Лидеры форума

Честно .. запарили оскорблять. Люди опомнитесь.. спор должен быть конструктивным, а не деструктивным.

Представляем Вашему вниманию следующую бета-версию нашего антируткита Vba32 AntiRootKit 3.12.5.0 beta: ftp://anti-virus.by/beta/Vba32arkit_beta.rar ftp://anti-virus.by/beta/Vba32arkit_beta.zip ftp://vba.ok.by/vba/beta/Vba32arkit_beta.rar ftp://vba.ok.by/vba/beta/Vba32arkit_beta.zip + Добавлен механизм "прямого" доступа к файловой системе. Реализован разбор файловых систем NTFS и FAT 12/16/32. Низкоуровневая верификация файлов осуществляется во всех существующих проверках Т.е. реализован так называемый механизм "прямого" чтения/записи диска. Все проверяемые в антирутките объекты также проверяются и данным механизмом. + Окно Low-Level Disk Access Tool. Поддерживает операции низкоуровневого просмотра, копирования, удаления (с вытеснением из кэша файловой системы). Работает со скрытыми, заблокированными и измененными файлами. Поддерживает файловые потоки и символьные ссылки Добавлено окно эксплорера, в котором можно просматривать, копировать, удалять файлы и файловые потоки. Добавлен сканер, который обнаруживает скрытые, заблокированные, измененные файлы и файловые потоки. + Опция Vba32 Defender препятствует загрузке новых исполняемых файлов, а также драйверов в память во время работы антируткита Данная опция по умолчанию отключена. + Улучшен механизм поиска скрытых процессов (поиск хэндлов в csrss.exe, анализ PspCidTable и т.д.) Анализ некоторых методов сокрытия процессов возможен без режима расширенного мониторинга. + Улучшен механизм получения списка модулей ядра, добавлен анализ стека драйверов + Проверка в памяти аттрибутов секций ядерных модулей + Поиск скрытых IRP обработчиков Благодаря этому детектится TDL3. * Возможность исключать модули режима пользователя из списка модулей ядра * Изменён формат вывода информации о процессах (добавлен EPROCESS, ShortName) * Улучшен механизм взаимодействия драйвера антируткита с GUI * Переработан механизм поиска перехватов ядра. Проверяются таблицы экспорта и кодовые секции всех модулей ядра До сих пор проверялись только ntoskrnl.exe, hal.dll, win32k.sys, ndis.sys. * Доработан файл помощи на русском языке Как всегда прошу обратить внимание на полноту файла-помощи и высказать свои замечания. Из того, что не отмечено в readme: * Изменен формат файла-отчета, генерируемого по команде Logging State Информация в файле теперь представляется в более удобном виде и более информативна. Добавлены java-scripts. В окне Logging State добавился пункт File System, который сканирует диск прямым чтением. Достаточно долгий процесс, потому его можно отключать, когда делается отчет. Известные проблемы: * нестабильность главного окна и функциональности, доступной по кнопке Start Иногда возникает ситуация, когда информация в окне отображается некорректно. В качестве решения рекомендую пользоваться либо окнами, доступными через меню Tools, либо html-логом, доступным через Logging State. * плохое юзабилити Нет возможности пользоваться клавиатурой, плохая эргономика. * неинформативные, вводящие в заблуждение полосы прогрессбара Какие-то они совсем корявые получились. Планы на 3.12.5.1 beta: * отказаться от главного окна в его теперешнем представлении Уже есть хорошие идеи, как обыграть эту тему. Я думаю, что всем должно понравиться. * улучшить юзабилити Этим вопросом уже плотно занимаемся. * увеличить список проверяемых типов автозагрузки Тоже уже работаем над этим. * подключить проверку модулей процессов * и многое другое Замечания, предложения, дампы после BSOD , интересные файлы отчетов и сэмплы, на которых есть проблемы, а также любая информация, которая поможет сделать продукт лучше, приветствуется. Спасибо.

Это даже не смешно, по данным KSN непопулярен. Лучшего подтверждения неэффективности системы КSN для добавления в базу новых приложений найти невозможно. Вы и погоду смотрите в интернете вместо того чтобы открыть окно?

Спасибо. Классная весчь. Да к тому же - Open Source. http://portableapps.com/apps - всем рекомендую заглянуть.

grex Да ладно, не нервничайте так "Брехать", "брехать" Я теперича не то, что давеча, да? К какому виду HIPS относится то, что есть в NAV/NIS? Мне для общего развития. Что касается каких-то обид, тут извините, мне искренне наплевать на технологии чужие. Единственное, что интересно - их эффективность. А эффективность я видел Какой-то поток мыслей. Прошу прощения, но я мог неверно понять суть. Я понял так: "Да, там дела плохи и Symantec считает это нормальным". Правильно? Больше чем что? Мне тоже интересен результат 148-ми тестов. Они не знают про BSS просто, ты почитай Тут есть раздел, в котором выкладывают заразу. Пока сосо все, кроме Каспера

Собаки лают, а караван идет... Дань, не факт. KAV могут купить ради сигнатурного детекта в комплект к оутпосту.