Страница 8 из 9 Первая ... 456789 Последняя
Показано с 141 по 160 из 176.

Vba32 AntiRootkit 3.12.*.* beta

  1. #141
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iron Monk
    Регистрация
    04.02.2010
    Сообщений
    1,106
    Вес репутации
    263
    Цитата Сообщение от sergey ulasen Посмотреть сообщение
    На скриншоте - детект подмененного MBR
    В свете последних событий с Ddox.ci - ???
    ...причиняю добро и наношу непоправимую пользу...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #142
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1171
    Цитата Сообщение от Iron Monk Посмотреть сообщение
    В свете последних событий с Ddox.ci - ???
    Это вот этот Trojan.Win32.Ddox.ci что ли ?

    Я его сам не смотрел, но, судя по описанию, к МБР он никакого отношения не имеет. Заурядный троян, ничего интересного. Должен детектиться на ура как модуль с списке процессов и как ссылка в автозагрузке.

    Или я не прав ?

  4. #143
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iron Monk
    Регистрация
    04.02.2010
    Сообщений
    1,106
    Вес репутации
    263
    Цитата Сообщение от sergey ulasen Посмотреть сообщение
    Или я не прав ?
    Я не буду упираться - Почитайте... + еще три десятка постов...
    ...причиняю добро и наношу непоправимую пользу...

  5. #144
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1171
    Цитата Сообщение от Iron Monk Посмотреть сообщение
    Я не буду упираться - Почитайте... + еще три десятка постов...
    Спасибо, буду разбираться.

  6. #145
    External Expert Репутация
    Регистрация
    15.07.2011
    Сообщений
    8
    Вес репутации
    31
    Здравствуйте!

    Представляю вашему вниманию новую версию Vba32 AntiRootkit 3.12.5.4 beta build 293 !

    Ссылки для скачивания прежние:

    http://anti-virus.by/en/beta.shtml

    ftp://anti-virus.by/beta/vba32arkit_beta.7z

    ftp://anti-virus.by/beta/vba32arkit_beta.zip

    Что нового:

    + Работа с дисковыми томами на низком уровне. Поддержка MBR и GPT разметки. Поддержка динамических томов
    Microsoft/Veritas ( Simple, Spanned, Striped, Mirrored и Raid-5 )


    Динамические тома Microsoft/Veritas на самом деле встречаются довольно редко, но их поддержка была важным шагом в развитии библиотеки прямого чтения нашего продукта. Насколько я знаю, на сегодняшний день только наш антируткит реализовывает данный функционал.

    + Анализ загрузочных секторов физических дисков. Детект, просмотр, дамп и восстановление нестандартных и
    подменённых загрузчиков. Сохранение в логе дампа загрузочных секторов основного жёсткого
    диска


    Эта фича будет намного более интересна общественности. Позволяет детектить и обезвреживать большинство буткитов, таких как TDL4/Sinowal/Alipop/Rmnet и т.п. Тут следует отметить, что данную бету мы выпускаем с немного "устаревшим" кодом, который использовался ещё для выявления TDL3, поэтому на некоторых системах, возможно, будет отсутствовать детект. Количество таких систем минимально относительно общего числа ( как показало наше внутреннее тестирование ), однако оно не нулевое. Кроме того, мы планируем в скором времени выпустить следующую бету с нативной поддержкой IDE/AHCI котроллеров.

    + Поиск и восстановление аномальных записей в таблице GDT

    Относительно редкая аномалия. Используется в основном для исполнения привелигированных инструкций в R3.

    + Увеличено количество проверяемых мест автозагрузки
    (LSA Providers, SubSystems\Windows и др.)


    Это уже стало традицией. С каждым новым билдом увеличивается количество проверяемых мест автозагрузки.

    * Улучшен механизм поиска и восстановления перехватов IDT и SysEnter

    К сожалению, подовляющее большинство антируткитов не берут в расчёт значение селектора GDT ( считают смещение нулевым ) и региста IA32_SYSENTER_CS для рассчёта реального адреса обработчика IDT/SysEnter. До текущего билда, признаюсь, и мы этим грешили. Исправляемся

    * Безопасное закрытие защищёщнных хэндлов ( CloseHandle )

    Серьёзная недоработка. Исправили.

    * Вывод информации о правилах стандартного файервола OS Windows

    * Улучшена стабильность работы программы

    * Доработан файл помощи на русском языке



    Постараюсь сразу ответить на возможные вопросы по поводу последних веяний, типа ddox. Текущий функционал не позволяет детектировать данный зловред напрямую. Однако он хорошо идентифицируется по создаваемым аномалиям ( см. аттач ). Кроме того, теперь в файле отчёта содержится дамп загрузочных секторов основного жестого диска, в который попадает код вредоносного драйвера, что также может помочь идентифицировать данный здовред. В будущих версиях, возможно, добавим сигнатурный детект/эвристику и в антируткит.

    И как всегда, с радостью ждём ваших замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - arkit@anti-virus.by
    Изображения Изображения
    • Тип файла: png ddox.png (17.1 Кб, 7 просмотров)
    • Тип файла: png ddox2.png (9.8 Кб, 6 просмотров)

  7. Это понравилось:


  8. #146
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1171
    И как всегда большое спасибо нашим бета-тестерам - K_Mikhail и Nick1978

    Dmitry Varshavsky - наш технический специалист, который на протяжении последних нескольких лет работает над разработкой антируткита. Теперь он будет более активно участвовать в развитии бета-тестирования продукта. Прошу любить и жаловать.

  9. Это понравилось:


  10. #147
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,701
    Вес репутации
    1279
    Цитата Сообщение от sergey ulasen Посмотреть сообщение
    Прошу любить и жаловать.
    Может тогда и звание присвоить для наглядности?

  11. Это понравилось:


  12. #148
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1171
    Цитата Сообщение от Olejah Посмотреть сообщение
    Может тогда и звание присвоить для наглядности?
    Да, надо как-то обозначить

  13. Это понравилось:


  14. #149
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,701
    Вес репутации
    1279
    Сделал, группа External Expert. Если лучше поставить в статусе название вендора, скажите, сделаем.

  15. Это понравилось:


  16. #150
    Junior Member Репутация
    Регистрация
    19.07.2011
    Сообщений
    3
    Вес репутации
    31
    Здравствуйте. В описании вашего антируткита содержится информация о том, что он может взаимодействовать с любым антивирусом. Что это значит? ВБА находит руткит и сообщает о нём антивиросу? Или он самостоятельно уничтожает руткит? Планируете ли вы всегда делать ВБА бесплатным? Когда появится 64х битная версия? Есть ли независимые тесты вашего антируткита? В чём отличие вашего антируткита от GMER?
    Последний раз редактировалось Ber; 19.07.2011 в 13:49.

  17. #151
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1171
    Привет!

    Цитата Сообщение от Ber Посмотреть сообщение
    Здравствуйте. В описании вашего антируткита содержится информация о том, что он может взаимодействовать с любым антивирусом. Что это значит? ВБА находит руткит и сообщает о нём антивиросу?
    Это всего лишь обозначает, что продукт не является резидентным и может быть запущен во время работы других программ безопасности. И это не нарушит стабильность работы системы.

    Цитата Сообщение от Ber Посмотреть сообщение
    Или он самостоятельно уничтожает руткит?
    Самостоятельно антируткит ничего не уничтожает. У него и цели такой нет. Удалить может оператор вручную. А в будущем планируется реализовать поддержку скриптового движка для автоматизации процесса удаления.

    Цитата Сообщение от Ber Посмотреть сообщение
    Планируете ли вы делать ВБА бесплатным?
    Сам антивирус - вряд ли. Но есть бесплатные утилиты типа Vba32 AntiRootkit, Vba32 Rescue, Vba32 Check.

    Цитата Сообщение от Ber Посмотреть сообщение
    Когда появится 64х битная версия?
    Не знаю.

    Цитата Сообщение от Ber Посмотреть сообщение
    Есть ли независимые тесты вашего антируткита?
    Есть. Поищите на www.anti-malware.ru.

    Цитата Сообщение от Ber Посмотреть сообщение
    В чём отличие вашего антируткита от GMER?
    Уверен, что вся реализованная в антирутките функциональность опережает аналогичную в остановившемся в своем развитии GMER'е на сто шагов. Это и отсутствие ложняков, и список поддерживаемых операционок, и стабильность, и наглядность того же лога и т.д.
    Но пока антируткиту не хватает детекта скрытых веток реестра, хуков в ринг3 и скриптового языка. Но тем не менее имеющегося функционала с лихвой хватает для обнаружения большинства аномалий и соответственно руткитов/троянов.

  18. #152
    Junior Member Репутация
    Регистрация
    19.07.2011
    Сообщений
    3
    Вес репутации
    31
    Спасибо за ответ. Идёт ли работа над разработкой 64-х битной версиии? Планируете ли делать утилиты для ВБА платными, в том числе антируткит?
    Можно подробнее об автоматизации процесса удаления руткита. Я, к примеру, не продвинутый пользователь и боюсь напортачить при удалении шпионской программы.

  19. #153
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1171
    Цитата Сообщение от Ber Посмотреть сообщение
    Спасибо за ответ.
    Пожалуйста!

    Цитата Сообщение от Ber Посмотреть сообщение
    Идёт ли работа над разработкой 64-х битной версиии?
    Скажем так, некоторые модули антируткита разрабатываются таким образом, чтобы в будущем их можно было с наименьшими потерями портировать под 64-х битную платформу.
    Сам же 64-х битный антируткит пока не разрабатывается.

    Цитата Сообщение от Ber Посмотреть сообщение
    Планируете ли делать утилиты для ВБА платными, в том числе антируткит?
    Таких планов на данный момент нет.

    Цитата Сообщение от Ber Посмотреть сообщение
    Можно подробнее об автоматизации процесса удаления руткита. Я, к примеру, не продвинутый пользователь и боюсь напортачить при удалении шпионской программы.
    Для этого и нужна поддержка скриптового языка, которого сейчас в продукте нет.

    P.S. Если вы боитесь напортачить, то лучше обратиться в форум Помогите.

  20. #154
    Junior Member Репутация
    Регистрация
    19.07.2011
    Сообщений
    3
    Вес репутации
    31
    А как будет выглядеть автоматизированный процесс удаления антируткита? ВБА Антируткит будет сам находить и удалять скрытые процессы?

  21. #155
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.06.2008
    Сообщений
    241
    Вес репутации
    1171
    Цитата Сообщение от Ber Посмотреть сообщение
    А как будет выглядеть автоматизированный процесс удаления антируткита? ВБА Антируткит будет сам находить и удалять скрытые процессы?
    Посмотрите в любую из тем здесь http://virusinfo.info/forumdisplay.php?f=46. Примерно также это должно выглядеть и для антируткита.

    Выглядит это примерно так:

    1) Пользователь запускает приложение, которым генерирует файл-отчет;
    2) Пользователь отправляет файл-отчет в службу тех. поддержки;
    3) Инженер тех. поддержки на основании данных из файла-отчета составляет скрипт;
    4) Инженер тех. поддержки отправляет скрипт пользователю;
    5) Пользователь выполняет скрипт при помощи приложения.

  22. #156
    External Expert Репутация
    Регистрация
    15.07.2011
    Сообщений
    8
    Вес репутации
    31
    Здравствуйте!

    Представляю вашему вниманию Vba32 AntiRootkit 3.12.5.5 beta build 425 !

    Ссылки для скачивания прежние:

    http://anti-virus.by/en/beta.shtml

    ftp://anti-virus.by/beta/vba32arkit_beta.7z

    ftp://anti-virus.by/beta/vba32arkit_beta.zip

    Что нового:

    + Работа с IDE и AHCI контроллерами жёсткого диска на низком уровне.

    Основной вектор развития антируткита на данный момент. Непосредственная работа с железом даёт практически 100% гарантию того, что прочитаны реальные данных, хранящиеся на диске вне зависимости от типа заражения. Обратная сторона медали - совместимость. Если c AHCI контроллерами удалось разобраться практически полностью, то, как ни странно, с простым и "древним" IDE возникли проблемы. Дело в том, что с развитием технологий, таких как NCQ например, каждый производитель немного по-своему стал "расширять" стандарт. Документации по данной проприетарной теме, естественно, нет. Из известных проблем - мёртвое зависание антируткита на некоторых машинах с nForce-4, причём зависания повторяются только с установленными драйверами от NVIDIA ( которые непосредственно реализуют "новый" функциоанал, с дефолтными драйверами проблем нет ). Если у вас проблемы с запуском антируткита ( либо система виснет намертво, падает в BSOD ), задайте ключ коммандной строки /nodmsa и код прямого доступа к контроллеру/ам будет деактивирован.

    + Vba32 Defender: добавлен интерактивный режим, чёрный и белый списки, подсказки пользователю. Возможность стартовать приложения на выледенном рабочем столе

    Значительно расширили функционал Defender'а.

    + Реализована базовая самозащита.

    Позволяет противостоять последним версиям ZeroAccess aka Max++, Necurs/Cridex. И не только.

    + Возможность извлекать девайсы из стека устройств ( DetachDevice )

    Полезная возможность. Например, при лечении Necurs

    + Поиск скрытых драйверов по MZ-PE заголовкам в системном пуле ( на Windows Vista и выше )

    Функционал реализован для систем Vista и выше, т.к. на более ранних были выявлены ложные срабатывания.

    + Добавлен просмотр и возможность удаления нотификаторов ObCallbacks

    Актуально для систем на Windows Vista SP1 и более новых.

    + Опция Restore MBR and force reboot

    Более безопасно, чем "Restore MBR and force reset"

    + Вывод MD5/SHA1 дайджестов проверенных файлов

    Довольно удобная вещь для поиска образцов на том же VirusTotal.

    + Возможность скрывать драйверы/сервисы с пустым ImagePath

    + поддержка Windows 8 Developer Preview

    * Исправлена проблема с невыгрузкой драйвера антируткита, а также пропажей звука на некоторых системах.

    * Улучшена стабильность работы программы

    * Доработан файл помощи на русском языке

    Как всегда с радостью ждём замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - arkit[at]anti-virus.by Это позволит сделать продукт лучше

    P.S. Планирую постепенно начинать выкладывать инструкции по лечению конкретных заражений с помощью Vba32 AntiRootkit, например, такие:
    http://anti-virus.by/en/doc/Vba32%20...0vs%20TDL2.pdf
    http://anti-virus.by/en/doc/Vba32%20...0vs%20TDL4.pdf

  23. Это понравилось:


  24. #157
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.05.2008
    Адрес
    Россия, Амурская область, Благовещенск
    Сообщений
    113
    Вес репутации
    89
    Цитата Сообщение от Dmitry Varshavsky Посмотреть сообщение
    Представляю вашему вниманию новую версию Vba32 AntiRootkit 3.12.5.4 beta build 293 !
    ...
    с радостью ждём ваших замечаний/предложений/дампов
    Запустил антируткит, согласился с работой на Dedicated desktop, нажал кнопку Start. Во время анализа системы компьютер запустил заставку, я пошевелил мышку, но вернулся не в рабочий стол антируткита, а в пустой экран без значков, панели задач и прочего. Подождал, но они не отрисовались. Нажал Ctrl-Alt-Del, кратковременно появились и исчезли главное окно антируткита с каким-то сообщением на его фоне (не успел прочитать), снова попал на пустой экран. Дальше Ctrl-Alt-Del не помогали, пришлось перезагружаться кнопкой питания. Если это имеет значение, то операционка XP Home Edition SP3.
    Из мелочей - у меня профиль пользователя лежит на отдельном дисковом разделе, который примонтирован как папка и не имеет буквы диска. Программы, запускаемые из папок профиля, антируткиту не нравятся, пишет про скрытые модули. С учётом того, что некоторые зловреды создают свои скрытые разделы, даже не знаю, считать это багом или фичей антируткита. 20111127_103130.png
    Последний раз редактировалось Oyster; 27.11.2011 в 04:05. Причина: Указал ОС

  25. #158
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.05.2008
    Адрес
    Россия, Амурская область, Благовещенск
    Сообщений
    113
    Вес репутации
    89
    Предлагаю заменить название команды "Wipe File" на что-нибудь вроде "Fill file with zeros" или "Empty file". Слово wipe часто ассоциируется с надёжным удалением, здесь же перезапись именно без удаления.

  26. #159
    External Expert Репутация
    Регистрация
    15.07.2011
    Сообщений
    8
    Вес репутации
    31
    Oyster, давайте разбираться по-порядку:
    1. Какую заставку и как запускали ?
    2. Изначально это была фича - т.к. если у пользователя есть скрытый раздел, то он про него знает, и всё ок тогда. а если нет - то первое, что бросится в глаза. Но ещё подумаю..
    3. Wipe он изначально был wipe'ом, уже как несколько лет Вроде никого в заблуждение не вводило, функционал в хелпе описан + насколько я помню, в том же rku есть опция wipe, которая работает точно так же.

  27. #160
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.05.2008
    Адрес
    Россия, Амурская область, Благовещенск
    Сообщений
    113
    Вес репутации
    89
    Цитата Сообщение от Dmitry Varshavsky Посмотреть сообщение
    Oyster
    1. Какую заставку и как запускали ?
    Стандартная заставка с названием "Windows XP", запустилась из-за того, что я 10 минут не нажимал кнопки и не трогал мышку.
    2. Изначально это была фича - т.к. если у пользователя есть скрытый раздел, то он про него знает, и всё ок тогда. а если нет - то первое, что бросится в глаза. Но ещё подумаю..
    Ситуация экзотическая, можно оставить как есть.
    3. Wipe он изначально был wipe'ом, уже как несколько лет Вроде никого в заблуждение не вводило, функционал в хелпе описан + насколько я помню, в том же rku есть опция wipe, которая работает точно так же.
    Применять антируткит в боевых условиях мне почти не приходилось, ограничивался поиском внедрений в процессы. Узнал об этой команде из инструкций по удалению TDL

Страница 8 из 9 Первая ... 456789 Последняя

Похожие темы

  1. How to make a log with Vba32 AntiRootkit?
    От Aleksandra в разделе FAQ
    Ответов: 0
    Последнее сообщение: 10.05.2010, 21:42
  2. Ответов: 0
    Последнее сообщение: 10.05.2010, 21:42
  3. Vba32 AntiRootkit 3.12.3 beta
    От sergey ulasen в разделе Beta Testing
    Ответов: 9
    Последнее сообщение: 03.10.2009, 00:32

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00851 seconds with 19 queries