тут просто проблема в том, что это для нас понятно - опасный, безопасный ... а беда в том, что увидев такое предупредление пользователь может поубивать подозрительные файлы
Если делать расчет на неподготовленного пользователя, то, по хорошему, убедившись, что TCP/5000 прослушивает легитимный процесс от Microsoft, надо тихонечко и мягко предупредить, что мол все ОК, проверено, модуль от MS и, скорее всего, волноваться не стоит. Но есть другая сторона: этот сервис может быть включен по-умолчанию у пользователя, которому он вообще не нужен. В такой ситуации, естественно, надо предупреждать и, возможно, давать рекомендации по отключению (останову сервиса) - т.е. снова возвращаемся к доке или FAQ-у! Стоит ли специально разбираться с такими случаями? Не знаю...
Но на вопрос "предупреждать/не предупреждать?" ответ для меня однозначен: предупреждать! Иными словами: "Предупрежден - значит вооружен!"
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
При сканированиия "все файлы" прогресс-индикатор и оставшееся до конца сканирования время достигают 100% и 0, соответственно, за долго до окончания сканирования.
При сканированиия "все файлы" прогресс-индикатор и оставшееся до конца сканирования время достигают 100% и 0, соответственно, за долго до окончания сканирования.
Получил при сканировании такой результат:
C:WINDOWS\SYSTEM32\drivers\klif.sys Перехватчик KernelMode
D:\****\Outpost\kernel\FILTNT.sys Перехватчик KernelMode
мне кажется что это-вполне легальные компоненты Касперского и Оутпоста.НЕплохо былобы иметь возможность для пользователя поместить их в Игнор.Лист,чтобы не раздражали ....(а на работе у меня еще и RAdmin, и оболочка подменяет Explorer.....)
...мне кажется что это-вполне легальные компоненты Касперского и Оутпоста.НЕплохо былобы иметь возможность для пользователя поместить их в Игнор.Лист,чтобы не раздражали ....(а на работе у меня еще и RAdmin, и оболочка подменяет Explorer.....)
Получил при сканировании такой результат:
C:WINDOWS\SYSTEM32\drivers\klif.sys Перехватчик KernelMode
D:\****\Outpost\kernel\FILTNT.sys Перехватчик KernelMode
мне кажется что это-вполне легальные компоненты Касперского и Оутпоста.НЕплохо былобы иметь возможность для пользователя поместить их в Игнор.Лист,чтобы не раздражали ....(а на работе у меня еще и RAdmin, и оболочка подменяет Explorer.....)
Согласен, что обычному пользователю информация о легитимных драйверах от известных производителей как правило не нужна. Скорее всего, Олегу надо, как и в случае с кейлоггерами, поместить эти драйверы в "белый список" и сделать опцию, блокирующую вывод сообщений о перехватах для драйверов из белого списка или же эту информацию выдавать в более мягкой форме (типа перехватчик мне известен и он "белый и пушистый" ). Тем не менее, я бы все-таки советовал сделать дополнительный флажок, который позволил бы иметь полную информацию (и относительно драйверов, и относительно кейлоггеров) - это бывает полезно в сложных случаях (множественные перехваты и пр.). Т.е. "белый список" - это хорошая идея, но также д.б. возможность получения полной информации.
Что же касается именно RAdmin, то AVZ "не видит" его, т.к. драйвер RAdmin не перехватывает системные сервисы.
Согласен, что обычному пользователю информация о легитимных драйверах от известных производителей как правило не нужна. Скорее всего, Олегу надо, как и в случае с кейлоггерами, поместить эти драйверы в "белый список" и сделать опцию, блокирующую вывод сообщений о перехватах для драйверов из белого списка или же эту информацию выдавать в более мягкой форме (типа перехватчик мне известен и он "белый и пушистый" ). Тем не менее, я бы все-таки советовал сделать дополнительный флажок, который позволил бы иметь полную информацию (и относительно драйверов, и относительно кейлоггеров) - это бывает полезно в сложных случаях (множественные перехваты и пр.). Т.е. "белый список" - это хорошая идея, но также д.б. возможность получения полной информации.
Что же касается именно RAdmin, то AVZ "не видит" его, т.к. драйвер RAdmin не перехватывает системные сервисы.
да, проверку на легитимность я введу, но ведь возможен множественный перехват: [системный обработчик]-[RootKit]-[легитимный драйвер]. AVZ то видит последнйи обработчик в цепочке .... Логично сделать опцию - т.е. "отображать все" или "отображать неопознанные". В первом случае можно показывать опознанные процессы.
------
В связи с вышесказанным вышла новая версия AVZ 3.60.5, все на прежнем месте:
1. Переделан анализ системы. Теперь DLL идут для каждого процесса или отдельным списком без повторов, как предлагал Geser. Во втором случае есть отдельная колонка со списком PID процессов, использующих DLL - каждый PID является гиперссылкой, по ней происходит прыжок на строку с процессом
2. Устранен глюк с тем, что не срабатывало удаление обнаруженной заразы
3. Устранен баг с прогресс-индикатором в случае проверки диска в режиме "проверять все файлы"
4. Доработан антируткит - для опознанных по базе безопаснхы драйверов в лог пишется информация о том, что драйвер легитимный
5. база зверей - 14718 сигнатур ...
Я поменял версию на единичку, но не менял дату - ядро то не переделывалось ...
Последний раз редактировалось Зайцев Олег; 30.06.2005 в 16:11.
Я поменял версию на единичку, но не менял дату - ядро то не переделывалось ...
может ввести третью цифру?
Для мелких переделок и быстроустранённых багов... а то немного можно запутаться. Я имею в виду что версия 3.60 пересобиралась раза три, и тогда бы можно видеть изменения сборки. Напимер текущую назвать 3.60.4
Сумбурно, но наверно понятно....
может ввести третью цифру?
Для мелких переделок и быстроустранённых багов... а то немного можно запутаться. Я имею в виду что версия 3.60 пересобиралась раза три, и тогда бы можно видеть изменения сборки. Напимер текущую назвать 3.60.4
Сумбурно, но наверно понятно....
Логично - я уже дано задумываюсь о введение номера сборки, тем более что Delphi считает их автоматом ...
А можно окно исследования системы привести в нормальный вид. А то оно у меня покорёжено всё, и даже кнопки "Пуск" не видно
v 3.60.7 - в ней вроде окно приведено в порядок + я привел нумерацию версий в норму путем введения третьей цифры. И еще переделано окно "Модули пространства ядра" - там тоже была кривизна ...
да, проверку на легитимность я введу, но ведь возможен множественный перехват: [системный обработчик]-[RootKit]-[легитимный драйвер]. AVZ то видит последнйи обработчик в цепочке .... Логично сделать опцию - т.е. "отображать все" или "отображать неопознанные". В первом случае можно показывать опознанные процессы.
В случае множественного перехвата, естественно, отследить цепочку перехватов не представляется возможным. Другое дело - восстановление KiServiceTable: ты восстанавливаешь сразу до уровня "правильных" системных сервисов, т.е. до тех адресов, что прописаны в оригинальной KiServiceTable в ntoskrnl.exe. В связи с этим случай множественного перехвата представляет интерес чисто для возможного более глубокого анализа, а отображение такой информации пользователю ничего интересного не даст. Что касается "галочки", то ее, полагаю, надо будет со временем ввести.
v 3.60.7 - в ней вроде окно приведено в порядок + я привел нумерацию версий в норму путем введения третьей цифры.
Ну и для полного счастья... осталось внедрить информацию о current build выложенной версии на страничке загрузки. Чтобы наверняка знать стоит ли её качать. Спасибо.
1. Переделан анализ системы. Теперь DLL идут для каждого процесса или отдельным списком без повторов, как предлагал Geser. Во втором случае есть отдельная колонка со списком PID процессов, использующих DLL - каждый PID является гиперссылкой, по ней происходит прыжок на строку с процессом
Эти гиперссылки не работают. PID в колонке "Используется процессами" почему-то не совпадают с PID самих процессов.
Последний раз редактировалось DenZ; 01.07.2005 в 11:41.
Ага - есть такой баг, я не заметил его, т.к. проявляется от только на 9x (PID процесса там большой и число форматируется как Integer, а не как DWORD ... отсюда и глюк - сейчас исправлю)
Проверял сегодня машину. Поставил в настройках "проверять все файлы", "копировать удаляемые файлы в Infected", "максимальный уровень эвристики", "расширенный анализ". Выловил пару зверей. Естественно их скопировало в Infected. Думал для будущего оставить. Но AVZ просканировал и Infected, после чего там осталось 3 ini-файла и больше ничего, всё там умерло. Но возникает вопрос, зачем тогда опция "копировать удаляемые файлы в Infected", если оттуда файлы удаляются? Может стоит как-то эти файлы оставлять? Ведь интересно проверить их другими антивирусами. Возможно стоит их автоматически архивировать со стандартным паролем virus, к примеру, чтобы была возможность эти образцы сохранить.
Проверял сегодня машину. Поставил в настройках "проверять все файлы", "копировать удаляемые файлы в Infected", "максимальный уровень эвристики", "расширенный анализ". Выловил пару зверей. Естественно их скопировало в Infected. Думал для будущего оставить. Но AVZ просканировал и Infected, после чего там осталось 3 ini-файла и больше ничего, всё там умерло. Но возникает вопрос, зачем тогда опция "копировать удаляемые файлы в Infected", если оттуда файлы удаляются? Может стоит как-то эти файлы оставлять? Ведь интересно проверить их другими антивирусами. Возможно стоит их автоматически архивировать со стандартным паролем virus, к примеру, чтобы была возможность эти образцы сохранить.
Аналогичный баг был с карантином (он проверялся). С Infected я сейчас разбирусь, это неправильное поведение - копии файлов в Infected конечно не должны проверяться и удаляться. Просто у них расширене DAT, оно по умолчанию не проверяется ... - сейчас доработаю алгоритм проверки.
Привет!
у меня есть просьба:
а нельзя ли что б репорт файл сохронялся в формате unicode? у меня например из-за того что default non-Unicode стоит не на cyrillic то все опции видны в ????????????... а что не так, на русском...
а когда пытаюсь сохранить или копировать репорт то всё выходит вот так: