замечено, в окне Kernel Modules если у модуля обнаружены аномалии состояния в памяти системы, он выделяется желтым цветом (Modified Image) и при этом выбрать флаг Don’t display files digitally signed, то подозрительная(желтая) запись тоже исключается из списка, если далее нажать кнопку Refresh она появляется всписке
Подозреваю, что такое возможно. Спасибо, будем проверять и править.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
с Моей точки зрения удобства пользования, в Tools-->Drivers and services при удалении, снятии/установке check'a после всех изменений в реестре и на диске,происходит процесс пересбора информации данного раздела, а ожидается отображение данного действия в гриде без пересбора, т.к. данная функция повешана на кнопку Refresh
с Моей точки зрения удобства пользования, в Tools-->Drivers and services при удалении, снятии/установке check'a после всех изменений в реестре и на диске,происходит процесс пересбора информации данного раздела, а ожидается отображение данного действия в гриде без пересбора, т.к. данная функция повешана на кнопку Refresh
замечено, в окне Kernel Modules если у модуля обнаружены аномалии состояния в памяти системы, он выделяется желтым цветом (Modified Image) и при этом выбрать флаг Don’t display files digitally signed, то подозрительная(желтая) запись тоже исключается из списка, если далее нажать кнопку Refresh она появляется всписке
Что-то не получается воспроизвести...
Файлик, на котором срабатывает Don’t display files digitally signed, подписан ЭЦП или нет?
Может каких скриншотиков накидаете нам на beta[at]anti-virus.by?
Последний раз редактировалось sergey ulasen; 03.06.2009 в 20:43.
Что-то не получается воспроизвести...
Файлик, на котором срабатывает Don’t display files digitally signed, подписан ЭЦП или нет?
Может каких скриншотиков накидаете нам на beta[at]anti-virus.by?
как накидать на http://beta.anti-virus.by/ Я непонял, выложу на обменник.
1рис. - Cкан при выборе данной тулзы(Kernel Modules)
2рис. - После установлен чек Don't display files digitally signed
3рис. - Нажата кнопка Refresh при установленном выше чеке
как видно на втором риснуке, после выбора чека, желтая строка исчезает из грида, но при нажатии Refresh она объявляется
как накидать на http://beta.anti-virus.by/ Я непонял, выложу на обменник.
1рис. - Cкан при выборе данной тулзы(Kernel Modules)
2рис. - После установлен чек Don't display files digitally signed
3рис. - Нажата кнопка Refresh при установленном выше чеке
как видно на втором риснуке, после выбора чека, желтая строка исчезает из грида, но при нажатии Refresh она объявляется
+ Поиск и восстановление перехватов в таблице дескрипторов прерываний (IDT)
+ Анализ и восстановление перехватов в секциях кода ядра (.text и PAGE)
+ Просмотр и удаление нотификаторов режима ядра (создание потоков, процессов; загрузка исполняемых модулей; операции с реестром)
+ Добавлена поддержка Windows Vista SP2 и Windows 7 RC build 7100
* Устранены недочеты в поведении окон "Autorun" и "Drivers and Services (from Registry)"
Как многие (priv8v, NickM и др.) здесь подметили, окна управления автозагрузкой и службами "страдали" от постоянных рефрешей. Исправили, теперь пользоваться этими окнами стало намного удобнее.
* Автоматическое выравнивание столбцов при отображении результатов сканирования
* Переработано поведение окна настроек
* Улучшен алгоритм разбора пути к скрытым драйверам
* Опция "Create ZIP archive" окна "Logging State" установлена по умолчанию
* Автоматическая перезагрузка при установке драйвера расширенного мониторинга
Спасибо Alexandra за два последних пункта
* Исправлена ошибка с отображением окна помощи в дочерних окнах
А это была ошибка, обнаруженная NickM. За что ему тоже огромное спасибо.
* Доработан файл помощи
О планах: в следующей бета-версии будем реализовывать прямое чтение.
Brs_DelFile() отработает. Но никаких изменений в скрипты не вносилось. Серьезно за скрипты возьмемся только после того, как окончательно разберемся с прямым чтением/удалением.
Здравствуйте. При проверке системы подозрительный драйвер попал в список 4.List of infected(suspicios) drivers, задался вопросом отыскать, на диске его не нашел, ни через поиск, ни визуально. Решил зайти в Drivers and services (from Registry), его там не нашел, может его и не должно быть там, ведь из названия пункта ясно что инфа из реестра, но Я не об этом. Поиск в окне Drivers and services (from Registry) Я осуществлял по полю Image Path и Меня с толку сбил способ сортировки применяемый в гриде, где оказывается \SYSTEM32\drivers, \system32\DRIVERS и \SYSTEM32\DRIVERS\, разные пути. Может приводить к одному регистру, думаю время затраченное на поиск информации при использовании сортировки по полю сократится в разы, а иначе зачем такая сортировка вообще нужна?
При проверке системы подозрительный драйвер попал в список 4.List of infected(suspicios) drivers, задался вопросом отыскать, на диске его не нашел, ни через поиск, ни визуально. Решил зайти в Drivers and services (from Registry), его там не нашел, может его и не должно быть там, ведь из названия пункта ясно что инфа из реестра,
Это, скорее всего, драйвер от Alcohol 120.
Сообщение от NickM
Поиск в окне Drivers and services (from Registry) Я осуществлял по полю Image Path и Меня с толку сбил способ сортировки применяемый в гриде, где оказывается \SYSTEM32\drivers, \system32\DRIVERS и \SYSTEM32\DRIVERS\, разные пути. Может приводить к одному регистру, думаю время затраченное на поиск информации при использовании сортировки по полю сократится в разы, а иначе зачем такая сортировка вообще нужна?
Данные в это поле берутся прямо из реестра. И вставляются туда (в поле) в том самом виде, как они там (в реестре) представлены. Без всякой доп. обработки. В принципе, можно и к одному регистру приводить для удобства. Подумаем, спасибо.
Еще просьба к вам. Сделайте, пожалуйста, скриншот главного окна антируткита (такой как был на прошлом скриншоте, только ничем не закрытый), а то мне кажется, что там есть кое какие проблемы. Ну и отчет тогда еще за компанию. Спасибо.
Данные в это поле берутся прямо из реестра. И вставляются туда (в поле) в том самом виде, как они там (в реестре) представлены. Без всякой доп. обработки. В принципе, можно и к одному регистру приводить для удобства.
При просмотре скриншота от NickM вспомнил, что не сказал одну важную вещь.
Если у вас в системе был проинсталлирован AntiRootKit Driver (ArKit Driver->Install AntiRootKit Driver) от версии 3.12.3.2, и вы запустили версию 3.12.3.3, в окне Kernel-Mode Notificators будет отображен неопределенный нотификатор. На самом деле он наш. Кроме того, если вы хотите и далее работать с драйвером AntiRootKit Driver, вам нужно опять его проинсталлировать. Старый драйвер автоматически заменится на новый. В документации эту тонкость отобразим позже.
Сейчас полным ходом идет работа над прямым чтением. Уже есть первые результаты. Ниже скриншот окна, в котором будут отображаться скрытые файлы:
по скриптам:
хотелось бы наличие горячих клавиш, таких как Ctrl+N (очистить текст скрипта), Ctrl+S (сохранить скрипт), Ctrl+O (открыть скрипт) и например Ctrl+R (выполнить), иначе при отсутствии мышки невозможно активировать кнопки, ведь нету возможности Tab'ом переключаться по контролам, например набрав скрипт невозможно покинуть поле ввода. может еще Ctrl+A (выделить все), ну это наверное лишнее?
а также заметил, что если править, набирать скрипт в текстовом редакторе FAR'а после скрипты загружаются в виде корейских иероглифов.
по скриптам:
хотелось бы наличие горячих клавиш, таких как Ctrl+N (очистить текст скрипта), Ctrl+S (сохранить скрипт), Ctrl+O (открыть скрипт) и например Ctrl+R (выполнить), иначе при отсутствии мышки невозможно активировать кнопки, ведь нету возможности Tab'ом переключаться по контролам, например набрав скрипт невозможно покинуть поле ввода. может еще Ctrl+A (выделить все), ну это наверное лишнее?
а также заметил, что если править, набирать скрипт в текстовом редакторе FAR'а после скрипты загружаются в виде корейских иероглифов.
Когда доберемся до скриптов, учтем ваши пожелания.