Добро пожаловать на независимую площадку Stop Malware.
Показано с 1 по 10 из 10

Тема: Компания «ВирусБлокАда» выпустила бета-версию Vba32 AntiRootkit 3.12.5.3

Понравилась статья? Поделись с друзьями!
  1. #1
    energy вне форума

    VBA32
    Регистрация
    09.04.2011
    Сообщений
    13
    Поблагодарил(а)
    0
    Благодарностей
    13

    Компания «ВирусБлокАда» выпустила бета-версию Vba32 AntiRootkit 3.12.5.3

    C сегодняшнего дня на наших серверах доступна следующая версия программы Vba32 AntiRootkit 3.12.5.3 beta build 222:

    http://anti-virus.by/en/beta.shtml

    Итак, по порядку об изменениях.

    + Вывод информации о драйверах-минифильтрах файловой системы (FileSystem Minifilters)

    Добавилось дополнительное окно (и пункт в логе соответственно) FileSystem Minifilters, в котором можно посмотреть список драйверов минифильтров файловой системы.

    + Операции над минифильтрами файловой системы (Unload, Unregister)

    Минифильтр можно выгрузить двумя способами: Unload и Unregister. Результат обоих функций должен быть одинаков, только алгоритмы разные. И Unregister менее безопасный в плане попадания на BSOD.

    + Вывод информации о стеке устройств ядра (Kernel Device Stack)

    Добавилось еще одно окно Kernel Device Stack (и пункт лога), которое отображает стеки устройств ядра. Благодаря этому можно проанализировать в какой из стеков встраивается вредонос и предположить для чего он это делает.
    К примеру, вирус встраивается в стек файловой системы - возможно сокрытие данных на диске и т.д.

    Пока никаких действий над объектами в стеках не реализовано, но запланировано на будущее.

    + Добавлен просмотр и возможность удаления нотификаторов типа FsRtlRegisterFileSystemFilterCallbacks

    Еще один тип нотификаторов.

    + Поиск перехватов DriverInit, DriverStartIo, DriverUnload

    Еще один тип аномалий, который позволит детектировать некоторые модификации TDL.



    + Поиск и восстановление перехватов функций объектов (ObjectTypes)
    + Детектирование подмены типа объекта для драйверов и девайсов (ObjectType hijack)

    Пока еще не сильно распространенный тип перехватов (в виду его сложности), но, тем не менее, его уже во всю стали использовать не только руткиты, но и защитный софт.

    + Операция закрытия открытого дескриптора (Close Handle)

    Особенно полезная функция, которая позволяет закрывать открытые дескрипторы в процессах.

    Те, кто плотно работал с антируткитом, сталкивались с тем, что функционал Delete File не всегда может справиться со своими обязанностями. Из-за этого зачастую приходиться прибегать к функционалу Wipe File, что менее удобно из-за необходимости перезагрузки. Все это связано с тем, что Delete File не пытается закрывать открытые дескрипторы на указанный файл перед удалением.

    Так вот, сейчас это можно сделать вручную, поискав этот дескриптор в соответствующем списке. А в будущем мы реализуем и автоматическое их закрытие.

    + Вывод статуса Terminating при закрытии окна Process Manager

    Закрытие этого окна теперь выглядит чуть более наглядно.

    * Исправлена ошибка с неработающими чекбоксами в FireFox

    Приносим извинения всем пользователся FF, которых мы на целых полтора месяца оставили без поддержки

    * Перенесен фокус на кнопку "НЕТ" при выборе режима загрузки с/без выделенного рабочего стола

    В связи с имеющимися проблемами при работе с выделеннго рабочего стола этот режим было решено не делать умолчательным. В будущем, конечно, проблема будет решаться более радикальным способом.

    * Исправлен вылет на заражённых Trojan.Win32.VBKrypt системах

    * Улучшена стабильность работы программы

    Очень большое внимание было уделено стабильности работы программы. Мы попытались исправить большинство известных нам ошибок, которые приводили в синим экранам или зависаниям приложения.

    * Доработан файл помощи на русском языке

    Как видите, данной бетой мы попытались решить следущее:

    1) закрыть те проблемы, на которые нарвались пользователи после выхода 3.12.5.2, - это в первую очередь стабильность работы;
    2) добавить функционал, который будет полезен при поиске вредоносных программ и их лечении, - это анализ стека устройств; дополнительные нотификаторы; перехваты ObjectTypes и DriverInit, DriverStartIo, DriverUnload; закрытие открытых дескрипторов;
    3) ну и добавили немного более таких академических вещей, которые интересны только узким специалистам, - анализ минифильтров файловой системы.

    Пользуйтесь! Если есть проблемы со стабильностью - жалуйтесь! А если есть что предложить - высказывайтесь!

    Адрес, по которому можно с нами связаться - arkit@anti-virus.by

  2. 3 пользователей сказали cпасибо energy за это полезное сообщение:

    Aibolit (26.04.2011), Александр (26.04.2011), Ксения (26.04.2011)

  3. #2
    Аватар для Александр
    Александр
    Александр на форуме

    Администратор
    Регистрация
    21.03.2011
    Адрес
    Казахстан
    Сообщений
    5,421
    Поблагодарил(а)
    3,531
    Благодарностей
    2,028
    Записей в дневнике
    23
    Завтра приймусь за ознакомление. Спасибо за релиз!

  4. #3
    Аватар для andrew
    andrew
    andrew вне форума

    Пользователь
    Регистрация
    18.04.2011
    Адрес
    Украина,Киев
    Сообщений
    48
    Поблагодарил(а)
    167
    Благодарностей
    12
    А чей это антивирус ?

  5. #4
    Аватар для Александр
    Александр
    Александр на форуме

    Администратор
    Регистрация
    21.03.2011
    Адрес
    Казахстан
    Сообщений
    5,421
    Поблагодарил(а)
    3,531
    Благодарностей
    2,028
    Записей в дневнике
    23
    Решил протестировать, скачал!

    Запускаем, сразу запуская программу, спросило моего разрешения на запуск, в среде напоминающей безопасный режим.

    Нажал да, огляделся, решил поглядеть что запускается у меня в автозагрузке, выбрал подпункт - Autorun, пошло километровое обновление информации, обо всех способах запуска. Сижу жду пять минут, прогреесс бар не прогрессирует, 10 - аналогично. Решил сходить по быстрому в магазин, и забежать к другу, оставил все так как есть, подумав прийду все выполниться, но не тут-то было, прошло два часа сорок с копейками минут, а прогресс баг только на половине.


    Первое что мне пришло на ум, это сколько ж надо времени, что бы поглядеть эту информацию?
    Уж не лучше ли AVZ запустить и за пару минут узнать, ту же самую информацию?



    Ладно поехали дальше, решил обойтись без этого безопасного режима, и нажал нет, при запуске программы. Мало ли что? Может баг, или недоработка в самой этой фиче утилиты.

    Запустил!

    Компания «ВирусБлокАда» выпустила бета-версию Vba32 AntiRootkit 3.12.5.3

    Но тут то я уже, наученный прошлым экспериментом, не стал проверять что у меня грузиться в автозагрузке, а решил сделать лог!

    Компания «ВирусБлокАда» выпустила бета-версию Vba32 AntiRootkit 3.12.5.3


    Мда ситуация повторилась... Все наглухо подзависло... Я эти три несчастных скрина делал 39 минут... В те моменты когда компьютер отходил от жесткого секса с данной утилитой.


    И в чем прикол? Кушает оперативки программка совсем мало, но тем не менее мой двухядерный ноут с гигом озу на борту, так жестко был загружен, что даже курсор отказал в передвижении....

    Компания «ВирусБлокАда» выпустила бета-версию Vba32 AntiRootkit 3.12.5.3



    По мне что бы протестить нармально утилитку, необходимо изначатьно выровнять ее функционал, и сделать возможность хотя бы полноценно запустить некоторые возможности утилиты.

    Позже попробую на семерке запустить....

    Что ж ждем дальнейших версий...

  6. 2 пользователей сказали cпасибо Александр за это полезное сообщение:

    Aibolit (26.04.2011), ANDYBOND (26.04.2011)

  7. #5
    Аватар для andrew
    andrew
    andrew вне форума

    Пользователь
    Регистрация
    18.04.2011
    Адрес
    Украина,Киев
    Сообщений
    48
    Поблагодарил(а)
    167
    Благодарностей
    12
    Александр я так считаю, что версия не удалась !

  8. #6
    Аватар для Apollon
    Apollon
    Apollon вне форума

    Администратор
    Регистрация
    23.03.2011
    Сообщений
    410
    Поблагодарил(а)
    175
    Благодарностей
    68
    Цитата Сообщение от FeniksIT Посмотреть сообщение
    Александр я так считаю, что версия не удалась !
    Почему же? Это бета версия, тоже самое можно было сказать о любой другой утилите, не всё сразу.
    З.Ы. Идеал создать нельзя, но нужно к этому стремиться
    Менеджер проекта StopMalware.kz
    Я могу принять ваше ИМХО во внимание, но не руководствоваться им! (с)

  9. 3 пользователей сказали cпасибо Apollon за это полезное сообщение:

    andrew (28.04.2011), Александр (26.04.2011), Ксения (27.04.2011)

  10. #7
    Аватар для Александр
    Александр
    Александр на форуме

    Администратор
    Регистрация
    21.03.2011
    Адрес
    Казахстан
    Сообщений
    5,421
    Поблагодарил(а)
    3,531
    Благодарностей
    2,028
    Записей в дневнике
    23
    Цитата Сообщение от FeniksIT Посмотреть сообщение
    А чей это антивирус ?
    Ну вроде как тут написано, что:
    РБ, г. Минск

  11. 1 пользователь сказал cпасибо Александр за это полезное сообщение:

    andrew (28.04.2011)

  12. #8
    energy вне форума

    VBA32
    Регистрация
    09.04.2011
    Сообщений
    13
    Поблагодарил(а)
    0
    Благодарностей
    13
    Александр, спасибо за потраченное время! И за интерес к нашему продукту

    Сегодня наши специалисты связались с Сашей и в ходе расследования было выяснено, что у него на ноутбуке используется достаточно редкий контроллер. Vba32 AntiRootkit реализует достаточно мощный функционал т.н. "прямого чтения", который позволяет обнаруживать не только залоченные, скрыте файлы/директории в файловой системе, но также предоставляет достаточно уникальные возможности по поиску измененных (forged) файлов. Все это является несомненным плюсом продукта. Но вместе с обозначенными плюсами есть и минусы в виде необходимости реализации поддержки для различных дисковых интерфейсов. Сейчас реализована поддержка контроллеров, которая покрывает самые популярные решения (около 90. Поддержка RAID, AHCI и других типов контроллеров тоже у нас в планах. Так уже в самом ближайшем будущем появиться поддержка для программных RAID.

    Александр, еще раз спасибо за потраченное время.

    FeniksIT, не делайте скоропалительных выводов

  13. 3 пользователей сказали cпасибо energy за это полезное сообщение:

    Aibolit (28.04.2011), andrew (28.04.2011), Александр (28.04.2011)

  14. #9
    Аватар для Александр
    Александр
    Александр на форуме

    Администратор
    Регистрация
    21.03.2011
    Адрес
    Казахстан
    Сообщений
    5,421
    Поблагодарил(а)
    3,531
    Благодарностей
    2,028
    Записей в дневнике
    23
    Цитата Сообщение от energy Посмотреть сообщение
    Александр, еще раз спасибо за потраченное время.
    Был рад Вам помочь.

    Ждем, обновленной версии, уже с поддержкой моего моего контроллера!!!

  15. 1 пользователь сказал cпасибо Александр за это полезное сообщение:

    andrew (28.04.2011)

  16. #10
    Аватар для andrew
    andrew
    andrew вне форума

    Пользователь
    Регистрация
    18.04.2011
    Адрес
    Украина,Киев
    Сообщений
    48
    Поблагодарил(а)
    167
    Благодарностей
    12
    energy, я извиняюсь

 

 

Похожие темы

  1. Vba32 AntiRootkit 3.12.5.5 бета
    от energy в разделе VBA32 Antivirus (ВирусБлокАда)
    Ответов: 0
    Последнее сообщение: 05.12.2011, 03:12
  2. Компания «ВирусБлокАда» выпустила бета-версию Vba32 AntiRootkit 3.12.5.2
    от Александр в разделе VBA32 Antivirus (ВирусБлокАда)
    Ответов: 2
    Последнее сообщение: 13.04.2011, 01:14

Метки этой темы

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •