Перейти к содержанию
Andrew

Проверка заблокированных (sharing/lock) файлов

Recommended Posts

Andrew

В KAV/KIS 2006 была добавлена проверка заблокированных (sharing/lock) файлов. Интересно, кто из антивирусов ещё умеет такое делать?

Ветка была выделена из http://www.anti-malware.ru/phpbb/viewtopic.php?p=2089#2089 [прим. Admin]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Новый движек Symantec умеет по их заявлениям

The engine works before the operating system loads - in kernel mode - and protects users against malicious code that attempts to hide from current scanning methods. By operating in the kernel mode, the engine can open locked files, bypass programs running in the computer's user mode, and initiate repairs during the system boot cycle.

Вот тут я эту новость публиковал

http://www.anti-malware.ru/phpbb/viewtopic.php?t=367

Но вот как там на самом деле ... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
Новый движек Symantec умеет по их заявлениям

Но вот как там на самом деле ... :)

Нет, я имел ввиду другое - вирус уже запущен и активен, доступ к своим файлам блокирует. Кав в этом случае (через альтернативный механизм доступа к файлам) вирус детектит.

К примеру - новая зверушка, получает управление и прячется/блокирует доступ. После обновлений без перезагрузки надо его найти...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Да, это реально уникальная вещь, ни у кого больше не встречал такой возможности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
Да, это реально уникальная вещь, ни у кого больше не встречал такой возможности.

Технология включена в сборке KIS/KAV 6-ой версии, билды 6.0.0.274 или выше. Кто бы протестировал? :)

В 5-ой версии только в последнем MP (но там ограниченная поддержка, только sharing)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot
Технология включена в сборке KIS/KAV 6-ой версии, билды 6.0.0.274 или выше. Кто бы протестировал?

Надо себе поставить 274 сборку, у меня старее.

Не проблема, напиши, как правильно протестировать этот функционал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
Технология включена в сборке KIS/KAV 6-ой версии, билды 6.0.0.274 или выше. Кто бы протестировал?

Надо себе поставить 274 сборку, у меня старее.

Не проблема, напиши, как правильно протестировать этот функционал.

Я могу прислать как исходный код, так и откомпилированный тест. На форуме наверное не стоит исходный код публиковать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Можно выложить здесь откомпилированый тест, а исходник если кому надо - положить в закрытый форму (доступ сейчас открою :) )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
Можно выложить здесь откомпилированый тест, а исходник если кому надо - положить в закрытый форму (доступ сейчас открою :) )

Программка в каталоге запуска создаёт файл "locked file", записывает туда стандартный ейкар, флашит буфера.

Пока висит MessageBox нужно просканировать каталог с этим файлом.

После нажатия на кнопку ОК файл автоматически удалится

Забыл добавить, проверять имеет смысл на Win2k, WinXP and later

Добавлено спустя 4 минуты 5 секунд:

Можно выложить здесь откомпилированый тест, а исходник если кому надо - положить в закрытый форму (доступ сейчас открою :) )

Не нашел куда можно исходный текст... новенькия я здесь, пальцем покажите :)

LockFile.zip

LockFile.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Вот в этот форум закрыт для широкой общественности (доступ только для ограниченной группы пользователей), там можно выкладывать все :-)

Анализ вредоносных программ (malware)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

стоп, в чём новинка??? www.wasm.ru там всё описано, люди придумали.. Я давно использую предложенные методики и некоторые свои наработки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
стоп, в чём новинка??? www.wasm.ru там всё описано, люди придумали.. Я давно использую предложенные методики и некоторые свои наработки.

новинка для продукта. для касперского это первое упоминание данной технологии. Конкретный механизм обхода блокировки может менятся от автора к автору и то что ты что-то используешь только говорит о том что это нужно для детекта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

с другой стороны, в настоящее время, большинство вирусов блокирует антивирусы.. Предложенная технология полезна в случае, если на заражённом компьютере обновился антивирус.. и тогда возможно обнаружить и обезвредить запущеный вирус (В залоченных файлах), каков процент таких вирусов? возможен ли вариант когда невозможно блокировать антивирус/систему обновления/и т п

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
с другой стороны, в настоящее время, большинство вирусов блокирует антивирусы.. Предложенная технология полезна в случае, если на заражённом компьютере обновился антивирус.. и тогда возможно обнаружить и обезвредить запущеный вирус (В залоченных файлах), каков процент таких вирусов? возможен ли вариант когда невозможно блокировать антивирус/систему обновления/и т п

Борьба с антивирусами сильно усложняет жизнь писателям. Из-за банальной лени могут против конкретного антивируса полениться сделать.

Против осмысленной борьбы с антивирусом ловить нечего, разве что рассаживать в разные виртуальные машины.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Andrew

Провел предложенный тест на KIS 2006 build 278.

Windows 2000 Pro SP4

Запустил файл lockfile.exe, пока висил MessageBox просканировал каталог с этим файлом.

Результат - Eicar не найден :cry:

Выдается ошибка обработки файла lock file (смотри скриншот).

Не сработало или я что-то не так сделал? :puzzled:

test1.gif

test.gif

post-4-1139515805.gif

post-1-1139515805.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
Andrew

Провел предложенный тест на KIS 2006 build 278.

Windows 2000 Pro SP4

Запустил файл lockfile.exe, пока висил MessageBox просканировал каталог с этим файлом.

Результат - Eicar не найден :cry:

Выдается ошибка обработки файла lock file (смотри скриншот).

Не сработало или я что-то не так сделал? :puzzled:

Хм, единственный подозреваемый - вин2к. Надо будет ещё раз у себя проверять. Можно у тебя твой ntoskrnl.exe попросить? :)

На xp есть возможность проверить?

зы. Это проблема, и не только кав/кис, проверять такие файлы...

тестеры сейчас ответили - у них всё в порядке, претензий к вин2к нет... странно. но так всегда бывает с новыми технологиями :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Проверил на другой машине на Win XP SP1

KIS сборка 271 - тот же эффект :(

Выдается ошибка обработки файла.

Добавлено спустя 25 минут 15 секунд:

Проверил на DrWeb 4.33 - ничего не находит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
Проверил на другой машине на Win XP SP1

KIS сборка 271 - тот же эффект :(

Выдается ошибка обработки файла.

Добавлено спустя 25 минут 15 секунд:

Проверил на DrWeb 4.33 - ничего не находит.

В 271 сборке этого функционала нет, нужно 274 или выше

Угу, разобралиcь совместными усилиями: есть две технологии - проверка залоченных объектов (она работает только на xp или выше) и проверка спрятанных. вот второе доступно и на w2k (используется при сканировании стартап объектов).

Тест нужно использовать только на xp

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
В 271 сборке этого функционала нет, нужно 274 или выше

Угу, разобралиcь совместными усилиями: есть две технологии - проверка залоченных объектов (она работает только на xp или выше) и проверка спрятанных. вот второе доступно и на w2k (используется при сканировании стартап объектов).

Тест нужно использовать только на xp

ОК. попробую обновить сборку.

А почему на Win2000 эта фича не работает?

Добавлено спустя 1 минуту 23 секунды:

Проверил на BiDefender - такую задачу не осилил :(

//-----------------------------------------------------------------

//

// Product: BitDefender 9 Internet Security

// Version: 9.0

//

// Created on: 10/02/2006 13:53:36

//

//-----------------------------------------------------------------

Virus Statistics

Scan path : C:DistribLockFile

Folders : 1

Files : 4

Archives : 1

Packed files : 0

Identified viruses : 0

Infected files : 0

Warnings : 0

Suspect files : 0

Disinfected files : 0

Deleted files : 0

Copied files : 0

Moved files : 0

Renamed files : 0

I/O errors : 1

Scan time : 00:00:02

Scan speed (files/sec) : 2

Virus definitions : 247948

Scan plugins : 15

Archive plugins : 42

Unpack plugins : 4

Mail plugins : 6

System plugins : 5

Virus scan options

Detection

[X] Scan boot sectors

[X] Scan archives

[X] Scan packed files

[X] Scan email

File mask

[ ] Programs

[X] All files

[ ] User defined extensions:

[ ] Exclude extensions: ;

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
В 271 сборке этого функционала нет, нужно 274 или выше

Угу, разобралиcь совместными усилиями: есть две технологии - проверка залоченных объектов (она работает только на xp или выше) и проверка спрятанных. вот второе доступно и на w2k (используется при сканировании стартап объектов).

Тест нужно использовать только на xp

ОК. попробую обновить сборку.

А почему на Win2000 эта фича не работает?

Проверил на BiDefender - такую задачу не осилил :(

;

О чем и речь. В случае такого поведения у зверушки даже приход обновления не поможет его найти. Если машина долго не прегружается то зверёк будет жить вечно! :)

на 2к сумели побороть только блокирование шарингом. Увы, 2к более несовершенная операционка чем xp.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ramzes13
Проверил на другой машине на Win XP SP1

KIS сборка 271 - тот же эффект :(

Выдается ошибка обработки файла.

Добавлено спустя 25 минут 15 секунд:

Проверил на DrWeb 4.33 - ничего не находит.

Проверь НОД32,всё найдёт и вылечит и удалит!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Ramzes13

У тебя Нод32 стоит, попробуй этот тест если не сложно и поделись результатами, у меня сейчас, к сожалению, нет возможности его поставить :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ramzes13
Ramzes13

У тебя Нод32 стоит, попробуй этот тест если не сложно и поделись результатами, у меня сейчас, к сожалению, нет возможности его поставить :(

Какой тест ,я не понял???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Какой тест ,я не понял???

Собственно сабж этой ветки, выше Andrew выложил файл, который создает временный залоченный файл с тестовым EICAR.

Это файл надо скачать lockfile, запустить и пока висит MessageBox просканировать папку с ним.

Я почти на 100% уверен, что Нод EICAR не найдет и все ограничится ошибкой ввода/вывода :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
Ramzes13

У тебя Нод32 стоит, попробуй этот тест если не сложно и поделись результатами, у меня сейчас, к сожалению, нет возможности его поставить :(

Какой тест ,я не понял???

Ну что, попробовал?

зы. как в аникдоте - что молчишь, поймал что-ли? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      На мой взгляд то, что Process Hacker выгружает антивирусы - явление нормальное, потому что Process Hacker - легитимная программа (по мнению некоторых вендоров -  потенциально опасная), а не троянская, и  команду на выгрузку антивируса даёт сам пользователь ( выбрав процесс в списке и нажимая "Terminate"), то есть это действие (завершение процесса, отвечающего за работу антивируса) санкционировано самим пользователем.
    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×