Страница 2 из 9 Первая 123456 ... Последняя
Показано с 21 по 40 из 176.

Vba32 AntiRootkit 3.12.*.* beta

  1. #21
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1187
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    1. Лог работы программы необходимо помещать в zip-архив. Точно также, как это делается в AVZ.
    Доберемся и до этого Чуть позже.

    Цитата Сообщение от Aleksandra Посмотреть сообщение
    2. Не очень удобно:

    Почему нельзя обойтись без перезагрузки, ведь перед этим была включена технология низкоуровневого доступа к файлам?
    Технологии низкоуровневого доступа к файлам пока нет. Но она уже в разработке.

    Цитата Сообщение от Aleksandra Посмотреть сообщение
    3. Скриптовый язык необходимо расширить.
    Не все сразу

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #22
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Здравствуйте, Сергей! Скажите пожалуйста как продвигается работа по усовершенствованию антируткита?
    Сердце решает кого любить... Судьба решает с кем быть...

  4. #23
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1187
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Здравствуйте, Сергей! Скажите пожалуйста как продвигается работа по усовершенствованию антируткита?


    До конца месяца выпустим бету 3.12.3.2. Счас файл помощи пишется.

  5. #24
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1187
    Vba32 AntiRootKit 3.12.3.2 beta:

    ftp://anti-virus.by/beta/Vba32arkit_beta.rar

    ftp://anti-virus.by/beta/Vba32arkit_beta.zip

    ftp://vba.ok.by/vba/beta/Vba32arkit_beta.rar

    ftp://vba.ok.by/vba/beta/Vba32arkit_beta.zip

    В данную бета-версию вошли следующие изменения:

    + Поиск и восстановление перехватов в таблице экспорта Hal.dll

    + Поиск и восстановление перехватов в таблице экспорта Ndis.sys

    В предыдущей версии был реализован поиск и восстановление перехватов в EAT для Ntoskrnl.exe, сейчас его просто расширили на Hal.dll и Ndis.sys

    + Возможность установки драйвера антируткита для расширенного мониторинга модулей ядра

    В меню появился новый пункт ArKit Driver, из которого можно проинсталлировать (и деинсталлировать) драйвер антируткита. Драйвер будет загружаться вместе с системой. Основное назначение данного режима - поиск скрытых модулей ядра (а в будущем и скрытых процессов).

    + Поиск модификаций (сплайсинг) и восстановление исходного кода функции KiFastCallEntry и функций таблиц SSDT, Shadow SSDT, а также функций, экспортируемых Ntoskrnl.exe, Hal.dll, Ndis.sys

    Пожалуй, один из самых сложных пунктов Прежде всего из-за того, что возможны "ложняки". Мы постарались охватить все операционные системы с различными сервис-паками для тестирования. Но на различных "XP SP0" они возможны, и исправлять их совсем не хочется.

    + Возможность снятия дампов памяти модулей ядра

    Полезная функциональность для быстрого анализа подозрительного модуля.

    + Возможность сохранения протокола сканирования в Zip-архив

    Многие указывали на необходимость данной функции. Aleksandra, была настойчивее всех, за что ей огромное спасибо

    + Автоматическое обнаружение установленного комплекса VBA32 (маркер "Use AV Kernel")

    Т.е. если комплекс у пользователя не установлен, попытки загрузить АВ-ядро не будет.

    * Улучшен механизм обнаружения перехватов SysEnter

    * Более быстрое получение списка перехватов в KernelMode

    * Доработан интерфейс и исправлены некоторые ошибки (навигация в окне Autorun, маркер "Check digital signature" в дочерних окнах, отображение итогов сканирования в основном окне программы, меню Tools)

    Фокус в дереве при проверки автозагрузки при навигации между пунктами теперь не теряется.

    * Исправлены ошибки детектирования перехватов (в частности, на Windows 2000)

    * Доработан механизм ведения логов

    * Доработан файл помощи

    Прошу обратить особое внимание на файл помощи.

    Хочется обратить внимание на то, что функциональность совсем свежая и потому возможны падения в BSOD. Если такая беда у вас случилась, не поленитесь и пришлите нам хотя бы минидамп. Наша благодарность не будет знать границ.

    О планах: в следующем релизе хотелось бы увидеть детектирование IDT-перехватов, анализ кодовых секций, поддержка Windows 7.

  6. #25
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Т.е. если комплекс у пользователя не установлен, попытки загрузить АВ-ядро не будет.
    Может быть попытки загрузки и нет, но в отчете "Couldn't load AV-kernel!!!" так и задумано?

  7. #26
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1187
    Цитата Сообщение от Гриша Посмотреть сообщение
    Может быть попытки загрузки и нет, но в отчете "Couldn't load AV-kernel!!!" так и задумано?
    На главной морде такой записи быть не должно, а в отчете оставили, чтобы было понятно, проводилась ли проверка ядром.
    ...
    Я тут подумал, что тут действительно нестыковка получается. Надо будет в этой части логику еще поменять.
    Последний раз редактировалось sergey ulasen; 27.05.2009 в 17:42.

  8. #27
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Спасибо, Сергей! Вы держите свое слово. Список изменений беты впечатляет. Я все внимательно посмотрю. Нужно будет еще в Чаво внести некоторые изменения. В разделе "Помогите!" буду подключать программу в работу (где будет возможность).
    Сердце решает кого любить... Судьба решает с кем быть...

  9. #28
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.07.2008
    Адрес
    Россия, Пермь
    Сообщений
    54
    Вес репутации
    273
    Присоединяюсь к Александре.
    Функционал впечатляет, так держать...
    Было бы неплохо реализовать функции работы с MBR, как это сделано, например, в Dr.Web Shark (аналогичная утилита, но от компании Dr.Web).
    Дальнейших успехов в работе.
    Последний раз редактировалось Rashevskiy; 27.05.2009 в 20:48.

  10. #29
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1187
    2Rashevskiy
    Пока идут работы над функциональностью прямого чтения. После его реализации уже можно будет говорить и о mbr.

  11. #30
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.07.2008
    Адрес
    Россия, Пермь
    Сообщений
    54
    Вес репутации
    273
    Цитата Сообщение от sergey ulasen Посмотреть сообщение
    2Rashevskiy
    Пока идут работы над функциональностью прямого чтения. После его реализации уже можно будет говорить и о mbr.
    Насчет MBR было пожелание на будущее, надеюсь, что его учтут.

  12. #31
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Сергей! Как обещала Вам, я посмотрела новую бета-версию программы. Впечатления остались самые хорошие. Спасибо.

    Из того, что понравилось:

    1. Общая стабильность антируткита;
    2. Драйвер антируткита для расширенного мониторинга модулей ядра грамотно инсталлируется и деинсталлируется;
    3. Программа умеет генерировать случайное имя драйвера;
    4. Автоматическое обнаружение установленного комплекса VBA32;
    5. Возможность сохранения протокола в архив.

    Из того, что на мой взгляд необходимо доработать:

    1. При установке драйвера антируткита необходимо сделать автоматическую перезагрузку ОС (с предварительным подтверждением);
    2. Галочка в Create ZIP archive должна быть по-дефолту.

    По скриптам:

    Код:
    Brs_Start(); 
    CollectState();
    Brs_QtnFile("c:\file.exe");
    Brs_DelFile("c:\file.exe"); 
    RebootSystem();
    1. Удаление файла не сработало.
    2. Карантин сжимать в архив с паролем для того, чтобы у пользователя была возможность его оперативно отправлять.

    p. s. Желательно расширить скриптовый язык.
    Последний раз редактировалось Aleksandra; 31.05.2009 в 19:30. Причина: Добавлено
    Сердце решает кого любить... Судьба решает с кем быть...

  13. #32
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Groft
    Регистрация
    26.11.2007
    Сообщений
    510
    Вес репутации
    676
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Из того, что на мой взгляд необходимо доработать:

    1. При установке драйвера антируткита необходимо сделать автоматическую перезагрузку ОС (с предварительным подтверждением);
    В принцепе логично.
    2. Галочка в Create ZIP archive должна быть по-дефолту.
    Спорный вопрос. Какие приведете аргументы?
    По скриптам:

    Код:
    Brs_Start(); 
    CollectState();
    Brs_QtnFile("c:\file.exe");
    Brs_DelFile("c:\file.exe"); 
    RebootSystem();
    1. Удаление файла не сработало.
    А сам файл закарантинился?
    p. s. Желательно расширить скриптовый язык.
    Не все сразу. Всему свое время

  14. #33
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    Цитата:
    2. Галочка в Create ZIP archive должна быть по-дефолту.

    Спорный вопрос. Какие приведете аргументы?
    Итак. Для чего собираться будет лог? Скорее всего для загрузки на форум или на файлообменник. Если на форум, то нужно еще поискать форум, который будет принимать во вложения файлы в формате html, поэтому пользователю придется дополнительные финты ушами делать (архивировать лог).
    А если загрузка на файлообменник, то архив и меньше места занимает и спокойнее это как-то качать архив.

    При установке драйвера антируткита необходимо сделать автоматическую перезагрузку ОС (с предварительным подтверждением);
    Предлагаю это сделать "по желанию" - с управлением этим "желанием" через параметры.
    // ...

  15. #34
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Цитата Сообщение от Groft Посмотреть сообщение
    В принцепе логично.
    Уж куда логичнее...

    Цитата Сообщение от Groft Посмотреть сообщение
    Спорный вопрос. Какие приведете аргументы?
    Мой ответ будет идентичен ответу priv8v. А иначе, зачем тогда все это нужно?

    Цитата Сообщение от Groft Посмотреть сообщение
    А сам файл закарантинился?
    Да, и эти файлы крайне желательно помещать в архив с паролем.

    Цитата Сообщение от Groft Посмотреть сообщение
    Не все сразу. Всему свое время
    Согласна. Если в ближайшее время будут внесены соответствующие изменения, то можно переходить к испытаниям в реальных боевых условиях.
    Сердце решает кого любить... Судьба решает с кем быть...

  16. #35
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1187
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Сергей! Как обещала Вам, я посмотрела новую бета-версию программы. Впечатления остались самые хорошие. Спасибо.
    И вам спасибо!

    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Из того, что на мой взгляд необходимо доработать:

    1. При установке драйвера антируткита необходимо сделать автоматическую перезагрузку ОС (с предварительным подтверждением);
    2. Галочка в Create ZIP archive должна быть по-дефолту.
    Сделаем к следующей бете.

    Цитата Сообщение от Aleksandra Посмотреть сообщение
    По скриптам:

    1. Удаление файла не сработало.
    2. Карантин сжимать в архив с паролем для того, чтобы у пользователя была возможность его оперативно отправлять.

    p. s. Желательно расширить скриптовый язык.
    До скриптов доберемся позже.
    С карантином - не могу обещать, что мы это сделаем к следующей бете, но в одной из ближайших будем стараться.

  17. #36
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    24.03.2009
    Адрес
    Россия, Башкортостан
    Сообщений
    123
    Вес репутации
    127
    Прошу обратить особое внимание на файл помощи.
    замечено, в редакторе скриптов по F1 патается найти файл *.hlp, когда из главного окна без вопросов подгружает *.chm

  18. #37
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1187
    Цитата Сообщение от NickM Посмотреть сообщение
    замечено, в редакторе скриптов по F1 патается найти файл *.hlp, когда из главного окна без вопросов подгружает *.chm
    Спасибо, повторяется.

  19. #38
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.05.2009
    Сообщений
    43
    Вес репутации
    96
    По поводу встроенного командного языка есть соображение - функциям стоит давать имена не изобилующие частым переключением caps lock'a. Если описанные в примере выше имена функций из стандартного набора,то не стоит сильно увлекаться именованием функциий ( комманд) подобным образом.

  20. #39
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    24.03.2009
    Адрес
    Россия, Башкортостан
    Сообщений
    123
    Вес репутации
    127
    замечено, в окне Kernel Modules если у модуля обнаружены аномалии состояния в памяти системы, он выделяется желтым цветом (Modified Image) и при этом выбрать флаг Don’t display files digitally signed, то подозрительная(желтая) запись тоже исключается из списка, если далее нажать кнопку Refresh она появляется всписке

  21. #40
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    По поводу встроенного командного языка есть соображение - функциям стоит давать имена не изобилующие частым переключением caps lock'a. Если описанные в примере выше имена функций из стандартного набора,то не стоит сильно увлекаться именованием функциий ( комманд) подобным образом.
    Да. Над этим тоже сказали, что поработают, но стоит учесть, что по шифту удобнее заглавные набирать, чем по капс-локу + язык можно сделать регистронезависимым.
    Т.е вот ХоТь ТаК пИшИ

    PS: хотя, если следовать венгерской нотации...
    // ...

Страница 2 из 9 Первая 123456 ... Последняя

Похожие темы

  1. How to make a log with Vba32 AntiRootkit?
    От Aleksandra в разделе FAQ
    Ответов: 0
    Последнее сообщение: 10.05.2010, 22:42
  2. Ответов: 0
    Последнее сообщение: 10.05.2010, 22:42
  3. Vba32 AntiRootkit 3.12.3 beta
    От sergey ulasen в разделе Beta Testing
    Ответов: 9
    Последнее сообщение: 03.10.2009, 01:32

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00490 seconds with 17 queries