Vba32 AntiRootkit 3.12.*.* beta

akok

Команда форума
Администратор
Сообщения
16,880
Реакции
13,220
Баллы
2,203
Дмитрий, добро пожаловать!

Добавлено через 1 час 43 минуты 58 секунд
Первое "но" скорость сканирования системы.... ну очень долго.
И второе... можно добавить кнопку при помощи которой можно получить дамп загрузчика, а не возможность просто посмотреть в окошечке?
 

Dmitry Varshavsky

VirusBlokAda
Сообщения
14
Реакции
28
Баллы
313
Дмитрий, добро пожаловать!

Добавлено через 1 час 43 минуты 58 секунд
Первое "но" скорость сканирования системы.... ну очень долго.
И второе... можно добавить кнопку при помощи которой можно получить дамп загрузчика, а не возможность просто посмотреть в окошечке?
Собрать лог в среднем занимает около 10 минут. Это время существенно зависит от количества запущенных процессов. Количество уникальных модулей в среднестатистической системе составляет порядка двух тысяч. За пару секунд, очевидно, такой массив данных проверить просто невозможно.

Загрузчик можно сдампить следующим образом. В главном окне выбрать Low Level Disk Access Tool, перейти на закладку PhysicalDrives, выбрать нужный диск и в контекстном меню вызвать Dump. Эта операция должна занять 10-15 секунд, не более. Поэтому не совсем понял, какую кнопку вы ещё хотите.
 

akok

Команда форума
Администратор
Сообщения
16,880
Реакции
13,220
Баллы
2,203
Эта операция должна занять 10-15 секунд, не более. Поэтому не совсем понял, какую кнопку вы ещё хотите.
Специфика наших услуг приводит к небольшой профессиональной деформации. Я в первую очередь думаю о работе с удаленной системой. :)
*Если в логе транслируется "дамп", то почему его сразу нельзя скачать?*


Собрать лог в среднем занимает около 10 минут.
У меня сканирование заняло 19 минут
 

Dmitry Varshavsky

VirusBlokAda
Сообщения
14
Реакции
28
Баллы
313
Специфика наших услуг приводит к небольшой профессиональной деформации. Я в первую очередь думаю о работе с удаленной системой. :)
*Если в логе транслируется "дамп", то почему его сразу нельзя скачать?*
Собственно именно для облегчения удалённой техподдержки и было принято решение включать дамп основного загрузчика непосредственно в файл отчёта.
Чтобы получить дамп ( как отдельный файл на диске ), нужно нажать на Primary boot sector dump в логе, откроется окно с содержимым дампа в виде Mime сообщения, которое нужно скопировать в текстовый файл, а затем декодировать ( напр. в Total Commander : Files -> DecodeFile ).
 

S.R

Ассоциация VN
Сообщения
727
Реакции
376
Баллы
443
Здравствуйте.

Система упала в синий экран во время канирования. Единственное, что помню - был этап сканирования чего-то, связанного с ядром.

Минидамп прикрепил

Посмотреть вложение Mini093011-01.7z
 

Dmitry Varshavsky

VirusBlokAda
Сообщения
14
Реакции
28
Баллы
313
Здравствуйте!

Представляю вашему вниманию Vba32 AntiRootkit 3.12.5.5 beta build 425 !

Ссылки для скачивания прежние:

http://anti-virus.by/en/beta.shtml

ftp://anti-virus.by/beta/vba32arkit_beta.7z

ftp://anti-virus.by/beta/vba32arkit_beta.zip

Что нового:

+ Работа с IDE и AHCI контроллерами жёсткого диска на низком уровне.

Основной вектор развития антируткита на данный момент. Непосредственная работа с железом даёт практически 100% гарантию того, что прочитаны реальные данных, хранящиеся на диске вне зависимости от типа заражения. Обратная сторона медали - совместимость. Если c AHCI контроллерами удалось разобраться практически полностью, то, как ни странно, с простым и "древним" IDE возникли проблемы. Дело в том, что с развитием технологий, таких как NCQ например, каждый производитель немного по-своему стал "расширять" стандарт. Документации по данной проприетарной теме, естественно, нет. Из известных проблем - мёртвое зависание антируткита на некоторых машинах с nForce-4, причём зависания повторяются только с установленными драйверами от NVIDIA ( которые непосредственно реализуют "новый" функциоанал, с дефолтными драйверами проблем нет ). Если у вас проблемы с запуском антируткита ( либо система виснет намертво, падает в BSOD ), задайте ключ коммандной строки /nodmsa и код прямого доступа к контроллеру/ам будет деактивирован.

+ Vba32 Defender: добавлен интерактивный режим, чёрный и белый списки, подсказки пользователю. Возможность стартовать приложения на выледенном рабочем столе

Значительно расширили функционал Defender'а.

+ Реализована базовая самозащита.

Позволяет противостоять последним версиям ZeroAccess aka Max++, Necurs/Cridex. И не только.

+ Возможность извлекать девайсы из стека устройств ( DetachDevice )

Полезная возможность. Например, при лечении Necurs

+ Поиск скрытых драйверов по MZ-PE заголовкам в системном пуле ( на Windows Vista и выше )

Функционал реализован для систем Vista и выше, т.к. на более ранних были выявлены ложные срабатывания.

+ Добавлен просмотр и возможность удаления нотификаторов ObCallbacks

Актуально для систем на Windows Vista SP1 и более новых.

+ Опция Restore MBR and force reboot

Более безопасно, чем "Restore MBR and force reset"

+ Вывод MD5/SHA1 дайджестов проверенных файлов

Довольно удобная вещь для поиска образцов на том же VirusTotal.

+ Возможность скрывать драйверы/сервисы с пустым ImagePath

+ поддержка Windows 8 Developer Preview

* Исправлена проблема с невыгрузкой драйвера антируткита, а также пропажей звука на некоторых системах.

* Улучшена стабильность работы программы

* Доработан файл помощи на русском языке

Как всегда с радостью ждём замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - arkit[at]anti-virus.by Это позволит сделать продукт лучше

P.S. Планирую постепенно начинать выкладывать инструкции по лечению конкретных заражений с помощью Vba32 AntiRootkit, например, такие:
http://anti-virus.by/en/doc/Vba32 AntiRootKit vs TDL2.pdf
http://anti-virus.by/en/doc/Vba32 AntiRootKit vs TDL4.pdf
 

akok

Команда форума
Администратор
Сообщения
16,880
Реакции
13,220
Баллы
2,203
Dmitry Varshavsky, что с скриптовым языком?
 

Dmitry Varshavsky

VirusBlokAda
Сообщения
14
Реакции
28
Баллы
313
Dmitry Varshavsky, что с скриптовым языком?
Раз ничего не сказано в чейнджлоге, то значит, что пока ничего..
Сейчас делаем упор на функциональность и возможность лечить сложные заражения средствами исключительно нашего антируткита ( см. предварительные версии руководств по детекту / лечению ).
К слову, следующую бету запланировали выпустить до нового года и добавить туда функционал по проверке и восстановлению VBR ( для лечения cidox ).
Скрипты, в лучшем случае, будут в первой половине следущего года.
 

S.R

Ассоциация VN
Сообщения
727
Реакции
376
Баллы
443
Dmitry Varshavsky, неужели нет поддержки х64 систем?
 

gjf

Ассоциация VN
Разработчик
Сообщения
646
Реакции
643
Баллы
478
S.R, а Вы много знаете х64 антируткитов? ;)
А также вопрос как к практиканту - сколько Вы знаете способов загрузки неподписанных драйверов на х64? ;) После ответа на этот вопрос станет понятно, что в настоящее время х64 антируткит должен отслеживать всего два параметра...

Имхо сабж перспективный, но с текущей ситуацией поддержки контроллеров - ещё бета :) Пока разработчик не доведёт х86 до статуса релиза, говорить о вкусняшках-скриптах и х64 просто бессмысленно.
 

S.R

Ассоциация VN
Сообщения
727
Реакции
376
Баллы
443
gjf, TDL, ZeroAccess. Более назвать не могу, ибо не помню/не знаю.


сколько Вы знаете способов загрузки неподписанных драйверов на х64?
Довольно интересный вопрос ;) Я знаю, что можно отключить контроль цифровых подписей, TDL и использует этот метод
 

gjf

Ассоциация VN
Разработчик
Сообщения
646
Реакции
643
Баллы
478
S.R, очень плохо. Во-первых, откуда Вы взяли, что руткит ZeroAccess бывает х64?
Наиболее интересным является случай, если загрузчик был запущен на x64 системе. В этом случае на компьютер жертвы загружается инсталлятор бэкдора, который специально скомпилирован для работы на 64-разрядных системах. Этот бэкдор не содержит руткит, а представляет собой usermode-зловред, который повторяет работу руткита под x32 с той лишь разницей, что его компоненты представляют собой файлы и хранятся в "$windir\assembly", имея сходную структуру каталогов. Автозапуск на x64 обеспечивается ключом реестра “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems”. Само тело бэкдора расположено в системной папке system32 с именем consrv.dll. Все модули, что бэкдор выкачивает после своей инсталляции, также предназначены для 64-битной платформы. Установка x64 MAX++ достигается путем внедрения в services.exe с использованием функции ntdll!NtQueueApcThread. Трудность лечения зараженной x64 системы связана с ключом автозапуска зловреда: если удалить файл, не исправив ключ реестра, то система уже не сможет загрузиться, а вместо этого будет выдавать BSOD на определённом этапе загрузки.
Во-вторых,
можно отключить контроль цифровых подписей, TDL и использует этот метод
- в корне неверно. Этот метод используют Necurs и Banker. А упомянутый Вами TDL4 и не упомянутый Вами Cidox используют то, что они - буткиты, и загружаются раньше компонентов системы для проверки цифровых подписей.

В итого - проверка руткитов на х64 заключается в двух аспектах:
1. проверить, не включен ли тестовый режим;
2. проверить MBR на наличие нестандартных загрузчиков (включая и VBR).
 

Dmitry Varshavsky

VirusBlokAda
Сообщения
14
Реакции
28
Баллы
313
Здравствуйте!

Представляю вашему вниманию Vba32 AntiRootkit 3.12.5.6 beta build 493 !

Внимание! Ссылки для скачивания немного изменились ( подробнее ниже ):

http://anti-virus.by/en/beta.shtml

ftp://anti-virus.by/pub/beta/vba32arkit_beta.zip ( обычная версия, ~4 Mb )

ftp://anti-virus.by/pub/beta/vba32arkit_full_beta.zip ( полная версия с антивирусным ядром и базами, ~100 Mb )

Список изменений относительно версии 3.12.5.5:

+ Анализ загрузочных секторов логических дисков ( только NTFS ). Детект, просмотр, дамп и восстановление
нестандартных и подменённых загрузчиков. Сохранение в логе дампа загрузочных секторов основного раздела


Позволяет детектировать/лечить Cidox/Carberp. Обратите внимание, некоторые "кряки" для Windows модифицируют VBR - антируткит их детектирует как нестандартные и после восстановления ваша "активация" теряется.

+ Возможность использовать антивирусное ядро VBA32 для проверки подменённых, залоченных файлов, а также для
проверки загрузочных секторов ( MBR & VBR )


Значительно расширили интерфейс взаимодействия антируткита с антивирусным ядром. Теперь антируткит доступен для скачивания в двух вариантах - обычном и полном. В полном варианте вместе с антируткитом поставляются антивирусное ядро и актуальные базы ( архив пересобирается ежедневно ).

+ Опция Force Delete

Позволяет удалять файлы, открытые с эксклюзивным доступом / залоченные с помощью ф-и LockFile. Для модулей процессов доступна оцпия - "Unmap in all processes and force delete"

* Расширена функциональность сканера в Low-Level Disk Access Tool

Добавлена возможность проверки загрузочных разделов и системной директрории. Функционал будет продолжать расширяться.

* Улучшена стабильность работы модуля прямого чтения

Решены проблемы с чипсетами nForce, модуль прямого чтения ведёт себя намного более стабильно. Пока не идеально ( ключ /nodmsa по-прежнему доступен ), но мы к этому вплотную приблизились

* Улучшена общая стабильность работы программы

Исправлены возможные вылеты в BSOD на некоторых вариантах MAX++, исправлены ошибки в детекте некоторых версий Sinowal'ов.

* Доработан файл отчета

* Доработан файл помощи на русском языке



С радостью ждём замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - arkit[at]anti-virus.by Это позволит сделать продукт лучше !
 

Dmitry Varshavsky

VirusBlokAda
Сообщения
14
Реакции
28
Баллы
313
Обновили билд, с сегодняшнего дня доступна для скачивания версия 3.12.5.6 build 500 !

Changelog:

* Улучшена стабильность Vba32 Defender

* Улучшена стабильность работы модуля прямого чтения

* Исправлены незначительные ошибки в реализации GUI

* Доработан файл помощи на русском языке
 

gjf

Ассоциация VN
Разработчик
Сообщения
646
Реакции
643
Баллы
478
Dmitry Varshavsky, поскольку сервер АМ ведёт себя неадекватно, переношу свои брюзжания сюда :)
Не отслеживал историю появления, но последняя версия вызывает жёсткое зависание системы на ноутбуке ASUS K611C сразу после запуска. Выбор выделенного рабочего стола или не выделенного не помогает - отображается логотип и привет, Дуся. Система - W7x32 Максимальная. Подолью масла в огонь - TDSS Killer, Xuetr, RkU запустились благополучно ;)
 

Dmitry Varshavsky

VirusBlokAda
Сообщения
14
Реакции
28
Баллы
313
Dmitry Varshavsky, поскольку сервер АМ ведёт себя неадекватно, переношу свои брюзжания сюда :)
Не отслеживал историю появления, но последняя версия вызывает жёсткое зависание системы на ноутбуке ASUS K611C сразу после запуска. Выбор выделенного рабочего стола или не выделенного не помогает - отображается логотип и привет, Дуся. Система - W7x32 Максимальная. Подолью масла в огонь - TDSS Killer, Xuetr, RkU запустились благополучно ;)
Попробуйте запустить антируткит с ключом /nodmsa. C ноутбучными контроллерами ещё, к сожалению, остаются проблемы.
 

energy

Активный пользователь
Сообщения
7
Реакции
18
Баллы
303
Антируткит Vba32Arkit успешно справляется с новой версией VBR-руткита семейства Mayachok
Новость целиком
 

грум

Команда форума
Администратор
Сообщения
3,393
Реакции
1,781
Баллы
583
Какая интересная программа.Никогда не обращал на нее внимания,а тут запустил.
Надо поковыряться.
 
Сверху Снизу