Перейти к содержанию
Andrew

Проверка заблокированных (sharing/lock) файлов

Recommended Posts

Andrew

В KAV/KIS 2006 была добавлена проверка заблокированных (sharing/lock) файлов. Интересно, кто из антивирусов ещё умеет такое делать?

Ветка была выделена из http://www.anti-malware.ru/phpbb/viewtopic.php?p=2089#2089 [прим. Admin]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Новый движек Symantec умеет по их заявлениям

The engine works before the operating system loads - in kernel mode - and protects users against malicious code that attempts to hide from current scanning methods. By operating in the kernel mode, the engine can open locked files, bypass programs running in the computer's user mode, and initiate repairs during the system boot cycle.

Вот тут я эту новость публиковал

http://www.anti-malware.ru/phpbb/viewtopic.php?t=367

Но вот как там на самом деле ... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
Новый движек Symantec умеет по их заявлениям

Но вот как там на самом деле ... :)

Нет, я имел ввиду другое - вирус уже запущен и активен, доступ к своим файлам блокирует. Кав в этом случае (через альтернативный механизм доступа к файлам) вирус детектит.

К примеру - новая зверушка, получает управление и прячется/блокирует доступ. После обновлений без перезагрузки надо его найти...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Да, это реально уникальная вещь, ни у кого больше не встречал такой возможности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
Да, это реально уникальная вещь, ни у кого больше не встречал такой возможности.

Технология включена в сборке KIS/KAV 6-ой версии, билды 6.0.0.274 или выше. Кто бы протестировал? :)

В 5-ой версии только в последнем MP (но там ограниченная поддержка, только sharing)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot
Технология включена в сборке KIS/KAV 6-ой версии, билды 6.0.0.274 или выше. Кто бы протестировал?

Надо себе поставить 274 сборку, у меня старее.

Не проблема, напиши, как правильно протестировать этот функционал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
Технология включена в сборке KIS/KAV 6-ой версии, билды 6.0.0.274 или выше. Кто бы протестировал?

Надо себе поставить 274 сборку, у меня старее.

Не проблема, напиши, как правильно протестировать этот функционал.

Я могу прислать как исходный код, так и откомпилированный тест. На форуме наверное не стоит исходный код публиковать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Можно выложить здесь откомпилированый тест, а исходник если кому надо - положить в закрытый форму (доступ сейчас открою :) )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
Можно выложить здесь откомпилированый тест, а исходник если кому надо - положить в закрытый форму (доступ сейчас открою :) )

Программка в каталоге запуска создаёт файл "locked file", записывает туда стандартный ейкар, флашит буфера.

Пока висит MessageBox нужно просканировать каталог с этим файлом.

После нажатия на кнопку ОК файл автоматически удалится

Забыл добавить, проверять имеет смысл на Win2k, WinXP and later

Добавлено спустя 4 минуты 5 секунд:

Можно выложить здесь откомпилированый тест, а исходник если кому надо - положить в закрытый форму (доступ сейчас открою :) )

Не нашел куда можно исходный текст... новенькия я здесь, пальцем покажите :)

LockFile.zip

LockFile.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Вот в этот форум закрыт для широкой общественности (доступ только для ограниченной группы пользователей), там можно выкладывать все :-)

Анализ вредоносных программ (malware)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

стоп, в чём новинка??? www.wasm.ru там всё описано, люди придумали.. Я давно использую предложенные методики и некоторые свои наработки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
стоп, в чём новинка??? www.wasm.ru там всё описано, люди придумали.. Я давно использую предложенные методики и некоторые свои наработки.

новинка для продукта. для касперского это первое упоминание данной технологии. Конкретный механизм обхода блокировки может менятся от автора к автору и то что ты что-то используешь только говорит о том что это нужно для детекта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

с другой стороны, в настоящее время, большинство вирусов блокирует антивирусы.. Предложенная технология полезна в случае, если на заражённом компьютере обновился антивирус.. и тогда возможно обнаружить и обезвредить запущеный вирус (В залоченных файлах), каков процент таких вирусов? возможен ли вариант когда невозможно блокировать антивирус/систему обновления/и т п

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
с другой стороны, в настоящее время, большинство вирусов блокирует антивирусы.. Предложенная технология полезна в случае, если на заражённом компьютере обновился антивирус.. и тогда возможно обнаружить и обезвредить запущеный вирус (В залоченных файлах), каков процент таких вирусов? возможен ли вариант когда невозможно блокировать антивирус/систему обновления/и т п

Борьба с антивирусами сильно усложняет жизнь писателям. Из-за банальной лени могут против конкретного антивируса полениться сделать.

Против осмысленной борьбы с антивирусом ловить нечего, разве что рассаживать в разные виртуальные машины.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Andrew

Провел предложенный тест на KIS 2006 build 278.

Windows 2000 Pro SP4

Запустил файл lockfile.exe, пока висил MessageBox просканировал каталог с этим файлом.

Результат - Eicar не найден :cry:

Выдается ошибка обработки файла lock file (смотри скриншот).

Не сработало или я что-то не так сделал? :puzzled:

test1.gif

test.gif

post-4-1139515805.gif

post-1-1139515805.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
Andrew

Провел предложенный тест на KIS 2006 build 278.

Windows 2000 Pro SP4

Запустил файл lockfile.exe, пока висил MessageBox просканировал каталог с этим файлом.

Результат - Eicar не найден :cry:

Выдается ошибка обработки файла lock file (смотри скриншот).

Не сработало или я что-то не так сделал? :puzzled:

Хм, единственный подозреваемый - вин2к. Надо будет ещё раз у себя проверять. Можно у тебя твой ntoskrnl.exe попросить? :)

На xp есть возможность проверить?

зы. Это проблема, и не только кав/кис, проверять такие файлы...

тестеры сейчас ответили - у них всё в порядке, претензий к вин2к нет... странно. но так всегда бывает с новыми технологиями :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Проверил на другой машине на Win XP SP1

KIS сборка 271 - тот же эффект :(

Выдается ошибка обработки файла.

Добавлено спустя 25 минут 15 секунд:

Проверил на DrWeb 4.33 - ничего не находит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
Проверил на другой машине на Win XP SP1

KIS сборка 271 - тот же эффект :(

Выдается ошибка обработки файла.

Добавлено спустя 25 минут 15 секунд:

Проверил на DrWeb 4.33 - ничего не находит.

В 271 сборке этого функционала нет, нужно 274 или выше

Угу, разобралиcь совместными усилиями: есть две технологии - проверка залоченных объектов (она работает только на xp или выше) и проверка спрятанных. вот второе доступно и на w2k (используется при сканировании стартап объектов).

Тест нужно использовать только на xp

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
В 271 сборке этого функционала нет, нужно 274 или выше

Угу, разобралиcь совместными усилиями: есть две технологии - проверка залоченных объектов (она работает только на xp или выше) и проверка спрятанных. вот второе доступно и на w2k (используется при сканировании стартап объектов).

Тест нужно использовать только на xp

ОК. попробую обновить сборку.

А почему на Win2000 эта фича не работает?

Добавлено спустя 1 минуту 23 секунды:

Проверил на BiDefender - такую задачу не осилил :(

//-----------------------------------------------------------------

//

// Product: BitDefender 9 Internet Security

// Version: 9.0

//

// Created on: 10/02/2006 13:53:36

//

//-----------------------------------------------------------------

Virus Statistics

Scan path : C:DistribLockFile

Folders : 1

Files : 4

Archives : 1

Packed files : 0

Identified viruses : 0

Infected files : 0

Warnings : 0

Suspect files : 0

Disinfected files : 0

Deleted files : 0

Copied files : 0

Moved files : 0

Renamed files : 0

I/O errors : 1

Scan time : 00:00:02

Scan speed (files/sec) : 2

Virus definitions : 247948

Scan plugins : 15

Archive plugins : 42

Unpack plugins : 4

Mail plugins : 6

System plugins : 5

Virus scan options

Detection

[X] Scan boot sectors

[X] Scan archives

[X] Scan packed files

[X] Scan email

File mask

[ ] Programs

[X] All files

[ ] User defined extensions:

[ ] Exclude extensions: ;

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
В 271 сборке этого функционала нет, нужно 274 или выше

Угу, разобралиcь совместными усилиями: есть две технологии - проверка залоченных объектов (она работает только на xp или выше) и проверка спрятанных. вот второе доступно и на w2k (используется при сканировании стартап объектов).

Тест нужно использовать только на xp

ОК. попробую обновить сборку.

А почему на Win2000 эта фича не работает?

Проверил на BiDefender - такую задачу не осилил :(

;

О чем и речь. В случае такого поведения у зверушки даже приход обновления не поможет его найти. Если машина долго не прегружается то зверёк будет жить вечно! :)

на 2к сумели побороть только блокирование шарингом. Увы, 2к более несовершенная операционка чем xp.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ramzes13
Проверил на другой машине на Win XP SP1

KIS сборка 271 - тот же эффект :(

Выдается ошибка обработки файла.

Добавлено спустя 25 минут 15 секунд:

Проверил на DrWeb 4.33 - ничего не находит.

Проверь НОД32,всё найдёт и вылечит и удалит!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Ramzes13

У тебя Нод32 стоит, попробуй этот тест если не сложно и поделись результатами, у меня сейчас, к сожалению, нет возможности его поставить :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ramzes13
Ramzes13

У тебя Нод32 стоит, попробуй этот тест если не сложно и поделись результатами, у меня сейчас, к сожалению, нет возможности его поставить :(

Какой тест ,я не понял???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Какой тест ,я не понял???

Собственно сабж этой ветки, выше Andrew выложил файл, который создает временный залоченный файл с тестовым EICAR.

Это файл надо скачать lockfile, запустить и пока висит MessageBox просканировать папку с ним.

Я почти на 100% уверен, что Нод EICAR не найдет и все ограничится ошибкой ввода/вывода :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
Ramzes13

У тебя Нод32 стоит, попробуй этот тест если не сложно и поделись результатами, у меня сейчас, к сожалению, нет возможности его поставить :(

Какой тест ,я не понял???

Ну что, попробовал?

зы. как в аникдоте - что молчишь, поймал что-ли? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.11.9
      ---------------------------------------------------------
       o Твик #39 теперь дополнительно включает отслеживание командных строк завершенных процессов, командные строки отображаются в окне информации.
         Только для Windows 8.1/Windows Server 2012 R2 и старше.  o WLBSCTRL.DLL теперь автоматически получает статус подозрительного файла.  o В окне информации сетевого адаптера (в разделе DNS) теперь отображается поле DHCP Domain при его наличии.  
    • PR55.RP55
      https://habr.com/ru/post/214953/ На подобное событие антивирус также может реагировать - если сервер будет в чёрном списке. Да и уязвимости...  
    • demkd
      а вот это странно, надо будет почитать может еще что-то отключать надо
    • SQx
      В моем случае я кажется нашел этот - DhcpDomain папаметр: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{64846981-4885-4d8b-af0b-1097a90e00f6} EnableDHCP REG_DWORD 0x1 Domain REG_SZ NameServer REG_SZ DhcpServer REG_SZ 192.168.2.1 Lease REG_DWORD 0x3f480 LeaseObtainedTime REG_DWORD 0x6145e5fe T1 REG_DWORD 0x6147e03e T2 REG_DWORD 0x61495bee LeaseTerminatesTime REG_DWORD 0x6149da7e AddressType REG_DWORD 0x0 IsServerNapAware REG_DWORD 0x0 DhcpConnForceBroadcastFlag REG_DWORD 0x0 DhcpNetworkHint REG_SZ 8616070797 RegistrationEnabled REG_DWORD 0x1 RegisterAdapterName REG_DWORD 0x0 IPAddress REG_MULTI_SZ SubnetMask REG_MULTI_SZ DefaultGateway REG_MULTI_SZ DefaultGatewayMetric REG_MULTI_SZ DhcpIPAddress REG_SZ 192.168.2.103 DhcpSubnetMask REG_SZ 255.255.255.0 DhcpDomain REG_SZ home DhcpNameServer REG_SZ 192.168.2.1 DhcpDefaultGateway REG_MULTI_SZ 192.168.2.1 DhcpSubnetMaskOpt REG_MULTI_SZ 255.255.255.0 DhcpInterfaceOptions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hcpGatewayHardware REG_BINARY C0A8020106000000B8D94D42ED7E DhcpGatewayHardwareCount REG_DWORD 0x1 также я могу его пинговать. >ping -a home Pinging home.home [192.168.2.1] with 32 bytes of data: Reply from 192.168.2.1: bytes=32 time=1ms TTL=64 Reply from 192.168.2.1: bytes=32 time=1ms TTL=64  
    • SQx
      Мне ЛК, также написали:
        Но пользователь сказал, что не было галочки на "Автоматически определять настройки".
×