Подобные опыты очень интересны - для меня очень полезна статистика работы AVZ и AVZPM под разными OS и совместно с различным защитным ПО.
Олег, несмотря на то, что новые версии АВЗ выходят как рабочий релиз (а значит, прошли определенные испытания), может быть, имеет смысл публиковать некоторую программу испытания АВЗ по "болевым точкам"?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Олег, несмотря на то, что новые версии АВЗ выходят как рабочий релиз (а значит, прошли определенные испытания), может быть, имеет смысл публиковать некоторую программу испытания АВЗ по "болевым точкам"?
По стути программа испытаний есть - это список доработок. По любой доработке мне интересны комментарии по ее работоспособности и глюкам.
По стути программа испытаний есть - это список доработок. По любой доработке мне интересны комментарии по ее работоспособности и глюкам.
Ок. По запуску просмотра лога. Проверил режим исследования системы на виртуальной машине VMware - так и есть, лог запускается автоматом. А интерактивное формирование скрипта для лечения системы - это круто! Может быть в будущем, станет возможно автоматически сформировать скрипт для лечения системы в режиме исследования? .
Ок. По запуску просмотра лога. Проверил режим исследования системы на виртуальной машине VMware - так и есть, лог запускается автоматом. А интерактивное формирование скрипта для лечения системы - это круто! Может быть в будущем, станет возможно автоматически сформировать скрипт для лечения системы в режиме исследования? .
Именно так и будет - я всячески буду развивать интерактивные функции протокола, чтобы по мере анализа можно было генерировать скрипт карантина/лечения. Кроме того, для хелперов и всех желающих скоро выходит навороченный редактор скриптов с функцией полувизуальной сборки скрипта.
скоро выходит навороченный редактор скриптов с функцией полувизуальной сборки скрипта
остается присесть и сказать "ку" =) правда, по моему опыту, скрипты пишутся в основном админами достаточно гетерогенных локалок, так что там мало что визуализируешь и пропарсишь, особенно если админы - старые фанаты паскаля =)
Не могу понять,куда прописывается монитор в автозагрузку? И сколько он кушает памяти?
И еще. Ну, я установил монитор. И что дальше? Никаких диалогов, никаких менюшек... Как-то не интересно
Не могу понять,куда прописывается монитор в автозагрузку? И сколько он кушает памяти?
И еще. Ну, я установил монитор. И что дальше? Никаких диалогов, никаких менюшек... Как-то не интересно
У AVZ нет монитора в прямом понимании - есть драйвер мониторинга системы. Будучи драйвером он и прописан как Boot-драйвер. Потребляет он около 40 кб памяти. Диалоги и менюшки ему не нужны - AVZ при очередном сканировании сам обнаржит его, запросит у него информацию и будет использовать в антирутките, менеджере процессов и объектов пространства ядра.
Ага, ситуация более-менее прояснилась. В общем, так: в данной версии SSM (которая free), вероятно, есть небольшая ошибка. Подробности описывать не буду, ибо мало кому это интересно.
Как преодолеть?
1) удалить эту версию SSM и поставить текущую (у меня последний триал, версия 2.0.0.558, работает с AVZ без проблем);
2) если жалко удалять фришный SSM, то после загрузки драйвера AVZPM в AVZ его вообще не удалять. В принципе, драйвер AVZPM должен жить в системе, особо никому и ничему не мешая. Проблема только одна: при смене версии AVZ его все равно придется удалить, что, вероятнее всего, приведет к синьке;
3) завтра подумаем с Олегом вот над чем: чтобы в дальнейшем избежать подобных "конфликтов" с SSM free, можно не сразу выгружать драйвер AVZPM, а просто удалять запись из реестра и стирать файл драйвера с диска в тот момент, когда пользователь скажет "удалить AVZPM". Иными словами, оставлять драйвер (и мониторинг) в работе до конца текущего сеанса.
Лично убил два 2003 server ee и se с помошью AVZ 4.22
Если поможете, мое счастье не будет знать границ
Суть: ставил 2003 se без sp, появились некоторые подозрения, решил прогнать антивирями, в том числе avz. Запустил - проверил, все ок. Перезагрузил, не стартует Kerio Winrout Firewall 6.2.2. Смотрю журнал виндовса, обратил внимание только на эту ошибку:
#1
Тип события: Ошибка
Источник события: IPSec
Драйвер IPSec перешел в режим блокировки. IPSec будет отбрасывать весь входящий и исходящий сетевой трафик TCP/IP, не разрешенный исключениями политики IPSec при загрузке. Действия пользователя: Чтобы восстановить полное незащищенное подключение TCP/IP, отключите службы IPSec и перезагрузите компьютер.
Тоесть он по сети ни туда ни обратно ничего не передает
не стал разбиратся т к комп новый, все снес поставил заново.
На втором компе (рабочий сервер терминалов , лог винды под рукой)
уже читал все. Ошибок всего 7 кажется, все разные и первая таже самая. Виндвос фактически еле работает. Как восстановить не знаю! Состояние шоковое.
P.S. не пойму как лог виндовса приклеить.
ОК, ясно.. Попробую поснимать хуки перед удалением Да, вот еще кстати - прислали мне веселую статейку: http://sunbeltblog.blogspot.com/2006...s-evolved.html. Это некоторое преувеличение или впрямь серьезный вопрос? Как отреагирует AVZ?
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
ОК, ясно.. Попробую поснимать хуки перед удалением Да, вот еще кстати - прислали мне веселую статейку: http://sunbeltblog.blogspot.com/2006...s-evolved.html. Это некоторое преувеличение или впрямь серьезный вопрос? Как отреагирует AVZ?
В теории AVZ должен задетектить Громозона с включенным AVZPM - я именно потому и делал PM, что DKOM руткит - это архитривиальная штуковина с точки зрения реализации но крайне сложная с точки зрения детекта - если аккуратно все сделать, то зацепиться не за что - можно к примеру обнаружить маскируемый драйвер, но невозможно установить, кто он и откуда грузится. Аналогично с процессом - можно обраружить маскируемый процесс, но будет проблема с тем, что почти невозможно достоверно узнать его PID и имя исполняемого файла.
Последний раз редактировалось Зайцев Олег; 19.12.2006 в 08:52.
Если поможете, мое счастье не будет знать границ
Суть: ставил 2003 se без sp, появились некоторые подозрения, решил прогнать антивирями, в том числе avz. Запустил - проверил, все ок. Перезагрузил, не стартует Kerio Winrout Firewall 6.2.2. Смотрю журнал виндовса, обратил внимание только на эту ошибку:
#1
Тип события: Ошибка
Источник события: IPSec
Драйвер IPSec перешел в режим блокировки. IPSec будет отбрасывать весь входящий и исходящий сетевой трафик TCP/IP, не разрешенный исключениями политики IPSec при загрузке. Действия пользователя: Чтобы восстановить полное незащищенное подключение TCP/IP, отключите службы IPSec и перезагрузите компьютер.
Тоесть он по сети ни туда ни обратно ничего не передает
не стал разбиратся т к комп новый, все снес поставил заново.
На втором компе (рабочий сервер терминалов , лог винды под рукой)
уже читал все. Ошибок всего 7 кажется, все разные и первая таже самая. Виндвос фактически еле работает. Как восстановить не знаю! Состояние шоковое.
P.S. не пойму как лог виндовса приклеить.
Без логов AVZ сказать что-то трудно, но ничего убить он не может по определению - в режиме сканирования никакие изменения в системе не делаются.
ОК, ясно.. Попробую поснимать хуки перед удалением ...
Боюсь, что предварительно снятие хуков SSM free не поможет, т.к. дело не в них, а в более глубинных вещах, а именно в мониторинге запуска процессов / загрузки образов, которые в SSM и AVZ делаются очень похожим способом. Я бы, если честно, советовал вам просто удалить SSM free - у меня с ним, к примеру, наступают в разных местах жуткие тормоза, и мой безглючный комп вдруг начинает страшно глючить. Вам решать, конечно, но, на мой взгляд, это не очень качественный продукт (не хочу обидеть автора, но перехватывать практически все вызовы в SSDT да плюс еще мониторить все подряд - это уже перебор!)