирования.
Является ли \newdotnet\newdotnet6_38.dll вирусом Spy.NewDotNet, как пишет ваша программа? На сколько мне известно это модуль расширяет пространство имен интернет "создавая" короткие синонимы для для длинных адресов.
--------------------------------------------------------------------
ICQ:239279945
-
-
Сообщение от
Lucefer
Во-первых, почему-то оказалась не реализована очевидная вещь:
в стринг-гриде вы отображаете список файлов (например "Модули пространства ядра"). Почему бы не сделать контекстное меню (по правой клавиши мыши) со следующими пунктами:
1. Скопировать имя файла
2. Google... (поиск в google по имени файла. Довольно популярная команда, использутеся от Starter'a до продуктов SysInternals)
3. Свойства. (показать свойства этого файла)
Во-вторых: Аналогичная возможность, в списках процессов с управлением "видимостью/невидимостью" окон. Очень полезно, и совершенно не трудоёмко в реализации: дескриптор окна у вас уже есть, достаточно по меню или по клику на ячейке таблицы с видимостью выполнить ShowWindow(Handle, SW_RESTORE)
Т.е. мне кажется надо позиционировать программу не только для "чайников" - запустил и забыл, но и как расширенный инструмент для более опытных. Конечно в TaskInfo превращать её не надо, но некоторые похожие функции были бы очень к месту.
А вообще программа очень даже не плохая. Главное что бы у вас не угасал энтузиазм и вы продолжали её развивать.
ЗЫ. По поводу сканирования.
Является ли \newdotnet\newdotnet6_38.dll вирусом Spy.NewDotNet, как пишет ваша программа? На сколько мне известно это модуль расширяет пространство имен интернет "создавая" короткие синонимы для для длинных адресов.
--------------------------------------------------------------------
ICQ:239279945
1. Контекстное меню - это интересно, беру на заметку и добавлю при слудующем апдейте.
2. ShowWindow(Handle, SW_RESTORE) для окна - тоже интересно, это было и было убито, т.к. некоторые программы не любят принудительное отображение своих скрытых окон. Но как пункт всплявающего меню это можно сделать, тем более что в реализации это одна строка кода
3. Spy.NewDotNet - это SpyWare программа, которая вклинивается в LSP и официальное ее назначение - это поддержка несуществующих официально доменных имен в пространствах типа .xxx, .club и т.п. Это как минимум AdWare программа ... проверить правильность моих слов можно, проведя onLine проверку данного файла на http://www.virustotal.com/ ... как минимум 2-3 антивируса ее задетектируют. в категорию "Spy" я занес ее за скрытную установку и скрытую закачку своих обновлений и скрытный обмен с рядом серверов в Инет.
Вот пример - я для теста поставил последнюю версию и оставил компьютер на 5 мин, вот фрагменты обмена:
-
-
а вот такой косяк - АВЗ нашел подозрительный файлик, скопировал в карантин. И одна из следующих папок для проверки - его собственный карантин. И - все. Пошло по циклу - проверяет, находит подозрительный, копирует, и снова проверяет - до бесконечности. и потом фиг остановишь. У меня кнопка "стоп" подействовала минут через 10. Результат - 2000 подозрительных файлов в карантине.
-
-
Глючёкс - если запустить AVZ с диска отличного от того, на котором установлена винда, то - в логе можно наблюдать такую бяку -
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (\WINXP\system32\ntoskrnl.exe)
-
-
Ложные срабатывания
Вот лог. Server2003ent. В качестве удалённого управления установлена RealVNC - на что программа и "ругается". Может быть есть занести известные "RAdminы" в список? Хотя особого смысла нет, кто знает тот и так поймёт. (5800 - это порт RealVNC для управление через Web)
5. // (Keylogger, DLL)
C:\TOTALCMD\Tools\RealVNC\VNC4\wm_hooks.dll --> Keylogger DLL
C:\TOTALCMD\Tools\RealVNC\VNC4\wm_hooks.dll>>> : 99.91% /
C:\WINDOWS\system32\ntshrui.dll --> Keylogger DLL
C:\WINDOWS\system32\ntshrui.dll>>> : 0.64% /
C:\WINDOWS\system32\WLDAP32.dll --> Keylogger DLL
C:\WINDOWS\system32\WLDAP32.dll>>> : 0.55% /
C:\WINDOWS\system32\serwvdrv.dll --> Keylogger DLL
C:\WINDOWS\system32\serwvdrv.dll>>> : 0.71% /
6. TCP/UDP,
320
130 TCP 29 UDP
>>> : 5800 TCP - Backdoor.Ontarg, Backdoor.VB), RemEye 1.0, Soho Anywhere (c:\totalcmd\tools\realvnc\vnc4\winvnc4.exe)
-
-
Сообщение от
Lucefer
Вот лог. Server2003ent. В качестве удалённого управления установлена RealVNC - на что программа и "ругается". Может быть есть занести известные "RAdminы" в список? Хотя особого смысла нет, кто знает тот и так поймёт. (5800 - это порт RealVNC для управление через Web)
5. // (Keylogger, DLL)
C:\TOTALCMD\Tools\RealVNC\VNC4\wm_hooks.dll --> Keylogger DLL
C:\TOTALCMD\Tools\RealVNC\VNC4\wm_hooks.dll>>> : 99.91% /
C:\WINDOWS\system32\ntshrui.dll --> Keylogger DLL
C:\WINDOWS\system32\ntshrui.dll>>> : 0.64% /
C:\WINDOWS\system32\WLDAP32.dll --> Keylogger DLL
C:\WINDOWS\system32\WLDAP32.dll>>> : 0.55% /
C:\WINDOWS\system32\serwvdrv.dll --> Keylogger DLL
C:\WINDOWS\system32\serwvdrv.dll>>> : 0.71% /
6. TCP/UDP,
320
130 TCP 29 UDP
>>> : 5800 TCP - Backdoor.Ontarg, Backdoor.VB), RemEye 1.0, Soho Anywhere (c:\totalcmd\tools\realvnc\vnc4\winvnc4.exe)
Эти файлы можно загнать в базу безопасных, но для RA наверное не стоит - если человек сам его поставил - он действительно поймат, а вот если ему кто-то его поставил - вот тут другое дело....
-
-
Спасибо за отличную программу!!!
-
-
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (\WINXP\system32\ntoskrnl.exe)
Путь относительный, на диске, с которого запускалась AVZ, его и нету.
При запуске avz с системного диска все благополучно нашлось.
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082B80)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559B80
KiST = 804E2D20 (284)
Функция ZwClose (19) перехвачена (805675D9->F8273D9
, перехватчик F:\WINXP\system32\drivers\fwdrv.sys
Функция ZwCreateFile (25) перехвачена (8057164C->F8273962), перехватчик F:\WINXP\system32\drivers\fwdrv.sys
Функция ZwCreateKey (29) перехвачена (8056F063->F8270C50), перехватчик F:\WINXP\system32\drivers\fwdrv.sys
Функция ZwCreateProcess (2F) перехвачена (805B3543->F8273443), перехватчик F:\WINXP\system32\drivers\fwdrv.sys
Функция ZwCreateProcessEx (30) перехвачена (805885D3->F8273324), перехватчик F:\WINXP\system32\drivers\fwdrv.sys
Функция ZwCreateThread (35) перехвачена (8057F262->F82736F5), перехватчик F:\WINXP\system32\drivers\fwdrv.sys
Функция ZwDeleteKey (3F) перехвачена (8059D6BD->F8270FC1), перехватчик F:\WINXP\system32\drivers\fwdrv.sys
Функция ZwDeleteValueKey (41) перехвачена (80597430->F8270FFA), перехватчик F:\WINXP\system32\drivers\fwdrv.sys
Функция ZwOpenFile (74) перехвачена (805715E7->F8273AE7), перехватчик F:\WINXP\system32\drivers\fwdrv.sys
Функция ZwOpenKey (77) перехвачена (805684D5->F8270E3B), перехватчик F:\WINXP\system32\drivers\fwdrv.sys
Функция ZwResumeThread (CE) перехвачена (8057F8D5->F827374B), перехватчик F:\WINXP\system32\drivers\fwdrv.sys
Функция ZwSetInformationFile (E0) перехвачена (80579E7E->F8273C9D), перехватчик F:\WINXP\system32\drivers\fwdrv.sys
Функция ZwSetValueKey (F7) перехвачена (80575527->F8271086), перехватчик F:\WINXP\system32\drivers\fwdrv.sys
Функция ZwWriteFile (112) перехвачена (8057A125->F8273C50), перехватчик F:\WINXP\system32\drivers\fwdrv.sys
Проверено функций: 284, перехвачено: 14, восстановлено: 0
Это драйвер Kerio Personal Firewall 4, версия драйвера 4.0.5806.0.
ЗЫ: Отличная фича, респект.
-
-
С "\WINXP" баг удалось поймать - AVZ просто не может найти файл по такому пути - у него путь преобразуется в полный (начиная с буквы диска), в результате небольшой ошибочки преобразование шло не так, как надо ... сейчас все поправлено, в новой версии глюк исчезнет
-
-
Junior Member
- Вес репутации
- 70
Для Зайцева Олега - Future Request:
1. Предлагаю в "Диспетчер процессов" AVZ добавить параметр "Скрывать безопасные файлы" (включен по умолчанию).
Это существенно бы упростило визуальное обнаружение в памяти небезопасных процессов и DLL, а то приходится долго просматривать все процессы или копировать все небезопасные в Карантин.
2. И еще, в "Диспетчере процессов" не плохо бы было добавить кнопочку "Копировать ВСЕ небезопасные файлы в Карантин", при нажатии на которую в Карантин бы помещались ВСЕ небезопасные процессы и DLL в памяти компьютера, а то копировать DLL для каждого процесса в отдельности утомительно...
Спасибо за внимание.
-
Поддерживаю предыдущего оратора
-
-
Сообщение от
Geser
Поддерживаю предыдущего оратора
Логично, постараюсь добавить ... правда это несколько поломает идеалогию, но в принципе сложного ничего нет.
-
-
Вообще, кнопка "не показывать безопасные" нужна везде (во всех утилитах), или хотя бы сортировка, сначала все неизвестные, а потом все известные
-
-
Сообщение от
Geser
Вообще, кнопка "не показывать безопасные" нужна везде (во всех утилитах), или хотя бы сортировка, сначала все неизвестные, а потом все известные
В новой версии будет генерация HTML описания ПК (все, что размазано по всем окнам). Там однозначно уже есть фильтр по безопасным файлам и по дефолту от включен). Я думаю, для анализа это будет удобнее - AVZ генерит HTML со всеми данными, он уже отфильрован и его будет удобно читать и постить в конференции. Аналогичная возможность появится во всех окнах - генерация HTML отчета.
-
-
Junior Member
- Вес репутации
- 70
Несколько багов AVZ 3.50:
1. "Сервис -> Проверить файл по базе безопасных файлов" - невозможно проверить файлы с расширением *.DLL, их нет в списке файлов.
2. "Сервис -> Поиск файла на диске" - если стоит галка "Исключить файлы, известные AVZ как системные и безопасные", то проверяется не только отмеченная папка, но и все папки высшего уровня. При снятой галке - только отмеченная.
-
Junior Member
- Вес репутации
- 70
Олег, а какова вероятность, что может появиться вирус с такой же контрольной суммой, как и один из безопасных файлов в базе AVZ?
-
Сообщение от
DenZ
Олег, а какова вероятность, что может появиться вирус с такой же контрольной суммой, как и один из безопасных файлов в базе AVZ?
Вероятность совпадения очень низкая - файл идентифицируется по размеру + полной контрольной сумме всего файла (на сумму отведено 32 бита, формула учитывает позицию байт внутри файла). Вероятность совпадения размера и CRC вредоносного файла и полезной программы очень низкая.
Баги, описанные выше я сегодня вечером посмотрю и поправлю.
-
