Пропал звук.
Realtek ALC883, WinXP SP3 все патчи.
да, так удобней, когда лог по все пунктам в одном окне, но ..., не оч. удобно когда начинает формироваться лог и Ты начинаешь его потихоньку просматривать(по пунктам) то след. завершившийся пункт сбрасывает Тебя в самое начало лога, думаю надо подправить, или запретить навигацию по оному до окончания процесса сканирования, а также что-то на моей висте не работают ссылки "Content" навигации в логе,+ Полностью переработано главное окно антируткита
и еще на домашнем компе после нажатия кнопки "Start", Vba32Arkit рвется на mail.mail-inet.com
"Content" работает только после сохранения лога в файл. В окне данная фича не работает.
Сетевая активность связана с проверкой ЭЦП у файлов.
Добавлено через 6 часов 41 минуту
Alex из NT Internals перетестировал последнюю версию антируткита в тесте на поиск скрытых процессов.
Последний раз редактировалось sergey ulasen; 13.05.2010 в 19:43. Причина: Добавлено
дайте ссылку на хелп в котором есть документация по скриптах
Здесь лежит релизная (3.12.4.0) версия: http://www.anti-virus.by/products/utilities/76.html
Привет!
Делюсь с комьюнити следующей бета-версией антируткита Vba32 AntiRootkit 3.12.5.2 beta build 168.
Ссылки для скачивания:
http://anti-virus.by/en/beta.shtml
ftp://anti-virus.by/beta/vba32arkit_beta.7z
ftp://anti-virus.by/beta/vba32arkit_beta.rar
ftp://anti-virus.by/beta/vba32arkit_beta.zip
Данный скоуп получился очень насыщенным. В него вошло большое количество изменений, которыми я с вами с радостью поделюсь:
+ Окно Process List заменено на Process Manager. Значительно увеличено количество выводимой информации
+ Вывод списка аномалий для каждого процесса
+ Операции над процессами (Terminate, Terminate and Delete File, Suspend/Resume, Dump)
+ Вывод информации о модулях (в том числе скрытых)
+ Операции над модулями процессов (Unmap, Dump)
+ Вывод информации о потоках (в том числе скрытых), детектирование аномальных потоков
+ Операции над потоками, в т.ч. и над системными (Terminate, Suspend/Resume)
+ Вывод информации об открытых дескрипторах (хэндлах)
Добавили возможность полноценной работы с процессами:
- завершение процесса;
- блокирование (suspend)/разблокирование (resume) процесса;
- снятие дампа памяти с процесса.
Список процессов можно выводить в древовидной и списковой формах. По процессам можно выводить большое количество различной полезной информации - начиная с PID, заканчивая адресами EPROCESS, PEB и др. Весь вывод можно опционально настроить и выбрать только необходимые данные.
Определение скрытых процессов и поиск различных аномалий в процессах также осуществляется.
Вложение 303266
Работа с потоками:
- завершение потока;
- блокирование (suspend)/разблокирование (resume) потока.
Опционально можно задать вывод большого количества различной подробной информации о потоках.
Определение скрытых потоков и поиск различных аномалий в потоках также осуществляется.
Вложение 303267
Работа с модулями:
- выгрузка модуля из процесса;
- снятие дампа памяти с модуля.
Определение скрытых модулей и различных аномалий.
Вложение 303268
Также выводится информация об открытых дескрипторах процессов и возможна расшифровка обнаруженных аномалий.
+ Вывод информации о выгруженных модулях ядра
Данные модули помечаются как Unloaded module.
+ Детектирование IAT перехватов в модулях ядра
Еще один часто используемый способ внедрения.
+ Добавлен просмотр и возможность удаления нотификаторов типа Lego, SeFileSystem, LastChanceShutdown, Shutdown, BugCheckReason, FsRegistrationChange
Тоже может быть полезно.
+ Окно Network Tool (разбор файлов hosts и lmhost, поиск постоянных маршрутов в routes, LSP-провайдеры)
Работа с LSP-провайдерами перенесена в отдельное окно. Туда же добавлен вывод информации из файла Hosts и таблицы постоянных маршрутов. Файл Hosts можно изменять, удаляя из него "лишние" строки.
+ Возможность работы на выделенном рабочем столе
Еще один очень полезный функционал в свете большого количества различных блокировщиков.
Внимание: данный функционал по-умолчанию запускается с опцией Vba32 Defender, которая блокирует работу многих приложений.
Вложение 303269
+ Работа антируткита в Safe Mode
Теперь обеспечивается полноценная работа антируткита и в этом режиме.
+ Детектирование отозванных сертификатов при проверке цифровой подписи
Появление Stuxnet показало, что доверять цифровым подписям безоговорочно нельзя. Потому был добавлен вот такой режим. Но понятно, что его полноценная работа возможна или на обновленной Windows (с установленными обновлениями сертификатов) либо с доступом в Интернет.
Вложение 303270
+ Увеличено количество проверяемых мест автозагрузки (Print Provider, Control Panel objects, Known DLLs, URLSearch IE, Toolbar IE, IE Extensions и др.)
Уже покрыто наверное большинство мест реестра, используемых для загрузки троянов. Если знаете что-то еще - делитесь
+ Добавлена поддержка Windows 7 SP1
Тут все понятно.
* Улучшен механизм получения списка модулей ядра, а также увеличено количество выявляемых в них аномалий
Да, теперь в этом окне намного больше всего полезного. И больше аномалий удается найти и отобразить.
* Значительно увеличена скорость проверки прямым чтением
Порядка 2-х раз удалось увеличить скорость алгоритма "прямого чтения".
* Исправлен BSOD при разборе файловой системы NTFS с сильно фрагментированной таблицей MFT
Старая ошибка, с которой долгое время не удавалось разобраться.
* Опция Don't display items digitally signed переименована в Don't display trusted items, также изменена логика работы (в соответствии с новым названием)
* В соответствии с новым функционалом доработан файл отчёта
Отчет теперь намного больше, чем был раньше. И анализировать его стало труднее. Потому в нем появились различные опции, которые позволяют скрывать часть "ненужной" информации.
Вложение 303271
* Улучшено кэширование проверяемых объектов при исследовании системы
Добавили еще оптимизации, что ускорило работу антируткита.
* Доработан файл помощи на русском языке
Конечно хэлп еще далек от идеала, но тем не менее полезной информации в нем стало больше.
Известные проблемы:
- окно Process Manager иногда зависает. Что приводит к необходимости перезагрузки системы. С проблемой сейчас разбираемся. Если вы нам предоставите еще больше дампов памяти зависшего процесса, то это ускорит исправление проблемы;
- запуск антируткита с выделенного рабочего стола иногда приводит к зависанию системы. Это связано с тем, что по-умолчанию запускается режим Vba32 Defender, который начинает блокировать работу драйверов на некоторых видеокартах от NVIDIA. Проблема достаточно серьезная и быстро не решается. Потому без лишней необходимости данный режим пока использовать не советую;
- проблема с пропаданием звука скорее всего связана с режимом Vba32 Defender, который блокирует загрузку драйвера kmixer.sys. В будущем решим и эту проблему.
Для поддержки данного продукта был заведен специальный ящик, на который можно слать свои пожелания, дампы и т.д. - [email protected] .
Если вспомню еще что-то важное - допишу новым постом.
P.S.: спасибо всем причастным, кто участвовал в предварительном тестировании данной беты (K_Mikhail на этом форуме).
Последний раз редактировалось sergey ulasen; 14.03.2011 в 15:07.
Alex с NT Internals протестировал новый функционал определения скрытых модулей в процессах в своем тесте Hidden Dynamic-Link Library Detection Test. Результаты более чем хорошие
C сегодняшнего дня на наших серверах доступна следующая версия программы Vba32 AntiRootkit 3.12.5.3 beta build 222:
http://anti-virus.by/en/beta.shtml
Итак, по порядку об изменениях.
+ Вывод информации о драйверах-минифильтрах файловой системы (FileSystem Minifilters)
Добавилось дополнительное окно (и пункт в логе соответственно) FileSystem Minifilters, в котором можно посмотреть список драйверов минифильтров файловой системы.
+ Операции над минифильтрами файловой системы (Unload, Unregister)
Минифильтр можно выгрузить двумя способами: Unload и Unregister. Результат обоих функций должен быть одинаков, только алгоритмы разные. И Unregister менее безопасный в плане попадания на BSOD.
+ Вывод информации о стеке устройств ядра (Kernel Device Stack)
Добавилось еще одно окно Kernel Device Stack (и пункт лога), которое отображает стеки устройств ядра. Благодаря этому можно проанализировать в какой из стеков встраивается вредонос и предположить для чего он это делает.
Вложение 309314
К примеру, вирус встраивается в стек файловой системы - возможно сокрытие данных на диске и т.д.
Пока никаких действий над объектами в стеках не реализовано, но запланировано на будущее.
+ Добавлен просмотр и возможность удаления нотификаторов типа FsRtlRegisterFileSystemFilterCallbacks
Еще один тип нотификаторов.
+ Поиск перехватов DriverInit, DriverStartIo, DriverUnload
Еще один тип аномалий, который позволит детектировать некоторые модификации TDL.
+ Поиск и восстановление перехватов функций объектов (ObjectTypes)
+ Детектирование подмены типа объекта для драйверов и девайсов (ObjectType hijack)
Пока еще не сильно распространенный тип перехватов (в виду его сложности), но, тем не менее, его уже во всю стали использовать не только руткиты, но и защитный софт.
+ Операция закрытия открытого дескриптора (Close Handle)
Особенно полезная функция, которая позволяет закрывать открытые дескрипторы в процессах.
Те, кто плотно работал с антируткитом, сталкивались с тем, что функционал Delete File не всегда может справиться со своими обязанностями. Из-за этого зачастую приходиться прибегать к функционалу Wipe File, что менее удобно из-за необходимости перезагрузки. Все это связано с тем, что Delete File не пытается закрывать открытые дескрипторы на указанный файл перед удалением.
Так вот, сейчас это можно сделать вручную, поискав этот дескриптор в соответствующем списке. А в будущем мы реализуем и автоматическое их закрытие.
+ Вывод статуса Terminating при закрытии окна Process Manager
Закрытие этого окна теперь выглядит чуть более наглядно.
* Исправлена ошибка с неработающими чекбоксами в FireFox
Приносим извинения всем пользователся FF, которых мы на целых полтора месяца оставили без поддержки
* Перенесен фокус на кнопку "НЕТ" при выборе режима загрузки с/без выделенного рабочего стола
В связи с имеющимися проблемами при работе с выделеннго рабочего стола этот режим было решено не делать умолчательным. В будущем, конечно, проблема будет решаться более радикальным способом.
* Исправлен вылет на заражённых Trojan.Win32.VBKrypt системах
* Улучшена стабильность работы программы
Очень большое внимание было уделено стабильности работы программы. Мы попытались исправить большинство известных нам ошибок, которые приводили в синим экранам или зависаниям приложения.
* Доработан файл помощи на русском языке
Как видите, данной бетой мы попытались решить следущее:
1) закрыть те проблемы, на которые нарвались пользователи после выхода 3.12.5.2, - это в первую очередь стабильность работы;
2) добавить функционал, который будет полезен при поиске вредоносных программ и их лечении, - это анализ стека устройств; дополнительные нотификаторы; перехваты ObjectTypes и DriverInit, DriverStartIo, DriverUnload; закрытие открытых дескрипторов;
3) ну и добавили немного более таких академических вещей, которые интересны только узким специалистам, - анализ минифильтров файловой системы.
Пользуйтесь! Если есть проблемы со стабильностью - жалуйтесь! А если есть что предложить - высказывайтесь!
Напоминаю мыло, по которому можно с нами связаться - [email protected].
З.Ы. Спасибо всем, кто присылал сообщения о найденных проблемах, и отдельное спасибо K_Mikhail и Nick1978.
Минут 10 уже не могу зайти на сайт anti-virus.by. ФФ пишет, что адрес не найден, Хром-что не может соединиться. Что это?
это судя по всему проблемы хостера
Из сегодняшних новостей:
"Уже более суток не работают сайты Белтелекома и более 1000 сайтов, расположенных в их дата-центре. Предположительно, проблемы начались после программного апгрейда, а попытка устранить ошибку привела к еще более плачевным последствиям. Никакой дополнительной информации больше нет."
В связи с тем, что наш сайт временно недоступен, залил антируткит на файлообменник:
http://rapidshare.com/files/20245217...arkit_beta.zip .
sha1: ca68dbcf75b3197dab405dd7ce3c2ecfcc10159c
md5: 9d337f77179b422ba0b376870299d014
Привет! Давненько сюда ничего не писал, потому исправляюсь и аттачу скриншотик того, что нам удалось добиться за это время.
Вложение 317754
На скриншоте - детект подмененного MBR для TDL4 и набор доступных функций.
Еще немного потестируем и выпустим в паблик.