В исследовании системы нужно добавить опцию автоматически собрать в архив все неизвестные файлы. Для того что бы эфективно использовать это дело, количество неизвестных файлов в отчётах должно быть небольшим, а значит нужно регулярно добавлять в базы все "хорошие" файлы.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
А 15 метров адаваре и пр. найденных каспером, примите?
Или в сети выложить?
Да в том-то и дело, что птичка "Библиотеки процессов" установлена, но в отчет небезопасные DLL безопасных процессов не попадают, а есть только небезопасные DLL небезопасных процессов.Сообщение от Зайцев Олег
Проверял на нескольких компьютерах - результат один: в отчете нет ни одного небезопасного DLL, используемого безопасным процессом, хотя в "Диспетчере процессов" они присутствуют!
Олег, вот еще предложение, человек пишет
Rebiata izvinite no u menia net russkogo shrifta..
Ya sdelal kak vi govorili, no AVZ u menia ne rabotayet, vo pervih potomu chto na moyei vinde net ruskogo, i esho potomu chto AVZ vidayot mne kakuyu to figovinu katoruyu ya ne mogu prochitat... Mojet vso ravno pomojete?
Ya dobavil suda logi...
можно это исправить в АВЗ ???
http://virusinfo.info/showthread.php?t=2705
Да, вроде там шрифты какието свои - когда делаешь copy-paste вылазять кракозябры.
Положи где-нибудь и пошли ссылку Олегу, он заберёт.
15 MB действительно лучше всего положить куда-то на FTP/HTTP ...
Насчет лога - описанная ситуация возникает из-за того, что идет попытка сохранения лога через буфер обмена. Если его сохранить кнопкой сохранения справа от протокола, то все будет нормально и лог будет читабельным. Это, к сожалению, особенность работы Delphi приложения с буфером Windows. Я сейчас занят переписыванием копирования в буфер - если его реализовать "вручную", то все будет нормально.
Так как на счёт поставить тут багтрекер для АВЗ?
avz.virusinfo.info? Нужно?
А потом, хотел сказать по поводу открытых портов. Нынешняя система с опасными портами в основном попадает пальцем в небо. Предлагаю сделать по другому. Для каждого процесса хранить список портов которые он обыжно открывает, и в случае если им открыт нестандартный порт писать предупреждение в лог. Так же писать в лог все порты открытые процессами которые не находятся в списке "хороших".
А неплохо бы...
ну, по поводу баг-реггера подумать можно, в принципе вещь полезная ... просто не хочется тебя грузить этой проблемой (это же нужно скрипты эти устанавливать, в них могут быть уязвимости ...). Я когда-то у себя хотел такую штутку сделать - потом плюнул ... основные баги регистрируются достаточно небольшим кругом лиц ...
Насчет связи "процесс-порт" я думал, но тут есть о чем подискутировать.
Начнем с того, как это работает сейчас:
Eсть база, в ней поля "порт", "протокол", "описание", "код категории", "МП проверки". Код категории - это набор битовых флагов, т.е. один и тот-же порт может одновременно относиться к нескольким категориям. Далее строится список портов и при обнаружении описанных в базе идет сообщение. МП проверки сейчас не применяется, но поддерживается (входные параметры - имя программы, порт и протокол). База обновляемая, хранится в файле ports.avz
В настоящий момент есть три проблемы:
1. Динамические порты. Т.е. открываемый системой порт может по заоны Мэрфи совпасть с портом некоего трояна. Напрашивается решение - не показывать порты, открываемые опознанными системными программами... но тут есть проблема - порт может открыть не сама программа, а нечто, внедренное в нее - там поступают многие трояны для обхода Firewall
2. Динамически назвачаемые порты троянов - их разработчики давно поняли, что админы начнут сканировать сеть в поиске известных открытых портов ... сканеры у меня даже студенты на практике пишут, их готовых великое множетсво - как противодействие в конфиге трояна/Backdoor задается произвольный порт. Тогда его можно ловить "от противного", имея базы "правильных" портов и "правильных" программ
3. Работа без открытия порта - например BHO и прочая дребедень - по моей статистике это теперь популярнее всего.
кстати снова в журнале "хацкер" упоменаеться АВЗ, но как обяно ни автора ни ссылкизволичи, хотя то что уже упоминают это уже гуд. И снова в теме rootkit.
В журнале «Подводная лодка» (сайта у них пока нет, но тираж 50 тысяч) за июнь опубликована небольшая заметка об AVZ с перечислением основных достоинств и ссылкой. Кстати, на наш форум ссылка там тоже есть.
Так что, надеюсь, популярность AVZ – только вопрос времени.
Надо будет почитать ...
----
Новшество для критики и предложений - http://z-oleg.com/secur/avz_doc/ - новая документация по AVZ, точнее ее прототип. Раньше я вручную делал хелп, теперь я применил систему автодокументирования - это проще, т.к. можно одним маход делать документацию в виде HLP/CHM, HTML для сайта + PDF и DOC для печати.
Я же и говорю. Для каждого известного процесса держать список портов которые он обычно открывает. Если же открыт нестандартный порт, то выдавать предупреждение.
Для неизвестных процессов всегда сообщать об открытых портах.
хм... если говорить о вероятностьях. Давайте вспомним математику.
файл размером 1 байт составляет 8 бит - кол-во значений (множество) из 2^8 = 256
файл размером 4 байта - 32бита составляет множество значений 2^32 = 4294967296
Именно таково количество вариантов контрольной суммы crc32
файл размером 5байт = 40бит - составит множество 2^40 = 1099511627776 значений, что на 8бит (256) больше множества значений контрольной суммы crc32.
Во сколько раз множество из 5байт больше множества из 4байт - столько одинаковых контрольных сумм можно составить. Иначе бы не было закона сохранения. Как говориться нельзя запихнуть незапихуемое.
Контрольная сумма не открывает гиперпространства для хранения информации. 100%ая гарантия может быть только если её размерность совпадает с размерностью защищаемой информации. Ни кто не мешает вирусу забить в своё тело битиков до размера kernel32.dll, а потом модифицируя этот пустой участок подогнать свою контрольную сумму до контрольной суммы оригинальной kernel32.dll, которая теперь лежит рядом под каким-нибудь благозвучным названием типа, prefetch.dll
Последний мой пост был ответом к этой фразе.
Т.е. вероятность повреждения файла, с условием неизменности контрольной суммы - стремиться к нулю. Вероятность какого либо иного случайного изменения содержания файла - тоже. Умышленное изменение файла - может дать 100% совпадение. Труднее будет подобрать две контрольные суммы, например md5 и crc32 - тут придётся комбинировать с подбором - также этот подбор займёт много времени. Так что это может быть даже проще вычисления цифровой подписи, не надо выправлять сертификат и следить уже за его целостностью)
Последний раз редактировалось Lucefer; 21.06.2005 в 13:42.
На сколько я знаю АВЗ не использует CRC32, а использует свой алгоритм. Так что подгон CRC32 ничего не даст. А вероятность случайного совпадения ничтожно мала.
Да, в AVZ не применяется стандартная CRC ... т.е. конечно можно изучить его алгоритм и при подгонять CRC "зверя", но это весьма сложно и я не втречал вирусов, для которых бы подгоняли контрольную сумму под что-либо. Тем не менее я это предвидел и исходная база (по которой генерятся файлы для AVZ хранит MD5, CRC32, копирайты файла, его размер + весь файл целиком). Наличие внушительной базы "чистых" объектов позволяет, скажем, ловить ложные срабатывания эвристика и решать ряд другиз задач ... в частности, я в любой момент могу поменять алгоритм расчета CRC - и я буду периодически это делать - для профилактики.
to Lucefer
размер "5 байт" на файл в AVZ - это с учетом компрессии. Реальный размер - 8 байт (32 бита на размер файла + 32 на сумму). Подогнать размер и сумму одновременно сложнее, и наличие размера в базе ускоряет проверку - какой смысл считать/сравнивать CRC файла, если заведомо известно, что файла с таким размером в базе нет ...
У меня следующий вопрос:
при запуске AVZ 3.55 программа пишет, что открыт "опасный порт" 1034, который используется червем I-worm.mydoom.m.
Outpost пишет, что порт используется skype.exe.
При этом ни AVZ, ни Dr.Web, ни Nod ничего не находят.
Вообщем никаких признаков червя найти не удалось.
Значит ли это, что AVZ проверяет в данном случае только номер открытого порта?
И фактически это не означает, что компьютер заражен.
Заранее спасибо!
конечно, если AVZ нашел открытый "подозрительный" порт - это еще не означает, что его открыл вирус, при этом AVZ проверяет только номер порта ... Стоит прислать этот skype.exe для анализа
Ваши права в разделе
