Добро пожаловать на независимую площадку Stop Malware.
Показано с 1 по 1 из 1

Тема: Vba32 AntiRootkit 3.12.5.4 beta build 293

Понравилась статья? Поделись с друзьями!
  1. #1
    Аватар для Александр
    Александр
    Александр на форуме

    Администратор
    Регистрация
    21.03.2011
    Адрес
    Казахстан
    Сообщений
    5,421
    Поблагодарил(а)
    3,531
    Благодарностей
    2,028
    Записей в дневнике
    23

    Смущение Vba32 AntiRootkit 3.12.5.4 beta build 293

    Представляю вашему вниманию новую версию Vba32 AntiRootkit 3.12.5.4 beta build 293 !

    Что нового:

    + Работа с дисковыми томами на низком уровне. Поддержка MBR и GPT разметки. Поддержка динамических томов Microsoft/Veritas ( Simple, Spanned, Striped, Mirrored и Raid-5 )

    Динамические тома Microsoft/Veritas на самом деле встречаются довольно редко, но их поддержка была важным шагом в развитии библиотеки прямого чтения нашего продукта. Насколько я знаю, на сегодняшний день только наш антируткит реализовывает данный функционал.

    + Анализ загрузочных секторов физических дисков. Детект, просмотр, дамп и восстановление нестандартных и подменённых загрузчиков. Сохранение в логе дампа загрузочных секторов основного жёсткого
    диска


    Эта фича будет намного более интересна общественности. Позволяет детектить и обезвреживать большинство буткитов, таких как TDL4/Sinowal/Alipop/Rmnet и т.п. Тут следует отметить, что данную бету мы выпускаем с немного "устаревшим" кодом, который использовался ещё для выявления TDL3, поэтому на некоторых системах, возможно, будет отсутствовать детект. Количество таких систем минимально относительно общего числа ( как показало наше внутреннее тестирование ), однако оно не нулевое. Кроме того, мы планируем в скором времени выпустить следующую бету с нативной поддержкой IDE/AHCI котроллеров.

    + Поиск и восстановление аномальных записей в таблице GDT

    Относительно редкая аномалия. Используется в основном для исполнения привелигированных инструкций в R3.

    + Увеличено количество проверяемых мест автозагрузки
    (LSA Providers, SubSystems\Windows и др.)



    Это уже стало традицией. С каждым новым билдом увеличивается количество проверяемых мест автозагрузки.

    * Улучшен механизм поиска и восстановления перехватов IDT и SysEnter



    К сожалению, подовляющее большинство антируткитов не берут в расчёт значение селектора GDT ( считают смещение нулевым ) и региста IA32_SYSENTER_CS для рассчёта реального адреса обработчика IDT/SysEnter. До текущего билда, признаюсь, и мы этим грешили. Исправляемся

    * Безопасное закрытие защищёщнных хэндлов ( CloseHandle )

    Серьёзная недоработка. Исправили.


    * Вывод информации о правилах стандартного файервола OS Windows
    * Улучшена стабильность работы программы
    * Доработан файл помощи на русском языке


    Постараюсь сразу ответить на возможные вопросы по поводу последних веяний, типа ddox. Текущий функционал не позволяет детектировать данный зловред напрямую. Однако он хорошо идентифицируется по создаваемым аномалиям ( см. аттач ). Кроме того, теперь в файле отчёта содержится дамп загрузочных секторов основного жестого диска, в который попадает код вредоносного драйвера, что также может помочь идентифицировать данный здовред. В будущих версиях, возможно, добавим сигнатурный детект/эвристику и в антируткит.


    И, как всегда, с радостью ждём ваших замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - arkit@anti-virus.by


    Ссылки для скачивания прежние:

  2. 1 пользователь сказал cпасибо Александр за это полезное сообщение:

    Ксения (18.07.2011)

 

 

Похожие темы

  1. Vba32 AntiRootkit 3.12.5.5 бета
    от energy в разделе VBA32 Antivirus (ВирусБлокАда)
    Ответов: 0
    Последнее сообщение: 05.12.2011, 03:12
  2. Как сделать лог с помощью Vba32 AntiRootkit (beta)?
    от Александр в разделе FAQ
    Ответов: 0
    Последнее сообщение: 02.10.2011, 00:50

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •