Vba32 AntiRootkit 3.12.*.* beta

Тема в разделе "Антируткиты", создана пользователем sergey ulasen, 15 мар 2011.

  1. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.799
    Симпатии:
    14.130
    Дмитрий, добро пожаловать!

    Добавлено через 1 час 43 минуты 58 секунд
    Первое "но" скорость сканирования системы.... ну очень долго.
    И второе... можно добавить кнопку при помощи которой можно получить дамп загрузчика, а не возможность просто посмотреть в окошечке?
     
  2. Dmitry Varshavsky
    Оффлайн

    Dmitry Varshavsky VirusBlokAda

    Сообщения:
    14
    Симпатии:
    28
    Собрать лог в среднем занимает около 10 минут. Это время существенно зависит от количества запущенных процессов. Количество уникальных модулей в среднестатистической системе составляет порядка двух тысяч. За пару секунд, очевидно, такой массив данных проверить просто невозможно.

    Загрузчик можно сдампить следующим образом. В главном окне выбрать Low Level Disk Access Tool, перейти на закладку PhysicalDrives, выбрать нужный диск и в контекстном меню вызвать Dump. Эта операция должна занять 10-15 секунд, не более. Поэтому не совсем понял, какую кнопку вы ещё хотите.
     
  3. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.799
    Симпатии:
    14.130
    Специфика наших услуг приводит к небольшой профессиональной деформации. Я в первую очередь думаю о работе с удаленной системой. :)
    *Если в логе транслируется "дамп", то почему его сразу нельзя скачать?*


    У меня сканирование заняло 19 минут
     
  4. Dmitry Varshavsky
    Оффлайн

    Dmitry Varshavsky VirusBlokAda

    Сообщения:
    14
    Симпатии:
    28
    Собственно именно для облегчения удалённой техподдержки и было принято решение включать дамп основного загрузчика непосредственно в файл отчёта.
    Чтобы получить дамп ( как отдельный файл на диске ), нужно нажать на Primary boot sector dump в логе, откроется окно с содержимым дампа в виде Mime сообщения, которое нужно скопировать в текстовый файл, а затем декодировать ( напр. в Total Commander : Files -> DecodeFile ).
     
  5. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    Здравствуйте.

    Система упала в синий экран во время канирования. Единственное, что помню - был этап сканирования чего-то, связанного с ядром.

    Минидамп прикрепил

    Посмотреть вложение Mini093011-01.7z
     
  6. Dmitry Varshavsky
    Оффлайн

    Dmitry Varshavsky VirusBlokAda

    Сообщения:
    14
    Симпатии:
    28
    Здравствуйте!

    Представляю вашему вниманию Vba32 AntiRootkit 3.12.5.5 beta build 425 !

    Ссылки для скачивания прежние:

    http://anti-virus.by/en/beta.shtml

    ftp://anti-virus.by/beta/vba32arkit_beta.7z

    ftp://anti-virus.by/beta/vba32arkit_beta.zip

    Что нового:

    + Работа с IDE и AHCI контроллерами жёсткого диска на низком уровне.

    Основной вектор развития антируткита на данный момент. Непосредственная работа с железом даёт практически 100% гарантию того, что прочитаны реальные данных, хранящиеся на диске вне зависимости от типа заражения. Обратная сторона медали - совместимость. Если c AHCI контроллерами удалось разобраться практически полностью, то, как ни странно, с простым и "древним" IDE возникли проблемы. Дело в том, что с развитием технологий, таких как NCQ например, каждый производитель немного по-своему стал "расширять" стандарт. Документации по данной проприетарной теме, естественно, нет. Из известных проблем - мёртвое зависание антируткита на некоторых машинах с nForce-4, причём зависания повторяются только с установленными драйверами от NVIDIA ( которые непосредственно реализуют "новый" функциоанал, с дефолтными драйверами проблем нет ). Если у вас проблемы с запуском антируткита ( либо система виснет намертво, падает в BSOD ), задайте ключ коммандной строки /nodmsa и код прямого доступа к контроллеру/ам будет деактивирован.

    + Vba32 Defender: добавлен интерактивный режим, чёрный и белый списки, подсказки пользователю. Возможность стартовать приложения на выледенном рабочем столе

    Значительно расширили функционал Defender'а.

    + Реализована базовая самозащита.

    Позволяет противостоять последним версиям ZeroAccess aka Max++, Necurs/Cridex. И не только.

    + Возможность извлекать девайсы из стека устройств ( DetachDevice )

    Полезная возможность. Например, при лечении Necurs

    + Поиск скрытых драйверов по MZ-PE заголовкам в системном пуле ( на Windows Vista и выше )

    Функционал реализован для систем Vista и выше, т.к. на более ранних были выявлены ложные срабатывания.

    + Добавлен просмотр и возможность удаления нотификаторов ObCallbacks

    Актуально для систем на Windows Vista SP1 и более новых.

    + Опция Restore MBR and force reboot

    Более безопасно, чем "Restore MBR and force reset"

    + Вывод MD5/SHA1 дайджестов проверенных файлов

    Довольно удобная вещь для поиска образцов на том же VirusTotal.

    + Возможность скрывать драйверы/сервисы с пустым ImagePath

    + поддержка Windows 8 Developer Preview

    * Исправлена проблема с невыгрузкой драйвера антируткита, а также пропажей звука на некоторых системах.

    * Улучшена стабильность работы программы

    * Доработан файл помощи на русском языке

    Как всегда с радостью ждём замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - arkit[at]anti-virus.by Это позволит сделать продукт лучше

    P.S. Планирую постепенно начинать выкладывать инструкции по лечению конкретных заражений с помощью Vba32 AntiRootkit, например, такие:
    http://anti-virus.by/en/doc/Vba32 AntiRootKit vs TDL2.pdf
    http://anti-virus.by/en/doc/Vba32 AntiRootKit vs TDL4.pdf
     
    7 пользователям это понравилось.
  7. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.799
    Симпатии:
    14.130
    Dmitry Varshavsky, что с скриптовым языком?
     
  8. Dmitry Varshavsky
    Оффлайн

    Dmitry Varshavsky VirusBlokAda

    Сообщения:
    14
    Симпатии:
    28
    Раз ничего не сказано в чейнджлоге, то значит, что пока ничего..
    Сейчас делаем упор на функциональность и возможность лечить сложные заражения средствами исключительно нашего антируткита ( см. предварительные версии руководств по детекту / лечению ).
    К слову, следующую бету запланировали выпустить до нового года и добавить туда функционал по проверке и восстановлению VBR ( для лечения cidox ).
    Скрипты, в лучшем случае, будут в первой половине следущего года.
     
  9. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.799
    Симпатии:
    14.130
    Вот поэтому и спросил :)
     
  10. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    Dmitry Varshavsky, неужели нет поддержки х64 систем?
     
  11. Dmitry Varshavsky
    Оффлайн

    Dmitry Varshavsky VirusBlokAda

    Сообщения:
    14
    Симпатии:
    28
    Пока нет.
     
  12. gjf
    Оффлайн

    gjf Ассоциация VN Разработчик

    Сообщения:
    646
    Симпатии:
    832
    S.R, а Вы много знаете х64 антируткитов? ;)
    А также вопрос как к практиканту - сколько Вы знаете способов загрузки неподписанных драйверов на х64? ;) После ответа на этот вопрос станет понятно, что в настоящее время х64 антируткит должен отслеживать всего два параметра...

    Имхо сабж перспективный, но с текущей ситуацией поддержки контроллеров - ещё бета :) Пока разработчик не доведёт х86 до статуса релиза, говорить о вкусняшках-скриптах и х64 просто бессмысленно.
     
    2 пользователям это понравилось.
  13. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    gjf, TDL, ZeroAccess. Более назвать не могу, ибо не помню/не знаю.


    Довольно интересный вопрос ;) Я знаю, что можно отключить контроль цифровых подписей, TDL и использует этот метод
     
  14. gjf
    Оффлайн

    gjf Ассоциация VN Разработчик

    Сообщения:
    646
    Симпатии:
    832
    S.R, очень плохо. Во-первых, откуда Вы взяли, что руткит ZeroAccess бывает х64?
    Во-вторых,
    - в корне неверно. Этот метод используют Necurs и Banker. А упомянутый Вами TDL4 и не упомянутый Вами Cidox используют то, что они - буткиты, и загружаются раньше компонентов системы для проверки цифровых подписей.

    В итого - проверка руткитов на х64 заключается в двух аспектах:
    1. проверить, не включен ли тестовый режим;
    2. проверить MBR на наличие нестандартных загрузчиков (включая и VBR).
     
    8 пользователям это понравилось.
  15. Dmitry Varshavsky
    Оффлайн

    Dmitry Varshavsky VirusBlokAda

    Сообщения:
    14
    Симпатии:
    28
    Здравствуйте!

    Представляю вашему вниманию Vba32 AntiRootkit 3.12.5.6 beta build 493 !

    Внимание! Ссылки для скачивания немного изменились ( подробнее ниже ):

    http://anti-virus.by/en/beta.shtml

    ftp://anti-virus.by/pub/beta/vba32arkit_beta.zip ( обычная версия, ~4 Mb )

    ftp://anti-virus.by/pub/beta/vba32arkit_full_beta.zip ( полная версия с антивирусным ядром и базами, ~100 Mb )

    Список изменений относительно версии 3.12.5.5:

    + Анализ загрузочных секторов логических дисков ( только NTFS ). Детект, просмотр, дамп и восстановление
    нестандартных и подменённых загрузчиков. Сохранение в логе дампа загрузочных секторов основного раздела


    Позволяет детектировать/лечить Cidox/Carberp. Обратите внимание, некоторые "кряки" для Windows модифицируют VBR - антируткит их детектирует как нестандартные и после восстановления ваша "активация" теряется.

    + Возможность использовать антивирусное ядро VBA32 для проверки подменённых, залоченных файлов, а также для
    проверки загрузочных секторов ( MBR & VBR )


    Значительно расширили интерфейс взаимодействия антируткита с антивирусным ядром. Теперь антируткит доступен для скачивания в двух вариантах - обычном и полном. В полном варианте вместе с антируткитом поставляются антивирусное ядро и актуальные базы ( архив пересобирается ежедневно ).

    + Опция Force Delete

    Позволяет удалять файлы, открытые с эксклюзивным доступом / залоченные с помощью ф-и LockFile. Для модулей процессов доступна оцпия - "Unmap in all processes and force delete"

    * Расширена функциональность сканера в Low-Level Disk Access Tool

    Добавлена возможность проверки загрузочных разделов и системной директрории. Функционал будет продолжать расширяться.

    * Улучшена стабильность работы модуля прямого чтения

    Решены проблемы с чипсетами nForce, модуль прямого чтения ведёт себя намного более стабильно. Пока не идеально ( ключ /nodmsa по-прежнему доступен ), но мы к этому вплотную приблизились

    * Улучшена общая стабильность работы программы

    Исправлены возможные вылеты в BSOD на некоторых вариантах MAX++, исправлены ошибки в детекте некоторых версий Sinowal'ов.

    * Доработан файл отчета

    * Доработан файл помощи на русском языке



    С радостью ждём замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - arkit[at]anti-virus.by Это позволит сделать продукт лучше !
     
    5 пользователям это понравилось.
  16. Dmitry Varshavsky
    Оффлайн

    Dmitry Varshavsky VirusBlokAda

    Сообщения:
    14
    Симпатии:
    28
    Обновили билд, с сегодняшнего дня доступна для скачивания версия 3.12.5.6 build 500 !

    Changelog:

    * Улучшена стабильность Vba32 Defender

    * Улучшена стабильность работы модуля прямого чтения

    * Исправлены незначительные ошибки в реализации GUI

    * Доработан файл помощи на русском языке
     
    6 пользователям это понравилось.
  17. gjf
    Оффлайн

    gjf Ассоциация VN Разработчик

    Сообщения:
    646
    Симпатии:
    832
    Dmitry Varshavsky, поскольку сервер АМ ведёт себя неадекватно, переношу свои брюзжания сюда :)
    Не отслеживал историю появления, но последняя версия вызывает жёсткое зависание системы на ноутбуке ASUS K611C сразу после запуска. Выбор выделенного рабочего стола или не выделенного не помогает - отображается логотип и привет, Дуся. Система - W7x32 Максимальная. Подолью масла в огонь - TDSS Killer, Xuetr, RkU запустились благополучно ;)
     
  18. Dmitry Varshavsky
    Оффлайн

    Dmitry Varshavsky VirusBlokAda

    Сообщения:
    14
    Симпатии:
    28
    Попробуйте запустить антируткит с ключом /nodmsa. C ноутбучными контроллерами ещё, к сожалению, остаются проблемы.
     
  19. energy
    Оффлайн

    energy Активный пользователь

    Сообщения:
    7
    Симпатии:
    18
    Антируткит Vba32Arkit успешно справляется с новой версией VBR-руткита семейства Mayachok
    Новость целиком
     
  20. грум
    Оффлайн

    грум Команда форума Супер-Модератор Преподаватель Модератор

    Сообщения:
    2.917
    Симпатии:
    1.558
    Какая интересная программа.Никогда не обращал на нее внимания,а тут запустил.
    Надо поковыряться.