Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 56.

AVZ 4.18 + AVZGuard - тестирование, обсуждение, предложения по доработке

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    AVZ 4.18 + AVZGuard - тестирование, обсуждение, предложения по доработке

    Вышла новая версия AVZ - 4.18 + AVZGuard ( http://z-oleg.com/secur/avz/download.php ).
    Список доработок и модификаций:
    [++] Поведенческий анализатор в антикейлоггере. Изучает, что конкретно делает каждая из заподозренных DLL и описывает это в протоколе
    [++] Ревизор диска. Позволяет создавать базы с описанием заданных дисков и папок и в последствие производить сравнение текущего состояния диска с базой. Базы ревизора имеют небольшой размер, что позволяет хранить их на Flash диске. РЕвизор подробно описан в справке и в документации
    [+] Предусмотрен ключ для задания пароля к ZIP архивам (см. справку), что упрощает проверку и автораспаковку архивов со стандартным паролем
    [+] Проведен ряд модификаций KernelMode компонент AVZ
    [-] Исправлена проверка архивов ZIP ( в некотором случае после проверки возникала ошибка деления на 0)
    [-] Подстроены цвета в таблицах для повышенния читаемости данных (ранее сливался цвет маркера и текста)
    [+] Отображение командной строки для процессов (в диспетчере процессов и соответственно в отчете)

    База: Обновленная версия содержит базу от 15.05.2006 (25329 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, 359 микропрограмм эвристики, 9 микропрограмм восстановления системы, 49778 подписей системных и безопасных файлов)

    На сайте обновлена документация по AVZ, в самом AVZ обновленная справка.

    По поводу поведенческого антикейлоггера - в случае его срабатывания получается примерно такой результат анализа:


    C:\Program Files\ASMonitor\hk.dll>>> Поведенческий анализ:
    1. Реагирует на события: клавиатура
    2. Передает данные процессу: 2024 C:\Program Files\ASMonitor\ASMonitor.exe (окно = "Actual Spy - НЕЗАРЕГИСТРИРОВАННАЯ ВЕРСИЯ")
    C:\Program Files\ASMonitor\hk.dll>>> Нейросеть: файл с вероятностью 99.91% похож на типовой перехватчик событий клавиатуры/мыши
    или такой:

    C:\WINDOWS\system32\keylogger.dll>>> Поведенческий анализ:
    1. Реагирует на события: клавиатура
    2. Работает с файлом: c:\program files\all-in-one spy\temp
    3. Работает с файлом: c:\program files\all-in-one spy\200669\log.txt
    4. Определяет имя файла для модуля: keylogger.dll
    5. Опрашивает состояние клавиатуры
    6. Опрашивает активную раскладку клавиатуры
    7. Определяет ASCII коды по кодам клавиш
    C:\WINDOWS\system32\keylogger.dll>>> Нейросеть: файл с вероятностью 99.98% похож на типовой перехватчик событий клавиатуры/мыши
    Последний раз редактировалось Зайцев Олег; 15.06.2006 в 20:50.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    При наведении курсора на вкладке "типы файлов" - на любом из трех вариантов высвечивается всплывающее пояснение для "потенциально опасных файлов". Во второй сегодняшней версии - аналогично, только с поправкой на язык



    И кнопки "пауза" при сканировании так и нет...
    Последний раз редактировалось anton_dr; 15.06.2006 в 15:55.

  4. #3
    Full Member Репутация
    Регистрация
    30.07.2005
    Сообщений
    82
    Вес репутации
    69
    Олег, а почему ''перескочили'' через версию AVZ 4.17 ?
    И поправь в своем посте первую строку: ''версия AVZ - 4.16''...

  5. #4
    Nikollay
    Guest
    Что то много нашел разных подозрительных файлов ?
    Изображения Изображения
    • Тип файла: gif 1233.GIF (28.0 Кб, 179 просмотров)

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Nikollay
    Что то много нашел разных подозрительных файлов ?
    Все нормально - ни один из файлов в менеджере внедренных DLL самим AVZ не грузится и не применяется. А логика тут простая - раз файл загрузился без моего ведома, значит - кандидат на исследование...
    to DimaT
    Версию в посте сейчас поправлю, в перескок правильный - 4.17 - версия с новым антикейлоггером, она не вышла за пределы Смоленскэнерго, а 4.18 - это 4.17 + ревизор диска.
    to Anton dr
    Всплывающий хинт надо подделать - он кривой что по русски, что по английски и не меняется. А кнопку пауза я приделаю к версии 4.19

  7. #6
    Full Member Репутация
    Регистрация
    30.07.2005
    Сообщений
    82
    Вес репутации
    69
    При остановке во время сканирования сейчас выскакивает грозная:
    ---------------------------
    Антивирусная утилита AVZ.Идет проверка, 5% осталось 00:50:55
    ---------------------------
    Invalid floating point operation.
    ---------------------------
    OK
    С какой целью добавил?

  8. #7
    Pick
    Guest
    При запуске последней версии программы с активацией пункта "Блоктровать работу RootKit Kernel-Mode", во время проверки системы комп перезагружается. Проверенно - несколько раз. Далее - сканирование дисков, и "система восстановлена после серьёзного збоя...". Что-бы это значило?
    Фаер и т.д. были заблаговременно отключены.
    Дежавю

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    317
    Цитата Сообщение от Pick
    При запуске последней версии программы с активацией пункта "Блоктровать работу RootKit Kernel-Mode", во время проверки системы комп перезагружается.
    ...
    Мини-дампы, плиз, в студию!

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от aintrust
    Мини-дампы, плиз, в студию!
    И плюс к минидампам нужен лог без блокирования руткитов - интересно, что перехвачено, как и чем.

  11. #10
    Pick
    Guest
    Один коллега походил по инету...
    Я перепробовал разные варианты лечения антивирусами: доктором, дефендером, авастом и конечно avz. Все браво рапартуют об исцелении компутера, но... каждый раз запуская другой антивирус находятся теже трояны, задние двери и т.д.
    Антивирус после лечения повторно ничего не находит. А avz, правда, находит каждый раз, удаляет, и опять находит... Прямо какой-то замкнутый круг. Давно не видел такого неизлечимого изобилия.
    Прямо "формат С:" какой-то.

  12. #11
    Pick
    Guest
    Цитата Сообщение от Зайцев Олег
    И плюс к минидампам нужен лог без блокирования руткитов - интересно, что перехвачено, как и чем.
    Завтра пришлю.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Цитата Сообщение от Pick
    Я перепробовал разные варианты лечения антивирусами....
    Может с этим случаем в раздел "Помогите" со всеми требуемыми логами?

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    317
    Цитата Сообщение от Shu_b
    Может с этим случаем в раздел "Помогите" со всеми требуемыми логами?
    Точно!

  15. #14
    Cool Cat
    Guest
    У меня______________________________________________ ___
    После снятия протекта AVZGuard в 9 из 10 случиях завись ПК
    причём при попытки перезагрузить комп, появляется окно с просбой завершения Explorer.EXE (может и чтонибуть другое всплыть) иногда
    всё это заканчивается жёсткой перезагрузкой.
    В новой версии ситуация та же.

    Такое чуство что AVZGuard ... после отключения
    сводит с ума систему!

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Cool Cat
    В новой версии ситуация та же.

    Такое чуство что AVZGuard ... после отключения
    сводит с ума систему!
    Вот тут интересны подробности - т.е. AVZGuard не отключается или в процессе отключения возникает сбой ?

  17. #16
    Cool Cat
    Guest
    Вот тут интересны подробности.....

    Примерно так:

    1. Настройки АВЗ по максимому
    2. Включение AVZGuard (кстати баг со включением вроде у меня исчез)
    3. Пуск (работа и скан АВЗ)
    4. Результаты работы.... и остановка АВЗ
    5. Анализ (мной в АВЗ )
    6. Отключение AVZGuard

    Далее всевозможные глюки как писалось выше
    (OS WinXP)

    Но тут прикол... Я точно не могу понять отключяется AVZGuard при нажатии на его отключение или нет, так как систему глючит

    и здраво проанализировать и изучить ситуацию трудно, всё сводится к перезагрузки

    PS. На днях, попробую более тщятельно и побольше погонять AVZ .....

  18. #17
    Randol
    Guest
    Уважаемый Олег!
    Может подскажите, что это за "глюк":

    Протокол антивирусной утилиты AVZ версии 4.18
    Сканирование запущено в 22.06.2006 12:31:28
    Загружена база: 25358 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 16.06.2006 12:48
    Загружены микропрограммы эвристики: 359
    Загружены цифровые подписи системных файлов: 49780
    Режим эвристического анализатора: Средний уровень эвристики
    Режим лечения: выключено
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Ошибка - не найден файл (C:\WINXPSP2\P2\system32\ntoskrnl.exe)
    2. Проверка памяти

    Интересует строка "Ошибка - не найден файл (C:\WINXPSP2\P2\system32\ntoskrnl.exe)"

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Randol
    Уважаемый Олег!
    Может подскажите, что это за "глюк":
    ....
    Интересует строка "Ошибка - не найден файл (C:\WINXPSP2\P2\system32\ntoskrnl.exe)"
    Это означает, что операционка почему-то рапортует неправильный путь к своей папке (или AVZ не совсем корректно это понимает). Интересны слудующие моменты:
    1. В какой папке находится система
    2. Желателен протокол исследования системы AVZ - может быть, он что-то позволит прояснить

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    Цитата Сообщение от Зайцев Олег
    Это означает, что операционка почему-то рапортует неправильный путь к своей папке (или AVZ не совсем корректно это понимает). Интересны слудующие моменты:
    1. В какой папке находится система
    2. Желателен протокол исследования системы AVZ - может быть, он что-то позволит прояснить
    вот в логах от этой темы таких глюков ВАГОН:
    http://virusinfo.info/showthread.php?p=75103

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Там глюки от терминальной сессии, надо полагать.

Страница 1 из 3 123 Последняя

Похожие темы

  1. AVZ 3.75 - тестирование, обсуждение, предложения по доработке
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 53
    Последнее сообщение: 28.02.2007, 03:18
  2. AVZ 4.19 - 4.21 + AVZGuard - тестирование, обсуждение, предложения по доработке
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 520
    Последнее сообщение: 12.12.2006, 16:07
  3. AVZ 4.16 + AVZGuard - тестирование, обсуждение, предложения по доработке
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 108
    Последнее сообщение: 14.06.2006, 09:40
  4. AVZ 4.15 + AVZGuard - тестирование, обсуждение, предложения по доработке
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 307
    Последнее сообщение: 05.05.2006, 15:22
  5. AVZ 4.00 - тестирование, обсуждение, предложения по доработке
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 406
    Последнее сообщение: 22.02.2006, 11:37

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01423 seconds with 20 queries