Vba32 AntiRootkit 3.12.*.* beta

akok

akok

Команда форума
Администратор
Сообщения
16,536
Реакции
13,125
Баллы
2,203
Дмитрий, добро пожаловать!

Добавлено через 1 час 43 минуты 58 секунд
Первое "но" скорость сканирования системы.... ну очень долго.
И второе... можно добавить кнопку при помощи которой можно получить дамп загрузчика, а не возможность просто посмотреть в окошечке?
 
D

Dmitry Varshavsky

VirusBlokAda
Сообщения
14
Реакции
28
Баллы
313
Дмитрий, добро пожаловать!

Добавлено через 1 час 43 минуты 58 секунд
Первое "но" скорость сканирования системы.... ну очень долго.
И второе... можно добавить кнопку при помощи которой можно получить дамп загрузчика, а не возможность просто посмотреть в окошечке?
Собрать лог в среднем занимает около 10 минут. Это время существенно зависит от количества запущенных процессов. Количество уникальных модулей в среднестатистической системе составляет порядка двух тысяч. За пару секунд, очевидно, такой массив данных проверить просто невозможно.

Загрузчик можно сдампить следующим образом. В главном окне выбрать Low Level Disk Access Tool, перейти на закладку PhysicalDrives, выбрать нужный диск и в контекстном меню вызвать Dump. Эта операция должна занять 10-15 секунд, не более. Поэтому не совсем понял, какую кнопку вы ещё хотите.
 
akok

akok

Команда форума
Администратор
Сообщения
16,536
Реакции
13,125
Баллы
2,203
Эта операция должна занять 10-15 секунд, не более. Поэтому не совсем понял, какую кнопку вы ещё хотите.
Специфика наших услуг приводит к небольшой профессиональной деформации. Я в первую очередь думаю о работе с удаленной системой. :)
*Если в логе транслируется "дамп", то почему его сразу нельзя скачать?*


Собрать лог в среднем занимает около 10 минут.
У меня сканирование заняло 19 минут
 
D

Dmitry Varshavsky

VirusBlokAda
Сообщения
14
Реакции
28
Баллы
313
Специфика наших услуг приводит к небольшой профессиональной деформации. Я в первую очередь думаю о работе с удаленной системой. :)
*Если в логе транслируется "дамп", то почему его сразу нельзя скачать?*
Собственно именно для облегчения удалённой техподдержки и было принято решение включать дамп основного загрузчика непосредственно в файл отчёта.
Чтобы получить дамп ( как отдельный файл на диске ), нужно нажать на Primary boot sector dump в логе, откроется окно с содержимым дампа в виде Mime сообщения, которое нужно скопировать в текстовый файл, а затем декодировать ( напр. в Total Commander : Files -> DecodeFile ).
 
S

S.R

Ассоциация VN
Сообщения
727
Реакции
376
Баллы
443
Здравствуйте.

Система упала в синий экран во время канирования. Единственное, что помню - был этап сканирования чего-то, связанного с ядром.

Минидамп прикрепил

Посмотреть вложение Mini093011-01.7z
 
D

Dmitry Varshavsky

VirusBlokAda
Сообщения
14
Реакции
28
Баллы
313
Здравствуйте!

Представляю вашему вниманию Vba32 AntiRootkit 3.12.5.5 beta build 425 !

Ссылки для скачивания прежние:

http://anti-virus.by/en/beta.shtml

ftp://anti-virus.by/beta/vba32arkit_beta.7z

ftp://anti-virus.by/beta/vba32arkit_beta.zip

Что нового:

+ Работа с IDE и AHCI контроллерами жёсткого диска на низком уровне.

Основной вектор развития антируткита на данный момент. Непосредственная работа с железом даёт практически 100% гарантию того, что прочитаны реальные данных, хранящиеся на диске вне зависимости от типа заражения. Обратная сторона медали - совместимость. Если c AHCI контроллерами удалось разобраться практически полностью, то, как ни странно, с простым и "древним" IDE возникли проблемы. Дело в том, что с развитием технологий, таких как NCQ например, каждый производитель немного по-своему стал "расширять" стандарт. Документации по данной проприетарной теме, естественно, нет. Из известных проблем - мёртвое зависание антируткита на некоторых машинах с nForce-4, причём зависания повторяются только с установленными драйверами от NVIDIA ( которые непосредственно реализуют "новый" функциоанал, с дефолтными драйверами проблем нет ). Если у вас проблемы с запуском антируткита ( либо система виснет намертво, падает в BSOD ), задайте ключ коммандной строки /nodmsa и код прямого доступа к контроллеру/ам будет деактивирован.

+ Vba32 Defender: добавлен интерактивный режим, чёрный и белый списки, подсказки пользователю. Возможность стартовать приложения на выледенном рабочем столе

Значительно расширили функционал Defender'а.

+ Реализована базовая самозащита.

Позволяет противостоять последним версиям ZeroAccess aka Max++, Necurs/Cridex. И не только.

+ Возможность извлекать девайсы из стека устройств ( DetachDevice )

Полезная возможность. Например, при лечении Necurs

+ Поиск скрытых драйверов по MZ-PE заголовкам в системном пуле ( на Windows Vista и выше )

Функционал реализован для систем Vista и выше, т.к. на более ранних были выявлены ложные срабатывания.

+ Добавлен просмотр и возможность удаления нотификаторов ObCallbacks

Актуально для систем на Windows Vista SP1 и более новых.

+ Опция Restore MBR and force reboot

Более безопасно, чем "Restore MBR and force reset"

+ Вывод MD5/SHA1 дайджестов проверенных файлов

Довольно удобная вещь для поиска образцов на том же VirusTotal.

+ Возможность скрывать драйверы/сервисы с пустым ImagePath

+ поддержка Windows 8 Developer Preview

* Исправлена проблема с невыгрузкой драйвера антируткита, а также пропажей звука на некоторых системах.

* Улучшена стабильность работы программы

* Доработан файл помощи на русском языке

Как всегда с радостью ждём замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - arkit[at]anti-virus.by Это позволит сделать продукт лучше

P.S. Планирую постепенно начинать выкладывать инструкции по лечению конкретных заражений с помощью Vba32 AntiRootkit, например, такие:
http://anti-virus.by/en/doc/Vba32 AntiRootKit vs TDL2.pdf
http://anti-virus.by/en/doc/Vba32 AntiRootKit vs TDL4.pdf
 
akok

akok

Команда форума
Администратор
Сообщения
16,536
Реакции
13,125
Баллы
2,203
Dmitry Varshavsky, что с скриптовым языком?
 
D

Dmitry Varshavsky

VirusBlokAda
Сообщения
14
Реакции
28
Баллы
313
Dmitry Varshavsky, что с скриптовым языком?
Раз ничего не сказано в чейнджлоге, то значит, что пока ничего..
Сейчас делаем упор на функциональность и возможность лечить сложные заражения средствами исключительно нашего антируткита ( см. предварительные версии руководств по детекту / лечению ).
К слову, следующую бету запланировали выпустить до нового года и добавить туда функционал по проверке и восстановлению VBR ( для лечения cidox ).
Скрипты, в лучшем случае, будут в первой половине следущего года.
 
S

S.R

Ассоциация VN
Сообщения
727
Реакции
376
Баллы
443
Dmitry Varshavsky, неужели нет поддержки х64 систем?
 
gjf

gjf

Ассоциация VN
Разработчик
Сообщения
646
Реакции
643
Баллы
478
S.R, а Вы много знаете х64 антируткитов? ;)
А также вопрос как к практиканту - сколько Вы знаете способов загрузки неподписанных драйверов на х64? ;) После ответа на этот вопрос станет понятно, что в настоящее время х64 антируткит должен отслеживать всего два параметра...

Имхо сабж перспективный, но с текущей ситуацией поддержки контроллеров - ещё бета :) Пока разработчик не доведёт х86 до статуса релиза, говорить о вкусняшках-скриптах и х64 просто бессмысленно.
 
S

S.R

Ассоциация VN
Сообщения
727
Реакции
376
Баллы
443
gjf, TDL, ZeroAccess. Более назвать не могу, ибо не помню/не знаю.


сколько Вы знаете способов загрузки неподписанных драйверов на х64?
Довольно интересный вопрос ;) Я знаю, что можно отключить контроль цифровых подписей, TDL и использует этот метод
 
gjf

gjf

Ассоциация VN
Разработчик
Сообщения
646
Реакции
643
Баллы
478
S.R, очень плохо. Во-первых, откуда Вы взяли, что руткит ZeroAccess бывает х64?
Наиболее интересным является случай, если загрузчик был запущен на x64 системе. В этом случае на компьютер жертвы загружается инсталлятор бэкдора, который специально скомпилирован для работы на 64-разрядных системах. Этот бэкдор не содержит руткит, а представляет собой usermode-зловред, который повторяет работу руткита под x32 с той лишь разницей, что его компоненты представляют собой файлы и хранятся в "$windir\assembly", имея сходную структуру каталогов. Автозапуск на x64 обеспечивается ключом реестра “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems”. Само тело бэкдора расположено в системной папке system32 с именем consrv.dll. Все модули, что бэкдор выкачивает после своей инсталляции, также предназначены для 64-битной платформы. Установка x64 MAX++ достигается путем внедрения в services.exe с использованием функции ntdll!NtQueueApcThread. Трудность лечения зараженной x64 системы связана с ключом автозапуска зловреда: если удалить файл, не исправив ключ реестра, то система уже не сможет загрузиться, а вместо этого будет выдавать BSOD на определённом этапе загрузки.
Во-вторых,
можно отключить контроль цифровых подписей, TDL и использует этот метод
- в корне неверно. Этот метод используют Necurs и Banker. А упомянутый Вами TDL4 и не упомянутый Вами Cidox используют то, что они - буткиты, и загружаются раньше компонентов системы для проверки цифровых подписей.

В итого - проверка руткитов на х64 заключается в двух аспектах:
1. проверить, не включен ли тестовый режим;
2. проверить MBR на наличие нестандартных загрузчиков (включая и VBR).
 
D

Dmitry Varshavsky

VirusBlokAda
Сообщения
14
Реакции
28
Баллы
313
Здравствуйте!

Представляю вашему вниманию Vba32 AntiRootkit 3.12.5.6 beta build 493 !

Внимание! Ссылки для скачивания немного изменились ( подробнее ниже ):

http://anti-virus.by/en/beta.shtml

ftp://anti-virus.by/pub/beta/vba32arkit_beta.zip ( обычная версия, ~4 Mb )

ftp://anti-virus.by/pub/beta/vba32arkit_full_beta.zip ( полная версия с антивирусным ядром и базами, ~100 Mb )

Список изменений относительно версии 3.12.5.5:

+ Анализ загрузочных секторов логических дисков ( только NTFS ). Детект, просмотр, дамп и восстановление
нестандартных и подменённых загрузчиков. Сохранение в логе дампа загрузочных секторов основного раздела


Позволяет детектировать/лечить Cidox/Carberp. Обратите внимание, некоторые "кряки" для Windows модифицируют VBR - антируткит их детектирует как нестандартные и после восстановления ваша "активация" теряется.

+ Возможность использовать антивирусное ядро VBA32 для проверки подменённых, залоченных файлов, а также для
проверки загрузочных секторов ( MBR & VBR )


Значительно расширили интерфейс взаимодействия антируткита с антивирусным ядром. Теперь антируткит доступен для скачивания в двух вариантах - обычном и полном. В полном варианте вместе с антируткитом поставляются антивирусное ядро и актуальные базы ( архив пересобирается ежедневно ).

+ Опция Force Delete

Позволяет удалять файлы, открытые с эксклюзивным доступом / залоченные с помощью ф-и LockFile. Для модулей процессов доступна оцпия - "Unmap in all processes and force delete"

* Расширена функциональность сканера в Low-Level Disk Access Tool

Добавлена возможность проверки загрузочных разделов и системной директрории. Функционал будет продолжать расширяться.

* Улучшена стабильность работы модуля прямого чтения

Решены проблемы с чипсетами nForce, модуль прямого чтения ведёт себя намного более стабильно. Пока не идеально ( ключ /nodmsa по-прежнему доступен ), но мы к этому вплотную приблизились

* Улучшена общая стабильность работы программы

Исправлены возможные вылеты в BSOD на некоторых вариантах MAX++, исправлены ошибки в детекте некоторых версий Sinowal'ов.

* Доработан файл отчета

* Доработан файл помощи на русском языке



С радостью ждём замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - arkit[at]anti-virus.by Это позволит сделать продукт лучше !
 
D

Dmitry Varshavsky

VirusBlokAda
Сообщения
14
Реакции
28
Баллы
313
Обновили билд, с сегодняшнего дня доступна для скачивания версия 3.12.5.6 build 500 !

Changelog:

* Улучшена стабильность Vba32 Defender

* Улучшена стабильность работы модуля прямого чтения

* Исправлены незначительные ошибки в реализации GUI

* Доработан файл помощи на русском языке
 
gjf

gjf

Ассоциация VN
Разработчик
Сообщения
646
Реакции
643
Баллы
478
Dmitry Varshavsky, поскольку сервер АМ ведёт себя неадекватно, переношу свои брюзжания сюда :)
Не отслеживал историю появления, но последняя версия вызывает жёсткое зависание системы на ноутбуке ASUS K611C сразу после запуска. Выбор выделенного рабочего стола или не выделенного не помогает - отображается логотип и привет, Дуся. Система - W7x32 Максимальная. Подолью масла в огонь - TDSS Killer, Xuetr, RkU запустились благополучно ;)
 
D

Dmitry Varshavsky

VirusBlokAda
Сообщения
14
Реакции
28
Баллы
313
Dmitry Varshavsky, поскольку сервер АМ ведёт себя неадекватно, переношу свои брюзжания сюда :)
Не отслеживал историю появления, но последняя версия вызывает жёсткое зависание системы на ноутбуке ASUS K611C сразу после запуска. Выбор выделенного рабочего стола или не выделенного не помогает - отображается логотип и привет, Дуся. Система - W7x32 Максимальная. Подолью масла в огонь - TDSS Killer, Xuetr, RkU запустились благополучно ;)
Попробуйте запустить антируткит с ключом /nodmsa. C ноутбучными контроллерами ещё, к сожалению, остаются проблемы.
 
E

energy

Активный пользователь
Сообщения
7
Реакции
18
Баллы
303
Антируткит Vba32Arkit успешно справляется с новой версией VBR-руткита семейства Mayachok
Новость целиком
 
грум

грум

Команда форума
Администратор
Сообщения
3,391
Реакции
1,777
Баллы
583
Какая интересная программа.Никогда не обращал на нее внимания,а тут запустил.
Надо поковыряться.
 
Сверху Снизу