Страница 4 из 9 Первая 12345678 ... Последняя
Показано с 61 по 80 из 176.

Vba32 AntiRootkit 3.12.*.* beta

  1. #61
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    24.03.2009
    Адрес
    Россия, Башкортостан
    Сообщений
    123
    Вес репутации
    127
    по скриптам2:
    не критически, но все же, если набить в редакторе пробелы или просто цифры и нажать Run script выводится сообщение Script was ran succesfull!!!, сиди гадай какие действия выполнились, а также добавлю, думаю неплохо вдальнейшем использовать для сохранения скрипта *.txt по умолчанию, ну если конечно появится возможность редактировать скрипты в текстовом редакторе (блокнот, внутренние редакторы шеллов и т.п.).

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #62
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1187
    Цитата Сообщение от NickM Посмотреть сообщение
    по скриптам2:
    не критически, но все же, если набить в редакторе пробелы или просто цифры и нажать Run script выводится сообщение Script was ran succesfull!!!, сиди гадай какие действия выполнились,
    С этим понятно. Тут все намного сложнее, чем кажется на первый взгляд... Когда доберемся, будем думать, что делать.

    Цитата Сообщение от NickM Посмотреть сообщение
    а также добавлю, думаю неплохо вдальнейшем использовать для сохранения скрипта *.txt по умолчанию, ну если конечно появится возможность редактировать скрипты в текстовом редакторе (блокнот, внутренние редакторы шеллов и т.п.).
    Да, это точно. Юникод тут неудобен совсем.

  4. #63
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    24.03.2009
    Адрес
    Россия, Башкортостан
    Сообщений
    123
    Вес репутации
    127
    Цитата Сообщение от sergey ulasen Посмотреть сообщение
    Если у вас в системе был проинсталлирован AntiRootKit Driver (ArKit Driver->Install AntiRootKit Driver) от версии 3.12.3.2, и вы запустили версию 3.12.3.3, в окне Kernel-Mode Notificators будет отображен неопределенный нотификатор. На самом деле он наш. Кроме того, если вы хотите и далее работать с драйвером AntiRootKit Driver, вам нужно опять его проинсталлировать. Старый драйвер автоматически заменится на новый.
    Не заменяется, неопределенный индификатор не исчезает.Только путем удаления в окне Kernel-Mode Notificators

    а также замечено:
    в разделе Drivers and services после снятия галки Don't display drivers and services digitally signed список не дополняется драйверами с подписью, обновление происходит только после нажатия Refresh. Думаю поведение данного чекера должно быть как в тулзе Kernel Modules

    Добавлено через 7 минут

    в тулзе Process List, Autorun таже история, т.е. Я хочу сказать надо настроить поведение этого чекера для всех разделов одинаково, если обновлять так обновлять во всех тулзах.

    также отмечу отсутствие возможности по Tab выбирать контролы в окне Карантина
    Последний раз редактировалось NickM; 22.07.2009 в 20:55. Причина: Добавлено

  5. #64
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1187
    Цитата Сообщение от NickM Посмотреть сообщение
    Не заменяется, неопределенный индификатор не исчезает.Только путем удаления в окне Kernel-Mode Notificators
    Неопределенный нотификатор исчезнет только после перезагрузки машины. По шагам:

    1. Инсталлируете драйвер (Install AntiRootKit Driver) версии 3.12.3.2
    2. Перегружаете машину
    3. Появляется нотификатор, выделенный серым цветом (он - наш)
    4. Запускаете антируткит версии 3.12.3.3
    5. В нем виден неопределенный нотификатор (это драйвер от старой версии)
    6. Перегружаете машину
    7. Неопределенный нотификатор - исчез
    8. По желанию можно проинсталлировать новый драйвер

    Цитата Сообщение от NickM Посмотреть сообщение
    а также замечено:
    в разделе Drivers and services после снятия галки Don't display drivers and services digitally signed список не дополняется драйверами с подписью, обновление происходит только после нажатия Refresh. Думаю поведение данного чекера должно быть как в тулзе Kernel Modules

    Добавлено через 7 минут

    в тулзе Process List, Autorun таже история, т.е. Я хочу сказать надо настроить поведение этого чекера для всех разделов одинаково, если обновлять так обновлять во всех тулзах.
    Уже в багтрекере

    Цитата Сообщение от NickM Посмотреть сообщение
    также отмечу отсутствие возможности по Tab выбирать контролы в окне Карантина
    Работа с клавиатурой пока вообще нигде не реализована.

  6. #65
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1187
    Vba32 AntiRootKit 3.12.3.3 beta:

    ftp://anti-virus.by/beta/Vba32arkit_beta.rar

    ftp://anti-virus.by/beta/Vba32arkit_beta.zip

    ftp://vba.ok.by/vba/beta/Vba32arkit_beta.rar

    ftp://vba.ok.by/vba/beta/Vba32arkit_beta.zip

    * Файл помощи переведен на английский язык

    Английский хелп можно вызвать, открыв файл Vba32ArkitEN.chm.

  7. #66
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Цитата Сообщение от sergey ulasen Посмотреть сообщение
    * Файл помощи переведен на английский язык
    Very good translation.

    Цитата Сообщение от sergey ulasen Посмотреть сообщение
    Английский хелп можно вызвать, открыв файл Vba32ArkitEN.chm.
    Problems. After collecting the logs, help file doesn't open.
    Сердце решает кого любить... Судьба решает с кем быть...

  8. #67
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1187
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Problems. After collecting the logs, help file doesn't open.
    В альфе уже исправлено.

  9. #68
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1187
    Vba32 AntiRootKit 3.12.3.3 beta:

    ftp://anti-virus.by/beta/Vba32arkit_beta.rar

    ftp://anti-virus.by/beta/Vba32arkit_beta.zip

    ftp://vba.ok.by/vba/beta/Vba32arkit_beta.rar

    ftp://vba.ok.by/vba/beta/Vba32arkit_beta.zip

    + Добавлена поддержка Windows 7

    Скорее всего, последнее серьезное изменение в данную ветку разработки. Если никаких серьезных проблем не обнаружится, выпустим релиз антируткита 3.12.4.0. В течение ближайшего месяца должны с данной задачей справиться.

  10. #69
    Junior Member Репутация
    Регистрация
    19.01.2008
    Сообщений
    6
    Вес репутации
    60
    x64 системы поддерживаются?

  11. #70
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1187
    Цитата Сообщение от RedLord Посмотреть сообщение
    x64 системы поддерживаются?
    Нет.

  12. #71
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1187
    Антируткит версии 3.12.4.0 вышел в релиз:

    http://anti-virus.by/products/utilities/76.html

    http://anti-virus.by/en/vba32arkit.html

    В связи с этим, хотелось бы сказать огромное спасибо всем, кто помогал нам в бета-тестировании данной утилиты. Все Ваши замечания не остались незамеченными. И даже если мы что-то не успели реализовать к данной версии утилиты, мы реализуем это в последующих версиях. Как и обещалось, данная утилита бесплатна, и любой желающий сможет скачать ее по приведенным ссылкам.

    Также скажу, что мы не останавливаемся на достигнутом, и сейчас полным ходом идет разработка следующей бета-версии Vba32 AntiRootkit, которой будет присвоена версия 3.12.5.0 beta. Выход в бета-тестирование планируется ближе к Новому Году.

    Спасибо!

  13. #72
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.08.2006
    Адрес
    Google
    Сообщений
    971
    Вес репутации
    520
    А TDSS видит ?
    Blink 182 = BoxCar Racer + plus 44 + Angels & Airwaves

  14. #73
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1187
    Цитата Сообщение от Surfer
    А TDSS видит ?
    TDSS видит:

    http://virusinfo.info/attachment.php...1&d=1258448362

    Но только как скрытый драйвер в модулях ядра и нотификаторы, установленные этим драйвером.

    Следующая версия будет обнаруживать скрытые файлы TDSS в файловой системе. Также сейчас идет работа над детектом TDL в антирутките. Причина в том, что сейчас идет работа над прямым чтением, а без него полноценный детект данных руткитов невозможен.

  15. #74
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Цитата Сообщение от sergey ulasen Посмотреть сообщение
    TDSS видит
    Что и третью версию тоже?

  16. #75
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    Что и третью версию тоже?
    Цитата Сообщение от sergey ulasen Посмотреть сообщение
    Также сейчас идет работа над детектом TDL в антирутките
    Как бы намекает, что нет))
    The worst foe lies within the self...

  17. #76
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1187
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    Что и третью версию тоже?
    Цитата Сообщение от Kuzz
    Как бы намекает, что нет))
    Да, все верно. Текущий релиз антируткита не способен увидеть TDL. Руткит слишком технологичен, что бы быть им замеченым. Но и разработка не стоит на месте. Следующая бета уже не будет ничем уступать другим ведущим антируткитам в детекте данного типа руткитов.

    Скрытые IRP-обработчики:

    Вложение 180136

    Измененный драйвер atapi.sys и скрытый модуль в списке модулей ядра:

    Вложение 180137

    Нотификатор:

    Вложение 180138

    Лог антируткита:

    Вложение 180139

    Сейчас лечение данного трояна возможно с помощью Vba32 Rescue.

  18. #77
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1187
    Цитата Сообщение от sergey ulasen
    Также скажу, что мы не останавливаемся на достигнутом, и сейчас полным ходом идет разработка следующей бета-версии Vba32 AntiRootkit, которой будет присвоена версия 3.12.5.0 beta. Выход в бета-тестирование планируется ближе к Новому Году.
    К Новому Году, к сожалению, не получилось
    Забыл умножить на 1.5

    Представляем Вашему вниманию следующую бета-версию нашего антируткита Vba32 AntiRootKit 3.12.5.0 beta:

    ftp://anti-virus.by/beta/Vba32arkit_beta.rar

    ftp://anti-virus.by/beta/Vba32arkit_beta.zip

    ftp://vba.ok.by/vba/beta/Vba32arkit_beta.rar

    ftp://vba.ok.by/vba/beta/Vba32arkit_beta.zip

    + Добавлен механизм "прямого" доступа к файловой системе. Реализован разбор файловых систем NTFS и FAT 12/16/32. Низкоуровневая верификация файлов осуществляется во всех существующих проверках

    Т.е. реализован так называемый механизм "прямого" чтения/записи диска.
    Все проверяемые в антирутките объекты также проверяются и данным механизмом.

    + Окно Low-Level Disk Access Tool. Поддерживает операции низкоуровневого просмотра, копирования, удаления (с вытеснением из кэша файловой системы). Работает со скрытыми, заблокированными и измененными файлами. Поддерживает файловые потоки и символьные ссылки

    Добавлено окно эксплорера, в котором можно просматривать, копировать, удалять файлы и файловые потоки. Добавлен сканер, который обнаруживает скрытые, заблокированные, измененные файлы и файловые потоки.

    + Опция Vba32 Defender препятствует загрузке новых исполняемых файлов, а также драйверов в память во время работы антируткита

    Данная опция по умолчанию отключена.

    + Улучшен механизм поиска скрытых процессов (поиск хэндлов в csrss.exe, анализ PspCidTable и т.д.)

    Анализ некоторых методов сокрытия процессов возможен без режима расширенного мониторинга.

    + Улучшен механизм получения списка модулей ядра, добавлен анализ стека драйверов
    + Проверка в памяти аттрибутов секций ядерных модулей
    + Поиск скрытых IRP обработчиков

    Благодаря этому детектится TDL3.

    * Возможность исключать модули режима пользователя из списка модулей ядра

    * Изменён формат вывода информации о процессах (добавлен EPROCESS, ShortName)

    * Улучшен механизм взаимодействия драйвера антируткита с GUI

    * Переработан механизм поиска перехватов ядра. Проверяются таблицы экспорта и кодовые секции всех модулей ядра

    До сих пор проверялись только ntoskrnl.exe, hal.dll, win32k.sys, ndis.sys.

    * Доработан файл помощи на русском языке

    Как всегда прошу обратить внимание на полноту файла-помощи и высказать свои замечания.

    Из того, что не отмечено в readme:

    * Изменен формат файла-отчета, генерируемого по команде Logging State

    Информация в файле теперь представляется в более удобном виде и более информативна. Добавлены java-scripts.
    В окне Logging State добавился пункт File System, который сканирует диск прямым чтением. Достаточно долгий процесс, потому его можно отключать, когда делается отчет.

    Известные проблемы:

    * нестабильность главного окна и функциональности, доступной по кнопке Start

    Иногда возникает ситуация, когда информация в окне отображается некорректно. В качестве решения рекомендую пользоваться либо окнами, доступными через меню Tools, либо html-логом, доступным через Logging State.

    * плохое юзабилити

    Нет возможности пользоваться клавиатурой, плохая эргономика.

    * неинформативные, вводящие в заблуждение полосы прогрессбара

    Какие-то они совсем корявые получились.

    Планы на 3.12.5.1 beta:

    * отказаться от главного окна в его теперешнем представлении

    Уже есть хорошие идеи, как обыграть эту тему. Я думаю, что всем должно понравиться.

    * улучшить юзабилити

    Этим вопросом уже плотно занимаемся.

    * увеличить список проверяемых типов автозагрузки

    Тоже уже работаем над этим.

    * подключить проверку модулей процессов

    * и многое другое

    Замечания, предложения, дампы после BSOD , интересные файлы отчетов и сэмплы, на которых есть проблемы, а также любая информация, которая поможет сделать продукт лучше, приветствуется.
    Спасибо

  19. #78
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    Однако, серьезная работа проделана. Те изменения от версии к версии, что были раньше с этим изменением и рядом не лежали. Поздравляю!!!
    Серьезный уровень.
    // ...

  20. #79
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1187
    Цитата Сообщение от sergey ulasen
    + Улучшен механизм поиска скрытых процессов (поиск хэндлов в csrss.exe, анализ PspCidTable и т.д.)
    Специалисты сайта http://www.ntinternals.org/ перетестировали свежую версию антируткита (3.12.5.0 beta) в тесте на поиск скрытых процессов (http://www.ntinternals.org/process_detection_test.php). Результат 6 из 12. Предыдущая версия детектировала только 1 из 12.

    Работа в этом направлении продолжается.

  21. #80
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1822
    Цитата Сообщение от sergey ulasen Посмотреть сообщение
    Работа в этом направлении продолжается.
    Это хорошо, что работа не стоит на месте. А когда релиз?

Страница 4 из 9 Первая 12345678 ... Последняя

Похожие темы

  1. How to make a log with Vba32 AntiRootkit?
    От Aleksandra в разделе FAQ
    Ответов: 0
    Последнее сообщение: 10.05.2010, 22:42
  2. Ответов: 0
    Последнее сообщение: 10.05.2010, 22:42
  3. Vba32 AntiRootkit 3.12.3 beta
    От sergey ulasen в разделе Beta Testing
    Ответов: 9
    Последнее сообщение: 03.10.2009, 01:32

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00244 seconds with 17 queries