Mag3d

Антивирусная утилита AVZ

В этой теме 82 сообщений

Перенесено из темы Антивирус Stocona?

http://www.anti-malware.ru/phpbb/viewtopic.php?t=732

Под искусственным интеллектом можно понимать многое:

генетические алгоритмы, нейронные сети, алгоритмы на логике предикатов и многое другое ...

А обучение есть у них конечно.

БД у них не сигнатур, а цепочек вызовов (опасных функций),

еще чего-то ...

А вообще интересно было бы пообщаться с Олегом Зайцевым,

что он использует в качестве входящих признаков в нейронных сетях у себя, хотя бы идеи

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А вообще интересно было бы пообщаться с Олегом Зайцевым, что он использует в качестве входящих признаков в нейронных сетях у себя, хотя бы идеи

Попробуем пригласить его к нам на форум.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

[20:27] Зайцев Олег: вобщем, если говорить о нейросеть, то тут все просто - можешь сформулировать с ссылкой на меня. пусть признаки булевы (например, узает скриптв некую функцию или нет). Если признаков 8 шт - 256 сочетаний ...

[20:29] Зайцев Олег: ну да ... просто функций там далеко не 8 - для кейлоггера я например выделил 25 простейших признаков. Следовательно, для проверки нужно 2 в 25-й условий - заколебаешься их писать. Плюс сочетания характерные (например, функция 7 опасна, если в сочетании с функцией 16 ..), плюс то, что значения эти не все булевы ...

[20:30] Зайцев Олег: вот тут и вступает в игру нейросетка - она принимает решение молниеносно и думать не надо - просто нужно подготовить две обучающие выборки ...

[20:30] Зайцев Олег: а минус НС тоже простой - непредсказуемость, их тестить долго надо. В AVZ простейшая (на мой взгляд) сетка, но и то заскоки были.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

> [20:30] Зайцев Олег: вот тут и вступает в игру нейросетка - она

> принимает решение молниеносно и думать не надо - просто нужно

> подготовить две обучающие выборки ...

А почему всего 2 выборки (маловато, на мой взгляд)? Непонятно обоснование.

А выходной слой у вас булевый? Кейлогер или нет.

Насколько я понял: сетка у вас из вход. слоя и выходного.

Промежуточных нет. Да?

Добавлено спустя 1 минуту 12 секунд:

По такому принципу легко детект инжектирования в

процессы сделать..

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

>А почему всего 2 выборки (маловато, на мой взгляд)? Непонятно обоснование.

ну почему? Чтото вроде Байеса - Spam / Ne Spam.. также и тут - вирус / не вирус.

тоесть 1 база чистых а другая грязных.

Добавлено спустя 28 минут 44 секунды:

[16:52] Зайцев Олег: по поводу нейросети - в моем случае две выборки - одна кейлоггеры, вторая - чистые файлы. В сумме около 100 штук (примерно 50 кейлоггеров и 50 других DLL).

Далее так:

1. База чистых объектов отсекает то, что заранее "чистое" - устраняются ложняки и урощается анализ. Далее проверяется ЭЦП Microsoft - если подписан, значит "свой"

2. Далее срабатывает база сигнатур зверей. Попадание - значит зверь.

[16:52] Зайцев Олег: частичное попадание - значит, это возможно зверь - и ясно, какой ...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

TiX

устойчивости не будет, при таком подходе сформируется гиперплоскость с тонкими гранями.. шаг в лево шаг в право или ложное срабатывание или пропуск.

Нужен шум, шум будет гарантировать рассширение плоскостей гиперплоскости.

Вопрос как при таком подходе обнаруживать неизвестные сигнатуры?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если резюмировать сказанное, то AVZ принимает решение примерно так:

1. Только некоторые объекты берутся на подозрение. Чтобы заподозрить объект, должны быть причины/предпосылки (это активный процесс или загруженная библиотека (тотже кейлоггер загруженный), прописанный на автозапуск файл и т.п.). Т.е. если нечто лежит в коллекции и не запускается (и не записано в автозапуск), то оно не анализируется расширенными методами, только сигнатуры

2. Далее объект анализируется сигнатурный сканером. Обычные сигнатуры, все как всегда. Сигнатуры или все совпадут, или частично - соответственно детект или подозрение.

3. Если подозрение или сигнатуры не найдены, то проверка по:

3.1 Базе чистых - она весь внушительного размера, под 50 тыс записей

3.2 ЭЦП Microsoft

Если файл подписан или опознан как безопасный, он снимается с подозрения. Если нет - анализ

4. Собственно анализ - у процесса он один, у кейлоггера - другой и т.п.

Говоря о нейросетке в антикейлоггере - там есть и шумы, и прочие чудеса для улучшения детекта ... но есть тонкость, детектирует НС не кейлоггер, а "типичный клавиатурный перехватчик". Это важный момент - так как разницы между перехватчиком и кейлоггером по сути нет. Например, один перехватчик передает данные установившей его программе и она ловит горячие клавиши, а второй - передает те-же данные, но установившая его программа протоколирует нажатия. Часто эта грань призрачна - например, Punto Switcher.

Поэтому вывод - нейросеть как основной инструмент, имхо, не очень пригоден. Как вспомогательный, особенно для эвристики - это да. Особенно тогда, когда имеется 20-30 признаков, которые вроде специфичны для зловреда, но каждый признак в отдельности не позволяет сделать однозначный вывод. Еще выводы, к которым я пришел

1. данные перед подачей на НС нужно готовить, причем сложным образом. Для этого я в AVZ применяю движок, который в окончательном варианте будет храниться в базе

2. Вместо одной НС часто удобно применить несколько мелких – каждая принимает решение по частной проблеме, а затем эти результаты обобщаются для вынесения вердикта

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Зайцев Олег

Вот спасибо..:) порадовали.. очень инетерсный пост и много прояснил..

Добавлено спустя 3 минуты 30 секунд:

Конечно к стоконе это имеет малое отношение, всё что касается AVZ будет вынесено отдельно.

А какой тип нейросети конкретно используется?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

AVZ поддерживает разные виды и топологии сети (они в базе хранятся, так что можно менять все ...), но рельно сейчас применяются классические трехслойные нейросети (вход - скрытый слой - выход) - они наиболее устойчивы и просты в применении. Топология тоже классическая - выход каждого нейрона N слоя подается на входы всех нейронов N+1 - тоже классика... Выход не булевый- это слишком грубо ... на выходе число от 0 до 100 - степень похожести. Это позволяет поставить порог срабатывания на некотором уровне.

PS: да, по сути к стоконе это относитс мало - если интересно пообсуждать, надо это наверное в отдельный топик вытащить ..

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вышла новая версия AVZ - 4.21

26.10.2006

Архив с утилитой содержит базу вирусов от 26.10.2006 56426 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, 363 микропрограммы эвристики, 52701 подпись безопасных файлов

Основные модификации:

[++] Переделано автообновление, в частности поддержка прокси серверов с авторизацией (классической и NTLM). Предусмотрена возможность запоминания настроек

[++] Существенно расширен скриптовой язык - добавлены команды для работы с реестром, диалоговыми окнами, добавлено управление AVZ Guard из скрипта, завершение работы и перезагрузка

[+] Добавлена кнопка "Пауза", позволяющая временно приостановить сканирование файлов или эвристическую проверку системы

[+] Добавлена возможность сканирования файлов заданного каталога без сканирования его подкаталогов

[+] Добавлен редактор скриптов с функцией проверки синтаксиса без выполнения скрипта

[+] Поиск файлов - добавлена сортировка списка найденных файлов по любому полю, возможность выбора типовых масок имени файла, исправлена ошибка анализа заблокированных файлов

[+] Ряд мелких доработок антируткита и отложенного удаления

[+] Расширена и доработана документация

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вышла новая версия AVZ - 4.22

12.12.2006 Вышла новая версия AVZ - 4.22 + AVZGuard/AVZPM

Новая версия содержит ряд существенных модификаций и усовершенствований, в частности:

[++] Новая подсистема AVZPM - мониторинг процессов и драйверов из KernelMode для поиска искажений в системых структурах

[++] AVZ доработан для совместимости в Windows Vista, в частности обновлены все KernelMode компоненты

[++] Скрипты - новые команды для работы с драйверами и службами, управления AVZPM, вызов стандартных скриптов и

скриптов восстановления системы, копирование и переименование файлов. Новые функции описаны в справке,

в справку добавлен ряд типовых примеров скриптов

[++] Проведена дефрагментация AV базы и оптимизация движка с целью повышения его производительности.

[+] Переделан менеджер процессов - к нему подключена система AVZPM

[+] Переделан менеджер модулей пространства ядра - к нему подключена система AVZPM,

введена сортировка по всем столбцам, добавлен отдельный столбец с именем драйвера

[+] Усовершенствовано автообновления - если AVZPM активен в момент обновления, то его драйвер

автоматические обновляется при необходимости

[+] Менеджер модулей пространства ядра - добавлена функция дампирование драйвера,

сортировка по всем полям, раздельные поля для имени драйвера и полного имени драйвера

[+] Поддежка распаковки и сканирования файлов в MIME формате (формат распознается по содержимому)

[+] Опция закрытия сеанса и файлы в менеджере сетевых сеансов

[+] Исследование системы - в конце HTML отчета добавляется код, упрощающий сборку скрипта за

счет автоподстановки типовых команд

[+] Скрипты - усовершенствована функция QuarantineFile - в случае указания имени файла без пути

производится поиск файла по системному алгоритму

[+] Менеджер автозапуска - доработан анализ и модификация AppInit_DLLs

[+] Менеджер общих ресурсов и сетевых сеансов - добавлена функция закрытия сеанса или

открытого по сети файла

[+] Введена шифровка пароля прокси в INI файле

[-] Скрипты - исправлена ошибка в работе функции AutoLSPFix;

Обратите внимание - базы AVZ 4.22 не совместимы с предыдущими версиями AVZ.

Подробнее - http://www.z-oleg.com/secur/avz/download.php

P.S. Немного подробнее про AVZPM. Это Boot драйвер, задачей которого является слежение за запуском/остановом процессов и загрузкой драйверов. Этот драйвер накапливает информацию, что позволяет в дальнейшем обнаруживать маскируемые процессы/драйверы и детектировать модификации системных структур, выполняемые DKOM руткитами. AVZPM подключен к диспетчеру процессов, диспетчеру модулей пространства ядра и антируткиту. После первого включения AVZPM рекомендуется перезагрузиться, чтобы драйвер собрал информацию о запускающихся процессах. Драйвер можно оставить в системе, так как он практически не потребляет ресурсов и не влияет на быстродействие ПК. В дальнейшем этот драйвер станет прототипом монитора AVZ для проверки процессов в момент их запуска.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вышла новая версия AVZ - 4.23

Антивирусная утилита AVZ - 4.23 + AVZGuard/AVZPM/BootCleaner

Список доработок и модификаций:

[+++] Новая подсистема AVZ - Boot Cleaner. Данная система основана на драйвере режима ядра и применяется для чистки системы в процессе загрузки компьютера. Управление системой производится при помощи скриптов AVZ. Boot Cleaner позволяет удалять ключи реестра и файлы с указанными именами, удалять и отключать драйвера и службы. Команды управления системой и примеры описаны в документации.

[++] Сохранение настроек в виде именованных профилей. Позволяет создавать неограниченное количество профилей с возможностю их последобщей загрузки. Профиль содержит параметры, идентичные параметрам командной строки - все параметры описаны в документации

[+] Детектирование подмены имени файла или пути к нему в PEB процесса в AVZPM

[+] Остановка процесса из KernelMode при активном AVZ PM

[+] Скрипты - добавлен ряд команд, в частности для проверки любого файла по базам AVZ,

работы с файлом Hosts. Расширен раздел "Типовые примеры" в описании скриптов

[-] Исправлен драйвер AVZPM - ряд доработок, в том числе исправлена ошибка на W2K3 SP0

[-] Исправлен мелкий глюк с отображением окон AVZ при наличие в системе нескольких мониторов

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Быстро как только недавно он 4.22 недавно появилась..

пошёл качать..

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Антивирусная утилита AVZ - 4.24 + AVZGuard/AVZPM/BootCleaner

Список доработок и модификаций:

[++] BootCleaner - функция карантина файлов, драйверов и служб, расширенное протоколирование.

[++] Менеджер автозапуска - добавлено более десятка различных экзотических методик автозапуска. Плюс расширены проверки ключей автозапуска, выполняемые скриптами эвристики

[++] Новый менеджер - менеджер Active Setup. Данный менеджер подключен к базе безопасных, исследованию системы и автокарантину.

[++] Расширена и доработана справочная система и документация

[++] Скрипты - команда сканирование реестра и поиск заданного образца с выводом результатов в протокол, имя команды RegSearch

[+] Протокол - цветовое выделение важных событий

[+] Сортировка модулей в диспетчере процессов по всем столбцам (по умолчанию - по имени модуля)

[+] Отчет о открытых порта - добавлен PID процессов

[+] Антируткит - проверка экспортируемых функций ядра

[+] Скрипты - усовершенствована команда карантина файлов, добавлено протоколирование карантина

[+] Скрипты - команда остановки всех процессов с заданным именем

[+] Формирование кода возврата при выходе из AVZ

[+] Добавлена возможность перемещения карантина и папки Infected в отдельную папку для запуска AVZ с BootCD или иного ReadOnly носителя

[+] Добавлена возможность задания произвольной папки в качестве каталога для временных файлов

[+] Протоколирование карантина (успешность, ошибки)

[-] Скрипты, исправлена функция CreateQurantineArchive (она помещала в архив самую старую папку карантина вместо самой новой)

[-] Ключ AG=Y - исправлена ошибка в обработке ключа

[-] В профилях не сохранялась настройка действий для HackTool - исправлено

Кроме того, обновлена версия плагина для TheBat - в нем устранен сбой проверки почты, который возникал при некоторых сочетаниях настроек.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я положил на прежнее место обновленный архив, там 4.24 r4, в ней устранены глюки в антикейлоггере, AVZPM и еще ряд мелочей.

"Прежнее место" - это http://z-oleg.com/avz4.zip

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Антивирусная утилита AVZ - 4.25 + AVZGuard/AVZPM/BootCleaner

Архив с утилитой содержит базу вирусов от 17.04.2007 103395 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, 369 микропрограмм эвристики, 58493 подписей безопасных файлов

Список доработок и модификаций:

[-] Исправлены ошибки, возникающие в работе антикейлоггера на различных ОС

[-] Исправлены ошибки, связанные с AVZPM

[+] В дистрибутив вошли все усовершенствования и доработки, которые были введены в 4.24r1 - 4.24r4

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вышла новая версия AVZ - 4.27

Список доработок и модификаций:

[+++] Новая подсистема - резервное копирование. Позволяет автоматически создавать резервные копии различных системных настроек (резервные копии выполняются в основном в виде REG файлов, которые могут быть импортированы стандартным редактором реестра)

[+++] Автоматическое резервное копирование настроек SPI перед их исправлением и ряда настроек системы перед их восстановлением. Резервные копии создаются автоматически по мере надобности в папке BackUp в виде стандартных REG файлов, которые в случае необходимости могут быть импортированы в реестр

[+++] Добавлена новая подсистема - ИПУ (Искатель Потенциальных Уязвимостей). Его задача - поиск потенциально уязвимых служб, требующих внимания со стороны пользователя настроек и прочих моментов, влияющих на быстродействие и (или) безопасность ПК. Данная подсистема может вызываться из скриптов. Если уязвимость устранима, то в меню исследования системы автоматически добавляется соответствующая позиция, генерирующая фрагмент скрипта для устранения проблемы

[+++] Новая функция исследования системы - сохранение результатов исследования в формате XML. Данные XML файла дублируют данные протокола исследования системы, предназначено для автоматизированной обработки результатов исследования

[+++] Добавлено множество команд скриптового языка (более 20 штук - экспорт реестра, сканирование реестра, запуск эвристики, работа с INI файлами и т.п.)

[++] BootCleaner - добавлена функция копирования файла, подправлен карантин

[++] В восстановлении новая функция - пересоздание настроек SPI/LSP. Помогает, если зловред повредил системные ключи или подменил своими. Данная функция делает бекап текущих наcтроек и пересоздает их по эталону

[+] Менеджер автозапуска - добавлен контроль ряда экзотических ключей автозапуска, применяемых malware

[+] Добавлена прогресс-индикация в окне "Выполнить скрипт"

[+] Все кнопки главного окна продублированы пунктами меню (для устранения проблем доступа к ним при работе на низких разрешениях экрана в защищенном режиме)

[+] в логе сканирования системы отображаются данные о запуске из консольной сессии и о состоянии восстановления системы, в итоге лога отображаются данные о количестве подозрительных объектов

[+] Скрипты - расширен набор макросов, допустимых в имени файла

[-] Исправлен конфликт между системой AVZGuard и модулем проверки файлов по базе безопасных

[+/-] Сообщения об ошибках разархивации перемещено в раздел отладочной информации ипо умолчанию не выводится в протокол

AVZ 4.27, базы от 30.08.07

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

спасибо за сообщение, я последние время на virusinfo.info редко появляюсь..

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
спасибо за сообщение, я последние время на virusinfo.info редко появляюсь..

Пожалуйста.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Использую в дополнение к КИС 7.0

Очень грамотная и полезная утилита. Вот только был парадокс: нашла трояна в лицензионной энциклопедии Британика. Проверка файла в вирлабе ЛК наличие трояна исключила... И еще, считает за кейлоггер управляющую программу графического планшета Гениус...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

нашла трояна в лицензионной энциклопедии Британика
100% определила или всё же было подозрение на троян?
считает за кейлоггер управляющую программу графического планшета Гениус
считает или просто предупредила о процессе, что есть функции перехвата?
0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Денис Лебедев, привожу часть протокола:

Протокол антивирусной утилиты AVZ версии 4.27

Сканирование запущено в 03.09.2007 8:02:58

Загружена база: 125171 сигнатура, 2 нейропрофиля, 55 микропрограмм лечения, база от 31.08.2007 16:00

Загружены микропрограммы эвристики: 371

Загружены микропрограммы ИПУ: 9

Загружены цифровые подписи системных файлов: 62028

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: включено

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

Восстановление системы: включено

C:PROGRA~1GENIUS~1tabscrol.DLL --> Подозрение на Keylogger или троянскую DLL

C:PROGRA~1GENIUS~1tabscrol.DLL>>> Поведенческий анализ:

1. Реагирует на события: клавиатура, мышь

C:PROGRA~1GENIUS~1tabscrol.DLL>>> Нейросеть: файл с вероятностью 99.92% похож на типовой перехватчик событий клавиатуры/мыши

C:Program FilesBritannica 2003Ultimate Reference Suite CDdataebassemblycaption-5.jar/{ZIP}/53038.gz >>>>> Trojan.BAT.Delwin.ah

Отправка данного вархива на проверку в вирлаб ЛК наличия трояна не выявила...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Недавно исследователи в области безопасности обнаружили новый вариант вымогателя Petya, он получил название Goldeneye. Эксперты утверждают, что между новым вариантом и оригиналом практически нет никаких различий. Читать далее
    • Компания «СёрчИнформ» интегрировала технологию экспертизы цифровых изображений Oz PhotoExpert в DLP-систему «КИБ Сёрчинформ». Новый модуль ImageControl в режиме реального времени проверяет изображения на подлинность по заданным условиям и предупреждает о том, что изображение было отредактировано. Читать далее
    • Исследователи обнаружили критическую уязвимость в почтовом клиенте с открытым исходным кодом Roundcube. Она позволяет выполнить произвольные команды на системе, просто отправив электронное письмо. Читать далее
    • Под слежкой американских спецслужб на протяжении более десяти лет находились пассажиры французской авиакомпании Air France. Технические возможности позволяли получать информацию в режиме реального времени, сообщает газета Le Monde со ссылкой на архивные материалы перебежчика Эдварда Сноудена. Читать далее
    • santy exiland-soft.com/ru/organizer-screen0.html   Что же здесь есть полезного ? 1) Пометить цветом  ( чтобы не терять объект  из вида ) ( или цвет объекта будет сопряжён с его статусом )
      2) Включить в группу > Переместить в группу.
      3) Добавить закладку ( повторная работа с образом и т.д )...
      4) Быстрый и детальный сквозной поиск по всем разделам
      Например записи относящиеся к  Tencent  ( они могут быть в разных колонках )
      Колонки: путь к файлу\производитель...
      А так один запрос разом по нескольким колонкам и мы получим полный список где есть Tencent 5) Выделить всё ( работа со всеми выделенными объектами ) - применяем фильтр и после этого все объекты выделяем. ( с возможностью выбора действия по всем выделенным объектам )