Перейти к содержанию
kvit

Новые возможности Dr.web Shield

Recommended Posts

kvit

Вчера мы выпустили лечение TDL3, а также выложили статью, описывающую функционал продвинутого руткита. На фоне обсуждения статьи, я хочу поделиться информацией о нашем компоненте, которому мы обязаны лечению таких руткитов, это безусловно, Shield а также прояснить некоторые вопросы, касающиеся его.

Что такое вообще Шилд и как его использует антивирус? Шилд есть специальный драйвер, который запускается вместе со сканером и служит прослойкой между сканером и внутренним миром Windows. Т. е. сканер вместо обращений к ядру Windows, использует для этого Шилд, который используя низкоуровневые механизмы работы с памятью, процессами, потоками, дисками предоставляет сканеру доверенные данные. Особенность поведения Шилда заключается в том, что он старается не воздействовать на ОС, т. е. не ведет себя как антируткит, а если и восстанавливает какие-то перехваты, то там, где без этого невозможно обойтись, а таких мест очень мало.

Когда ко мне в руки перешел проект Шилда (это случилось в декабре прошлого года и для меня это было большой неожиданностью; мало кому удается поработать в проектах по разработке антируткитов, а уж поработать в таком проекте как Шилд тем более; это очень и очень здорово), он уже был полнофункциональным и мощным слоем, защищающим сканер от зараженной системы. И все же в нем было одно уязвимое, в смысле функционала, место. Это ввод-вывод на внешние устройства, т. е. низкоуровневая работа с жесткими дисками и файловыми системами. Конечно, вектор направления здесь задают больше руткиты, они показывают Шилду в какую сторону нужно развиваться и что нужно дорабатывать в концептуальном плане. Нет руткитов, нет и функционала.

Примерно в марте у нас зародилась идея о том, что нужно допиливать этот функционал, иначе мы останемся беззащитными перед такой угрозой, которая проявилась как новый tdss. Мы планировали разработать низкоуровневую подсистему работы с FS FAT32 и NTFS и чтобы ввод-вывод по возможности происходил на самом низком уровне, через драйверы портов жесткого диска. Тогда мы представить не могли с какими трудностями столкнемся при ее написании, официальной документации о ее внутреннем устройстве не было, так что приходилось ориентироваться на неофициальные источники и проводить больше времени в отладчике. Фортуна нам сопутствовала и где-то в начале сентября мы выпустили Шилд с запланированным функционалом, так что когда появился tdss, по существу, мы были готовы во все оружии. Теперь можно уверенно сказать, что это уязвимое место закрыто и Шилд стал еще мощнее и продвинутее по функционалу.

--------------------

With best regards, Artem Baranov

Doctor Web, Ltd.

источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Ну так нормально. Просто копия ядра не спасала от фильтров. А теперь"внушает".

Кроме FAT и NTFS будет поддержка exFAT, ext(2,3,4), etc.?

Какие планы на будущее?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit
Ну так нормально. Просто копия ядра не спасала от фильтров. А теперь"внушает".

Кроме FAT и NTFS будет поддержка exFAT, ext(2,3,4), etc.?

Какие планы на будущее?

можно "отсебятины" с ext проблем не будет, был бы спрос... ;)

планы на будущее быть первыми, а не четвертыми :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.11.8
      ---------------------------------------------------------
       o Управление DNS логом вынесено в отдельные твики, #41 и #42.
         DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
         Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
         в последнем случае необходимо перезагрузить систему после 42 твика.
         (Win7 и ниже не поддерживается).  
    • demkd
      да, выглядит странно, может быть CommandLineEventConsumer чем-то уже удален, антивирус какой-нибудь неаккуратно поработал.
    • santy
      здесь почему то нет потребителя события c5br1lMhB Consumer = "CommandLineEventConsumer.Name=\"c5br1lMhB\"" что это может быть? скрипт, который был недоступен на момент создания образа? запуск майнера был: C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON но чем был вызван запуск - не смогли отследить. (зачистили без regt 39)                              IZTVMAIL01_2021-07-30_07-26-53_v4.11.6.7z
    • demkd
      привет, любой запуск процесса отслеживается, не важно что его запустило, дополнительно в wmi-activity разве что dll можно считать, которые подсаживались в wmiprvse.exe, толку только от этого.
    • santy
      Привет. Возможен ли расширенный мониторинг создаваемых процессов через подписки WMI, аналогично тому, как это выполняется сейчас в uVS через твик 39? (т.е. доп. события пишутся системой в лог WMI-Activity.evtx и затем экспортируются нужное в образ автозапуска) или это уже работает сейчас?  
×