Vba32 AntiRootkit 3.12.5 beta - Страница 5 - Выбор домашних средств защиты - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

K_Mikhail
можно узнать возможные причины почему один из экземпляров svchost.exe так детектится?

df7ca7ba430621cb5a2e8c273b4d027d.jpg

В Column View Options в секции Processes активируйте флажок Anomalies. По хорошему, он должен быть включён по умолчанию, но... \не без злого намёка на кое-кого..\

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
\не без злого намёка на кое-кого..\

Посыпаю голову пеплом. И Дима наверное тоже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov
В Column View Options в секции Processes активируйте флажок Anomalies. По хорошему, он должен быть включён по умолчанию, но... \не без злого намёка на кое-кого..\

что то я немогу найти Column View Options

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
что то я немогу найти Column View Options

См. ниже рисунок и пояснения.

8378337b96b9.png

Запускаем антируткит, после чего

1. ставим галочку напротив processes, а остальные убираем (чтобы быстрее было)

2. нажимаем старт и терпеливо ждем, когда антируткит закончит перебирать процессы и разбирать их

3. нажимаем мышой на надписи processes

4. после чего нажимаем на надписи Column View Options

5. затем ставим галочку напротив Anomalies и в таблице снизу появится соответствующая графа, где можно будет увидеть почему антируткит заподозрил процесс

Ссылки битые, но с сайта загрузить ехе получается...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky
Ссылки битые, но с сайта загрузить ехе получается...

О-па... :blink:

Я в отпуске, но ребятам проблему передал... должны пофиксить в ближайшее время..

priv8v, почему так долго молчали? :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
priv8v, почему так долго молчали? sad.gif

только сегодня попробовал скачать и тут же написал :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky

Перепроверил, ссылки с официальной страницы ( http://anti-virus.by/en/beta.shtml ) валидные, а именно:

ftp://anti-virus.by/pub/beta/vba32arkit_beta.zip

ftp://anti-virus.by/pub/beta/vba32arkit_beta.7z

Говорят, давно уже такие... в любом случае уже добавили симлинки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Вчера проверил работу Vba32 Antirootkit на активном "Маячке" (sys в C:\WINDOWS и dll-ка в качестве AppInit DLL). Кстати, в активном состоянии не даёт установиться актуальной версии Dr.Web - инсталлятор записывает 2 файла в папку \Program Files\DrWeb, но потом сообщает, что у него нет доступа в эту папку. При этом при отмене инсталляции всё нормально отменяется, и из этой папки удаляется. И пользователь имеет к ней обычный доступ и может делать, что хочет. Вероятно, этот функционал в "Маячке" заточен именно под Dr.Web, но всё равно интересно.

Собственно, из-за этого стал исследовать систему. MSE и Avira (да, одновременно) при этом стояли и молчали :) А Интернет "работал плохо".

Антируткит от VBA показал себя на высоте, показав всё, что перехватывает этот sys. Ну, DLL-ку тоже показал. Кстати, я бы выделял на "болотном" цвете такие вещи с AppInit DLL. Обычно там сидят вредоносы, а "хороших программ", которые труда прописываются, мне ещё не попадалось. Технологии противодействия исследованию системы не прошли, и это тоже радует :)

И, в целом, пока другие обещают "через два месяца выпустить", другие делают хорошие антируткиты. Молодцы! :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
roscan

В русском описании, в разделе Physical Drives есть небольшая неточность:

8Lo1en9T.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky
Вчера проверил работу Vba32 Antirootkit на активном "Маячке" (sys в C:\WINDOWS и dll-ка в качестве AppInit DLL). Кстати, в активном состоянии не даёт установиться актуальной версии Dr.Web - инсталлятор записывает 2 файла в папку \Program Files\DrWeb, но потом сообщает, что у него нет доступа в эту папку. При этом при отмене инсталляции всё нормально отменяется, и из этой папки удаляется. И пользователь имеет к ней обычный доступ и может делать, что хочет. Вероятно, этот функционал в "Маячке" заточен именно под Dr.Web, но всё равно интересно.

Собственно, из-за этого стал исследовать систему. MSE и Avira (да, одновременно) при этом стояли и молчали :) А Интернет "работал плохо".

Антируткит от VBA показал себя на высоте, показав всё, что перехватывает этот sys. Ну, DLL-ку тоже показал.

Валерий, спасибо за интерес к продукту и интересный отзыв ( Маячок не входил в список зловредов, на котором тестировался последний билд, и тем более приятно, что мы с ним успешно боремся ).

Кстати, я бы выделял на "болотном" цвете такие вещи с AppInit DLL. Обычно там сидят вредоносы, а "хороших программ", которые труда прописываются, мне ещё не попадалось.

Насчёт подсветки всего раздела AppInit_Dlls не соглашусь. Да, наверняка это один из самых популярных ключей реестра, используемых вирусописателямми, но ведь и не единственный ! Плюс, мне встречались неподписанные .dll ( именно такие и обозначаются "болотным" цветом ) в этом разделе. При подсвечивании элементов различными цветами ( жёлтый, зелёный, красный ) мы стараемся руководствоваться некоторыми объективными критериями, указывающими на присутствие определённой аномалии в исследуемом объекте. К сожалению, критерий "тут часто бывают трояны", под объективный не подпадает :). Поэтому моё мнение по данному вопросу следующее: опытный человек в состоянии разобраться, где троян, а где нет, а неопытного можно только дополнительно ввести в заблуждение. Хотя, не опытным пользователям лучше антируткитом вообще не пользоваться.

И, в целом, пока другие обещают "через два месяца выпустить", другие делают хорошие антируткиты. Молодцы! :)

Ещё раз спасибо ! К сожалению, не могу сказать, что наш продукт идеален, но мы стараемся постоянно двигаться вперёд.

В русском описании, в разделе Physical Drives есть небольшая неточность:

8Lo1en9T.png

Если честно, никогда не уделяли документации к антируткиту много внимания. Не потому, что "лень" или "не нужно". Нужно и не лень. Дело в том, что продукт находится в стадии бета и итерации выходят слишком часто ( а внутренние релизы - ещё чаще ), чтобы можно было детально проработать описание. Пока человек делает описание функционала, он несколько раз меняется.

Но в любом случае, спасибо, исправим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Поэтому моё мнение по данному вопросу следующее: опытный человек в состоянии разобраться, где троян, а где нет, а неопытного можно только дополнительно ввести в заблуждение. Хотя, не опытным пользователям лучше антируткитом вообще не пользоваться.

Ок, пусть будет так. Главное, что DLL-ку тоже показывает. Думал, что в AVZ такое показывается красным, потом перепроверил - всё же чёрным. Значит, это уже фактически стандарт для антируткитов. Пусть будет так :)

К сожалению, не могу сказать, что наш продукт идеален, но мы стараемся постоянно двигаться вперёд.

Его можно использовать в работе - это главное. А то, что всегда находится в состоянии "будет через два месяца", использовать нельзя ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
Маячок не входил в список зловредов, на котором тестировался последний билд

Дима, это - cidox, только в терминологии Доктора Веба. Потому входил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky
Дима, это - cidox, только в терминологии Доктора Веба. Потому входил.

Cidox - это Mayachok.2 по dr.web. Тут речь идёт про Mayachok.1, или я ошибаюсь ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Cidox - это Mayachok.2 по dr.web. Тут речь идёт про Mayachok.1, или я ошибаюсь ?

Не ошибаешься.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Не ошибаешься.

Maychok.1 - это тоже Cidox, только Trojan-Ransom.Win32.Cidox.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Maychok.1 - это тоже Cidox, только Trojan-Ransom.Win32.Cidox.

Уже Mayachok.based. Как дропперы, так и либы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

В качестве мечт. Неплохо было бы также сделать сетевой вариант утилиты для периодического сканирования компьютеров на аномалии.

Я знаю, что раз вы сделали то, что есть, то и это вам под силу.

И вот сетевой вариант вполне можно будет за деньги продавать. Я бы для нашей организации приобрёл ;)

Можно, конечно, и вручную что-то такое организовать, но как-то некрасиво, неудобно и криво получится :)

А так - сетевой сканер безопасности, не меньше :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky
В качестве мечт. Неплохо было бы также сделать сетевой вариант утилиты для периодического сканирования компьютеров на аномалии.

Я знаю, что раз вы сделали то, что есть, то и это вам под силу.

И вот сетевой вариант вполне можно будет за деньги продавать. Я бы для нашей организации приобрёл ;)

Можно, конечно, и вручную что-то такое организовать, но как-то некрасиво, неудобно и криво получится :)

А так - сетевой сканер безопасности, не меньше :)

Наверное пока только в качестве мечт :rolleyes:

1. В продукте пока ещё не полностью реализован весь задуманный функционал ( например поиск перехватов в ring 3, ручной разбор реестра и т.п. ), и это на данный момент является приоритетом

2. До тех пор, пока продукт находится в стадии бета - не имеет смысл выпускать какие-то сетевые, и тем более, коммерческие решения.

Но вообще идея хорошая, помечу в качестве Feature Request'а на far far future :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
1. В продукте пока ещё не полностью реализован весь задуманный функционал ( например поиск перехватов в ring 3, ручной разбор реестра и т.п. ), и это на данный момент является приоритетом

Ну, это понятно и тоже будет приятно :)

2. До тех пор, пока продукт находится в стадии бета - не имеет смысл выпускать какие-то сетевые, и тем более, коммерческие решения.

Желать скорее подобраться к релизу не буду - лучше подольше такие вещи тестировать, и потщательнее. Тем более и в стадии беты вполне можно пользоваться. В каждом подозрительном случае теперь использую. Чего увижу - сообщу.

Но вообще идея хорошая, помечу в качестве Feature Request'а на far far future smile.gif

Почему-то она возникла именно при тестировании вашего продукта, что интересно ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Из более доступных, как кажется, хотелок.

Было бы неплохо, если бы во время сканирования не сбрасывалась галочка Don't display trusted items ( globally ). Ибо во время сканирования её можно поставить, и она действует на ту часть лога, которая уже отображается, но при очередном обновлении результатов галочка сбрасывается, а при повторном нажатии достаточно долго происходит фильтрация каждый раз того, что trusted. Я думаю, что можно сделать так, чтобы галочка оставалась на месте :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky

Немного подогрею интерес к этой ветке :rolleyes:

Успешно запустил антируткит на Windows 8.

Win8_1.png

Win8_2.png

Win8_3.png

На этой неделе планируем закончить работу с новым кодом ( остаётся всего лишь один баг при работе с AHCI контроллером в режиме DMA ), 2 недели на тестирование и выпускаем очередную бету.

В неё попадает обещанный код низкоуровневого доступа к диску ( IDE и AHCI контроллеры ), функционал по самозащите ( для противодействия последним вариантам ZAccess ), значительно расширены возможности Vba32 Defender, добавлены новые типы нотификаторов, исправлены найденные в 5.4 баги и т.п.

post-13504-1316526936_thumb.png

post-13504-1316526943_thumb.png

post-13504-1316526948_thumb.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

sergey ulasen - после Вашего ухода из VBA, есть кому заниматься этим продуктом, развивать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky
sergey ulasen - после Вашего ухода из VBA, есть кому заниматься этим продуктом, развивать?

Думаю, адресовать этот вопрос Сергею уже не актуально. Команда, которая занималась антируткитом, никуда не делась и продолжает работать. Конечно, вклад Сергея в развитие антируткита недооценить просто невозможно - именно он инициировал разработку данного продукта в компании и принимал в этом самое активное участие. Кроме развития бета-тестирования, пиара, если можно так сказать, и тех. поддержки с помощью антируткита от вба, Сергей также занимался разработкой модуля "автозагрузки". Поэтому, в ближайшие пару билдов вряд ли будут вносится какие-либо изменения по этой части, но, я думаю, и с этой проблемой справимся. Автозагрузка далеко не самый сложный модуль аркита, другое дело, что на это направление нужен человек, которого, к сожалению, пока нет.

Если контора не просрёт команду, которая и так держится из последних сил, чтобы не уйти к конкурентам, то билды будут и билды будут очень серьёзные. Это могу гарантировать.

P.S. Вопрос родился в свете последней публикации где Sergey Ulasen in the spotlight ? :rolleyes:

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Mr. Justice написал, что Сергей уже работает в ЛК и поэтому я решил спросить. А антивирус тоже будет развиваться, есть кому поддерживать его?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
sergey ulasen - после Вашего ухода из VBA, есть кому заниматься этим продуктом, развивать?

Ко мне можно на ты.

Извини, я по этому поводу ничего не комментирую. Право давать ответы и комментарии оставляю только за действующими сотрудниками компании.

Конечно, вклад Сергея в развитие антируткита недооценить просто невозможно

Дима, спасибо.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×