Страница 1 из 16 1234511 ... Последняя
Показано с 1 по 20 из 308.

AVZ 4.15 + AVZGuard - тестирование, обсуждение, предложения по доработке

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,216
    Вес репутации
    3387

    AVZ 4.15 + AVZGuard - тестирование, обсуждение, предложения по доработке

    Вышла новая версия AVZ - 4.15.
    Доработки и усовершенствования:
    [+++] Новая система AVZGuard, предназначенная для:
    1. Защиты AVZ и указанных пользователем доверенных приложений от вредоносных программ
    2. Ограничение действий вредоносных программ (блокируется создание файлов, модификация реестра и т.п.)
    [+] Возможность запуска внешней программы из скрипта
    [+] Получение версии AVZ в скрипте (в разном виде)
    [+] Поддержка текстовых файлов и строковых массивов неограниченной длинны в скриптах
    [+] Запуск скрипта из меню
    ----------
    Технология AVZGuard основана на KernelMode драйвере, который разграничивает доступ запущенных приложений к системе. Драйвер может функционировать в системах, основанных на платформе NT (начиная с NT 4.0 и заканчивая Vista Beta 1). Основное назначение - борьба с трудноудалимыми вредоносными программами, которые активно противодействуют процессу лечение компьютера (Look2me, руткиты, и т.п.).
    В момент активации системы все приложения делятся на две категории - доверенные и недоверенные. На доверенные приложения драйвер не оказывает никакого влияния, в то время как недоверенным запрещаются следующие операции:
    • Создание, модификация и удаление параметров реестра
    • Создание файлов с расширениями *.exe, *.dll, *.sys, *.ocx, *.scr, *.cpl, *.pif, *.bat, *.cmd на любом диске
    • Обращение к устройствам \device\rawip, \device\udp, \device\tcp, \device\ip
    • Доступ к device\physicalmemory (что блокирует операции с физической памятью из UserMode)
    • Установка драйверов (является следствием блокировки работы с реестром)
    • Запуск процессов
    • Открытие запущенных процессов с уровнем доступа, допускающим его остановку или запись в его адресное пространство
    • Открытие потоков других процессов (при этом недоверенному процессу не запрещается открывать и останавливать свои потоки)
    Исходно доверенным является только AVZ, но из меню "AVZGuard[FONT=Arial CYR][SIZE=2]\Запустить приложение как доверенное" можно запустить любое приложение. По умолчанию для доверенных приложений действует принцип наследования доверительных отношений - все запускаемые доверенным приложением процессы так-же считаются доверенными.

    Назначение AVZGuard:
    • Борьба с трудноудалимыми троянским программами, которые восстанавливают ключи реестра и удаленные файлы, запускают остановленные процессы или иными способами препятствуют своему удалению. Это основное назначение системы;
    • Защита доверенных приложений от недоверенных. Позволяет защититьAVZ и запущенные им доверенные приложения от воздействия работающих вредоносных программ;
    • Распространение действия антируткита UserMode AVZ на другие процессы. Пример - утилиты типа VBA Console scanner, DrWeb Cure IT, HijackThis и т.п., не обладают функциями детектирования и нейтрализации руткитов. В этом случае можно запустить AVZ, провести нейтрализацию руткитов для его процесса, а затем включить AVZGuard и запустить тот-же DrWeb Cure IT как доверенное приложение. В этом случае драйвер AVZGuard возьмет на себя функцию защиты запущенного процесса, и в том числе не позволит руткиту модифицировать его. Естественно, данная технология не является панацеей от всех видов UserMode руткитов, но основные их типы (в частности Hacker Defender) могут быть нейтрализованы подобным образом.


    Ссылка как обычно - http://z-oleg.com/avz4.zip
    База: 20554 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, 357 микропрограмм эвристики, 47841 подписей безопасных файлов.

    Пример алгоритма лечения Look2me с применением AVZGuard:
    1. Закрыть все приложения, запустить AVZ, включить AVZGuard
    2. Пролечить компьютер, при необходимость применить отложенное удаление файлов Look2me
    3. При необходимости удалить элементы автозапуска Look2me в диспетчере автозапуска и диспетчере расширений Explorer
    4. Выйти из AVZ не отключая AVZGuard и перезагрузить компьютер
    5. После перезагрузки при необходимости "добить" оставшиеся файлы
    Последний раз редактировалось Зайцев Олег; 22.02.2006 в 12:23.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iceman
    Регистрация
    18.09.2004
    Адрес
    Moscow, RU
    Сообщений
    830
    Вес репутации
    103
    А почему не разблокируется " Блокировать работу Rootkit Kernel Mode"?

  4. #3
    Geser
    Guest
    Имеем баг.
    1. Диспетчер служб и драйверов. Тип:все. Имеем всё зелёное.
    2. Переходим на вкладку "Сервисы по анализу реестра".
    3. Возвращаемя на вкладку "Сервисы по данным АПИ" и имеем кучу черных драйверов которые раньше были не видны.
    А всё из за того что меняется селектор с "Активные" на "Все".
    Думаю по умолчанию нужно ставить "Все". А то я не сразу заметил что нужно переключить что бы всё увидеть.
    Еще одна проблема.
    Неактивные службы и драйверы не присутствуют в логе исследования системы!!!

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,216
    Вес репутации
    3387
    Цитата Сообщение от Iceman
    А почему не разблокируется " Блокировать работу Rootkit Kernel Mode"?
    Он блокируется на время работы AVZGuard - т.е. если AVZGuard активен, то блокировка в Kernel Mode автоматом становится неактивной

  6. #5
    Nick222
    Guest
    Что-то на странице закачки не могу найти версию 4.15

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,216
    Вес репутации
    3387
    Цитата Сообщение от Nick222
    Что-то на странице закачки не могу найти версию 4.15
    Наверное, страничка берется из кеша прокси или кеша браузера ...

  8. #7
    Geser
    Guest
    Олег, пост #3 заметил?

  9. #8
    Nick222
    Guest
    А плагин для Бата останется старый?
    Можно не качать?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    136
    текст в заголовке окон о включении/выключении AVZGuard не умещается в окне и нечитаем, поэтому возникает вопрос - а нужен ли он там?

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    419
    А System у тебя в доверенных?
    http://www.softsphere.com - DefenseWall, DefencePlus

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,216
    Вес репутации
    3387
    Цитата Сообщение от rav
    А System у тебя в доверенных?
    Нет, System исходно я включал в доверенные, потом провел опыты и исключил. Т.е. в момент активации в списке доверенных только AVZ и ничего более.
    to MOCT
    Да, текстовка в заголовке этих окошек явно левая - я и не заметил...

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,216
    Вес репутации
    3387
    Цитата Сообщение от Geser
    Олег, пост #3 заметил?
    Да, конечно. Просто предметно сказать по этому поводу ничего не могу - я ищу место и причину бага. А вот исследование системы - другое дело - я специально исключал неактивные сервесы и незагруженные драйверы из лога. Если нужно - включу ...

  14. #13
    lazy userr
    Guest
    Олег, я так понимаю, что AVZGuard не очень годится как постоянно работающий сторож ?

    userr

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,216
    Вес репутации
    3387
    Цитата Сообщение от lazy userr
    Олег, я так понимаю, что AVZGuard не очень годится как постоянно работающий сторож ?

    userr
    AVZGuard - это "сторож на время лечения", чтобы всячески мешать зловредам "ожить". Нормально работать с ним весьма трудно ввиду его черно-белой логики и практически нулевой управляемости.
    Но эта технология в скором времени ляжет в основу монитора AVZ, но там и логика изменится - вместо лобового запрета всем и всего там будут действовать правила, зависящие от приложений и их поведения.
    Но следующая на очереди технология - это "монитор активности". Его идея - слежение за системой в реальном времени и протоколирование событий в единый лог (файлы, реестр, операции с процессами и потоками).

  16. #15
    Geser
    Guest
    я специально исключал неактивные сервесы и незагруженные драйверы из лога. Если нужно - включу ...
    Мне кажется это даёт потенциальную возможность обмануть анализатор. Например сервис который запускается, отрабатывает и завершается. В момент сканирования не активен, но во время старта свою работу выполняет. Не знаю, может еще какие-то похожие способы есть для драйверов. Я думаю стоит в лог включать, только делать пометку что не активен.
    И еще, нужно помечать файлы не найденные на диске.
    Так же не помешала бы автоматическая чистка мусора - файлов не найденных на диске. А то приходит человек, у него вагон файлов в автозапуске, которые удалены давно. Задалбывает объяснять как это всё удалить.

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,216
    Вес репутации
    3387
    Цитата Сообщение от Geser
    Мне кажется это даёт потенциальную возможность обмануть анализатор. Например сервис который запускается, отрабатывает и завершается. В момент сканирования не активен, но во время старта свою работу выполняет. Не знаю, может еще какие-то похожие способы есть для драйверов. Я думаю стоит в лог включать, только делать пометку что не активен.
    И еще, нужно помечать файлы не найденные на диске.
    Так же не помешала бы автоматическая чистка мусора - файлов не найденных на диске. А то приходит человек, у него вагон файлов в автозапуске, которые удалены давно. Задалбывает объяснять как это всё удалить.
    Для драйвера тоже такое возможно - драйвер при инициализации может что-то сделать и затем вернуть статус неуспешной инициализации - тогда система его выгрузит.
    Вывод - я введу в лог исследования столбец "активность" и буду выводить все службы и драйверы. Далее, про ненайденные на диске файлы я тоже сделаю. Чистку системы я давно хотел организавать - это нетрудно, но всегда есть шанс зашибить что-то лишнее оптом. Я продумаю этот вопрос, сделать опциональную функцию "зачистки хвостов" труда не составляет.

  18. #17
    Nick222
    Guest
    Спасибо!
    Скачал, поставил, проверил...

    Но что значит:
    "3. Сканирование дисков
    data.file MailBomb detected !"

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,216
    Вес репутации
    3387
    Цитата Сообщение от Nick222
    Спасибо!
    Скачал, поставил, проверил...

    Но что значит:
    "3. Сканирование дисков
    data.file MailBomb detected !"
    Про "MailBomb detected" я все забываю в доку написать пару абзацев ... Когда идет проверка архивов, то возможно обнаружение файлов, у которых большой распакованный размер и при этом высокая степень сжатия (порог в AVZ - файл более 10 мб, сжатый сильнее чем в 100 раз). Такие архивы применяются в качестве почтовой бомбы против on-line антивирусов (прислывается на проверку архив в 50 кб, а распаковка файла дает несколько Gb). Но файл не обязательно опасен - например, некоторые DBF файлы имеют размер 50-100 мб, и сжимаются при этом до 50-100 кб - это и дает срабатывание.
    В п.п. 8.2 документации описан ключ DetectMailBomb, позволяющий отключить эту проверку.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1640
    При первом запуске нашла неопознаный процесс... (во вложении)
    после перезапуска пока не появлялся...
    ps предыдущая версия такого процесса не видит.


    И предложение, а почему бы не добавить возможность реактирования строк в менеджере hosts файла?

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,216
    Вес репутации
    3387
    Цитата Сообщение от Shu_b
    При первом запуске нашла неопознаный процесс... (во вложении)
    после перезапуска пока не появлялся...
    ps предыдущая версия такого процесса не видит.


    И предложение, а почему бы не добавить возможность реактирования строк в менеджере hosts файла?
    Есть подозрение, что тот псводоскрытый процесс в логе является результатом того, что в момент изучения запущенных процессов процесс с PID 2716 завершил свою работу. Поэтому факт его присутствия зафиксировался, но анализ естетственно не прошел...
    Редактирование файла Hosts я приделаю, где-то в списке доработок это значится.

Страница 1 из 16 1234511 ... Последняя

Похожие темы

  1. AVZ 3.75 - тестирование, обсуждение, предложения по доработке
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 53
    Последнее сообщение: 28.02.2007, 03:18
  2. AVZ 4.19 - 4.21 + AVZGuard - тестирование, обсуждение, предложения по доработке
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 520
    Последнее сообщение: 12.12.2006, 16:07
  3. AVZ 4.18 + AVZGuard - тестирование, обсуждение, предложения по доработке
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 55
    Последнее сообщение: 19.07.2006, 16:36
  4. AVZ 4.16 + AVZGuard - тестирование, обсуждение, предложения по доработке
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 108
    Последнее сообщение: 14.06.2006, 08:40
  5. AVZ 4.00 - тестирование, обсуждение, предложения по доработке
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 406
    Последнее сообщение: 22.02.2006, 11:37

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00937 seconds with 16 queries