Vba32 AntiRootkit 3.12.*.* beta

Тема в разделе "Антируткиты", создана пользователем sergey ulasen, 15 мар 2011.

  1. sergey ulasen
    Оффлайн

    sergey ulasen Активный пользователь

    Сообщения:
    34
    Симпатии:
    34
    Привет!

    Это мой первый пост на данном форуме. Надеюсь, что у нас получится взаимовыгодное сотрудничество и мои предложения вызовут интерес у местного комьюнити.

    Хотел бы предложить поучаствовать в бета-тестировании нашего продукта Vba32 AntiRootkit 3.12.5.2 beta. Актуальный билд 168.

    Предисторию можно посмотреть здесь.

    Ссылки для скачивания:

    http://anti-virus.by/en/beta.shtml

    ftp://anti-virus.by/beta/vba32arkit_beta.7z

    ftp://anti-virus.by/beta/vba32arkit_beta.rar

    ftp://anti-virus.by/beta/vba32arkit_beta.zip

    Данный скоуп получился очень насыщенным. В него вошло большое количество изменений, которыми я с вами с радостью поделюсь:

    + Окно Process List заменено на Process Manager. Значительно увеличено количество выводимой информации

    + Вывод списка аномалий для каждого процесса

    + Операции над процессами (Terminate, Terminate and Delete File, Suspend/Resume, Dump)

    + Вывод информации о модулях (в том числе скрытых)

    + Операции над модулями процессов (Unmap, Dump)

    + Вывод информации о потоках (в том числе скрытых), детектирование аномальных потоков

    + Операции над потоками, в т.ч. и над системными (Terminate, Suspend/Resume)

    + Вывод информации об открытых дескрипторах (хэндлах)


    Добавили возможность полноценной работы с процессами:

    - завершение процесса;
    - блокирование (suspend)/разблокирование (resume) процесса;
    - снятие дампа памяти с процесса.

    Список процессов можно выводить в древовидной и списковой формах. По процессам можно выводить большое количество различной полезной информации - начиная с PID, заканчивая адресами EPROCESS, PEB и др. Весь вывод можно опционально настроить и выбрать только необходимые данные.

    Определение скрытых процессов и поиск различных аномалий в процессах также осуществляется.

    manage_process.jpg

    Работа с потоками:

    - завершение потока;
    - блокирование (suspend)/разблокирование (resume) потока.

    Опционально можно задать вывод большого количества различной подробной информации о потоках.

    Определение скрытых потоков и поиск различных аномалий в потоках также осуществляется.

    threads.jpg

    Работа с модулями:

    - выгрузка модуля из процесса;
    - снятие дампа памяти с модуля.

    Определение скрытых модулей и различных аномалий.

    modules.jpg

    Также выводится информация об открытых дескрипторах процессов и возможна расшифровка обнаруженных аномалий.

    + Вывод информации о выгруженных модулях ядра

    Данные модули помечаются как Unloaded module.

    + Детектирование IAT перехватов в модулях ядра

    Еще один часто используемый способ внедрения.

    + Добавлен просмотр и возможность удаления нотификаторов типа Lego, SeFileSystem, LastChanceShutdown, Shutdown, BugCheckReason, FsRegistrationChange

    Тоже может быть полезно.

    + Окно Network Tool (разбор файлов hosts и lmhost, поиск постоянных маршрутов в routes, LSP-провайдеры)

    Работа с LSP-провайдерами перенесена в отдельное окно. Туда же добавлен вывод информации из файла Hosts и таблицы постоянных маршрутов. Файл Hosts можно изменять, удаляя из него "лишние" строки.

    + Возможность работы на выделенном рабочем столе

    Еще один очень полезный функционал в свете большого количества различных блокировщиков.

    Внимание: данный функционал по-умолчанию запускается с опцией Vba32 Defender, которая блокирует работу многих приложений.

    defender_dedicated.png

    + Работа антируткита в Safe Mode

    Теперь обеспечивается полноценная работа антируткита и в этом режиме.

    + Детектирование отозванных сертификатов при проверке цифровой подписи

    Появление Stuxnet показало, что доверять цифровым подписям безоговорочно нельзя. Потому был добавлен вот такой режим. Но понятно, что его полноценная работа возможна или на обновленной Windows (с установленными обновлениями сертификатов) либо с доступом в Интернет.

    kernel_modules.jpg

    + Увеличено количество проверяемых мест автозагрузки (Print Provider, Control Panel objects, Known DLLs, URLSearch IE, Toolbar IE, IE Extensions и др.)

    Уже покрыто наверное большинство мест реестра, используемых для загрузки троянов. Если знаете что-то еще - делитесь :)

    + Добавлена поддержка Windows 7 SP1

    Тут все понятно.

    * Улучшен механизм получения списка модулей ядра, а также увеличено количество выявляемых в них аномалий

    Да, теперь в этом окне намного больше всего полезного. И больше аномалий удается найти и отобразить.

    * Значительно увеличена скорость проверки прямым чтением

    Порядка 2-х раз удалось увеличить скорость алгоритма "прямого чтения".

    * Исправлен BSOD при разборе файловой системы NTFS с сильно фрагментированной таблицей MFT

    Старая ошибка, с которой долгое время не удавалось разобраться.

    * Опция Don't display items digitally signed переименована в Don't display trusted items, также изменена логика работы (в соответствии с новым названием)

    * В соответствии с новым функционалом доработан файл отчёта

    Отчет теперь намного больше, чем был раньше. И анализировать его стало труднее. Потому в нем появились различные опции, которые позволяют скрывать часть "ненужной" информации.

    check_items.png

    * Улучшено кэширование проверяемых объектов при исследовании системы

    Добавили еще оптимизации, что ускорило работу антируткита.

    * Доработан файл помощи на русском языке

    Конечно хэлп еще далек от идеала, но тем не менее полезной информации в нем стало больше.

    Известные проблемы:

    - окно Process Manager иногда зависает. Что приводит к необходимости перезагрузки системы. С проблемой сейчас разбираемся. Если вы нам предоставите еще больше дампов памяти зависшего процесса, то это ускорит исправление проблемы;

    - запуск антируткита с выделенного рабочего стола иногда приводит к зависанию системы. Это связано с тем, что по-умолчанию запускается режим Vba32 Defender, который начинает блокировать работу драйверов на некоторых видеокартах от NVIDIA. Проблема достаточно серьезная и быстро не решается. Потому без лишней необходимости данный режим пока использовать не советую;

    - проблема с пропаданием звука скорее всего связана с режимом Vba32 Defender, который блокирует загрузку драйвера kmixer.sys. В будущем решим и эту проблему.

    Для поддержки данного продукта был заведен специальный ящик, на который можно слать свои пожелания, дампы и т.д. - arkit@anti-virus.by .

    Отзывы в данном топике приветствуются :)
     
    13 пользователям это понравилось.
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Встроенный скриптовый язык изменялся?
     
    1 человеку нравится это.
  3. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.405
    Симпатии:
    1.641
    Здравствуйте и добро пожаловать на наш форум, я надеюсь, что вы чувствовали себя комфортно..!:)
     
    1 человеку нравится это.
  4. Rashevskiy
    Оффлайн

    Rashevskiy Активный пользователь

    Сообщения:
    142
    Симпатии:
    381
    Сергей, привет! :)

    Вообще, конечно, молодцы, много чего нового прикрутили, что не может не радовать.
    Может вам свой раздел здесь сделать?
     
    Последнее редактирование: 15 мар 2011
    1 человеку нравится это.
  5. sergey ulasen
    Оффлайн

    sergey ulasen Активный пользователь

    Сообщения:
    34
    Симпатии:
    34
    Первый вопрос и сразу в яблочко :)

    В текущей бете скриптового языка нет вообще. Мы его оттуда сознательно убрали. Предыдущий вариант был во многом неудобен и неоптимален, что связывало нам руки дальнейшей разработки. Потому пока антируткит пригоден только для получения информации об удаленном компьютере. Никаких удаленных действий в автоматическом режиме проделать на нем нельзя.

    Но мы понимаем, что данная задача приоритетна. У нас тоже есть своя тех. поддержка, которая остро нуждается в данном функционале. Потому в будущем этому будет посвящен отдельный спринт.

    Я пока не готов принимать какие-то feature requests на эту тему, потому что следующий скоуп задач на разработку уже сформирован и какого-то принципиального мнения у нас на данный функционал для более предметного разговора пока нет. Но как только мы до этого доберемся, то ваше мнение как мнение профи в данном направлении было бы очень интересно.

    Спасибо.

    Спасибо.

    Вопрос о разделе я тут уже перетер в кулуарах с администрацией. Может чуть позже мы выйдем и на этот этап.
     
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Из пожеланий в менеджере автозапуска может заблокировать возможность кликать до завершения проверки. Я "наклацал" кучу всего еще до момента как эти файлы были помечены как безопасные.


    Как утилита определяет Hosts файл? Или просто берется путь?
     
    1 человеку нравится это.
  7. sergey ulasen
    Оффлайн

    sergey ulasen Активный пользователь

    Сообщения:
    34
    Симпатии:
    34
    Специально не блокировали контекстное меню... Проверка может длится долго. А иногда требуется сделать что-то из этого окна по быстрому. Если у окна "съезжает" крыша или начинаются вылеты, то их надо править. А запрещать наверное все-таки нецелесообразно.

    Путь к этому файлу в реестре хранится. Соответственно там и берется.
     
  8. Arbitr
    Оффлайн

    Arbitr Ассоциация VN

    Сообщения:
    3.603
    Симпатии:
    2.317
    есть ли возможность в один клик оставить лишь локалхост?

    если зловред сопротивляется, в бсод вывалит?? удаление файла без остановки процесса как проходит?

    опишите возможность запуска VBA при блокировке? вероятно из safe mode с поддержкой командной строки?
    а так же механизм защиты (варианты запуска в обычном режиме) если зловред не дает запуск VBA , здесь же отличаются ли логи созданные в обычном и в безопасном режимах?

    как работает с х64??

    реализована ли возможность правки реестра в один клик?
    (пример блокировка диспетчера задач)
     
    Последнее редактирование: 16 мар 2011
    1 человеку нравится это.
  9. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Похоже не в полном объеме... ибо мне заявляли, что система не x86

    Сергей, может таки стоить сделать систему бекапа данных до изменений... сняли галку, в папке ключик реестра с откатом создался.
     
    1 человеку нравится это.
  10. sergey ulasen
    Оффлайн

    sergey ulasen Активный пользователь

    Сообщения:
    34
    Симпатии:
    34
    Если вы имеете в виду заменить текущий файл сразу на чистый, то - нет. Только выделить "левые" строчки, удалить их и сохранить файл. Хотя в будущем, если будем реализовывать поддержку работы скриптов, то такой функционал придется добавлять. Для ТП и Хелпера это удобнее.

    Сча запишу FR :)

    Может и в BSOD вывалить.

    Есть функция Wipe, которая умеет затирать файл нулями. После перезагрузки он в подовляющем большинстве случаев удаляется без проблем.

    Если идет речь о блокировщике Windows, то поддерживается режим работы на выделенном рабочем столе.

    Работа в Safe Mode тоже доступна. Только про командную строку поясните. А то я не понял зачем она там нужна.

    1) Есть возможность "слить" антируткит с нашего сайта со случайным именем.

    2) Реализован механизм Vba32 Defender, который не дает стартовать новым процессам и загружаться драйверам во время работы антируткита.

    3) Плюс надо делать самозащиту "от дурака". Потому что в современных условиях, если установлен руткит, который работает в ring0, и он нацелен на убиение конкретного процесса/файла, то противостоять этому практически невозможно. Способов сделать это - вагон и маленькая тележка.

    Нет, не отличаются. Но пометка о том, в каком режиме сделан лог, имеется.

    Пока никак.

    Твики реестра (или политики, как угодно) уже частично реализованы, но в текущую бету еще не попали. Так что тоже будут сделаны.

    Такой FR в уже с списке задач на реализацию имеется :)
     
  11. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Тогда стоит добавить фичу которая на файл hosts ставит признак "только чтение".
     
    1 человеку нравится это.
  12. Arbitr
    Оффлайн

    Arbitr Ассоциация VN

    Сообщения:
    3.603
    Симпатии:
    2.317
    да.. так как таких строк бывает иногда пару сотен.. и более
    речь идет о работе руткита который блокирует запуск известных ему антируткитов.
    иногда только поддержка командной строки дает возможность запуска разных утилит.
    если же я самостоятельно переименую в например lsas.exe explorer.exe ??
    вот здесь не совсем понятно... у нас же вариант когда зверь уже живет в системе и на момент работы с VBA уже давно запущен и работает... и либо надо перегружаться и механизм Vba32 Defender при перезагрузке запускался и блокировал лишние процессы.. либо???
    вот здесь вероятно и будет вываливать в бсод при попутке отключения удаления..и вероятно здесь поможет Wipe??
    можете предварительно ознакомить с тем что уже реализовано, возможно у нас появятся предложения по добавлению весьма насущных функций восстановления.
     
    2 пользователям это понравилось.
  13. sergey ulasen
    Оффлайн

    sergey ulasen Активный пользователь

    Сообщения:
    34
    Симпатии:
    34
    Alex с NT Internals протестировал новый функционал определения скрытых модулей в процессах в своем тесте Hidden Dynamic-Link Library Detection Test. Результаты достаточно хорошие :)

    Добавлено через 3 часа 26 минут 28 секунд
    1) 7-ка (и возможно Vista, не помню) устанавливают на hosts файл этот аттрибут по-умолчанию;
    2) те трояны, которые мне попадались в последнее время, тоже ставят этот аттрибут на файл (точно также как и снимают его);
    3) антируткит после сохранения измененного файла восстанавливает его аттрибуты на те, которые были до изменения.

    В свете вышесказанного фича всего лишь приятная и иногда полезная против какой-то древности, потому сделать ее конечно же стоит. Но то, что сейчас это от чего-то спасет, вот тут уж вряд ли.

    Пока не очень много сделано:

    1) Валидность значений в реестре для типов *.bat, *.pif, *.lnk, *.exe, *.scr, *.com, *.reg;

    2) Разблокировка запуска TaskManager;

    3) Разблокировка запуска Regedt32.exe и Regedit.exe;

    4) Восстановление запуска Explorer.exe;

    5) Восстановление запуска Userinit.exe;

    6) Восстановление SafeMode.

    То, что командная строка нужна для того, чтобы была возможность автоматизации запуска программ, мне понятно. Мне не ясна необходимость наличия ком. строки для борьбы с блокировщиками из Safe Mode. Ну т.е. если нужна автоматизация каких-то действий на удаленной машине, то понятно. А вот если я сам за ней сижу и у меня есть какой-то графический интерфейс, то зачем ? Пример можно привести или там сэмплом каким-то поделиться, на примере которого можно это посмотреть ?

    Сейчас два ключа только доступны:

    Да любое имя можете дать, главное чтобы оно не совпадало с именем из списка трояна на блокировку.

    Да, тут я неверный контекст выбрал. Vba32 Defender пока имеет только функционал для блокировки работы вируса. А планируемая самозащита будет развиваться в контексте дефендера.

    Предугадать, где продукты с антируткитными технологиями вывалятся в BSOD, дело неблагодарное. Их отладка - дело длительное и кропотливое. :)
     
  14. Arbitr
    Оффлайн

    Arbitr Ассоциация VN

    Сообщения:
    3.603
    Симпатии:
    2.317
    гадать не будем, в случае если клиент жалуется на выпадение системы в осадок то делаем через Wipe и будет нам щасте?
    ну вероятно что то подберем ..или\ .
    по функциям восстановления, основное у вас есть, надо будет плотнее поглядеть на них в лечении (наравне с AVZ восстановление системы..)
    остается добавить удаление mount points и MountPoints2 (иногда надо)
    ну и ждем правку статических маршрутов.
     
    1 человеку нравится это.
  15. sergey ulasen
    Оффлайн

    sergey ulasen Активный пользователь

    Сообщения:
    34
    Симпатии:
    34
    Wipe File - это функционал, позволяющий на низком уровне затереть содержимое жесткого диска нулями.
    Если вы уверены, что некий файл является вредоносным, то его можно либо удалить через функцию Delete File, либо затереть его нулями и удалить после перезагрузки компьютера.

    Постоянные маршруты (persistent routes) уже добавлены в окно Network Tools и выводятся в лог. У уже возможно их удаление.
     
  16. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Они как-то фильтруются? Не всегда постоянные маршруты вредоносны... иногда провайдеры шалят.
     
  17. sergey ulasen
    Оффлайн

    sergey ulasen Активный пользователь

    Сообщения:
    34
    Симпатии:
    34
    Нет, не фильтруются. И, в общем-то, это вряд ли реально. По крайней мере, мне такого способа не известно.

    Если есть какая-то идея на этот счет - делись :)
     
  18. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Определить IP которые наиболее часто блокируются (АВ компании и т.д.) ну и подкрашивать их красным.
     
  19. K_Mikhail
    Оффлайн

    K_Mikhail Активный пользователь

    Сообщения:
    6
    Симпатии:
    0
    В HOSTS красным светятся любые записи, кроме "поумолчабельной" 127.0.0.1 localhost.
     
  20. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Я о списке persistent routes
     

Поделиться этой страницей