Перейти к содержанию
Andrew

Проверка заблокированных (sharing/lock) файлов

Recommended Posts

Andrew

В KAV/KIS 2006 была добавлена проверка заблокированных (sharing/lock) файлов. Интересно, кто из антивирусов ещё умеет такое делать?

Ветка была выделена из http://www.anti-malware.ru/phpbb/viewtopic.php?p=2089#2089 [прим. Admin]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Новый движек Symantec умеет по их заявлениям

The engine works before the operating system loads - in kernel mode - and protects users against malicious code that attempts to hide from current scanning methods. By operating in the kernel mode, the engine can open locked files, bypass programs running in the computer's user mode, and initiate repairs during the system boot cycle.

Вот тут я эту новость публиковал

http://www.anti-malware.ru/phpbb/viewtopic.php?t=367

Но вот как там на самом деле ... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
Новый движек Symantec умеет по их заявлениям

Но вот как там на самом деле ... :)

Нет, я имел ввиду другое - вирус уже запущен и активен, доступ к своим файлам блокирует. Кав в этом случае (через альтернативный механизм доступа к файлам) вирус детектит.

К примеру - новая зверушка, получает управление и прячется/блокирует доступ. После обновлений без перезагрузки надо его найти...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Да, это реально уникальная вещь, ни у кого больше не встречал такой возможности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
Да, это реально уникальная вещь, ни у кого больше не встречал такой возможности.

Технология включена в сборке KIS/KAV 6-ой версии, билды 6.0.0.274 или выше. Кто бы протестировал? :)

В 5-ой версии только в последнем MP (но там ограниченная поддержка, только sharing)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot
Технология включена в сборке KIS/KAV 6-ой версии, билды 6.0.0.274 или выше. Кто бы протестировал?

Надо себе поставить 274 сборку, у меня старее.

Не проблема, напиши, как правильно протестировать этот функционал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
Технология включена в сборке KIS/KAV 6-ой версии, билды 6.0.0.274 или выше. Кто бы протестировал?

Надо себе поставить 274 сборку, у меня старее.

Не проблема, напиши, как правильно протестировать этот функционал.

Я могу прислать как исходный код, так и откомпилированный тест. На форуме наверное не стоит исходный код публиковать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Можно выложить здесь откомпилированый тест, а исходник если кому надо - положить в закрытый форму (доступ сейчас открою :) )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
Можно выложить здесь откомпилированый тест, а исходник если кому надо - положить в закрытый форму (доступ сейчас открою :) )

Программка в каталоге запуска создаёт файл "locked file", записывает туда стандартный ейкар, флашит буфера.

Пока висит MessageBox нужно просканировать каталог с этим файлом.

После нажатия на кнопку ОК файл автоматически удалится

Забыл добавить, проверять имеет смысл на Win2k, WinXP and later

Добавлено спустя 4 минуты 5 секунд:

Можно выложить здесь откомпилированый тест, а исходник если кому надо - положить в закрытый форму (доступ сейчас открою :) )

Не нашел куда можно исходный текст... новенькия я здесь, пальцем покажите :)

LockFile.zip

LockFile.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Вот в этот форум закрыт для широкой общественности (доступ только для ограниченной группы пользователей), там можно выкладывать все :-)

Анализ вредоносных программ (malware)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

стоп, в чём новинка??? www.wasm.ru там всё описано, люди придумали.. Я давно использую предложенные методики и некоторые свои наработки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
стоп, в чём новинка??? www.wasm.ru там всё описано, люди придумали.. Я давно использую предложенные методики и некоторые свои наработки.

новинка для продукта. для касперского это первое упоминание данной технологии. Конкретный механизм обхода блокировки может менятся от автора к автору и то что ты что-то используешь только говорит о том что это нужно для детекта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

с другой стороны, в настоящее время, большинство вирусов блокирует антивирусы.. Предложенная технология полезна в случае, если на заражённом компьютере обновился антивирус.. и тогда возможно обнаружить и обезвредить запущеный вирус (В залоченных файлах), каков процент таких вирусов? возможен ли вариант когда невозможно блокировать антивирус/систему обновления/и т п

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
с другой стороны, в настоящее время, большинство вирусов блокирует антивирусы.. Предложенная технология полезна в случае, если на заражённом компьютере обновился антивирус.. и тогда возможно обнаружить и обезвредить запущеный вирус (В залоченных файлах), каков процент таких вирусов? возможен ли вариант когда невозможно блокировать антивирус/систему обновления/и т п

Борьба с антивирусами сильно усложняет жизнь писателям. Из-за банальной лени могут против конкретного антивируса полениться сделать.

Против осмысленной борьбы с антивирусом ловить нечего, разве что рассаживать в разные виртуальные машины.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Andrew

Провел предложенный тест на KIS 2006 build 278.

Windows 2000 Pro SP4

Запустил файл lockfile.exe, пока висил MessageBox просканировал каталог с этим файлом.

Результат - Eicar не найден :cry:

Выдается ошибка обработки файла lock file (смотри скриншот).

Не сработало или я что-то не так сделал? :puzzled:

test1.gif

test.gif

post-4-1139515805.gif

post-1-1139515805.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
Andrew

Провел предложенный тест на KIS 2006 build 278.

Windows 2000 Pro SP4

Запустил файл lockfile.exe, пока висил MessageBox просканировал каталог с этим файлом.

Результат - Eicar не найден :cry:

Выдается ошибка обработки файла lock file (смотри скриншот).

Не сработало или я что-то не так сделал? :puzzled:

Хм, единственный подозреваемый - вин2к. Надо будет ещё раз у себя проверять. Можно у тебя твой ntoskrnl.exe попросить? :)

На xp есть возможность проверить?

зы. Это проблема, и не только кав/кис, проверять такие файлы...

тестеры сейчас ответили - у них всё в порядке, претензий к вин2к нет... странно. но так всегда бывает с новыми технологиями :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Проверил на другой машине на Win XP SP1

KIS сборка 271 - тот же эффект :(

Выдается ошибка обработки файла.

Добавлено спустя 25 минут 15 секунд:

Проверил на DrWeb 4.33 - ничего не находит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
Проверил на другой машине на Win XP SP1

KIS сборка 271 - тот же эффект :(

Выдается ошибка обработки файла.

Добавлено спустя 25 минут 15 секунд:

Проверил на DrWeb 4.33 - ничего не находит.

В 271 сборке этого функционала нет, нужно 274 или выше

Угу, разобралиcь совместными усилиями: есть две технологии - проверка залоченных объектов (она работает только на xp или выше) и проверка спрятанных. вот второе доступно и на w2k (используется при сканировании стартап объектов).

Тест нужно использовать только на xp

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
В 271 сборке этого функционала нет, нужно 274 или выше

Угу, разобралиcь совместными усилиями: есть две технологии - проверка залоченных объектов (она работает только на xp или выше) и проверка спрятанных. вот второе доступно и на w2k (используется при сканировании стартап объектов).

Тест нужно использовать только на xp

ОК. попробую обновить сборку.

А почему на Win2000 эта фича не работает?

Добавлено спустя 1 минуту 23 секунды:

Проверил на BiDefender - такую задачу не осилил :(

//-----------------------------------------------------------------

//

// Product: BitDefender 9 Internet Security

// Version: 9.0

//

// Created on: 10/02/2006 13:53:36

//

//-----------------------------------------------------------------

Virus Statistics

Scan path : C:DistribLockFile

Folders : 1

Files : 4

Archives : 1

Packed files : 0

Identified viruses : 0

Infected files : 0

Warnings : 0

Suspect files : 0

Disinfected files : 0

Deleted files : 0

Copied files : 0

Moved files : 0

Renamed files : 0

I/O errors : 1

Scan time : 00:00:02

Scan speed (files/sec) : 2

Virus definitions : 247948

Scan plugins : 15

Archive plugins : 42

Unpack plugins : 4

Mail plugins : 6

System plugins : 5

Virus scan options

Detection

[X] Scan boot sectors

[X] Scan archives

[X] Scan packed files

[X] Scan email

File mask

[ ] Programs

[X] All files

[ ] User defined extensions:

[ ] Exclude extensions: ;

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
В 271 сборке этого функционала нет, нужно 274 или выше

Угу, разобралиcь совместными усилиями: есть две технологии - проверка залоченных объектов (она работает только на xp или выше) и проверка спрятанных. вот второе доступно и на w2k (используется при сканировании стартап объектов).

Тест нужно использовать только на xp

ОК. попробую обновить сборку.

А почему на Win2000 эта фича не работает?

Проверил на BiDefender - такую задачу не осилил :(

;

О чем и речь. В случае такого поведения у зверушки даже приход обновления не поможет его найти. Если машина долго не прегружается то зверёк будет жить вечно! :)

на 2к сумели побороть только блокирование шарингом. Увы, 2к более несовершенная операционка чем xp.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ramzes13
Проверил на другой машине на Win XP SP1

KIS сборка 271 - тот же эффект :(

Выдается ошибка обработки файла.

Добавлено спустя 25 минут 15 секунд:

Проверил на DrWeb 4.33 - ничего не находит.

Проверь НОД32,всё найдёт и вылечит и удалит!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Ramzes13

У тебя Нод32 стоит, попробуй этот тест если не сложно и поделись результатами, у меня сейчас, к сожалению, нет возможности его поставить :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ramzes13
Ramzes13

У тебя Нод32 стоит, попробуй этот тест если не сложно и поделись результатами, у меня сейчас, к сожалению, нет возможности его поставить :(

Какой тест ,я не понял???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Какой тест ,я не понял???

Собственно сабж этой ветки, выше Andrew выложил файл, который создает временный залоченный файл с тестовым EICAR.

Это файл надо скачать lockfile, запустить и пока висит MessageBox просканировать папку с ним.

Я почти на 100% уверен, что Нод EICAR не найдет и все ограничится ошибкой ввода/вывода :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
Ramzes13

У тебя Нод32 стоит, попробуй этот тест если не сложно и поделись результатами, у меня сейчас, к сожалению, нет возможности его поставить :(

Какой тест ,я не понял???

Ну что, попробовал?

зы. как в аникдоте - что молчишь, поймал что-ли? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
    • santy
      1. уточни, о каком функционале по ИНФО идет речь. одно дело фильтрующий поиск, т.е. список объектов фильтруется (сейчас) по определенному полю, и поиск выполняется сразу после введения одного символа, далее, уже по двум добавленным символам. и т.д. запрос же выполняется после введения некоторого значения. (не единственного символа.) запросов в таком виде сейчас нет, они могли бы быть, если будет реализована функция фильтрации по единственному критерию. (т.е. в этом случае мы получаем результат не по всем критериям, а по одному из списка) ----- здесь не факт, что фильтрующий поиск будет работать настолько быстро при проверке введенного символа по всем полям. 2. приведи примеры, когда введенное значение имеет смысл фильтровать по всем полям ИНФО. скажем если мы ищем имя файла, то нет смысла его искать в качестве вхождения в другие поля, аналогично и имя каталога, и имя производителя, и цифровой подписи, хэшей. и т.д. т.о. может получиться, что мы только увеличим время обновления зафильтрованного списка, и не получив ожидаемого лучшего результата.
×