Перейти к содержанию

Лидеры форума


Popular Content

Showing content with the highest reputation on 03/14/11 in Сообщения

  1. 5 points
    Виталий Я., на сайте забыли написать про новую функцию - отправку файлов на анализ
  2. 5 points
    Задача состояла как раз в том, что таки показывать эту секцию, раз в неё прописываются вредоносные программы. С моей т.зр. тут, на самом деле, двояко -- можно либо в политиках (коих пока нет) отображать, либо в Autorun. Сделано было в Autorun.
  3. 5 points
    Привет! Делюсь с комьюнити следующей бета-версией антируткита Vba32 AntiRootkit 3.12.5.2 beta build 168. Ссылки для скачивания: http://anti-virus.by/en/beta.shtml ftp://anti-virus.by/beta/vba32arkit_beta.7z ftp://anti-virus.by/beta/vba32arkit_beta.rar ftp://anti-virus.by/beta/vba32arkit_beta.zip Данный скоуп получился очень насыщенным. В него вошло большое количество изменений, которыми я с вами с радостью поделюсь: + Окно Process List заменено на Process Manager. Значительно увеличено количество выводимой информации + Вывод списка аномалий для каждого процесса + Операции над процессами (Terminate, Terminate and Delete File, Suspend/Resume, Dump) + Вывод информации о модулях (в том числе скрытых) + Операции над модулями процессов (Unmap, Dump) + Вывод информации о потоках (в том числе скрытых), детектирование аномальных потоков + Операции над потоками, в т.ч. и над системными (Terminate, Suspend/Resume) + Вывод информации об открытых дескрипторах (хэндлах) Добавили возможность полноценной работы с процессами: - завершение процесса; - блокирование (suspend)/разблокирование (resume) процесса; - снятие дампа памяти с процесса. Список процессов можно выводить в древовидной и списковой формах. По процессам можно выводить большое количество различной полезной информации - начиная с PID, заканчивая адресами EPROCESS, PEB и др. Весь вывод можно опционально настроить и выбрать только необходимые данные. Определение скрытых процессов и поиск различных аномалий в процессах также осуществляется. Работа с потоками: - завершение потока; - блокирование (suspend)/разблокирование (resume) потока. Опционально можно задать вывод большого количества различной подробной информации о потоках. Определение скрытых потоков и поиск различных аномалий в потоках также осуществляется. Работа с модулями: - выгрузка модуля из процесса; - снятие дампа памяти с модуля. Определение скрытых модулей и различных аномалий. Также выводится информация об открытых дескрипторах процессов и возможна расшифровка обнаруженных аномалий. + Вывод информации о выгруженных модулях ядра Данные модули помечаются как Unloaded module. + Детектирование IAT перехватов в модулях ядра Еще один часто используемый способ внедрения. + Добавлен просмотр и возможность удаления нотификаторов типа Lego, SeFileSystem, LastChanceShutdown, Shutdown, BugCheckReason, FsRegistrationChange Тоже может быть полезно. + Окно Network Tool (разбор файлов hosts и lmhost, поиск постоянных маршрутов в routes, LSP-провайдеры) Работа с LSP-провайдерами перенесена в отдельное окно. Туда же добавлен вывод информации из файла Hosts и таблицы постоянных маршрутов. Файл Hosts можно изменять, удаляя из него "лишние" строки. + Возможность работы на выделенном рабочем столе Еще один очень полезный функционал в свете большого количества различных блокировщиков. Внимание: данный функционал по-умолчанию запускается с опцией Vba32 Defender, которая блокирует работу многих приложений. + Работа антируткита в Safe Mode Теперь обеспечивается полноценная работа антируткита и в этом режиме. + Детектирование отозванных сертификатов при проверке цифровой подписи Появление Stuxnet показало, что доверять цифровым подписям безоговорочно нельзя. Потому был добавлен вот такой режим. Но понятно, что его полноценная работа возможна или на обновленной Windows (с установленными обновлениями сертификатов) либо с доступом в Интернет. + Увеличено количество проверяемых мест автозагрузки (Print Provider, Control Panel objects, Known DLLs, URLSearch IE, Toolbar IE, IE Extensions и др.) Уже покрыто наверное большинство мест реестра, используемых для загрузки троянов. Если знаете что-то еще - делитесь + Добавлена поддержка Windows 7 SP1 Тут все понятно. * Улучшен механизм получения списка модулей ядра, а также увеличено количество выявляемых в них аномалий Да, теперь в этом окне намного больше всего полезного. И больше аномалий удается найти и отобразить. * Значительно увеличена скорость проверки прямым чтением Порядка 2-х раз удалось увеличить скорость алгоритма "прямого чтения". * Исправлен BSOD при разборе файловой системы NTFS с сильно фрагментированной таблицей MFT Старая ошибка, с которой долгое время не удавалось разобраться. * Опция Don't display items digitally signed переименована в Don't display trusted items, также изменена логика работы (в соответствии с новым названием) * В соответствии с новым функционалом доработан файл отчёта Отчет теперь намного больше, чем был раньше. И анализировать его стало труднее. Потому в нем появились различные опции, которые позволяют скрывать часть "ненужной" информации. * Улучшено кэширование проверяемых объектов при исследовании системы Добавили еще оптимизации, что ускорило работу антируткита. * Доработан файл помощи на русском языке Конечно хэлп еще далек от идеала, но тем не менее полезной информации в нем стало больше. Известные проблемы: - окно Process Manager иногда зависает. Что приводит к необходимости перезагрузки системы. С проблемой сейчас разбираемся. Если вы нам предоставите еще больше дампов памяти зависшего процесса, то это ускорит исправление проблемы; - запуск антируткита с выделенного рабочего стола иногда приводит к зависанию системы. Это связано с тем, что по-умолчанию запускается режим Vba32 Defender, который начинает блокировать работу драйверов на некоторых видеокартах от NVIDIA. Проблема достаточно серьезная и быстро не решается. Потому без лишней необходимости данный режим пока использовать не советую; - проблема с пропаданием звука скорее всего связана с режимом Vba32 Defender, который блокирует загрузку драйвера kmixer.sys. В будущем решим и эту проблему. Для поддержки данного продукта был заведен специальный ящик, на который можно слать свои пожелания, дампы и т.д. - arkit@anti-virus.by . Если вспомню еще что-то важное - допишу новым постом. P.S.: спасибо всем причастным, кто участвовал в предварительном тестировании данной беты (K_Mikhail на этом форуме).
  4. 5 points
  5. 5 points
    какой срач поднялся, из-за того что Avast free стал лидером скачек. В нашей стран всегда любят халяву
  6. 5 points
  7. 5 points
    Это к чему? Что нужно обязательно аудироваться у PwC? Ну, они тоже в списке возможных аудиторов - но уже лет, наверное, пять у нас аудитор KPMG. И именно аудированные данные мы показываем IDC и прочим, частично публикуем на сайте и в пресс-релизах. Полностью показывать отчётность мы никому не обязаны (кроме налоговой). Что не так? О! Опять тролли от Есета? Они до сих пор не перевелись? Вы настаиваете, чтобы мы Вам показали всю отчётность?... А какие у Вас аргументы? Если аргументов нет - то Вам, наверное, следует отправиться либо "в", либо "на". Можете выбирать - у меня лично никаких предпочтений нет. // СанСаныч, отстань от вундеркинда. Я тоже больше дискутировать на темы "ни о чем" не собираюсь.
  8. 5 points
    Пиши уж сразу, "Годовая отчетность, должна быть подтверждена аудитом sda" извини, чувак, но финансовый аудит в нашей компании делают обычно всего лишь всякие кпмг и кредит суиссы, на тебя денег пока не хватает.
  9. 5 points
    я боюсь, что тогда портал надо будет переименовывать в БАШ.org... Все "старые" эксперты получат пожизненный бан и эцих с гвоздями, а взамен назначат новых - "правильных"
  10. -5 points
    Покопался, нашел старый скриншот, заново просканили файл - теперь история. Осень 2009го. Мы сделали файл-пустышку "приличного" размера, задетектили и отправили на ВирусТотал. Естественно, что на момент отправки его НЕ ДЕТЕКТИЛ ни один антивирус - кроме, конечно же, нас. Но через несколько дней его задетектило больше половины(!) антивирусников. Вот старый скриншот (обрезан, полного нет) Только что пересканили его еще раз - вот полный список "героев". Из чего следует, что: 1. НЕ ВСЕ платные антивирусы тырят детект у коллег по цеху. 2. Честно работающих бесплатных антивирусных компаний НЕТ. Это не единичный эксперимент, который мы тогда провели. Результаты разных экспериментов практически совпадали. Эксперименты проводились совместно с немецким журналом ComputerBild (который потом что-то тихонько где-то сообщил, видимо - побоялись заявлять громко). Надеюсь, что на этом тема превосходства бесплатных антивирусов [в сигнатурном детекте] будет закрыта. Надеюсь, что нам больше никто не будет рекомендовать выпускать бесплатные сигнатурные антивирусы по модели Аваста, АВГ и Авиры.
  11. -5 points
    1. 2. Видимо, одна только ЛК не взаимствует вирусные детекты, полагаясь только на своих сотрудников. Да что бы без вас делали они, герои, вы хреновы? Через Сеть проходит неимоверное количество вредоностного кода и рационально ли вообще анализировать? Если действительно ЛК проводит тщательный анализ детектов с VT, то я частично поняла, почему ваши продукты находят опасные вредоностные программы с таким опазданием и покрываются тем, что как бы хорошо лечат, пока другим это лечение к черту не нужно - угроза устранена и пользователь в безопасности. Браво, просим на Бис! Пока антивирусные компании занимаются действительно важными делами (в том числе и бесплатные), шуты from Russia тешат немецких журналистов, подобными экспериментами, а потом слизывают технологии у других, но это-то уже нормально. Это же не петросяно-эксперименты с пустыми троянами травить. Тащемта, живите дальше в первобытном времени, пока другие компании и их пользователи получают удовольствие от современных технологий.
  12. -5 points
    Начиная кастрато-дизайном 2012 версии, где слизано отовсюду, откуда только можно, заканчивая облачными технологиями, резервным копированием и прочим. По поводу дизайна - конечно.. не совсем технология. Больше дизайнерское решение. Наверно, все деньги уходят на маркетинг и аналитиков, которые анализируют VT, поэтому свое придумать как-то не удается Хотя мне по большому счету - параллельно.
  13. -5 points
    фактов нет, а есть эмоции... Тогда начали бы с обсуждаемого продукта...Но эмоции, эмоциии.... Минус заслужен честно
  14. -15 points
    Пупсик, тебя в гугле забанили? Слизан != сворован. Я умею подбирать слова. Прими валерияны и еще раз перечитай мой ответ. Когда Butthurt пройдет. Отшлепай проказницу, я сегодня полностью твоя И погугли слово "сарказм". и подружке своей скажи (sww), чтобы свой язык свой у меня из попы вынула:
This leaderboard is set to Москва/GMT+03:00
×