-
Vba32 AntiRootkit 3.12.*.* beta
Мы, наконец-то, основательно взялись за свой антируткит и начали его очень активную разработку. Ниже адреса, по которым можно скачать сам продукт:
ftp://anti-virus.by/beta/Vba32arkit_beta.rar
ftp://anti-virus.by/beta/Vba32arkit_beta.zip
Сразу же привожу режимы его работы (чтобы не возникало никакой путаницы):
Vba32 AntiRootkit может работать в трех режимах (с поддержкой антивирусного ядра Vba32 и без него).
1. В первом режиме, с поддержкой антивирусных баз, модуль находится в папке %VBA32%. После своей загрузки он пытается получить доступ к COM-объекту антивирусного ядра Vba32 и в случае успеха использует его для проверки.
2. Если доступ к COM-объекту получить не удается, модуль загружает антивирусное ядро и базы себе в память и работает с ними напрямую.
3. В третьем режиме можно использовать модуль Vba32 AntiRootkit отдельно от комплекса VBA32. В данном режиме проверка обнаруженных объектов антивирусным ядром производиться не будет.
Первый и третий пункты вроде бы понятны. Могут возникнуть вопросы со вторым, потому...
Если вы не являетесь пользователем нашего комплекса, антируткит можно использовать совместно с нашим консольным сканером. Пока антируткит не выложен на стандартный ресурс обновления для beta-тестирования, можно воспользоваться релизным консольным сканером. Сканер можно взять здесь: ftp://anti-virus.by/pub/Vba32Check.exe. Файлы, находящиеся в архиве Vba32arkit_beta, необходимо скопировать (заменить) в папку Vba32Check\vba32w.
Теперь о том, что же, собственно, нового в нем добавилось/изменилось:
+ Добавлено получение и проверка списка автозагрузки и сопутствующих элементов (ActiveX, BHO, LSP, Autorun.inf, SecurityProviders и др.)
+ Добавлено получение и проверка списка драйверов и сервисов (анализ реестра)
Теперь с помощью антируткита можно управлять автозагрузкой. При этом (опционально) осуществляется проверка файлов антивирусным ядром и проверяются ЭЦП файлов (Authenticode). Обратите, пожалуйста, особое внимание на интерфейс окна и на удобство его использования. Может быть имеет смысл чего-нибудь в нем подвигать.
+ Проверка состояния MSR регистров (SysEnter)
+ Возможность включения кэширования файлов при проверке антивирусным ядром
Обратите внимание на данную настройку, она существенно повышает скорость работы с приложением.
* Сохранение логов производится в формате html
Нам самим надоело воевать с логами в текстовом формате. html намного удобнее. Обратите внимание на те цвета и на ту информацию, которая в них содержится.
* Интерфейс антируткита полностью переведён на UNICODE
* Улучшен механизм работы карантина
Оцените удобство карантина. Замечания и пожелания приветствуются.
* Исправлено поведение кнопки Apply в окне настроек
* Исправлена ошибка с получением списка процессов на Windows 2003
Кроме того изменена документация к антируткиту. Пока только на русском языке, но скоро будет и на английском.
И немного о планах. Уже сейчас активно идет разработка новой функциональности, которая касается детектирования методов перехватов. Реализовали Shadow SDT, IRP, EAT, сплайсинг. Как только оттестируем у себя, сразу передадим эстафету вам
Ждем обратной связи.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
как что позиционируется это ПО?..
(примеры: как подстраховка к АВЗ и гмеру, как отдельная лечилка трудных случаев заражения, как необходимый маркетинговый ход, как "мы и сами с усами", как средство борьбы с распространенными и простенькими руткитами...)
какой обратной связи ждете от людей с ВИ в большинстве случаев?
(примеры: предложения по интерфейсу, предложения по доработке лога, предложения новых функций, нахождения багов, технические предложения по улучшению уже существующих функций, дифирамбы).
Вопросы задаю на полном серьезе. Без подколок и обид.
-
Спасибо за хорошие вопросы.
Сообщение от
priv8v
как что позиционируется это ПО?..
(примеры: как подстраховка к АВЗ и гмеру, как отдельная лечилка трудных случаев заражения, как необходимый маркетинговый ход, как "мы и сами с усами", как средство борьбы с распространенными и простенькими руткитами...)
Нам и нашим пользователям каждый день приходится сталкиваться со все новыми случаями заражения. Я, в частности, и наш коллектив, в целом, считаем, скажем так, не очень красивым ходом использование сторонних утилит (и прежде всего утилит связанных каким-то образом с нашими конкурентами). Потому первоочередная задача - это иметь инструмент, способный самостоятельно решать большинство задач, связанных с поиском и нейтрализацией активных заражений. Следующая цель - внедрить те технологии, которые разрабатываются для антируткита и обкатываются на нем, в наш антивирусный движок.
Потому здесь можно аккумулировать все те примеры, которые вы назвали. Если у нас получится создать инструмент, который сможет "подстраховывать" AVZ или gmer, и сообществу это будет интересно, это будет вообще супер. Но это не первоочередная задача.
Сообщение от
priv8v
какой обратной связи ждете от людей с ВИ в большинстве случаев?
(примеры: предложения по интерфейсу, предложения по доработке лога, предложения новых функций, нахождения багов, технические предложения по улучшению уже существующих функций, дифирамбы).
Вопросы задаю на полном серьезе. Без подколок и обид.
Исторически сложилось так, что ВИ стал той площадкой, на которой мы развиваем наше beta-тестирование для русскоязычной аудитории. Уже есть определенный круг людей, которым это интересно. Если с помощью данной темы еще кто-нибудь заинтересуется продуктом, мы будем этому только рады. Так вот, от всех, кому это интересно, мы готовы принять и предложения по интерфейсу и по доработке лога и даже выслушать дифирамбы
-
-
Результаты беглого знакомства с утилитой на рабочей системе (более близко на виртуалке ознакомлюсь потом):
1). при работе выдается вот такое окошко:
полоса не двигается, а стоит на месте все время - сделайте, что бы она
двигалась по мере сканирования - и даже не важно точно она будет двигаться или нет - пусть главное двигается как угодно, а под конец сканирования можно просто ее загнать в угол - типа сканирование окончено. А то когда полоса стоит на одном месте - раздражает достаточно сильно.
2). При парсинге списка файлов из папок автозагрузки сделайте хоть какую-то проверку - не нужно десктоп.ини детектить.
3). Лог внезапно обрывается - снизу нет завершающей шапки - желательно ее сделать и выводить туда какую-нибудь обобщающую по логу инфу. А если без инфы - просто что бы была, что бы было понятно что сканирование проведено до конца.
-
Сообщение от
priv8v
Результаты беглого знакомства с утилитой на рабочей системе (более близко на виртуалке ознакомлюсь потом):
1). при работе выдается вот такое окошко:
полоса не двигается, а стоит на месте все время - сделайте, что бы она
двигалась по мере сканирования - и даже не важно точно она будет двигаться или нет - пусть главное двигается как угодно, а под конец сканирования можно просто ее загнать в угол - типа сканирование окончено. А то когда полоса стоит на одном месте - раздражает достаточно сильно.
У меня все нормально отработало.
Сообщение от
priv8v
3). Лог внезапно обрывается - снизу нет завершающей шапки - желательно ее сделать и выводить туда какую-нибудь обобщающую по логу инфу. А если без инфы - просто что бы была, что бы было понятно что сканирование проведено до конца.
Поддерживаю.
Расшифровку по цветам дайте и почему нет возможности запустить хелп из самой программы?
А так молодцы!!! Это качественно новый уровень!
-
-
Залейте куда-нибудь, а то сервер не пускает =)
-
Сообщение от
priv8v
полоса не двигается, а стоит на месте все время
1. В каком режиме вы работали (см. в моем первом посте)?
2. В каком окне возникли проблемы (в главном, Kernel Modules и т.д.)?
3. Ползунок не двигался вообще и вам пришлось прибить процесс или он стал двигаться позже?
Остальное пока понятно.
Добавлено через 2 минуты
Сообщение от
IgorKr
Залейте куда-нибудь, а то сервер не пускает =)
ftp://vba.ok.by/vba/beta/Vba32arkit_beta.rar
ftp://vba.ok.by/vba/beta/Vba32arkit_beta.zip
Последний раз редактировалось sergey ulasen; 07.03.2009 в 19:00.
Причина: Добавлено
-
-
Сообщение от
sergey ulasen
Не качается
-
-
В течение часа проблему с сервером vba.ok.by должны решить...
-
-
1. В каком режиме вы работали (см. в моем первом посте)?
2. В каком окне возникли проблемы (в главном, Kernel Modules и т.д.)?
3. Ползунок не двигался вообще и вам пришлось прибить процесс или он стал двигаться позже?
Извините, что так плохо изложил свои действия - точнее совсем не изложил. Вот как было дело:
запускаю файл.
убираю чекбоксы напротив use antivirus kernel и напротив check digital signature.
затем нажимаю start
если после этого еще просматривать через тулзы автозапуск, то также полоска не двигается.
если же не отключать check digital signature, то все нормально.
-
Сообщение от
priv8v
Извините, что так плохо изложил свои действия - точнее совсем не изложил. Вот как было дело:
запускаю файл.
убираю чекбоксы напротив use antivirus kernel и напротив check digital signature.
затем нажимаю start
если после этого еще просматривать через тулзы автозапуск, то также полоска не двигается.
если же не отключать check digital signature, то все нормально.
Теперь все ясно
Полоса не двигается, т.к. файлы ничем не проверяются и список оных тупо генерится.
~~~~
принято к сведенью
-
Сообщение от
Синауридзе Александр
почему нет возможности запустить хелп из самой программы?
Как нет? Антируткит разорхивирован в отдельную папку или лежит в заинсталированной папке %Vba32%? Присутствует ли в папке Vba32ArkitRU.chm?
-
качаем архив. извлекаем в текущую папку. запускаем программу и ничего больше не трогая нажимаем на вопросик и там нажимаем на Help - и ничего не происходит
+ еще в справке - не очень корректно скрины показывать с перехватами от дров даемон_тулз... (имхо)
-
Сообщение от
priv8v
качаем архив. извлекаем в текущую папку. запускаем программу и ничего больше не трогая нажимаем на вопросик и там нажимаем на Help - и ничего не происходит
+1
Сообщение от
priv8v
+ еще в справке - не очень корректно скрины показывать с перехватами от дров даемон_тулз... (имхо)
+1
-
-
Согласен решительно со всем
Все записал в багтрекер, будем править. Как только подготовим следующие "большие" изменения, там же и найденные вами проблемы исправим.
И еще один вопрос... Насколько удобно пользоваться функциональностью окна Autorun? Все ли там понятно и удобно?
-
-
Насколько удобно пользоваться функциональностью окна Autorun? Все ли там понятно и удобно?
с учетом того, что у меня нет ВБА на компе и не использую проверку подписей - все равно очень удобно. даже без разнообразия цветов.
-
Ниже представлены изменения в новой бета-версии антируткита:
ftp://anti-virus.by/beta/Vba32arkit_beta.rar
ftp://anti-virus.by/beta/Vba32arkit_beta.zip
ftp://vba.ok.by/vba/beta/Vba32arkit_beta.rar
ftp://vba.ok.by/vba/beta/Vba32arkit_beta.zip
Vba32 AntiRootKit 3.12.3.1 beta
Как и было обещано, добавили детектирование/восстановление следующих перехватов:
+ Поиск и восстановление перехватов адресов в таблице Shadow SSDT
+ Определение модификации и восстановление исходной таблицы экспорта (EAT) ядра
+ Поиск перехватов обработчиков IRP и FastIO
Восстановление IRP и FastIO добавлять не стали, посчитали это очень опасным.
+ Добавлена кнопка Restore All в окне KernelMode Hooks
* Изменён алгоритм получения имён перехваченных функций
* Улучшен механизм с отображением и восстановлением повреждённых файлов из карантина
Ну и поправили те ошибки/замечания, на которые было указано в прошлый раз:
* Доработан механизм ведения логов
* Исправлено поведение Progress Bar при сканировании системы
Документацию также обновили.
Детектирование сплайсинга сделать не успели (хоть и было обещано), столкнулись с рядом проблем. В следующей бете (3.12.3.2 beta) планируем реализовать механизм расширенного поиска скрытых драйверов и метод, позволяющий получить дамп памяти модуля ядра.
Из известных ошибок в данной бете:
- некорректный поиск некоторых типов перехватов в Windows 2000;
- некорректное открытие файла-помощи на некоторых системах.
И первая и вторая проблема будут исправлены в 3.12.3.2 beta.
2Синауридзе Александр
Расшифровку по цветам дали в хелпе.
2priv8v
С открытием файла помощи пока еще могут быть некоторые проблемы, но в большинстве случаев он уже должен корректно открываться.
С полоской статусбара также поправили. Хоть и немного костыльно, но все равно лучше, чем было раньше.
Насчет desctop.ini у нас тут горячие споры с вирлабом
Ждем обратной связи
P.S. Некоторые трояны уже начали войну против антируткита, добавляя его в Image File Execution Options
-
-
Сообщение от
sergey ulasen
P.S. Некоторые трояны уже начали войну против антируткита, добавляя его в Image File Execution Options
Т. е. зловред изменяет следующий ключ системного реестра?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[ПРИЛОЖЕНИЕ]\"Debugger" = " "
При запуске указанного приложения, вместо него запускается указанное в ключе Debugger?
Последний раз редактировалось Aleksandra; 08.04.2009 в 20:33.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Сообщение от
Aleksandra
Т. е. зловред изменяет следующий ключ системного реестра?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[ПРИЛОЖЕНИЕ]\"Debugger" = " "
Да
-
-
1. Лог работы программы необходимо помещать в zip-архив. Точно также, как это делается в AVZ.
2. Не очень удобно:
Brs_QtnFile() – копирование указанного файла в карантин, выполнится после перезагрузки;
Почему нельзя обойтись без перезагрузки, ведь перед этим была включена технология низкоуровневого доступа к файлам?
3. Скриптовый язык необходимо расширить.
Сердце решает кого любить... Судьба решает с кем быть...
-