Страница 1 из 9 12345 ... Последняя
Показано с 1 по 20 из 176.

Vba32 AntiRootkit 3.12.*.* beta

  1. #1
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1164

    Vba32 AntiRootkit 3.12.*.* beta

    Мы, наконец-то, основательно взялись за свой антируткит и начали его очень активную разработку. Ниже адреса, по которым можно скачать сам продукт:

    ftp://anti-virus.by/beta/Vba32arkit_beta.rar

    ftp://anti-virus.by/beta/Vba32arkit_beta.zip

    Сразу же привожу режимы его работы (чтобы не возникало никакой путаницы):

    Vba32 AntiRootkit может работать в трех режимах (с поддержкой антивирусного ядра Vba32 и без него).
    1. В первом режиме, с поддержкой антивирусных баз, модуль находится в папке %VBA32%. После своей загрузки он пытается получить доступ к COM-объекту антивирусного ядра Vba32 и в случае успеха использует его для проверки.
    2. Если доступ к COM-объекту получить не удается, модуль загружает антивирусное ядро и базы себе в память и работает с ними напрямую.
    3. В третьем режиме можно использовать модуль Vba32 AntiRootkit отдельно от комплекса VBA32. В данном режиме проверка обнаруженных объектов антивирусным ядром производиться не будет.


    Первый и третий пункты вроде бы понятны. Могут возникнуть вопросы со вторым, потому...
    Если вы не являетесь пользователем нашего комплекса, антируткит можно использовать совместно с нашим консольным сканером. Пока антируткит не выложен на стандартный ресурс обновления для beta-тестирования, можно воспользоваться релизным консольным сканером. Сканер можно взять здесь: ftp://anti-virus.by/pub/Vba32Check.exe. Файлы, находящиеся в архиве Vba32arkit_beta, необходимо скопировать (заменить) в папку Vba32Check\vba32w.

    Теперь о том, что же, собственно, нового в нем добавилось/изменилось:

    + Добавлено получение и проверка списка автозагрузки и сопутствующих элементов (ActiveX, BHO, LSP, Autorun.inf, SecurityProviders и др.)

    + Добавлено получение и проверка списка драйверов и сервисов (анализ реестра)

    Теперь с помощью антируткита можно управлять автозагрузкой. При этом (опционально) осуществляется проверка файлов антивирусным ядром и проверяются ЭЦП файлов (Authenticode). Обратите, пожалуйста, особое внимание на интерфейс окна и на удобство его использования. Может быть имеет смысл чего-нибудь в нем подвигать.

    + Проверка состояния MSR регистров (SysEnter)

    + Возможность включения кэширования файлов при проверке антивирусным ядром

    Обратите внимание на данную настройку, она существенно повышает скорость работы с приложением.

    * Сохранение логов производится в формате html

    Нам самим надоело воевать с логами в текстовом формате. html намного удобнее. Обратите внимание на те цвета и на ту информацию, которая в них содержится.

    * Интерфейс антируткита полностью переведён на UNICODE

    * Улучшен механизм работы карантина

    Оцените удобство карантина. Замечания и пожелания приветствуются.

    * Исправлено поведение кнопки Apply в окне настроек


    * Исправлена ошибка с получением списка процессов на Windows 2003

    Кроме того изменена документация к антируткиту. Пока только на русском языке, но скоро будет и на английском.

    И немного о планах. Уже сейчас активно идет разработка новой функциональности, которая касается детектирования методов перехватов. Реализовали Shadow SDT, IRP, EAT, сплайсинг. Как только оттестируем у себя, сразу передадим эстафету вам

    Ждем обратной связи.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1240
    как что позиционируется это ПО?..
    (примеры: как подстраховка к АВЗ и гмеру, как отдельная лечилка трудных случаев заражения, как необходимый маркетинговый ход, как "мы и сами с усами", как средство борьбы с распространенными и простенькими руткитами...)

    какой обратной связи ждете от людей с ВИ в большинстве случаев?
    (примеры: предложения по интерфейсу, предложения по доработке лога, предложения новых функций, нахождения багов, технические предложения по улучшению уже существующих функций, дифирамбы).

    Вопросы задаю на полном серьезе. Без подколок и обид.
    // ...

  4. #3
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1164
    Спасибо за хорошие вопросы.

    Цитата Сообщение от priv8v Посмотреть сообщение
    как что позиционируется это ПО?..
    (примеры: как подстраховка к АВЗ и гмеру, как отдельная лечилка трудных случаев заражения, как необходимый маркетинговый ход, как "мы и сами с усами", как средство борьбы с распространенными и простенькими руткитами...)
    Нам и нашим пользователям каждый день приходится сталкиваться со все новыми случаями заражения. Я, в частности, и наш коллектив, в целом, считаем, скажем так, не очень красивым ходом использование сторонних утилит (и прежде всего утилит связанных каким-то образом с нашими конкурентами). Потому первоочередная задача - это иметь инструмент, способный самостоятельно решать большинство задач, связанных с поиском и нейтрализацией активных заражений. Следующая цель - внедрить те технологии, которые разрабатываются для антируткита и обкатываются на нем, в наш антивирусный движок.
    Потому здесь можно аккумулировать все те примеры, которые вы назвали. Если у нас получится создать инструмент, который сможет "подстраховывать" AVZ или gmer, и сообществу это будет интересно, это будет вообще супер. Но это не первоочередная задача.

    Цитата Сообщение от priv8v Посмотреть сообщение
    какой обратной связи ждете от людей с ВИ в большинстве случаев?
    (примеры: предложения по интерфейсу, предложения по доработке лога, предложения новых функций, нахождения багов, технические предложения по улучшению уже существующих функций, дифирамбы).

    Вопросы задаю на полном серьезе. Без подколок и обид.
    Исторически сложилось так, что ВИ стал той площадкой, на которой мы развиваем наше beta-тестирование для русскоязычной аудитории. Уже есть определенный круг людей, которым это интересно. Если с помощью данной темы еще кто-нибудь заинтересуется продуктом, мы будем этому только рады. Так вот, от всех, кому это интересно, мы готовы принять и предложения по интерфейсу и по доработке лога и даже выслушать дифирамбы

  5. #4
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1240
    Результаты беглого знакомства с утилитой на рабочей системе (более близко на виртуалке ознакомлюсь потом):

    1). при работе выдается вот такое окошко:

    полоса не двигается, а стоит на месте все время - сделайте, что бы она
    двигалась по мере сканирования - и даже не важно точно она будет двигаться или нет - пусть главное двигается как угодно, а под конец сканирования можно просто ее загнать в угол - типа сканирование окончено. А то когда полоса стоит на одном месте - раздражает достаточно сильно.

    2). При парсинге списка файлов из папок автозагрузки сделайте хоть какую-то проверку - не нужно десктоп.ини детектить.

    3). Лог внезапно обрывается - снизу нет завершающей шапки - желательно ее сделать и выводить туда какую-нибудь обобщающую по логу инфу. А если без инфы - просто что бы была, что бы было понятно что сканирование проведено до конца.
    // ...

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1799
    Цитата Сообщение от priv8v Посмотреть сообщение
    Результаты беглого знакомства с утилитой на рабочей системе (более близко на виртуалке ознакомлюсь потом):

    1). при работе выдается вот такое окошко:

    полоса не двигается, а стоит на месте все время - сделайте, что бы она
    двигалась по мере сканирования - и даже не важно точно она будет двигаться или нет - пусть главное двигается как угодно, а под конец сканирования можно просто ее загнать в угол - типа сканирование окончено. А то когда полоса стоит на одном месте - раздражает достаточно сильно.
    У меня все нормально отработало.

    Цитата Сообщение от priv8v Посмотреть сообщение
    3). Лог внезапно обрывается - снизу нет завершающей шапки - желательно ее сделать и выводить туда какую-нибудь обобщающую по логу инфу. А если без инфы - просто что бы была, что бы было понятно что сканирование проведено до конца.
    Поддерживаю.

    Расшифровку по цветам дайте и почему нет возможности запустить хелп из самой программы?

    А так молодцы!!! Это качественно новый уровень!

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.12.2008
    Сообщений
    119
    Вес репутации
    95
    Залейте куда-нибудь, а то сервер не пускает =)

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1164
    Цитата Сообщение от priv8v Посмотреть сообщение
    полоса не двигается, а стоит на месте все время
    1. В каком режиме вы работали (см. в моем первом посте)?

    2. В каком окне возникли проблемы (в главном, Kernel Modules и т.д.)?

    3. Ползунок не двигался вообще и вам пришлось прибить процесс или он стал двигаться позже?

    Остальное пока понятно.

    Добавлено через 2 минуты

    Цитата Сообщение от IgorKr Посмотреть сообщение
    Залейте куда-нибудь, а то сервер не пускает =)
    ftp://vba.ok.by/vba/beta/Vba32arkit_beta.rar

    ftp://vba.ok.by/vba/beta/Vba32arkit_beta.zip
    Последний раз редактировалось sergey ulasen; 07.03.2009 в 19:00. Причина: Добавлено

  9. #8
    Geser
    Guest
    Не качается

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1164
    В течение часа проблему с сервером vba.ok.by должны решить...

  11. #10
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1240
    1. В каком режиме вы работали (см. в моем первом посте)?
    2. В каком окне возникли проблемы (в главном, Kernel Modules и т.д.)?
    3. Ползунок не двигался вообще и вам пришлось прибить процесс или он стал двигаться позже?
    Извините, что так плохо изложил свои действия - точнее совсем не изложил. Вот как было дело:

    запускаю файл.
    убираю чекбоксы напротив use antivirus kernel и напротив check digital signature.
    затем нажимаю start

    если после этого еще просматривать через тулзы автозапуск, то также полоска не двигается.

    если же не отключать check digital signature, то все нормально.
    // ...

  12. #11
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Groft
    Регистрация
    26.11.2007
    Сообщений
    510
    Вес репутации
    653
    Цитата Сообщение от priv8v Посмотреть сообщение
    Извините, что так плохо изложил свои действия - точнее совсем не изложил. Вот как было дело:

    запускаю файл.
    убираю чекбоксы напротив use antivirus kernel и напротив check digital signature.
    затем нажимаю start

    если после этого еще просматривать через тулзы автозапуск, то также полоска не двигается.

    если же не отключать check digital signature, то все нормально.
    Теперь все ясно
    Полоса не двигается, т.к. файлы ничем не проверяются и список оных тупо генерится.
    ~~~~
    принято к сведенью

  13. #12
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Groft
    Регистрация
    26.11.2007
    Сообщений
    510
    Вес репутации
    653
    Цитата Сообщение от Синауридзе Александр Посмотреть сообщение
    почему нет возможности запустить хелп из самой программы?
    Как нет? Антируткит разорхивирован в отдельную папку или лежит в заинсталированной папке %Vba32%? Присутствует ли в папке Vba32ArkitRU.chm?

  14. #13
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1240
    качаем архив. извлекаем в текущую папку. запускаем программу и ничего больше не трогая нажимаем на вопросик и там нажимаем на Help - и ничего не происходит

    + еще в справке - не очень корректно скрины показывать с перехватами от дров даемон_тулз... (имхо)
    // ...

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1799
    Цитата Сообщение от priv8v Посмотреть сообщение
    качаем архив. извлекаем в текущую папку. запускаем программу и ничего больше не трогая нажимаем на вопросик и там нажимаем на Help - и ничего не происходит
    +1

    Цитата Сообщение от priv8v Посмотреть сообщение
    + еще в справке - не очень корректно скрины показывать с перехватами от дров даемон_тулз... (имхо)
    +1

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1164
    Согласен решительно со всем
    Все записал в багтрекер, будем править. Как только подготовим следующие "большие" изменения, там же и найденные вами проблемы исправим.

    И еще один вопрос... Насколько удобно пользоваться функциональностью окна Autorun? Все ли там понятно и удобно?

  17. #16
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1240
    Насколько удобно пользоваться функциональностью окна Autorun? Все ли там понятно и удобно?
    с учетом того, что у меня нет ВБА на компе и не использую проверку подписей - все равно очень удобно. даже без разнообразия цветов.
    // ...

  18. #17
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1164
    Ниже представлены изменения в новой бета-версии антируткита:

    ftp://anti-virus.by/beta/Vba32arkit_beta.rar

    ftp://anti-virus.by/beta/Vba32arkit_beta.zip

    ftp://vba.ok.by/vba/beta/Vba32arkit_beta.rar

    ftp://vba.ok.by/vba/beta/Vba32arkit_beta.zip

    Vba32 AntiRootKit 3.12.3.1 beta

    Как и было обещано, добавили детектирование/восстановление следующих перехватов:

    + Поиск и восстановление перехватов адресов в таблице Shadow SSDT

    + Определение модификации и восстановление исходной таблицы экспорта (EAT) ядра

    + Поиск перехватов обработчиков IRP и FastIO

    Восстановление IRP и FastIO добавлять не стали, посчитали это очень опасным.

    + Добавлена кнопка Restore All в окне KernelMode Hooks

    * Изменён алгоритм получения имён перехваченных функций

    * Улучшен механизм с отображением и восстановлением повреждённых файлов из карантина

    Ну и поправили те ошибки/замечания, на которые было указано в прошлый раз:

    * Доработан механизм ведения логов

    * Исправлено поведение Progress Bar при сканировании системы

    Документацию также обновили.

    Детектирование сплайсинга сделать не успели (хоть и было обещано), столкнулись с рядом проблем. В следующей бете (3.12.3.2 beta) планируем реализовать механизм расширенного поиска скрытых драйверов и метод, позволяющий получить дамп памяти модуля ядра.

    Из известных ошибок в данной бете:

    - некорректный поиск некоторых типов перехватов в Windows 2000;

    - некорректное открытие файла-помощи на некоторых системах.

    И первая и вторая проблема будут исправлены в 3.12.3.2 beta.

    2Синауридзе Александр

    Расшифровку по цветам дали в хелпе.

    2priv8v

    С открытием файла помощи пока еще могут быть некоторые проблемы, но в большинстве случаев он уже должен корректно открываться.

    С полоской статусбара также поправили. Хоть и немного костыльно, но все равно лучше, чем было раньше.

    Насчет desctop.ini у нас тут горячие споры с вирлабом

    Ждем обратной связи

    P.S. Некоторые трояны уже начали войну против антируткита, добавляя его в Image File Execution Options

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Цитата Сообщение от sergey ulasen Посмотреть сообщение
    P.S. Некоторые трояны уже начали войну против антируткита, добавляя его в Image File Execution Options
    Т. е. зловред изменяет следующий ключ системного реестра?

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[ПРИЛОЖЕНИЕ]\"Debugger" = " "
    При запуске указанного приложения, вместо него запускается указанное в ключе Debugger?
    Последний раз редактировалось Aleksandra; 08.04.2009 в 19:33.
    Сердце решает кого любить... Судьба решает с кем быть...

  20. #19
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1164
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Т. е. зловред изменяет следующий ключ системного реестра?

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[ПРИЛОЖЕНИЕ]\"Debugger" = " "
    Да

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    1. Лог работы программы необходимо помещать в zip-архив. Точно также, как это делается в AVZ.

    2. Не очень удобно:

    Brs_QtnFile() – копирование указанного файла в карантин, выполнится после перезагрузки;
    Почему нельзя обойтись без перезагрузки, ведь перед этим была включена технология низкоуровневого доступа к файлам?

    3. Скриптовый язык необходимо расширить.
    Сердце решает кого любить... Судьба решает с кем быть...

Страница 1 из 9 12345 ... Последняя

Похожие темы

  1. How to make a log with Vba32 AntiRootkit?
    От Aleksandra в разделе FAQ
    Ответов: 0
    Последнее сообщение: 10.05.2010, 21:42
  2. Ответов: 0
    Последнее сообщение: 10.05.2010, 21:42
  3. Vba32 AntiRootkit 3.12.3 beta
    От sergey ulasen в разделе Beta Testing
    Ответов: 9
    Последнее сообщение: 03.10.2009, 00:32

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00404 seconds with 16 queries