Andrew

Проверка заблокированных (sharing/lock) файлов

В этой теме 55 сообщений

В KAV/KIS 2006 была добавлена проверка заблокированных (sharing/lock) файлов. Интересно, кто из антивирусов ещё умеет такое делать?

Ветка была выделена из http://www.anti-malware.ru/phpbb/viewtopic.php?p=2089#2089 [прим. Admin]

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Новый движек Symantec умеет по их заявлениям

The engine works before the operating system loads - in kernel mode - and protects users against malicious code that attempts to hide from current scanning methods. By operating in the kernel mode, the engine can open locked files, bypass programs running in the computer's user mode, and initiate repairs during the system boot cycle.

Вот тут я эту новость публиковал

http://www.anti-malware.ru/phpbb/viewtopic.php?t=367

Но вот как там на самом деле ... :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Новый движек Symantec умеет по их заявлениям

Но вот как там на самом деле ... :)

Нет, я имел ввиду другое - вирус уже запущен и активен, доступ к своим файлам блокирует. Кав в этом случае (через альтернативный механизм доступа к файлам) вирус детектит.

К примеру - новая зверушка, получает управление и прячется/блокирует доступ. После обновлений без перезагрузки надо его найти...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, это реально уникальная вещь, ни у кого больше не встречал такой возможности.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да, это реально уникальная вещь, ни у кого больше не встречал такой возможности.

Технология включена в сборке KIS/KAV 6-ой версии, билды 6.0.0.274 или выше. Кто бы протестировал? :)

В 5-ой версии только в последнем MP (но там ограниченная поддержка, только sharing)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Технология включена в сборке KIS/KAV 6-ой версии, билды 6.0.0.274 или выше. Кто бы протестировал?

Надо себе поставить 274 сборку, у меня старее.

Не проблема, напиши, как правильно протестировать этот функционал.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Технология включена в сборке KIS/KAV 6-ой версии, билды 6.0.0.274 или выше. Кто бы протестировал?

Надо себе поставить 274 сборку, у меня старее.

Не проблема, напиши, как правильно протестировать этот функционал.

Я могу прислать как исходный код, так и откомпилированный тест. На форуме наверное не стоит исходный код публиковать?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Можно выложить здесь откомпилированый тест, а исходник если кому надо - положить в закрытый форму (доступ сейчас открою :) )

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Можно выложить здесь откомпилированый тест, а исходник если кому надо - положить в закрытый форму (доступ сейчас открою :) )

Программка в каталоге запуска создаёт файл "locked file", записывает туда стандартный ейкар, флашит буфера.

Пока висит MessageBox нужно просканировать каталог с этим файлом.

После нажатия на кнопку ОК файл автоматически удалится

Забыл добавить, проверять имеет смысл на Win2k, WinXP and later

Добавлено спустя 4 минуты 5 секунд:

Можно выложить здесь откомпилированый тест, а исходник если кому надо - положить в закрытый форму (доступ сейчас открою :) )

Не нашел куда можно исходный текст... новенькия я здесь, пальцем покажите :)

LockFile.zip

LockFile.zip

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот в этот форум закрыт для широкой общественности (доступ только для ограниченной группы пользователей), там можно выкладывать все :-)

Анализ вредоносных программ (malware)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

стоп, в чём новинка??? www.wasm.ru там всё описано, люди придумали.. Я давно использую предложенные методики и некоторые свои наработки.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
стоп, в чём новинка??? www.wasm.ru там всё описано, люди придумали.. Я давно использую предложенные методики и некоторые свои наработки.

новинка для продукта. для касперского это первое упоминание данной технологии. Конкретный механизм обхода блокировки может менятся от автора к автору и то что ты что-то используешь только говорит о том что это нужно для детекта.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

с другой стороны, в настоящее время, большинство вирусов блокирует антивирусы.. Предложенная технология полезна в случае, если на заражённом компьютере обновился антивирус.. и тогда возможно обнаружить и обезвредить запущеный вирус (В залоченных файлах), каков процент таких вирусов? возможен ли вариант когда невозможно блокировать антивирус/систему обновления/и т п

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
с другой стороны, в настоящее время, большинство вирусов блокирует антивирусы.. Предложенная технология полезна в случае, если на заражённом компьютере обновился антивирус.. и тогда возможно обнаружить и обезвредить запущеный вирус (В залоченных файлах), каков процент таких вирусов? возможен ли вариант когда невозможно блокировать антивирус/систему обновления/и т п

Борьба с антивирусами сильно усложняет жизнь писателям. Из-за банальной лени могут против конкретного антивируса полениться сделать.

Против осмысленной борьбы с антивирусом ловить нечего, разве что рассаживать в разные виртуальные машины.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Andrew

Провел предложенный тест на KIS 2006 build 278.

Windows 2000 Pro SP4

Запустил файл lockfile.exe, пока висил MessageBox просканировал каталог с этим файлом.

Результат - Eicar не найден :cry:

Выдается ошибка обработки файла lock file (смотри скриншот).

Не сработало или я что-то не так сделал? :puzzled:

test1.gif

test.gif

post-4-1139515805.gif

post-1-1139515805.gif

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew

Провел предложенный тест на KIS 2006 build 278.

Windows 2000 Pro SP4

Запустил файл lockfile.exe, пока висил MessageBox просканировал каталог с этим файлом.

Результат - Eicar не найден :cry:

Выдается ошибка обработки файла lock file (смотри скриншот).

Не сработало или я что-то не так сделал? :puzzled:

Хм, единственный подозреваемый - вин2к. Надо будет ещё раз у себя проверять. Можно у тебя твой ntoskrnl.exe попросить? :)

На xp есть возможность проверить?

зы. Это проблема, и не только кав/кис, проверять такие файлы...

тестеры сейчас ответили - у них всё в порядке, претензий к вин2к нет... странно. но так всегда бывает с новыми технологиями :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Проверил на другой машине на Win XP SP1

KIS сборка 271 - тот же эффект :(

Выдается ошибка обработки файла.

Добавлено спустя 25 минут 15 секунд:

Проверил на DrWeb 4.33 - ничего не находит.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Проверил на другой машине на Win XP SP1

KIS сборка 271 - тот же эффект :(

Выдается ошибка обработки файла.

Добавлено спустя 25 минут 15 секунд:

Проверил на DrWeb 4.33 - ничего не находит.

В 271 сборке этого функционала нет, нужно 274 или выше

Угу, разобралиcь совместными усилиями: есть две технологии - проверка залоченных объектов (она работает только на xp или выше) и проверка спрятанных. вот второе доступно и на w2k (используется при сканировании стартап объектов).

Тест нужно использовать только на xp

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 271 сборке этого функционала нет, нужно 274 или выше

Угу, разобралиcь совместными усилиями: есть две технологии - проверка залоченных объектов (она работает только на xp или выше) и проверка спрятанных. вот второе доступно и на w2k (используется при сканировании стартап объектов).

Тест нужно использовать только на xp

ОК. попробую обновить сборку.

А почему на Win2000 эта фича не работает?

Добавлено спустя 1 минуту 23 секунды:

Проверил на BiDefender - такую задачу не осилил :(

//-----------------------------------------------------------------

//

// Product: BitDefender 9 Internet Security

// Version: 9.0

//

// Created on: 10/02/2006 13:53:36

//

//-----------------------------------------------------------------

Virus Statistics

Scan path : C:DistribLockFile

Folders : 1

Files : 4

Archives : 1

Packed files : 0

Identified viruses : 0

Infected files : 0

Warnings : 0

Suspect files : 0

Disinfected files : 0

Deleted files : 0

Copied files : 0

Moved files : 0

Renamed files : 0

I/O errors : 1

Scan time : 00:00:02

Scan speed (files/sec) : 2

Virus definitions : 247948

Scan plugins : 15

Archive plugins : 42

Unpack plugins : 4

Mail plugins : 6

System plugins : 5

Virus scan options

Detection

[X] Scan boot sectors

[X] Scan archives

[X] Scan packed files

[X] Scan email

File mask

[ ] Programs

[X] All files

[ ] User defined extensions:

[ ] Exclude extensions: ;

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 271 сборке этого функционала нет, нужно 274 или выше

Угу, разобралиcь совместными усилиями: есть две технологии - проверка залоченных объектов (она работает только на xp или выше) и проверка спрятанных. вот второе доступно и на w2k (используется при сканировании стартап объектов).

Тест нужно использовать только на xp

ОК. попробую обновить сборку.

А почему на Win2000 эта фича не работает?

Проверил на BiDefender - такую задачу не осилил :(

;

О чем и речь. В случае такого поведения у зверушки даже приход обновления не поможет его найти. Если машина долго не прегружается то зверёк будет жить вечно! :)

на 2к сумели побороть только блокирование шарингом. Увы, 2к более несовершенная операционка чем xp.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Проверил на другой машине на Win XP SP1

KIS сборка 271 - тот же эффект :(

Выдается ошибка обработки файла.

Добавлено спустя 25 минут 15 секунд:

Проверил на DrWeb 4.33 - ничего не находит.

Проверь НОД32,всё найдёт и вылечит и удалит!!!

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ramzes13

У тебя Нод32 стоит, попробуй этот тест если не сложно и поделись результатами, у меня сейчас, к сожалению, нет возможности его поставить :(

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ramzes13

У тебя Нод32 стоит, попробуй этот тест если не сложно и поделись результатами, у меня сейчас, к сожалению, нет возможности его поставить :(

Какой тест ,я не понял???

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Какой тест ,я не понял???

Собственно сабж этой ветки, выше Andrew выложил файл, который создает временный залоченный файл с тестовым EICAR.

Это файл надо скачать lockfile, запустить и пока висит MessageBox просканировать папку с ним.

Я почти на 100% уверен, что Нод EICAR не найдет и все ограничится ошибкой ввода/вывода :-)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ramzes13

У тебя Нод32 стоит, попробуй этот тест если не сложно и поделись результатами, у меня сейчас, к сожалению, нет возможности его поставить :(

Какой тест ,я не понял???

Ну что, попробовал?

зы. как в аникдоте - что молчишь, поймал что-ли? :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • demkd, приветствую. такое предложение: добавить при работе с образом новый статус "Выделенные". статус присваивать объекту по удобной горячей клавише. (повторное нажатие может снять этот статус) При этом объект со статусом "выделенный" переносится в секцию "подозрительные и вирусы". (если он там не был)  и так же в самой секции "подозрительные" можно изменить статус у объекта ?ВИРУС? или "подозрительные" на "выделенные". не меняется лишь статус у объекта с сигнатурным детектом. + добавить контекстные обработки по выделенным: например, проверить на VT или jotti только "выделенные". добавить в автоскрипт возможность формировать скрипт с учетом "выделенных", т.е. в автоскрипт попадают объекты с сигнатурным детектом (удаляется через chklst/delvir), объекты со статусом ?ВИРУС? удаляются через назначенное действие в базе критериев или через дефолтное (из settings.ini) и "выделенные" удаляются через дефолтный метод удаления. (из settings.ini)   Таким образом, те кто не использует сигнатуры и/или критерии могут хотя бы руками показать, что они хотят удалить, и это затем автоматически попадет в автоскрипт.
    • В понедельник Nintendo объявили о запуске новой программы вознаграждения за найденные уязвимости в линейке своих портативных игровых систем 3DS. Компания предложила от 100 до 20 000 долларов за бреши, которые удастся обнаружить в продукте. Читать далее
    • Служба уведомлений о скомпрометированных данных LeakedSource получила базу данных, содержащую информацию о примерно 85 миллионах  аккаунтах пользователей Dailymotion, включая имена пользователей, адреса электронной почты и, во многих случаях, пароли. Читать далее
    • ESETпредупреждает пользователей Amazon о новой волне фишинга. Мошенники добывают личные данные клиентов, рассылая от лица площадки письма о несуществующей проблеме с заказом. Читать далее
    • Компания IBM и Ponemon Institute опубликовали результаты глобального исследования устойчивости организаций к кибератакам под названием «Cyber Resilient Organization». Согласно результатам исследования, только 32% специалистов в сфере ИТ и безопасности считают, что их компании имеют высокий уровень киберзащиты. Читать далее