AVZ 4.18 + AVZGuard - тестирование, обсуждение, предложения по доработке
Вышла новая версия AVZ - 4.18 + AVZGuard ( http://z-oleg.com/secur/avz/download.php ).
Список доработок и модификаций:
[++] Поведенческий анализатор в антикейлоггере. Изучает, что конкретно делает каждая из заподозренных DLL и описывает это в протоколе
[++] Ревизор диска. Позволяет создавать базы с описанием заданных дисков и папок и в последствие производить сравнение текущего состояния диска с базой. Базы ревизора имеют небольшой размер, что позволяет хранить их на Flash диске. РЕвизор подробно описан в справке и в документации
[+] Предусмотрен ключ для задания пароля к ZIP архивам (см. справку), что упрощает проверку и автораспаковку архивов со стандартным паролем
[+] Проведен ряд модификаций KernelMode компонент AVZ
[-] Исправлена проверка архивов ZIP ( в некотором случае после проверки возникала ошибка деления на 0)
[-] Подстроены цвета в таблицах для повышенния читаемости данных (ранее сливался цвет маркера и текста)
[+] Отображение командной строки для процессов (в диспетчере процессов и соответственно в отчете)
База: Обновленная версия содержит базу от 15.05.2006 (25329 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, 359 микропрограмм эвристики, 9 микропрограмм восстановления системы, 49778 подписей системных и безопасных файлов)
На сайте обновлена документация по AVZ, в самом AVZ обновленная справка.
По поводу поведенческого антикейлоггера - в случае его срабатывания получается примерно такой результат анализа:
C:\Program Files\ASMonitor\hk.dll>>> Поведенческий анализ:
1. Реагирует на события: клавиатура
2. Передает данные процессу: 2024 C:\Program Files\ASMonitor\ASMonitor.exe (окно = "Actual Spy - НЕЗАРЕГИСТРИРОВАННАЯ ВЕРСИЯ")
C:\Program Files\ASMonitor\hk.dll>>> Нейросеть: файл с вероятностью 99.91% похож на типовой перехватчик событий клавиатуры/мыши
или такой:
C:\WINDOWS\system32\keylogger.dll>>> Поведенческий анализ:
1. Реагирует на события: клавиатура
2. Работает с файлом: c:\program files\all-in-one spy\temp
3. Работает с файлом: c:\program files\all-in-one spy\200669\log.txt
4. Определяет имя файла для модуля: keylogger.dll
5. Опрашивает состояние клавиатуры
6. Опрашивает активную раскладку клавиатуры
7. Определяет ASCII коды по кодам клавиш
C:\WINDOWS\system32\keylogger.dll>>> Нейросеть: файл с вероятностью 99.98% похож на типовой перехватчик событий клавиатуры/мыши
Последний раз редактировалось Зайцев Олег; 15.06.2006 в 20:50.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
При наведении курсора на вкладке "типы файлов" - на любом из трех вариантов высвечивается всплывающее пояснение для "потенциально опасных файлов". Во второй сегодняшней версии - аналогично, только с поправкой на язык
И кнопки "пауза" при сканировании так и нет...
Последний раз редактировалось anton_dr; 15.06.2006 в 15:55.
Все нормально - ни один из файлов в менеджере внедренных DLL самим AVZ не грузится и не применяется. А логика тут простая - раз файл загрузился без моего ведома, значит - кандидат на исследование... to DimaT
Версию в посте сейчас поправлю, в перескок правильный - 4.17 - версия с новым антикейлоггером, она не вышла за пределы Смоленскэнерго, а 4.18 - это 4.17 + ревизор диска. to Anton dr
Всплывающий хинт надо подделать - он кривой что по русски, что по английски и не меняется. А кнопку пауза я приделаю к версии 4.19
При остановке во время сканирования сейчас выскакивает грозная:
---------------------------
Антивирусная утилита AVZ.Идет проверка, 5% осталось 00:50:55
---------------------------
Invalid floating point operation.
---------------------------
OK
При запуске последней версии программы с активацией пункта "Блоктровать работу RootKit Kernel-Mode", во время проверки системы комп перезагружается. Проверенно - несколько раз. Далее - сканирование дисков, и "система восстановлена после серьёзного збоя...". Что-бы это значило?
Фаер и т.д. были заблаговременно отключены.
Дежавю
При запуске последней версии программы с активацией пункта "Блоктровать работу RootKit Kernel-Mode", во время проверки системы комп перезагружается.
...
Один коллега походил по инету...
Я перепробовал разные варианты лечения антивирусами: доктором, дефендером, авастом и конечно avz. Все браво рапартуют об исцелении компутера, но... каждый раз запуская другой антивирус находятся теже трояны, задние двери и т.д.
Антивирус после лечения повторно ничего не находит. А avz, правда, находит каждый раз, удаляет, и опять находит... Прямо какой-то замкнутый круг. Давно не видел такого неизлечимого изобилия.
Прямо "формат С:" какой-то.
У меня______________________________________________ ___
После снятия протекта AVZGuard в 9 из 10 случиях завись ПК
причём при попытки перезагрузить комп, появляется окно с просбой завершения Explorer.EXE (может и чтонибуть другое всплыть) иногда
всё это заканчивается жёсткой перезагрузкой.
В новой версии ситуация та же.
Такое чуство что AVZGuard ... после отключения
сводит с ума систему!
1. Настройки АВЗ по максимому
2. Включение AVZGuard (кстати баг со включением вроде у меня исчез)
3. Пуск (работа и скан АВЗ)
4. Результаты работы.... и остановка АВЗ
5. Анализ (мной в АВЗ )
6. Отключение AVZGuard
Далее всевозможные глюки как писалось выше
(OS WinXP)
Но тут прикол... Я точно не могу понять отключяется AVZGuard при нажатии на его отключение или нет, так как систему глючит
и здраво проанализировать и изучить ситуацию трудно, всё сводится к перезагрузки
PS. На днях, попробую более тщятельно и побольше погонять AVZ .....
Уважаемый Олег!
Может подскажите, что это за "глюк":
Протокол антивирусной утилиты AVZ версии 4.18
Сканирование запущено в 22.06.2006 12:31:28
Загружена база: 25358 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 16.06.2006 12:48
Загружены микропрограммы эвристики: 359
Загружены цифровые подписи системных файлов: 49780
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (C:\WINXPSP2\P2\system32\ntoskrnl.exe)
2. Проверка памяти
Интересует строка "Ошибка - не найден файл (C:\WINXPSP2\P2\system32\ntoskrnl.exe)"
Уважаемый Олег!
Может подскажите, что это за "глюк":
....
Интересует строка "Ошибка - не найден файл (C:\WINXPSP2\P2\system32\ntoskrnl.exe)"
Это означает, что операционка почему-то рапортует неправильный путь к своей папке (или AVZ не совсем корректно это понимает). Интересны слудующие моменты:
1. В какой папке находится система
2. Желателен протокол исследования системы AVZ - может быть, он что-то позволит прояснить
Это означает, что операционка почему-то рапортует неправильный путь к своей папке (или AVZ не совсем корректно это понимает). Интересны слудующие моменты:
1. В какой папке находится система
2. Желателен протокол исследования системы AVZ - может быть, он что-то позволит прояснить