-
Сообщение от
Aleksandra
1. Лог работы программы необходимо помещать в zip-архив. Точно также, как это делается в AVZ.
Доберемся и до этого Чуть позже.
Сообщение от
Aleksandra
2. Не очень удобно:
Почему нельзя обойтись без перезагрузки, ведь перед этим была включена технология низкоуровневого доступа к файлам?
Технологии низкоуровневого доступа к файлам пока нет. Но она уже в разработке.
Сообщение от
Aleksandra
3. Скриптовый язык необходимо расширить.
Не все сразу
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте, Сергей! Скажите пожалуйста как продвигается работа по усовершенствованию антируткита?
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Сообщение от
Aleksandra
Здравствуйте, Сергей! Скажите пожалуйста как продвигается работа по усовершенствованию антируткита?
До конца месяца выпустим бету 3.12.3.2. Счас файл помощи пишется.
-
-
Vba32 AntiRootKit 3.12.3.2 beta:
ftp://anti-virus.by/beta/Vba32arkit_beta.rar
ftp://anti-virus.by/beta/Vba32arkit_beta.zip
ftp://vba.ok.by/vba/beta/Vba32arkit_beta.rar
ftp://vba.ok.by/vba/beta/Vba32arkit_beta.zip
В данную бета-версию вошли следующие изменения:
+ Поиск и восстановление перехватов в таблице экспорта Hal.dll
+ Поиск и восстановление перехватов в таблице экспорта Ndis.sys
В предыдущей версии был реализован поиск и восстановление перехватов в EAT для Ntoskrnl.exe, сейчас его просто расширили на Hal.dll и Ndis.sys
+ Возможность установки драйвера антируткита для расширенного мониторинга модулей ядра
В меню появился новый пункт ArKit Driver, из которого можно проинсталлировать (и деинсталлировать) драйвер антируткита. Драйвер будет загружаться вместе с системой. Основное назначение данного режима - поиск скрытых модулей ядра (а в будущем и скрытых процессов).
+ Поиск модификаций (сплайсинг) и восстановление исходного кода функции KiFastCallEntry и функций таблиц SSDT, Shadow SSDT, а также функций, экспортируемых Ntoskrnl.exe, Hal.dll, Ndis.sys
Пожалуй, один из самых сложных пунктов Прежде всего из-за того, что возможны "ложняки". Мы постарались охватить все операционные системы с различными сервис-паками для тестирования. Но на различных "XP SP0" они возможны, и исправлять их совсем не хочется.
+ Возможность снятия дампов памяти модулей ядра
Полезная функциональность для быстрого анализа подозрительного модуля.
+ Возможность сохранения протокола сканирования в Zip-архив
Многие указывали на необходимость данной функции. Aleksandra, была настойчивее всех, за что ей огромное спасибо
+ Автоматическое обнаружение установленного комплекса VBA32 (маркер "Use AV Kernel")
Т.е. если комплекс у пользователя не установлен, попытки загрузить АВ-ядро не будет.
* Улучшен механизм обнаружения перехватов SysEnter
* Более быстрое получение списка перехватов в KernelMode
* Доработан интерфейс и исправлены некоторые ошибки (навигация в окне Autorun, маркер "Check digital signature" в дочерних окнах, отображение итогов сканирования в основном окне программы, меню Tools)
Фокус в дереве при проверки автозагрузки при навигации между пунктами теперь не теряется.
* Исправлены ошибки детектирования перехватов (в частности, на Windows 2000)
* Доработан механизм ведения логов
* Доработан файл помощи
Прошу обратить особое внимание на файл помощи.
Хочется обратить внимание на то, что функциональность совсем свежая и потому возможны падения в BSOD. Если такая беда у вас случилась, не поленитесь и пришлите нам хотя бы минидамп. Наша благодарность не будет знать границ.
О планах: в следующем релизе хотелось бы увидеть детектирование IDT-перехватов, анализ кодовых секций, поддержка Windows 7.
-
-
Т.е. если комплекс у пользователя не установлен, попытки загрузить АВ-ядро не будет.
Может быть попытки загрузки и нет, но в отчете "Couldn't load AV-kernel!!!" так и задумано?
-
-
Сообщение от
Гриша
Может быть попытки загрузки и нет, но в отчете "Couldn't load AV-kernel!!!" так и задумано?
На главной морде такой записи быть не должно, а в отчете оставили, чтобы было понятно, проводилась ли проверка ядром.
...
Я тут подумал, что тут действительно нестыковка получается. Надо будет в этой части логику еще поменять.
Последний раз редактировалось sergey ulasen; 27.05.2009 в 17:42.
-
-
Спасибо, Сергей! Вы держите свое слово. Список изменений беты впечатляет. Я все внимательно посмотрю. Нужно будет еще в Чаво внести некоторые изменения. В разделе "Помогите!" буду подключать программу в работу (где будет возможность).
Сердце решает кого любить... Судьба решает с кем быть...
-
-
-
2Rashevskiy
Пока идут работы над функциональностью прямого чтения. После его реализации уже можно будет говорить и о mbr.
-
-
Сообщение от
sergey ulasen
2Rashevskiy
Пока идут работы над функциональностью прямого чтения. После его реализации уже можно будет говорить и о mbr.
Насчет MBR было пожелание на будущее, надеюсь, что его учтут.
-
Сергей! Как обещала Вам, я посмотрела новую бета-версию программы. Впечатления остались самые хорошие. Спасибо.
Из того, что понравилось:
1. Общая стабильность антируткита;
2. Драйвер антируткита для расширенного мониторинга модулей ядра грамотно инсталлируется и деинсталлируется;
3. Программа умеет генерировать случайное имя драйвера;
4. Автоматическое обнаружение установленного комплекса VBA32;
5. Возможность сохранения протокола в архив.
Из того, что на мой взгляд необходимо доработать:
1. При установке драйвера антируткита необходимо сделать автоматическую перезагрузку ОС (с предварительным подтверждением);
2. Галочка в Create ZIP archive должна быть по-дефолту.
По скриптам:
Код:
Brs_Start();
CollectState();
Brs_QtnFile("c:\file.exe");
Brs_DelFile("c:\file.exe");
RebootSystem();
1. Удаление файла не сработало.
2. Карантин сжимать в архив с паролем для того, чтобы у пользователя была возможность его оперативно отправлять.
p. s. Желательно расширить скриптовый язык.
Последний раз редактировалось Aleksandra; 31.05.2009 в 19:30.
Причина: Добавлено
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Сообщение от
Aleksandra
Из того, что на мой взгляд необходимо доработать:
1. При установке драйвера антируткита необходимо сделать автоматическую перезагрузку ОС (с предварительным подтверждением);
В принцепе логично.
2. Галочка в Create ZIP archive должна быть по-дефолту.
Спорный вопрос. Какие приведете аргументы?
По скриптам:
Код:
Brs_Start();
CollectState();
Brs_QtnFile("c:\file.exe");
Brs_DelFile("c:\file.exe");
RebootSystem();
1. Удаление файла не сработало.
А сам файл закарантинился?
p. s. Желательно расширить скриптовый язык.
Не все сразу. Всему свое время
-
Цитата:
2. Галочка в Create ZIP archive должна быть по-дефолту.
Спорный вопрос. Какие приведете аргументы?
Итак. Для чего собираться будет лог? Скорее всего для загрузки на форум или на файлообменник. Если на форум, то нужно еще поискать форум, который будет принимать во вложения файлы в формате html, поэтому пользователю придется дополнительные финты ушами делать (архивировать лог).
А если загрузка на файлообменник, то архив и меньше места занимает и спокойнее это как-то качать архив.
При установке драйвера антируткита необходимо сделать автоматическую перезагрузку ОС (с предварительным подтверждением);
Предлагаю это сделать "по желанию" - с управлением этим "желанием" через параметры.
-
Сообщение от
Groft
В принцепе логично.
Уж куда логичнее...
Сообщение от
Groft
Спорный вопрос. Какие приведете аргументы?
Мой ответ будет идентичен ответу priv8v. А иначе, зачем тогда все это нужно?
Сообщение от
Groft
А сам файл закарантинился?
Да, и эти файлы крайне желательно помещать в архив с паролем.
Сообщение от
Groft
Не все сразу. Всему свое время
Согласна. Если в ближайшее время будут внесены соответствующие изменения, то можно переходить к испытаниям в реальных боевых условиях.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Сообщение от
Aleksandra
Сергей! Как обещала Вам, я посмотрела новую бета-версию программы. Впечатления остались самые хорошие. Спасибо.
И вам спасибо!
Сообщение от
Aleksandra
Из того, что на мой взгляд необходимо доработать:
1. При установке драйвера антируткита необходимо сделать автоматическую перезагрузку ОС (с предварительным подтверждением);
2. Галочка в Create ZIP archive должна быть по-дефолту.
Сделаем к следующей бете.
Сообщение от
Aleksandra
По скриптам:
1. Удаление файла не сработало.
2. Карантин сжимать в архив с паролем для того, чтобы у пользователя была возможность его оперативно отправлять.
p. s. Желательно расширить скриптовый язык.
До скриптов доберемся позже.
С карантином - не могу обещать, что мы это сделаем к следующей бете, но в одной из ближайших будем стараться.
-
-
Прошу обратить особое внимание на файл помощи.
замечено, в редакторе скриптов по F1 патается найти файл *.hlp, когда из главного окна без вопросов подгружает *.chm
-
Сообщение от
NickM
замечено, в редакторе скриптов по F1 патается найти файл *.hlp, когда из главного окна без вопросов подгружает *.chm
Спасибо, повторяется.
-
-
По поводу встроенного командного языка есть соображение - функциям стоит давать имена не изобилующие частым переключением caps lock'a. Если описанные в примере выше имена функций из стандартного набора,то не стоит сильно увлекаться именованием функциий ( комманд) подобным образом.
-
замечено, в окне Kernel Modules если у модуля обнаружены аномалии состояния в памяти системы, он выделяется желтым цветом (Modified Image) и при этом выбрать флаг Don’t display files digitally signed, то подозрительная(желтая) запись тоже исключается из списка, если далее нажать кнопку Refresh она появляется всписке
-
По поводу встроенного командного языка есть соображение - функциям стоит давать имена не изобилующие частым переключением caps lock'a. Если описанные в примере выше имена функций из стандартного набора,то не стоит сильно увлекаться именованием функциий ( комманд) подобным образом.
Да. Над этим тоже сказали, что поработают, но стоит учесть, что по шифту удобнее заглавные набирать, чем по капс-локу + язык можно сделать регистронезависимым.
Т.е вот ХоТь ТаК пИшИ
PS: хотя, если следовать венгерской нотации...