Страница 3 из 16 Первая 123456713 ... Последняя
Показано с 41 по 60 из 308.

AVZ 4.15 + AVZGuard - тестирование, обсуждение, предложения по доработке

  1. #41
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    to aintrust
    А драйверу ничего не помешало загрузиться (и AVZ 4.15 тестировался)? Странно, т.к.
    1. Я ставлю опыт - запускаем по трем кнопкам штатный диспетчер задач + Process Explorer Руссиновича. Запускаем AVZ Guard и пробуем из диспетчера и PE прибить AVZ. Я лично прибить не смог. Пробуем второй классический прием - внедрение DLL или RemoteThread и ExitProcess - тоже блокируется. Конечно, лазейки есть ... но это явно не лобовой TerminateProcess, применяемый трояном
    2. Может, но реально то таких троянских программ пока нет. Появятся - задавлю их методы обхода AVZ
    3. Да, сообщение в логе есть ... просто я забыл задавить загрузку avz.sys - он не нужен AVZGuard и как раз вреден, чтобы AVZ не боролся сам с собой ... со временем я их подружу, но в текущей версии этого нет и в идеале avz.sys не должен грузиться
    4. Да, за KiST я сейчас не слежу. Ибо для первого варианта реализации в этом смысла нет - звери типа look2me про драйвера в режиме ядра не знают По сути подобная проблема у всех продуктов, использующих KiST - к примеру, антируткит AVZ совершенно свободно давит перехваты то-го же DW, если ему удастся поставить свой драйвер.
    5. Ну, это болезнь практически любой UserMode/KernelMode системы - можно или свои IRP ей слать, или драйвер-фильтр повесить для фильтрации. Но шаги в направлении защиты обмена делаются.
    Sandbox + монитор - будет, куда же без них. Опытный вариант уже в "скелете" есть. Но AvzGuard - это не Sandbox, а именно блокиратр на время лечения. Поэтому суперзащита ему совершенно незачем - он же не висит постоянно, а включается кратковременно, на время зачистки. а вот монитор/Sandbox - другое дело.
    to all
    Есть просьба - запустить какой либо диспетчер процессов, затем запустить AVZ, включить AVZGuard и попробовать прибить AVZ - интересны результаты ...
    Последний раз редактировалось Зайцев Олег; 24.02.2006 в 20:29.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #42
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    232
    Process Explorer, Диспетчер, Kernel PS - не прибивают

  4. #43
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Похоже глюк -
    http://virusinfo.info/showpost.php?p=67300&postcount=17

    В логе
    C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
    в разделе "Автозапуск" есть,

    а на скриншоте
    http://virusinfo.info/showpost.php?p=67288&postcount=10
    нет
    Последний раз редактировалось RiC; 24.02.2006 в 21:06.

  5. #44
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от RiC
    Похоже глюк -
    http://virusinfo.info/showpost.php?p=67300&postcount=17
    В логе
    C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
    в разделе "Автозапуск" есть,
    а на скриншоте
    http://virusinfo.info/showpost.php?p=67288&postcount=10
    нет
    В данном случае все нормально - ur32art.dll прописан в Winlogon, а в менеджере автозапуска Winlogon элементы отображаются отдельно (там в дереве есть ветка для них). На скриншоте выбрана ветка "Автозапуск" , вот его и не видно ... А в логи пишется все, что есть во всех ветвях этого списка

  6. #45
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    317
    Цитата Сообщение от Зайцев Олег
    1. Я ставлю опыт - запускаем по трем кнопкам штатный диспетчер задач + Process Explorer Руссиновича. Запускаем AVZ Guard и пробуем из диспетчера и PE прибить AVZ. Я лично прибить не смог. Пробуем второй классический прием - внедрение DLL или RemoteThread и ExitProcess - тоже блокируется. Конечно, лазейки есть ... но это явно не лобовой TerminateProcess, применяемый трояном
    А что, трояны "по трем кнопкам запускают штатный диспетчер задач или ProcessExplorer", чтобы убить какой-то процесс? Вообще-то, это был TerminateThread()...

    Цитата Сообщение от Зайцев Олег
    2. Может, но реально то таких троянских программ пока нет. Появятся - задавлю их методы обхода AVZ
    Сегодня их нет у тебя в коллекции - завтра появятся... а дыра в защите УЖЕ есть. Ты видишь какой-то смысл держать ее открытой?

    Цитата Сообщение от Зайцев Олег
    3. Да, сообщение в логе есть ... просто я забыл задавить загрузку avz.sys - он не нужен AVZGuard и как раз вреден, чтобы AVZ не боролся сам с собой ... со временем я их подружу, но в текущей версии этого нет и в идеале avz.sys не должен грузиться
    Это да, бывает...

    Цитата Сообщение от Зайцев Олег
    4. Да, за KiST я сейчас не слежу. Ибо для первого варианта реализации в этом смысла нет - звери типа look2me про драйвера в режиме ядра не знают По сути подобная проблема у всех продуктов, использующих KiST - к примеру, антируткит AVZ совершенно свободно давит перехваты то-го же DW, если ему удастся поставить свой драйвер.
    Здесь ключевое слово - если. DefenseWall-то как раз и не позволит поставить драйвер недоверенному приложению, т.к. следит за приложениями с момента загрузки компьютера, в отличие от AVZGuard, который начинает это делать, когда все зловредные драйверы уже установлены. Впрочем, как я уже написал, на текущий момент времени даже и драйверов никаких не нужно - AVZGuard пока что нейтрализуется самим же драйвером AVZ!

    Цитата Сообщение от Зайцев Олег
    5. Ну, это болезнь практически любой UserMode/KernelMode системы - можно или свои IRP ей слать, или драйвер-фильтр повесить для фильтрации. Но шаги в направлении защиты обмена делаются.
    Хм... Мне казалось, такие вещи продумываются еще на этапе проектирования системы... Впрочем, сколько разработчиков, столько и мнений, наверное.

    Цитата Сообщение от Зайцев Олег
    Sandbox + монитор - будет, куда же без них. Опытный вариант уже в "скелете" есть. Но AvzGuard - это не Sandbox, а именно блокиратр на время лечения. Поэтому суперзащита ему совершенно незачем - он же не висит постоянно, а включается кратковременно, на время зачистки. а вот монитор/Sandbox - другое дело.
    Разве одно другое исключает? Да и речь пока что не идет о суперзащите AVZGuard - я лишь посмотрел на те его функции, которые ты продекларировал в анонсе.

    Впрочем, если говорить об AVZGuard vs AVZMonitor, то ты знаешь мое мнение - я не сторонник методов лечения пост-фактум, т.к., на мой взгляд, это пустая трата времени - после такого лечения нет никакой уверенности в том, что у тебя на компьютере чего-нибудь не осталось из живности. Да и лечить в таких случаях, по-хорошему, должен почти профи - "домохозяйка" все равно ничего не поймет из того, что ей скажет AVZ или подобная программа... Поэтому - только монитор, и чем скорее, тем лучше!!!

    Цитата Сообщение от Зайцев Олег
    to all
    Есть просьба - запустить какой либо диспетчер процессов, затем запустить AVZ, включить AVZGuard и попробовать прибить AVZ - интересны результаты ...
    Хм... Полагаю, что такой широкомасштабный опыт не имеет особого смысла, ибо практически все методы убиения процесса достаточно хорошо известны.

  7. #46
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    to aintrust
    трояны в подавляющем большинстве делают лобовую енумерацию процессов/окон и OpenProcess/TerminateProcess. Внедряющиеся как dll любят ExitProcess. Это основная масса - остальное - экзотика. Но и на случай экзотики TerminateThread есть меры и проходить он не должен. Если прошел - значит, что-то неправильно срабатывает.
    Мнение про монитор я знаю - но AVZ в первую очередь инструмент на тот случай, когда у пользователя уже есть проблемы и нужно с ними бороться ... если бы у всех пользователей был бы хорошо настроенный Firewall, антивирус с монитором + все заплатки, то и проблем бы не было. Но это то далеко не так.

  8. #47
    Sam
    Guest

    Скачать базы одним махом

    Цитата Сообщение от Зайцев Олег
    3. А есть смысл ? Сила сжатия AVZ файлов превосходит RAR и 7-ZIP по эффективности (можно для пробы сжать любой из *.avz файлов - результат будет нулевым. Единственный плюс может быть только в случае создания архива все папки Base, чтобы скачать все файлы одним махом.
    Именно возможность скачать новые базы в одном архиве за раз и привлекла. Zip был упомянут лишь как самый распространенный архиватор. Архивировать можно и с нулевым сжатием.
    Насколько сложно на данном этапе развития AVZ это реализовать? Было бы очень удобно...

  9. #48
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Sam
    Именно возможность скачать новые базы в одном архиве за раз и привлекла. Zip был упомянут лишь как самый распространенный архиватор. Архивировать можно и с нулевым сжатием.
    Насколько сложно на данном этапе развития AVZ это реализовать? Было бы очень удобно...
    Я так и подумал - чтобы все базы оптом загружать. Я сделаю такую возможность, тем более что я хочу надаить ежедневный выпуск обновлений и переделываю формировалку баз ...

  10. #49
    Sam
    Guest

    Скачать базы одним махом

    2Зайцев Олег
    Спасибо!

  11. #50
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    317
    Цитата Сообщение от Зайцев Олег
    to aintrust
    трояны в подавляющем большинстве делают лобовую енумерацию процессов/окон и OpenProcess/TerminateProcess. Внедряющиеся как dll любят ExitProcess. Это основная масса - остальное - экзотика. Но и на случай экзотики TerminateThread есть меры и проходить он не должен. Если прошел - значит, что-то неправильно срабатывает.
    А какие, в частности, в AVZGuard есть меры на "случай экзотики", как ты называешь, OpenThread()/TerminateThread()? Я что-то ничего не заметил (или плохо смотрел)?

    Впрочем, идет хоккей, и я смотрю на AVZ только в перерывах между периодами! Наши безбожно проигрывают...

    Кстати, попутно нашел еще один "прокол" в том списке, что представлен в анонсе:
    Цитата Сообщение от Зайцев Олег
    Исходно доверенным является только AVZ, но из меню "AVZGuard\Запустить приложение как доверенное" можно запустить любое приложение. По умолчанию для доверенных приложений действует принцип наследования доверительных отношений - все запускаемые доверенным приложением процессы так-же считаются доверенными.
    Последнее не работает - дочерний процесс от запущенного доверенного или не стартует вообще, или стартует ровно один раз.
    Ровно один раз работает в таком сценарии:
    - включается AVZGuard;
    - затем из меню "AVZGuard" -> "Запустить приложение как доверенное" выбирается и запускается Far.exe - пока все ОК;
    - затем делается попытка изнутри Far-а запустить консольное приложение. Первый раз оно запускается успешно, второй и все последующие - неуспешно, с сообщением "Access denied".

    А вот, к примеру, картинка, когда совсем не сработало: AVZGuard и запуск Проводника как доверенного процесса.
    Делалось так:
    - включался AVZGuard;
    - затем из меню "AVZGuard" -> "Запустить приложение как доверенное" выбирался и запускался Explorer.exe;
    - затем делалась попытка изнутри Проводника запустить Far.exe - увы, безуспешно, с сообщением "Отказано в доступе" (см. картинку).
    Конечно, Проводник - это, в отличие от Far, особый случай, но и такие случаи должны корректно отрабатываться.

    [edit]
    В дополнение ко всему после нескольких запусков AVZ с включением/выключением AVZGuard получил еще и синий экран во время shutdown-а компьютера, а именно:
    Bug Check 0xCE: DRIVER_UNLOADED_WITHOUT_CANCELLING_PENDING_OPERATI ONS в модуле avzsg.sys. Дампа, к сожалению, нет - была выключена опция вывода...
    Явно какой-то странноватый баг в драйвере AVZGuard.

    Все, с меня пока хватит этих экспериментов с AVZ ... подожду более продвинутой и устойчивой версии.
    Последний раз редактировалось aintrust; 25.02.2006 в 02:30.

  12. #51
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    to aintrust
    Я тоже смотрел хоккей - наши продули
    С наследованием доверительных отношений я сегодня провел проверки - в результате обнаружился баг, который и был пофиксен - теперь все наследуется как положено.
    По поводу защиты процессов - оказалось, что avzsg.sys для релиза собран с прагмой, отсекающей все "навороты" кроме лобовой защиты. Поэтому получалось убить процесс AVZ разными "нелобовыми" методами. Я немного усилил защиту, теперь ьазовые методы убиения не прододят. Драйвер версии 1.01 прицеплен к теме, можно его закинуть для опытов поверх имеющегося ...
    Последний раз редактировалось Зайцев Олег; 07.03.2007 в 22:07.

  13. #52
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    2 Зайцев Олег,
    вообщем этот процесс возникает после работы с терминалом заказов "одного магазина"...

  14. #53
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    317
    Цитата Сообщение от Shu_b
    2 Зайцев Олег,
    вообщем этот процесс возникает после работы с терминалом заказов "одного магазина"...
    Shu_b, чтобы "разобраться" с этим скрытым процессом, я бы настоятельно порекомендовал вам воспользоваться более специализированными программами для поиска/диагностики руткитов, нежели чем AVZ - к примеру, BlackLight финской компании F-Secure (ее триальную полнофункциональную версию можно найти тут - http://www.f-secure.com/blacklight/try.shtml) или RootkitRevealer от Sysinternals (ее можно найти тут - http://www.sysinternals.com/Utilitie...tRevealer.html).

    Для поиска модуля скрытого процесса стоит также попробовать ProcessHunter, написанный MS Rem-ом (найти ее можно тут - http://www.wasm.ru/pub/21/files/phunter.rar). Эта программа содержит множество методик поиска скрытых процессов и соответствующих им модулей на диске.

    PS. Извиняюсь, что невольно получился off-topic - перенесите, если необходимо, в соответствующий раздел.
    PPS. А если не секрет, что это за онлайновый магазин? Какой-то известный?
    Последний раз редактировалось aintrust; 25.02.2006 в 20:13.

  15. #54
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от Зайцев Олег
    to aintrust
    Драйвер версии 1.01 прицеплен к теме, можно его закинуть для опытов поверх имеющегося ...
    А может перезалить дистрибутив с новым драйвером, глюков вроде нет и непотопляемость повысилась.

  16. #55
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от RiC
    А может перезалить дистрибутив с новым драйвером, глюков вроде нет и непотопляемость повысилась.
    да, я завтра так и сделаю - выйдет новый релиз с обновленным драйвером.

  17. #56
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    317
    Цитата Сообщение от Зайцев Олег
    to aintrust...
    По поводу защиты процессов - оказалось, что avzsg.sys для релиза собран с прагмой, отсекающей все "навороты" кроме лобовой защиты. Поэтому получалось убить процесс AVZ разными "нелобовыми" методами. Я немного усилил защиту, теперь ьазовые методы убиения не прододят. Драйвер версии 1.01 прицеплен к теме, можно его закинуть для опытов поверх имеющегося ...
    Все равно AVZ в режиме AVZGuard легко убивается любым недоверенным user-mode процессом... впрочем, он убивается даже (!!!) стандартным виндовым Task Manager-ом

  18. #57
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    317
    Цитата Сообщение от RiC
    А может перезалить дистрибутив с новым драйвером, глюков вроде нет и непотопляемость повысилась.
    Полагаю, что пока рановато перезаливать - и глюки есть, и непотопляемость не повысилась.

  19. #58
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Несколько замечаний:
    1) Переключатель "Блокировать работу RootKit" не должен быть доступен при выключенном переключателе "Детектировать RootKit".
    2) Если запустить скрипт через bat файл, то в AVZ появляется кнопка "Прервать работу скрипта", если же запустить скрипт прямо из AVZ через "Файл" -> "Выполнить скрипт", то такая кнопка не появляется.
    3) При запуске скрипта в протокол ничего об этом не пишется. А по-моему стоило бы писать хотя бы о начале и завершении выполнения скрипта и его имя/путь. Что-то вроде
    "Запущен скрипт С:\files\script1.avz"
    ...
    "Выполнение скрипта завершено".
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  20. #59
    Campri
    Guest

    Кнопочки двигаются

    Внесу свою лепту:

    При расширении окон, кнопочки двигаются:)

    knopofki.gif

  21. #60
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    317
    Цитата Сообщение от Campri
    Внесу свою лепту:
    При расширении окон, кнопочки двигаются
    Заскучали, видать... застоялись!

Страница 3 из 16 Первая 123456713 ... Последняя

Похожие темы

  1. AVZ 3.75 - тестирование, обсуждение, предложения по доработке
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 53
    Последнее сообщение: 28.02.2007, 03:18
  2. AVZ 4.19 - 4.21 + AVZGuard - тестирование, обсуждение, предложения по доработке
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 520
    Последнее сообщение: 12.12.2006, 16:07
  3. AVZ 4.18 + AVZGuard - тестирование, обсуждение, предложения по доработке
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 55
    Последнее сообщение: 19.07.2006, 17:36
  4. AVZ 4.16 + AVZGuard - тестирование, обсуждение, предложения по доработке
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 108
    Последнее сообщение: 14.06.2006, 09:40
  5. AVZ 4.00 - тестирование, обсуждение, предложения по доработке
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 406
    Последнее сообщение: 22.02.2006, 11:37

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01348 seconds with 18 queries