-
AVZ 4.15 + AVZGuard - тестирование, обсуждение, предложения по доработке
Вышла новая версия AVZ - 4.15.
Доработки и усовершенствования:
[+++] Новая система AVZGuard, предназначенная для:
1. Защиты AVZ и указанных пользователем доверенных приложений от вредоносных программ
2. Ограничение действий вредоносных программ (блокируется создание файлов, модификация реестра и т.п.)
[+] Возможность запуска внешней программы из скрипта
[+] Получение версии AVZ в скрипте (в разном виде)
[+] Поддержка текстовых файлов и строковых массивов неограниченной длинны в скриптах
[+] Запуск скрипта из меню
----------
Технология AVZGuard основана на KernelMode драйвере, который разграничивает доступ запущенных приложений к системе. Драйвер может функционировать в системах, основанных на платформе NT (начиная с NT 4.0 и заканчивая Vista Beta 1). Основное назначение - борьба с трудноудалимыми вредоносными программами, которые активно противодействуют процессу лечение компьютера (Look2me, руткиты, и т.п.).
В момент активации системы все приложения делятся на две категории - доверенные и недоверенные. На доверенные приложения драйвер не оказывает никакого влияния, в то время как недоверенным запрещаются следующие операции:
- Создание, модификация и удаление параметров реестра
- Создание файлов с расширениями *.exe, *.dll, *.sys, *.ocx, *.scr, *.cpl, *.pif, *.bat, *.cmd на любом диске
- Обращение к устройствам \device\rawip, \device\udp, \device\tcp, \device\ip
- Доступ к device\physicalmemory (что блокирует операции с физической памятью из UserMode)
- Установка драйверов (является следствием блокировки работы с реестром)
- Запуск процессов
- Открытие запущенных процессов с уровнем доступа, допускающим его остановку или запись в его адресное пространство
- Открытие потоков других процессов (при этом недоверенному процессу не запрещается открывать и останавливать свои потоки)
Исходно доверенным является только AVZ, но из меню "AVZGuard[FONT=Arial CYR][SIZE=2]\Запустить приложение как доверенное" можно запустить любое приложение. По умолчанию для доверенных приложений действует принцип наследования доверительных отношений - все запускаемые доверенным приложением процессы так-же считаются доверенными.
Назначение AVZGuard:
- Борьба с трудноудалимыми троянским программами, которые восстанавливают ключи реестра и удаленные файлы, запускают остановленные процессы или иными способами препятствуют своему удалению. Это основное назначение системы;
- Защита доверенных приложений от недоверенных. Позволяет защититьAVZ и запущенные им доверенные приложения от воздействия работающих вредоносных программ;
- Распространение действия антируткита UserMode AVZ на другие процессы. Пример - утилиты типа VBA Console scanner, DrWeb Cure IT, HijackThis и т.п., не обладают функциями детектирования и нейтрализации руткитов. В этом случае можно запустить AVZ, провести нейтрализацию руткитов для его процесса, а затем включить AVZGuard и запустить тот-же DrWeb Cure IT как доверенное приложение. В этом случае драйвер AVZGuard возьмет на себя функцию защиты запущенного процесса, и в том числе не позволит руткиту модифицировать его. Естественно, данная технология не является панацеей от всех видов UserMode руткитов, но основные их типы (в частности Hacker Defender) могут быть нейтрализованы подобным образом.
Ссылка как обычно - http://z-oleg.com/avz4.zip
База: 20554 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, 357 микропрограмм эвристики, 47841 подписей безопасных файлов.
Пример алгоритма лечения Look2me с применением AVZGuard:
1. Закрыть все приложения, запустить AVZ, включить AVZGuard
2. Пролечить компьютер, при необходимость применить отложенное удаление файлов Look2me
3. При необходимости удалить элементы автозапуска Look2me в диспетчере автозапуска и диспетчере расширений Explorer
4. Выйти из AVZ не отключая AVZGuard и перезагрузить компьютер
5. После перезагрузки при необходимости "добить" оставшиеся файлы
Последний раз редактировалось Зайцев Олег; 22.02.2006 в 12:23.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
А почему не разблокируется " Блокировать работу Rootkit Kernel Mode"?
-
-
Имеем баг.
1. Диспетчер служб и драйверов. Тип:все. Имеем всё зелёное.
2. Переходим на вкладку "Сервисы по анализу реестра".
3. Возвращаемя на вкладку "Сервисы по данным АПИ" и имеем кучу черных драйверов которые раньше были не видны.
А всё из за того что меняется селектор с "Активные" на "Все".
Думаю по умолчанию нужно ставить "Все". А то я не сразу заметил что нужно переключить что бы всё увидеть.
Еще одна проблема.
Неактивные службы и драйверы не присутствуют в логе исследования системы!!!
-
-
Сообщение от
Iceman
А почему не разблокируется " Блокировать работу Rootkit Kernel Mode"?
Он блокируется на время работы AVZGuard - т.е. если AVZGuard активен, то блокировка в Kernel Mode автоматом становится неактивной
-
-
Что-то на странице закачки не могу найти версию 4.15
-
-
Сообщение от
Nick222
Что-то на странице закачки не могу найти версию 4.15
Наверное, страничка берется из кеша прокси или кеша браузера ...
-
-
-
-
А плагин для Бата останется старый?
Можно не качать?
-
-
текст в заголовке окон о включении/выключении AVZGuard не умещается в окне и нечитаем, поэтому возникает вопрос - а нужен ли он там?
-
-
А System у тебя в доверенных?
-
-
Сообщение от
rav
А System у тебя в доверенных?
Нет, System исходно я включал в доверенные, потом провел опыты и исключил. Т.е. в момент активации в списке доверенных только AVZ и ничего более.
to MOCT
Да, текстовка в заголовке этих окошек явно левая - я и не заметил...
-
-
Сообщение от
Geser
Олег, пост #3 заметил?
Да, конечно. Просто предметно сказать по этому поводу ничего не могу - я ищу место и причину бага. А вот исследование системы - другое дело - я специально исключал неактивные сервесы и незагруженные драйверы из лога. Если нужно - включу ...
-
-
Олег, я так понимаю, что AVZGuard не очень годится как постоянно работающий сторож ?
userr
-
-
Сообщение от
lazy userr
Олег, я так понимаю, что AVZGuard не очень годится как постоянно работающий сторож ?
userr
AVZGuard - это "сторож на время лечения", чтобы всячески мешать зловредам "ожить". Нормально работать с ним весьма трудно ввиду его черно-белой логики и практически нулевой управляемости.
Но эта технология в скором времени ляжет в основу монитора AVZ, но там и логика изменится - вместо лобового запрета всем и всего там будут действовать правила, зависящие от приложений и их поведения.
Но следующая на очереди технология - это "монитор активности". Его идея - слежение за системой в реальном времени и протоколирование событий в единый лог (файлы, реестр, операции с процессами и потоками).
-
-
я специально исключал неактивные сервесы и незагруженные драйверы из лога. Если нужно - включу ...
Мне кажется это даёт потенциальную возможность обмануть анализатор. Например сервис который запускается, отрабатывает и завершается. В момент сканирования не активен, но во время старта свою работу выполняет. Не знаю, может еще какие-то похожие способы есть для драйверов. Я думаю стоит в лог включать, только делать пометку что не активен.
И еще, нужно помечать файлы не найденные на диске.
Так же не помешала бы автоматическая чистка мусора - файлов не найденных на диске. А то приходит человек, у него вагон файлов в автозапуске, которые удалены давно. Задалбывает объяснять как это всё удалить.
-
-
Сообщение от
Geser
Мне кажется это даёт потенциальную возможность обмануть анализатор. Например сервис который запускается, отрабатывает и завершается. В момент сканирования не активен, но во время старта свою работу выполняет. Не знаю, может еще какие-то похожие способы есть для драйверов. Я думаю стоит в лог включать, только делать пометку что не активен.
И еще, нужно помечать файлы не найденные на диске.
Так же не помешала бы автоматическая чистка мусора - файлов не найденных на диске. А то приходит человек, у него вагон файлов в автозапуске, которые удалены давно. Задалбывает объяснять как это всё удалить.
Для драйвера тоже такое возможно - драйвер при инициализации может что-то сделать и затем вернуть статус неуспешной инициализации - тогда система его выгрузит.
Вывод - я введу в лог исследования столбец "активность" и буду выводить все службы и драйверы. Далее, про ненайденные на диске файлы я тоже сделаю. Чистку системы я давно хотел организавать - это нетрудно, но всегда есть шанс зашибить что-то лишнее оптом. Я продумаю этот вопрос, сделать опциональную функцию "зачистки хвостов" труда не составляет.
-
-
Спасибо!
Скачал, поставил, проверил...
Но что значит:
"3. Сканирование дисков
data.file MailBomb detected !"
-
-
Сообщение от
Nick222
Спасибо!
Скачал, поставил, проверил...
Но что значит:
"3. Сканирование дисков
data.file MailBomb detected !"
Про "MailBomb detected" я все забываю в доку написать пару абзацев ... Когда идет проверка архивов, то возможно обнаружение файлов, у которых большой распакованный размер и при этом высокая степень сжатия (порог в AVZ - файл более 10 мб, сжатый сильнее чем в 100 раз). Такие архивы применяются в качестве почтовой бомбы против on-line антивирусов (прислывается на проверку архив в 50 кб, а распаковка файла дает несколько Gb). Но файл не обязательно опасен - например, некоторые DBF файлы имеют размер 50-100 мб, и сжимаются при этом до 50-100 кб - это и дает срабатывание.
В п.п. 8.2 документации описан ключ DetectMailBomb, позволяющий отключить эту проверку.
-
-
При первом запуске нашла неопознаный процесс... (во вложении)
после перезапуска пока не появлялся...
ps предыдущая версия такого процесса не видит.
И предложение, а почему бы не добавить возможность реактирования строк в менеджере hosts файла?
-
-
Сообщение от
Shu_b
При первом запуске нашла неопознаный процесс... (во вложении)
после перезапуска пока не появлялся...
ps предыдущая версия такого процесса не видит.
И предложение, а почему бы не добавить возможность реактирования строк в менеджере hosts файла?
Есть подозрение, что тот псводоскрытый процесс в логе является результатом того, что в момент изучения запущенных процессов процесс с PID 2716 завершил свою работу. Поэтому факт его присутствия зафиксировался, но анализ естетственно не прошел...
Редактирование файла Hosts я приделаю, где-то в списке доработок это значится.
-