-
to aintrust
А драйверу ничего не помешало загрузиться (и AVZ 4.15 тестировался)? Странно, т.к.
1. Я ставлю опыт - запускаем по трем кнопкам штатный диспетчер задач + Process Explorer Руссиновича. Запускаем AVZ Guard и пробуем из диспетчера и PE прибить AVZ. Я лично прибить не смог. Пробуем второй классический прием - внедрение DLL или RemoteThread и ExitProcess - тоже блокируется. Конечно, лазейки есть ... но это явно не лобовой TerminateProcess, применяемый трояном
2. Может, но реально то таких троянских программ пока нет. Появятся - задавлю их методы обхода AVZ
3. Да, сообщение в логе есть ... просто я забыл задавить загрузку avz.sys - он не нужен AVZGuard и как раз вреден, чтобы AVZ не боролся сам с собой ... со временем я их подружу, но в текущей версии этого нет и в идеале avz.sys не должен грузиться
4. Да, за KiST я сейчас не слежу. Ибо для первого варианта реализации в этом смысла нет - звери типа look2me про драйвера в режиме ядра не знают По сути подобная проблема у всех продуктов, использующих KiST - к примеру, антируткит AVZ совершенно свободно давит перехваты то-го же DW, если ему удастся поставить свой драйвер.
5. Ну, это болезнь практически любой UserMode/KernelMode системы - можно или свои IRP ей слать, или драйвер-фильтр повесить для фильтрации. Но шаги в направлении защиты обмена делаются.
Sandbox + монитор - будет, куда же без них. Опытный вариант уже в "скелете" есть. Но AvzGuard - это не Sandbox, а именно блокиратр на время лечения. Поэтому суперзащита ему совершенно незачем - он же не висит постоянно, а включается кратковременно, на время зачистки. а вот монитор/Sandbox - другое дело.
to all
Есть просьба - запустить какой либо диспетчер процессов, затем запустить AVZ, включить AVZGuard и попробовать прибить AVZ - интересны результаты ...
Последний раз редактировалось Зайцев Олег; 24.02.2006 в 20:29.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Process Explorer, Диспетчер, Kernel PS - не прибивают
-
-
Похоже глюк -
http://virusinfo.info/showpost.php?p=67300&postcount=17
В логе
C:\Documents and Settings\All Users\Documents\Settings\ur32art.dll
в разделе "Автозапуск" есть,
а на скриншоте
http://virusinfo.info/showpost.php?p=67288&postcount=10
нет
Последний раз редактировалось RiC; 24.02.2006 в 21:06.
-
-
Сообщение от
RiC
В данном случае все нормально - ur32art.dll прописан в Winlogon, а в менеджере автозапуска Winlogon элементы отображаются отдельно (там в дереве есть ветка для них). На скриншоте выбрана ветка "Автозапуск" , вот его и не видно ... А в логи пишется все, что есть во всех ветвях этого списка
-
-
Сообщение от
Зайцев Олег
1. Я ставлю опыт - запускаем по трем кнопкам штатный диспетчер задач + Process Explorer Руссиновича. Запускаем AVZ Guard и пробуем из диспетчера и PE прибить AVZ. Я лично прибить не смог. Пробуем второй классический прием - внедрение DLL или RemoteThread и ExitProcess - тоже блокируется. Конечно, лазейки есть ... но это явно не лобовой TerminateProcess, применяемый трояном
А что, трояны "по трем кнопкам запускают штатный диспетчер задач или ProcessExplorer", чтобы убить какой-то процесс? Вообще-то, это был TerminateThread()...
Сообщение от
Зайцев Олег
2. Может, но реально то таких троянских программ пока нет. Появятся - задавлю их методы обхода AVZ
Сегодня их нет у тебя в коллекции - завтра появятся... а дыра в защите УЖЕ есть. Ты видишь какой-то смысл держать ее открытой?
Сообщение от
Зайцев Олег
3. Да, сообщение в логе есть ... просто я забыл задавить загрузку avz.sys - он не нужен AVZGuard и как раз вреден, чтобы AVZ не боролся сам с собой ... со временем я их подружу, но в текущей версии этого нет и в идеале avz.sys не должен грузиться
Это да, бывает...
Сообщение от
Зайцев Олег
4. Да, за KiST я сейчас не слежу. Ибо для первого варианта реализации в этом смысла нет - звери типа look2me про драйвера в режиме ядра не знают
По сути подобная проблема у всех продуктов, использующих KiST - к примеру, антируткит AVZ совершенно свободно давит перехваты то-го же DW, если ему удастся поставить свой драйвер.
Здесь ключевое слово - если. DefenseWall-то как раз и не позволит поставить драйвер недоверенному приложению, т.к. следит за приложениями с момента загрузки компьютера, в отличие от AVZGuard, который начинает это делать, когда все зловредные драйверы уже установлены. Впрочем, как я уже написал, на текущий момент времени даже и драйверов никаких не нужно - AVZGuard пока что нейтрализуется самим же драйвером AVZ!
Сообщение от
Зайцев Олег
5. Ну, это болезнь практически любой UserMode/KernelMode системы - можно или свои IRP ей слать, или драйвер-фильтр повесить для фильтрации. Но шаги в направлении защиты обмена делаются.
Хм... Мне казалось, такие вещи продумываются еще на этапе проектирования системы... Впрочем, сколько разработчиков, столько и мнений, наверное.
Сообщение от
Зайцев Олег
Sandbox + монитор - будет, куда же без них. Опытный вариант уже в "скелете" есть. Но AvzGuard - это не Sandbox, а именно блокиратр на время лечения. Поэтому суперзащита ему совершенно незачем - он же не висит постоянно, а включается кратковременно, на время зачистки. а вот монитор/Sandbox - другое дело.
Разве одно другое исключает? Да и речь пока что не идет о суперзащите AVZGuard - я лишь посмотрел на те его функции, которые ты продекларировал в анонсе.
Впрочем, если говорить об AVZGuard vs AVZMonitor, то ты знаешь мое мнение - я не сторонник методов лечения пост-фактум, т.к., на мой взгляд, это пустая трата времени - после такого лечения нет никакой уверенности в том, что у тебя на компьютере чего-нибудь не осталось из живности. Да и лечить в таких случаях, по-хорошему, должен почти профи - "домохозяйка" все равно ничего не поймет из того, что ей скажет AVZ или подобная программа... Поэтому - только монитор, и чем скорее, тем лучше!!!
Сообщение от
Зайцев Олег
to all
Есть просьба - запустить какой либо диспетчер процессов, затем запустить AVZ, включить AVZGuard и попробовать прибить AVZ - интересны результаты ...
Хм... Полагаю, что такой широкомасштабный опыт не имеет особого смысла, ибо практически все методы убиения процесса достаточно хорошо известны.
-
-
to aintrust
трояны в подавляющем большинстве делают лобовую енумерацию процессов/окон и OpenProcess/TerminateProcess. Внедряющиеся как dll любят ExitProcess. Это основная масса - остальное - экзотика. Но и на случай экзотики TerminateThread есть меры и проходить он не должен. Если прошел - значит, что-то неправильно срабатывает.
Мнение про монитор я знаю - но AVZ в первую очередь инструмент на тот случай, когда у пользователя уже есть проблемы и нужно с ними бороться ... если бы у всех пользователей был бы хорошо настроенный Firewall, антивирус с монитором + все заплатки, то и проблем бы не было. Но это то далеко не так.
-
-
Скачать базы одним махом
Сообщение от
Зайцев Олег
3. А есть смысл ? Сила сжатия AVZ файлов превосходит RAR и 7-ZIP по эффективности (можно для пробы сжать любой из *.avz файлов - результат будет нулевым. Единственный плюс может быть только в случае создания архива все папки Base, чтобы скачать все файлы одним махом.
Именно возможность скачать новые базы в одном архиве за раз и привлекла. Zip был упомянут лишь как самый распространенный архиватор. Архивировать можно и с нулевым сжатием.
Насколько сложно на данном этапе развития AVZ это реализовать? Было бы очень удобно...
-
-
Сообщение от
Sam
Именно возможность скачать новые базы в одном архиве за раз и привлекла. Zip был упомянут лишь как самый распространенный архиватор. Архивировать можно и с нулевым сжатием.
Насколько сложно на данном этапе развития AVZ это реализовать? Было бы очень удобно...
Я так и подумал - чтобы все базы оптом загружать. Я сделаю такую возможность, тем более что я хочу надаить ежедневный выпуск обновлений и переделываю формировалку баз ...
-
-
-
-
Сообщение от
Зайцев Олег
to aintrust
трояны в подавляющем большинстве делают лобовую енумерацию процессов/окон и OpenProcess/TerminateProcess. Внедряющиеся как dll любят ExitProcess. Это основная масса - остальное - экзотика. Но и на случай экзотики TerminateThread есть меры и проходить он не должен. Если прошел - значит, что-то неправильно срабатывает.
А какие, в частности, в AVZGuard есть меры на "случай экзотики", как ты называешь, OpenThread()/TerminateThread()? Я что-то ничего не заметил (или плохо смотрел)?
Впрочем, идет хоккей, и я смотрю на AVZ только в перерывах между периодами! Наши безбожно проигрывают...
Кстати, попутно нашел еще один "прокол" в том списке, что представлен в анонсе:
Сообщение от
Зайцев Олег
Исходно доверенным является только AVZ, но из меню "AVZGuard\Запустить приложение как доверенное" можно запустить любое приложение. По умолчанию для доверенных приложений действует принцип наследования доверительных отношений - все запускаемые доверенным приложением процессы так-же считаются доверенными.
Последнее не работает - дочерний процесс от запущенного доверенного или не стартует вообще, или стартует ровно один раз.
Ровно один раз работает в таком сценарии:
- включается AVZGuard;
- затем из меню "AVZGuard" -> "Запустить приложение как доверенное" выбирается и запускается Far.exe - пока все ОК;
- затем делается попытка изнутри Far-а запустить консольное приложение. Первый раз оно запускается успешно, второй и все последующие - неуспешно, с сообщением "Access denied".
А вот, к примеру, картинка, когда совсем не сработало: AVZGuard и запуск Проводника как доверенного процесса.
Делалось так:
- включался AVZGuard;
- затем из меню "AVZGuard" -> "Запустить приложение как доверенное" выбирался и запускался Explorer.exe;
- затем делалась попытка изнутри Проводника запустить Far.exe - увы, безуспешно, с сообщением "Отказано в доступе" (см. картинку).
Конечно, Проводник - это, в отличие от Far, особый случай, но и такие случаи должны корректно отрабатываться.
[edit]
В дополнение ко всему после нескольких запусков AVZ с включением/выключением AVZGuard получил еще и синий экран во время shutdown-а компьютера, а именно:
Bug Check 0xCE: DRIVER_UNLOADED_WITHOUT_CANCELLING_PENDING_OPERATI ONS в модуле avzsg.sys. Дампа, к сожалению, нет - была выключена опция вывода...
Явно какой-то странноватый баг в драйвере AVZGuard.
Все, с меня пока хватит этих экспериментов с AVZ ... подожду более продвинутой и устойчивой версии.
Последний раз редактировалось aintrust; 25.02.2006 в 02:30.
-
-
to aintrust
Я тоже смотрел хоккей - наши продули
С наследованием доверительных отношений я сегодня провел проверки - в результате обнаружился баг, который и был пофиксен - теперь все наследуется как положено.
По поводу защиты процессов - оказалось, что avzsg.sys для релиза собран с прагмой, отсекающей все "навороты" кроме лобовой защиты. Поэтому получалось убить процесс AVZ разными "нелобовыми" методами. Я немного усилил защиту, теперь ьазовые методы убиения не прододят. Драйвер версии 1.01 прицеплен к теме, можно его закинуть для опытов поверх имеющегося ...
Последний раз редактировалось Зайцев Олег; 07.03.2007 в 22:07.
-
-
2 Зайцев Олег,
вообщем этот процесс возникает после работы с терминалом заказов "одного магазина"...
-
-
Сообщение от
Shu_b
2 Зайцев Олег,
вообщем этот процесс возникает после работы с терминалом заказов "одного магазина"...
Shu_b, чтобы "разобраться" с этим скрытым процессом, я бы настоятельно порекомендовал вам воспользоваться более специализированными программами для поиска/диагностики руткитов, нежели чем AVZ - к примеру, BlackLight финской компании F-Secure (ее триальную полнофункциональную версию можно найти тут - http://www.f-secure.com/blacklight/try.shtml) или RootkitRevealer от Sysinternals (ее можно найти тут - http://www.sysinternals.com/Utilitie...tRevealer.html).
Для поиска модуля скрытого процесса стоит также попробовать ProcessHunter, написанный MS Rem-ом (найти ее можно тут - http://www.wasm.ru/pub/21/files/phunter.rar). Эта программа содержит множество методик поиска скрытых процессов и соответствующих им модулей на диске.
PS. Извиняюсь, что невольно получился off-topic - перенесите, если необходимо, в соответствующий раздел.
PPS. А если не секрет, что это за онлайновый магазин? Какой-то известный?
Последний раз редактировалось aintrust; 25.02.2006 в 20:13.
-
-
Сообщение от
Зайцев Олег
to aintrust
Драйвер версии 1.01 прицеплен к теме, можно его закинуть для опытов поверх имеющегося ...
А может перезалить дистрибутив с новым драйвером, глюков вроде нет и непотопляемость повысилась.
-
-
Сообщение от
RiC
А может перезалить дистрибутив с новым драйвером, глюков вроде нет и непотопляемость повысилась.
да, я завтра так и сделаю - выйдет новый релиз с обновленным драйвером.
-
-
Сообщение от
Зайцев Олег
to aintrust...
По поводу защиты процессов - оказалось, что avzsg.sys для релиза собран с прагмой, отсекающей все "навороты" кроме лобовой защиты. Поэтому получалось убить процесс AVZ разными "нелобовыми" методами. Я немного усилил защиту, теперь ьазовые методы убиения не прододят. Драйвер версии 1.01 прицеплен к теме, можно его закинуть для опытов поверх имеющегося ...
Все равно AVZ в режиме AVZGuard легко убивается любым недоверенным user-mode процессом... впрочем, он убивается даже (!!!) стандартным виндовым Task Manager-ом
-
-
Сообщение от
RiC
А может перезалить дистрибутив с новым драйвером, глюков вроде нет и непотопляемость повысилась.
Полагаю, что пока рановато перезаливать - и глюки есть, и непотопляемость не повысилась.
-
-
Несколько замечаний:
1) Переключатель "Блокировать работу RootKit" не должен быть доступен при выключенном переключателе "Детектировать RootKit".
2) Если запустить скрипт через bat файл, то в AVZ появляется кнопка "Прервать работу скрипта", если же запустить скрипт прямо из AVZ через "Файл" -> "Выполнить скрипт", то такая кнопка не появляется.
3) При запуске скрипта в протокол ничего об этом не пишется. А по-моему стоило бы писать хотя бы о начале и завершении выполнения скрипта и его имя/путь. Что-то вроде
"Запущен скрипт С:\files\script1.avz"
...
"Выполнение скрипта завершено".
-
-
Кнопочки двигаются
Внесу свою лепту:
При расширении окон, кнопочки двигаются:)
knopofki.gif
-
-
Сообщение от
Campri
Внесу свою лепту:
При расширении окон, кнопочки двигаются
Заскучали, видать... застоялись!
-