Перейти к содержанию

Recommended Posts

sergey ulasen
Можно из облака еще подгружать базы. По md5 проверять и из облака спрашивать...

(я про базу чистых)

Идея отличная. Но тоже ну очень ресурсоемкая в исполнении :) Пока приходиться рассчитывать на меньшие издержки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen

Alex с NT Internals протестировал новый функционал определения скрытых модулей в процессах в своем тесте Hidden Dynamic-Link Library Detection Test. Результаты более чем хорошие :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Tools - Kernel-mode hooks

в колонке number что показывается, кстати?

предлагаю здесь и еще где-нибудь сделать кнопочку (или в контекстном меню) "сохранить в файл". И сохранять в текущую диру тхт-файлик....

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
Tools - Kernel-mode hooks

в колонке number что показывается, кстати?

Это поле используется для SSDT, Shadow SSDT, IDT, EAT перехватов для отображения порядкового номера из соответствующей таблицы. В остальных случаях оно пустует.

Вообще, если в данное окно будут добавляться новые перехваты, то, скорее всего, придется бить его на вкладки. Тогда поля пустовать не будут и будет поудобнее.

В хелпе в разделе "Окно Kernel-Mode Hooks" можно посмотреть все типы перехватов, которые там ищутся, и скриншоты с них.

предлагаю здесь и еще где-нибудь сделать кнопочку (или в контекстном меню) "сохранить в файл". И сохранять в текущую диру тхт-файлик....

Мы думали сделать тоже самое, только в html-ку сохранять...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen

C сегодняшнего дня на наших серверах доступна следующая версия программы Vba32 AntiRootkit 3.12.5.3 beta build 222:

http://anti-virus.by/en/beta.shtml

Итак, по порядку об изменениях.

+ Вывод информации о драйверах-минифильтрах файловой системы (FileSystem Minifilters)

Добавилось дополнительное окно (и пункт в логе соответственно) FileSystem Minifilters, в котором можно посмотреть список драйверов минифильтров файловой системы.

+ Операции над минифильтрами файловой системы (Unload, Unregister)

Минифильтр можно выгрузить двумя способами: Unload и Unregister. Результат обоих функций должен быть одинаков, только алгоритмы разные. И Unregister менее безопасный в плане попадания на BSOD.

+ Вывод информации о стеке устройств ядра (Kernel Device Stack)

Добавилось еще одно окно Kernel Device Stack (и пункт лога), которое отображает стеки устройств ядра. Благодаря этому можно проанализировать в какой из стеков встраивается вредонос и предположить для чего он это делает.

devices.png

К примеру, вирус встраивается в стек файловой системы - возможно сокрытие данных на диске и т.д.

Пока никаких действий над объектами в стеках не реализовано, но запланировано на будущее.

+ Добавлен просмотр и возможность удаления нотификаторов типа FsRtlRegisterFileSystemFilterCallbacks

Еще один тип нотификаторов.

+ Поиск перехватов DriverInit, DriverStartIo, DriverUnload

Еще один тип аномалий, который позволит детектировать некоторые модификации TDL.

+ Поиск и восстановление перехватов функций объектов (ObjectTypes)

+ Детектирование подмены типа объекта для драйверов и девайсов (ObjectType hijack)

Пока еще не сильно распространенный тип перехватов (в виду его сложности), но, тем не менее, его уже во всю стали использовать не только руткиты, но и защитный софт.

+ Операция закрытия открытого дескриптора (Close Handle)

Особенно полезная функция, которая позволяет закрывать открытые дескрипторы в процессах.

Те, кто плотно работал с антируткитом, сталкивались с тем, что функционал Delete File не всегда может справиться со своими обязанностями. Из-за этого зачастую приходиться прибегать к функционалу Wipe File, что менее удобно из-за необходимости перезагрузки. Все это связано с тем, что Delete File не пытается закрывать открытые дескрипторы на указанный файл перед удалением.

Так вот, сейчас это можно сделать вручную, поискав этот дескриптор в соответствующем списке. А в будущем мы реализуем и автоматическое их закрытие.

+ Вывод статуса Terminating при закрытии окна Process Manager

Закрытие этого окна теперь выглядит чуть более наглядно.

* Исправлена ошибка с неработающими чекбоксами в FireFox

Приносим извинения всем пользователся FF, которых мы на целых полтора месяца оставили без поддержки :beer:

* Перенесен фокус на кнопку "НЕТ" при выборе режима загрузки с/без выделенного рабочего стола

В связи с имеющимися проблемами при работе с выделеннго рабочего стола этот режим было решено не делать умолчательным. В будущем, конечно, проблема будет решаться более радикальным способом.

* Исправлен вылет на заражённых Trojan.Win32.VBKrypt системах

* Улучшена стабильность работы программы

Очень большое внимание было уделено стабильности работы программы. Мы попытались исправить большинство известных нам ошибок, которые приводили в синим экранам или зависаниям приложения.

* Доработан файл помощи на русском языке

Как видите, данной бетой мы попытались решить следущее:

1) закрыть те проблемы, на которые нарвались пользователи после выхода 3.12.5.2, - это в первую очередь стабильность работы;

2) добавить функционал, который будет полезен при поиске вредоносных программ и их лечении, - это анализ стека устройств; дополнительные нотификаторы; перехваты ObjectTypes и DriverInit, DriverStartIo, DriverUnload; закрытие открытых дескрипторов;

3) ну и добавили немного более таких академических вещей, которые интересны только узким специалистам, - анализ минифильтров файловой системы.

Пользуйтесь! Если есть проблемы со стабильностью - жалуйтесь! А если есть что предложить - высказывайтесь!

Напоминаю мыло, по которому можно с нами связаться - [email protected].

З.Ы. Спасибо всем, кто присылал сообщения о найденных проблемах, и отдельное спасибо K_Mikhail.

post-3859-1303745369_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Groft

Отличная работа! :beer:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen

В связи с тем, что наш сайт временно недоступен, залил антируткит на файлообменник:

http://rapidshare.com/files/2024521796/vba32arkit_beta.zip .

sha1: ca68dbcf75b3197dab405dd7ce3c2ecfcc10159c

md5: 9d337f77179b422ba0b376870299d014

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
jerkol

Когда у вашего антируькита будет возможность удалять руткиты им а не самому?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
Когда у вашего антируькита будет возможность удалять руткиты им а не самому?

Его возможностей и так с лихвой хватает на то, чтобы справиться с большинством заразы. А если есть какие-то проблемы, то говори о них прямо. Желательно с отсылкой логов, сэмпла и т.д.

А в том виде, в котором ты ставишь вопрос, общения у нас с тобой не получится.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen

Привет! Аттачу скриншот того, чего нам удалось добиться за время после выпуска предыдущей версии.

tdl4.jpg

На скриншоте - детект подмененного MBR для TDL4 и набор доступных функций ;)

Еще немного потестируем и выпустим в паблик.

post-3859-1308938147_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Привет! Аттачу скриншот того, чего нам удалось добиться за время после выпуска предыдущей версии.

tdl4.jpg

На скриншоте - детект подмененного MBR для TDL4 и набор доступных функций ;)

Еще немного потестируем и выпустим в паблик.

Force reset? Убивать файловые системы собираетесь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
Force reset? Убивать файловые системы собираетесь?

Ага, Юрий. Под***ть всегда можно. Но использование антируткита предполагает некоторый риск. Тем более при лечении сложных заражений. У нас пока файлуха ни разу не слетела. Если есть способ лучше - предлагайте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
У нас пока файлуха ни разу не слетела.

Это лучший показатель в своем роде:

- Мне еще ни разу кирпич на голову не упал.

- У наших программистов еще ни разу не упал.

- TDL4 ни разу не заметил, что существует VBA.

- На Чудском Озере еще ни разу снег не таял.

...

Вы, кстати, далеко не единственные, кто считает, что думать головой - это сложно, поэтому "всегда есть риск убить систему".

Если есть способ лучше - предлагайте.

Он есть и не один, но... там думать головой нужно :lol:

P.S. Это вам не passфру реализовать в драйвере, рассказав в энтровью, про "невероятно" низкий доступ к диску.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
Это лучший показатель в своем роде:

- Мне еще ни разу кирпич на голову не упал.

- У наших программистов еще ни разу не упал.

- TDL4 ни разу не заметил, что существует VBA.

- На Чудском Озере еще ни разу снег не таял.

...

Вы, кстати, далеко не единственные, кто считает, что думать головой - это сложно, поэтому "всегда есть риск убить систему".

Он есть и не один, но... там думать головой нужно :lol:

P.S. Это вам не passфру реализовать в драйвере, рассказав в энтровью, про "невероятно" низкий доступ к диску.

111.png

А теперь без стеба. Понимание того, что Force Reset штука опасная, у нас есть. И то, что сделать это можно более аккуратно, мы тоже понимаем.

Но требования к стабильности антируткита все-таки не такие жесткие, как к стабильности TDSS Killer или к стабильности антивируса. У нас не такая большая команда,

чтобы сразу же дожать задачу от начала и до конца. Потому сразу появляется скелет с основным функционалом, а потом он обрастает мясом, в виде каких-то доп. плюшек.

Сейчас сделали в таком виде, а позже, как увидим реальные результаты работы, добавим все необходимое.

post-3859-1309277842_thumb.png

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
111.png

Черт, я забыл добавить призыв на бложике использовать только этот метод и никакой другой :)

Сейчас сделали в таком виде, а позже, как увидим реальные результаты работы, добавим все необходимое.

Отзывы пользователей убивших свои файловые системы? :rolleyes:

Окей, окей, принято.

P.S. А куда делась пила? :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
P.S. А куда делась пила? :lol:

Самовыпилилась :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®

http://www.securelist.com/ru/blog/40195/GpCode_vernulsya

немедленно выключайте компьютер или выдерните шнур из розетки, если это самый быстрый способ его выключить!

Ну да - выдернуть шнур из розетки куда безопаснее force reset'a, гггг :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky

Здравствуйте!

Представляю вашему вниманию новую версию Vba32 AntiRootkit 3.12.5.4 beta build 293 !

Ссылки для скачивания прежние:

http://anti-virus.by/en/beta.shtml

ftp://anti-virus.by/beta/vba32arkit_beta.7z

ftp://anti-virus.by/beta/vba32arkit_beta.zip

Что нового:

+ Работа с дисковыми томами на низком уровне. Поддержка MBR и GPT разметки. Поддержка динамических томов

Microsoft/Veritas ( Simple, Spanned, Striped, Mirrored и Raid-5 )

Динамические тома Microsoft/Veritas на самом деле встречаются довольно редко, но их поддержка была важным шагом в развитии библиотеки прямого чтения нашего продукта. Насколько я знаю, на сегодняшний день только наш антируткит реализовывает данный функционал.

+ Анализ загрузочных секторов физических дисков. Детект, просмотр, дамп и восстановление нестандартных и

подменённых загрузчиков. Сохранение в логе дампа загрузочных секторов основного жёсткого

диска

Эта фича будет намного более интересна общественности. Позволяет детектить и обезвреживать большинство буткитов, таких как TDL4/Sinowal/Alipop/Rmnet и т.п. Тут следует отметить, что данную бету мы выпускаем с немного "устаревшим" кодом, который использовался ещё для выявления TDL3, поэтому на некоторых системах, возможно, будет отсутствовать детект. Количество таких систем минимально относительно общего числа ( как показало наше внутреннее тестирование ), однако оно не нулевое. Кроме того, мы планируем в скором времени выпустить следующую бету с нативной поддержкой IDE/AHCI котроллеров.

+ Поиск и восстановление аномальных записей в таблице GDT

Относительно редкая аномалия. Используется в основном для исполнения привелигированных инструкций в R3.

+ Увеличено количество проверяемых мест автозагрузки

(LSA Providers, SubSystems\Windows и др.)

Это уже стало традицией. С каждым новым билдом увеличивается количество проверяемых мест автозагрузки.

* Улучшен механизм поиска и восстановления перехватов IDT и SysEnter

К сожалению, подовляющее большинство антируткитов не берут в расчёт значение селектора GDT ( считают смещение нулевым ) и региста IA32_SYSENTER_CS для рассчёта реального адреса обработчика IDT/SysEnter. До текущего билда, признаюсь, и мы этим грешили. Исправляемся :)

* Безопасное закрытие защищёщнных хэндлов ( CloseHandle )

Серьёзная недоработка. Исправили.

* Вывод информации о правилах стандартного файервола OS Windows

* Улучшена стабильность работы программы

* Доработан файл помощи на русском языке

Постараюсь сразу ответить на возможные вопросы по поводу последних веяний, типа ddox. Текущий функционал не позволяет детектировать данный зловред напрямую. Однако он хорошо идентифицируется по создаваемым аномалиям ( см. аттач ). Кроме того, теперь в файле отчёта содержится дамп загрузочных секторов основного жестого диска, в который попадает код вредоносного драйвера, что также может помочь идентифицировать данный здовред. В будущих версиях, возможно, добавим сигнатурный детект/эвристику и в антируткит.

И как всегда, с радостью ждём ваших замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - [email protected]

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen

И как всегда большое спасибо нашим бета-тестерам - K_Mikhail на этом форуме.

Dmitry Varshavsky - наш технический специалист, который на протяжении последних нескольких лет работает над разработкой антируткита. Теперь он будет более активно участвовать в развитии бета-тестирования продукта. Прошу любить и жаловать.

И аттачу пропущенный Димой скриншот с детектом Ddox.

ddox.png

ddox2.png

post-3859-1310725631_thumb.png

post-3859-1310725643_thumb.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
+ Анализ загрузочных секторов физических дисков. Детект, просмотр, дамп и восстановление нестандартных и

подменённых загрузчиков. Сохранение в логе дампа загрузочных секторов основного жёсткого

диска

Эта фича будет намного более интересна общественности. Позволяет детектить и обезвреживать большинство буткитов, таких как TDL4/Sinowal/Alipop/Rmnet и т.п. Тут следует отметить, что данную бету мы выпускаем с немного "устаревшим" кодом, который использовался ещё для выявления TDL3, поэтому на некоторых системах, возможно, будет отсутствовать детект. Количество таких систем минимально относительно общего числа ( как показало наше внутреннее тестирование ), однако оно не нулевое. Кроме того, мы планируем в скором времени выпустить следующую бету с нативной поддержкой IDE/AHCI котроллеров.

Хорошая фича - в присутствии активного TDL4 либо отсутствие детекта (в лучшем случае), либо BSOD прямо на старте антируткита. Вы бы тестировали что ли перед выкладкой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky
Хорошая фича - в присутствии активного TDL4 либо отсутствие детекта (в лучшем случае), либо BSOD прямо на старте антируткита. Вы бы тестировали что ли перед выкладкой.

Про возможность отсутствия детекта писал. С чем это связано, также было упомянуто. Другой вопрос, что BSOD'ов на реальных машинах с TDL4 и нашим антируткитом повторить не удалось.

Юрий, если не сложно, пришлите кернел-дамп - с удовольствием гляну :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Юрий, если не сложно, пришлите кернел-дамп - с удовольствием гляну :)

http://dump.ru/file/5313803 или http://zalil.ru/31429676

Кстати, тестировали на старом TDL4, который APTI не фильтровал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky
http://dump.ru/file/5313803 или http://zalil.ru/31429676

Кстати, тестировали на старом TDL4, который APTI не фильтровал?

Дамп забрал. В понедельник на работе гляну.

И что вы к APTI так прицепились ? Обидно, что когда все юзали SPTI и обламывались, а ВБА такое долгое время юзало APTI с положительным результатом ? Конечно, фильтровать apti ничуть не сложнее, чем spti и вообще удивительно, что это так долго не делалось разработчиками руткитов.

Другой вопрос в том, что мы уже отошли от apti и в следующей бете, буквально скоро, представим новый код. ;)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Varshavsky
http://dump.ru/file/5313803 или http://zalil.ru/31429676

Кстати, тестировали на старом TDL4, который APTI не фильтровал?

Глянул сегодня дамп. Порыскал по сэмплам, откопал нужные. К сожалению, из-за большого количества образцов для тестирования были отобраны не все "правильные", поэтому просмотрели :facepalm:

В любом случае, проблема найдена, локализована и будет исправлена в ближайшей бете. Приносим свои извинения.

P.S. Юрий, заплюсовал бы вам репу, да пока не могу. Извиняйте :rolleyes:

Отредактировал Dmitry Varshavsky
  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov

можно узнать возможные причины почему один из экземпляров svchost.exe так детектится?

df7ca7ba430621cb5a2e8c273b4d027d.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • 7006605
      15 августа в Центре культуры им. Х. М. Темирканова в КБГУ открылась Международная летняя школа «Корни дружбы наших народов – в нашей истории». Школа проходит в третий раз при финансовой поддержке фонда «Русский мир» и продлится до 20 августа. В этот раз участниками форума стали студенты КБГУ, Брестского государственного университета им. А.С. Пушкина, Тбилисского государственного университета им. И. Джавахишвили, Южно-Казахстанского государственного педагогического университета, учащиеся классической гимназии г. Донецка, литературной студии «Свеча» и воспитанники Детской академии творчества «Солнечный город» г. Нальчика. От имени руководства гостей вуза поприветствовал исполняющий обязанности проректора КБГУ по воспитательной работе и социальным вопросам Артур Кажаров: «Тема и цель этой школы – развитие дружеских связей между народами посредством изучения совместной истории и культуры, очень гармонично вписывается в концепцию деятельности университета, стремящегося стать опорным центром науки, культуры, межнационального согласия в Кавказском регионе. Желаю вам взять от этой встречи все самое ценное и лучшее для вас и государств, которые вы представляете», — сказал Артур Кажаров. Инициатор и руководитель Международной летней школы — профессор, заведующая кафедрой русского языка и общего языкознания КБГУ Светлана Башиева поблагодарила гостей из Грузии, Республики Беларусь, Казахстана, Украины за то, что своим приездом выразили солидарность идеям встречи, и подчеркнула, что работа школы будет насыщенной и интересной. «Программа нашей работы предусматривает лекции по русскому языку, литературе, истории, проблемам межэтнической толерантности, вечер русской поэзии, конкурс сочинений, круглые столы на этнокультурную тематику и по молодежной политике, этнографический праздник в одном из районов республики «Нас объединяет русский язык». Отрадно, что это научное общение стирает границы не только между государствами, но и возрастные – в работе примут участие доктора наук, аспиранты, студенты и школьники», — отметила Светлана Башиева. В открытии Международной летней школы «Корни дружбы наших народов – в нашей истории» также приняли участие и выступили профессор Тбилисского государственного университета им. И. Джавахишвили Джони Квициани, заместитель декана филологического факультета Брестского государственного университета им. А.С. Пушкина, доцент кафедры русского языка и литературы Ольга Ковальчук, доцент кафедры русского языка и литературы Южно-Казахстанского государственного педагогического университета Уалихан Абдыханов, руководители республиканских национально-культурных центров «Вече», «Риони» и представители молодежных организаций.
    • PR55.RP55
      И это uVS точно не видит: HKU\S-1-5-21-1867217750-153899321-2446527166-1000\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Hipmy\Application\chrome.exe * Это из лога FRST  
    • dorin
      Ну например я имею дополнительный доход с интернете. Вот на этом  https://joycasinoclub.com/ портале  можно не плохо заработать. Мне он отлично подходит.      
    • seomasterpro
      Если позитивный отзыв о положительных качествах плагина "Anti-Malware Security and Brute-Force Firewall" для кого-то является пиаром, то пусть будет как вы считаете. Но главное ведь в том, что плагин позволяет не только обнаруживать вредоносный код, но и умеют  удалять его! Если кто-то из участников этой темы может привести другой пример, - напишите и расскажите его возможности. А когда кто-то пишет, что это просто пиар, то вы хоть прочтите название темы, - "Как защититься от взлома сайта?". Не стоит писать пустых предложений, а лучше пишите по-существу темы!!! Только читайте всегда название.
    • Molly01
      Можете воспользоваться специальным сервисом по поиску, достаточно знать хоть какие-то данные. Вот к примеру этот сайт https://bazaperson.ru/gorod/Moskva/ попробуйте, может поможет.
×