-
по скриптам2:
не критически, но все же, если набить в редакторе пробелы или просто цифры и нажать Run script выводится сообщение Script was ran succesfull!!!, сиди гадай какие действия выполнились, а также добавлю, думаю неплохо вдальнейшем использовать для сохранения скрипта *.txt по умолчанию, ну если конечно появится возможность редактировать скрипты в текстовом редакторе (блокнот, внутренние редакторы шеллов и т.п.).
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
NickM
по скриптам2:
не критически, но все же, если набить в редакторе пробелы или просто цифры и нажать Run script выводится сообщение Script was ran succesfull!!!, сиди гадай какие действия выполнились,
С этим понятно. Тут все намного сложнее, чем кажется на первый взгляд... Когда доберемся, будем думать, что делать.
Сообщение от
NickM
а также добавлю, думаю неплохо вдальнейшем использовать для сохранения скрипта *.txt по умолчанию, ну если конечно появится возможность редактировать скрипты в текстовом редакторе (блокнот, внутренние редакторы шеллов и т.п.).
Да, это точно. Юникод тут неудобен совсем.
-
-
Сообщение от
sergey ulasen
Если у вас в системе был проинсталлирован AntiRootKit Driver (ArKit Driver->Install AntiRootKit Driver) от версии 3.12.3.2, и вы запустили версию 3.12.3.3, в окне Kernel-Mode Notificators будет отображен неопределенный нотификатор. На самом деле он наш. Кроме того, если вы хотите и далее работать с драйвером AntiRootKit Driver, вам нужно опять его проинсталлировать. Старый драйвер автоматически заменится на новый.
Не заменяется, неопределенный индификатор не исчезает.Только путем удаления в окне Kernel-Mode Notificators
а также замечено:
в разделе Drivers and services после снятия галки Don't display drivers and services digitally signed список не дополняется драйверами с подписью, обновление происходит только после нажатия Refresh. Думаю поведение данного чекера должно быть как в тулзе Kernel Modules
Добавлено через 7 минут
в тулзе Process List, Autorun таже история, т.е. Я хочу сказать надо настроить поведение этого чекера для всех разделов одинаково, если обновлять так обновлять во всех тулзах.
также отмечу отсутствие возможности по Tab выбирать контролы в окне Карантина
Последний раз редактировалось NickM; 22.07.2009 в 20:55.
Причина: Добавлено
-
Сообщение от
NickM
Не заменяется, неопределенный индификатор не исчезает.Только путем удаления в окне Kernel-Mode Notificators
Неопределенный нотификатор исчезнет только после перезагрузки машины. По шагам:
1. Инсталлируете драйвер (Install AntiRootKit Driver) версии 3.12.3.2
2. Перегружаете машину
3. Появляется нотификатор, выделенный серым цветом (он - наш)
4. Запускаете антируткит версии 3.12.3.3
5. В нем виден неопределенный нотификатор (это драйвер от старой версии)
6. Перегружаете машину
7. Неопределенный нотификатор - исчез
8. По желанию можно проинсталлировать новый драйвер
Сообщение от
NickM
а также замечено:
в разделе Drivers and services после снятия галки Don't display drivers and services digitally signed список не дополняется драйверами с подписью, обновление происходит только после нажатия Refresh. Думаю поведение данного чекера должно быть как в тулзе Kernel Modules
Добавлено через 7 минут
в тулзе Process List, Autorun таже история, т.е. Я хочу сказать надо настроить поведение этого чекера для всех разделов одинаково, если обновлять так обновлять во всех тулзах.
Уже в багтрекере
Сообщение от
NickM
также отмечу отсутствие возможности по Tab выбирать контролы в окне Карантина
Работа с клавиатурой пока вообще нигде не реализована.
-
-
-
-
Сообщение от
sergey ulasen
* Файл помощи переведен на английский язык
Very good translation.
Сообщение от
sergey ulasen
Английский хелп можно вызвать, открыв файл Vba32ArkitEN.chm.
Problems. After collecting the logs, help file doesn't open.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Сообщение от
Aleksandra
Problems. After collecting the logs, help file doesn't open.
В альфе уже исправлено.
-
-
Vba32 AntiRootKit 3.12.3.3 beta:
ftp://anti-virus.by/beta/Vba32arkit_beta.rar
ftp://anti-virus.by/beta/Vba32arkit_beta.zip
ftp://vba.ok.by/vba/beta/Vba32arkit_beta.rar
ftp://vba.ok.by/vba/beta/Vba32arkit_beta.zip
+ Добавлена поддержка Windows 7
Скорее всего, последнее серьезное изменение в данную ветку разработки. Если никаких серьезных проблем не обнаружится, выпустим релиз антируткита 3.12.4.0. В течение ближайшего месяца должны с данной задачей справиться.
-
-
Junior Member
- Вес репутации
- 60
x64 системы поддерживаются?
-
Сообщение от
RedLord
x64 системы поддерживаются?
Нет.
-
-
Антируткит версии 3.12.4.0 вышел в релиз:
http://anti-virus.by/products/utilities/76.html
http://anti-virus.by/en/vba32arkit.html
В связи с этим, хотелось бы сказать огромное спасибо всем, кто помогал нам в бета-тестировании данной утилиты. Все Ваши замечания не остались незамеченными. И даже если мы что-то не успели реализовать к данной версии утилиты, мы реализуем это в последующих версиях. Как и обещалось, данная утилита бесплатна, и любой желающий сможет скачать ее по приведенным ссылкам.
Также скажу, что мы не останавливаемся на достигнутом, и сейчас полным ходом идет разработка следующей бета-версии Vba32 AntiRootkit, которой будет присвоена версия 3.12.5.0 beta. Выход в бета-тестирование планируется ближе к Новому Году.
Спасибо!
-
-
Blink 182 = BoxCar Racer + plus 44 + Angels & Airwaves
-
-
Сообщение от
Surfer
А TDSS видит ?
TDSS видит:
http://virusinfo.info/attachment.php...1&d=1258448362
Но только как скрытый драйвер в модулях ядра и нотификаторы, установленные этим драйвером.
Следующая версия будет обнаруживать скрытые файлы TDSS в файловой системе. Также сейчас идет работа над детектом TDL в антирутките. Причина в том, что сейчас идет работа над прямым чтением, а без него полноценный детект данных руткитов невозможен.
-
-
Сообщение от
sergey ulasen
TDSS видит
Что и третью версию тоже?
-
-
Сообщение от
Alex_Goodwin
Что и третью версию тоже?
Сообщение от
sergey ulasen
Также сейчас идет работа над детектом TDL в антирутките
Как бы намекает, что нет))
The worst foe lies within the self...
-
-
Сообщение от
Alex_Goodwin
Что и третью версию тоже?
Сообщение от
Kuzz
Как бы намекает, что нет))
Да, все верно. Текущий релиз антируткита не способен увидеть TDL. Руткит слишком технологичен, что бы быть им замеченым. Но и разработка не стоит на месте. Следующая бета уже не будет ничем уступать другим ведущим антируткитам в детекте данного типа руткитов.
Скрытые IRP-обработчики:
Вложение 180136
Измененный драйвер atapi.sys и скрытый модуль в списке модулей ядра:
Вложение 180137
Нотификатор:
Вложение 180138
Лог антируткита:
Вложение 180139
Сейчас лечение данного трояна возможно с помощью Vba32 Rescue.
-
-
Сообщение от
sergey ulasen
Также скажу, что мы не останавливаемся на достигнутом, и сейчас полным ходом идет разработка следующей бета-версии Vba32 AntiRootkit, которой будет присвоена версия 3.12.5.0 beta. Выход в бета-тестирование планируется ближе к Новому Году.
К Новому Году, к сожалению, не получилось
Забыл умножить на 1.5
Представляем Вашему вниманию следующую бета-версию нашего антируткита Vba32 AntiRootKit 3.12.5.0 beta:
ftp://anti-virus.by/beta/Vba32arkit_beta.rar
ftp://anti-virus.by/beta/Vba32arkit_beta.zip
ftp://vba.ok.by/vba/beta/Vba32arkit_beta.rar
ftp://vba.ok.by/vba/beta/Vba32arkit_beta.zip
+ Добавлен механизм "прямого" доступа к файловой системе. Реализован разбор файловых систем NTFS и FAT 12/16/32. Низкоуровневая верификация файлов осуществляется во всех существующих проверках
Т.е. реализован так называемый механизм "прямого" чтения/записи диска.
Все проверяемые в антирутките объекты также проверяются и данным механизмом.
+ Окно Low-Level Disk Access Tool. Поддерживает операции низкоуровневого просмотра, копирования, удаления (с вытеснением из кэша файловой системы). Работает со скрытыми, заблокированными и измененными файлами. Поддерживает файловые потоки и символьные ссылки
Добавлено окно эксплорера, в котором можно просматривать, копировать, удалять файлы и файловые потоки. Добавлен сканер, который обнаруживает скрытые, заблокированные, измененные файлы и файловые потоки.
+ Опция Vba32 Defender препятствует загрузке новых исполняемых файлов, а также драйверов в память во время работы антируткита
Данная опция по умолчанию отключена.
+ Улучшен механизм поиска скрытых процессов (поиск хэндлов в csrss.exe, анализ PspCidTable и т.д.)
Анализ некоторых методов сокрытия процессов возможен без режима расширенного мониторинга.
+ Улучшен механизм получения списка модулей ядра, добавлен анализ стека драйверов
+ Проверка в памяти аттрибутов секций ядерных модулей
+ Поиск скрытых IRP обработчиков
Благодаря этому детектится TDL3.
* Возможность исключать модули режима пользователя из списка модулей ядра
* Изменён формат вывода информации о процессах (добавлен EPROCESS, ShortName)
* Улучшен механизм взаимодействия драйвера антируткита с GUI
* Переработан механизм поиска перехватов ядра. Проверяются таблицы экспорта и кодовые секции всех модулей ядра
До сих пор проверялись только ntoskrnl.exe, hal.dll, win32k.sys, ndis.sys.
* Доработан файл помощи на русском языке
Как всегда прошу обратить внимание на полноту файла-помощи и высказать свои замечания.
Из того, что не отмечено в readme:
* Изменен формат файла-отчета, генерируемого по команде Logging State
Информация в файле теперь представляется в более удобном виде и более информативна. Добавлены java-scripts.
В окне Logging State добавился пункт File System, который сканирует диск прямым чтением. Достаточно долгий процесс, потому его можно отключать, когда делается отчет.
Известные проблемы:
* нестабильность главного окна и функциональности, доступной по кнопке Start
Иногда возникает ситуация, когда информация в окне отображается некорректно. В качестве решения рекомендую пользоваться либо окнами, доступными через меню Tools, либо html-логом, доступным через Logging State.
* плохое юзабилити
Нет возможности пользоваться клавиатурой, плохая эргономика.
* неинформативные, вводящие в заблуждение полосы прогрессбара
Какие-то они совсем корявые получились.
Планы на 3.12.5.1 beta:
* отказаться от главного окна в его теперешнем представлении
Уже есть хорошие идеи, как обыграть эту тему. Я думаю, что всем должно понравиться.
* улучшить юзабилити
Этим вопросом уже плотно занимаемся.
* увеличить список проверяемых типов автозагрузки
Тоже уже работаем над этим.
* подключить проверку модулей процессов
* и многое другое
Замечания, предложения, дампы после BSOD , интересные файлы отчетов и сэмплы, на которых есть проблемы, а также любая информация, которая поможет сделать продукт лучше, приветствуется.
Спасибо
-
-
Однако, серьезная работа проделана. Те изменения от версии к версии, что были раньше с этим изменением и рядом не лежали. Поздравляю!!!
Серьезный уровень.
-
Сообщение от
sergey ulasen
+ Улучшен механизм поиска скрытых процессов (поиск хэндлов в csrss.exe, анализ PspCidTable и т.д.)
Специалисты сайта http://www.ntinternals.org/ перетестировали свежую версию антируткита (3.12.5.0 beta) в тесте на поиск скрытых процессов (http://www.ntinternals.org/process_detection_test.php). Результат 6 из 12. Предыдущая версия детектировала только 1 из 12.
Работа в этом направлении продолжается.
-
-
Сообщение от
sergey ulasen
Работа в этом направлении продолжается.
Это хорошо, что работа не стоит на месте. А когда релиз?
-