Новые возможности Dr.web Shield

[kvit 85]

Вчера мы выпустили лечение TDL3, а также выложили статью, описывающую функционал продвинутого руткита. На фоне обсуждения статьи, я хочу поделиться информацией о нашем компоненте, которому мы обязаны лечению таких руткитов, это безусловно, Shield а также прояснить некоторые вопросы, касающиеся его.

Что такое вообще Шилд и как его использует антивирус? Шилд есть специальный драйвер, который запускается вместе со сканером и служит прослойкой между сканером и внутренним миром Windows. Т. е. сканер вместо обращений к ядру Windows, использует для этого Шилд, который используя низкоуровневые механизмы работы с памятью, процессами, потоками, дисками предоставляет сканеру доверенные данные. Особенность поведения Шилда заключается в том, что он старается не воздействовать на ОС, т. е. не ведет себя как антируткит, а если и восстанавливает какие-то перехваты, то там, где без этого невозможно обойтись, а таких мест очень мало.

Когда ко мне в руки перешел проект Шилда (это случилось в декабре прошлого года и для меня это было большой неожиданностью; мало кому удается поработать в проектах по разработке антируткитов, а уж поработать в таком проекте как Шилд тем более; это очень и очень здорово), он уже был полнофункциональным и мощным слоем, защищающим сканер от зараженной системы. И все же в нем было одно уязвимое, в смысле функционала, место. Это ввод-вывод на внешние устройства, т. е. низкоуровневая работа с жесткими дисками и файловыми системами. Конечно, вектор направления здесь задают больше руткиты, они показывают Шилду в какую сторону нужно развиваться и что нужно дорабатывать в концептуальном плане. Нет руткитов, нет и функционала.

Примерно в марте у нас зародилась идея о том, что нужно допиливать этот функционал, иначе мы останемся беззащитными перед такой угрозой, которая проявилась как новый tdss. Мы планировали разработать низкоуровневую подсистему работы с FS FAT32 и NTFS и чтобы ввод-вывод по возможности происходил на самом низком уровне, через драйверы портов жесткого диска. Тогда мы представить не могли с какими трудностями столкнемся при ее написании, официальной документации о ее внутреннем устройстве не было, так что приходилось ориентироваться на неофициальные источники и проводить больше времени в отладчике. Фортуна нам сопутствовала и где-то в начале сентября мы выпустили Шилд с запланированным функционалом, так что когда появился tdss, по существу, мы были готовы во все оружии. Теперь можно уверенно сказать, что это уязвимое место закрыто и Шилд стал еще мощнее и продвинутее по функционалу.

--------------------

With best regards, Artem Baranov

Doctor Web, Ltd.

источник

[dr_dizel 385]

Ну так нормально. Просто копия ядра не спасала от фильтров. А теперь"внушает".

Кроме FAT и NTFS будет поддержка exFAT, ext(2,3,4), etc.?

Какие планы на будущее?

[kvit 85]

Ну так нормально. Просто копия ядра не спасала от фильтров. А теперь"внушает".

Кроме FAT и NTFS будет поддержка exFAT, ext(2,3,4), etc.?

Какие планы на будущее?

можно "отсебятины" с ext проблем не будет, был бы спрос...

планы на будущее быть первыми, а не четвертыми