Jump to content

Защитни стени - въпроси, мнения, предимства, недостатъци


Препоръчан пост

Здравейте,

Night_Raven,

ако се сърдя щях да го напиша с червени букви.Това не се отнася само за мене, така е по добре.

Вярно, извадено е от контекста, но ако се върнем към текста би звучало така:

"....MBAM има други проблеми, които са огромни....И все пак MBAM е най-добрата програма към настоящия момент за почистване на актуални гадинки".

Хем големи проблеми, хем най-добрата, звучи доста нелогично! И двете неща не са вярни: МВАМ няма кой-знае какви проблеми и не е най-добрата програма..... .Аз и ти имаме мнения, който са лични и следователно субективни а обективната оценка се дава ежегодно от оторизирани лица или компаний след провеждаве на сравнителни тестове на антишпионски програми и публикувани в авторитетни издания. Разбира се обективността не е 100% ,но се дава представа. B-boy/StyLe/ следи тези класаций, така, че очакваме да ни зарадва.

Между впрочем ако посетиш блога на МВАМ /http://malwarebytes.besttechie.net/2009/11/02/iobit-steals-malwarebytes-intellectual-property/ще видиш,че

отбора на МВАМ използува същите приьоми индентични с примерите, който показах.

Искам да разбера дали твърдението ти, че "The Avenger" обработва скритите файлове е само на думи или можеш да го потвърдиш практически? Практическа ситуация:

 

http://img690.imageshack.us/img690/3267/hidden4final.jpg

http://img690.imageshack.us/img690/4808/hidden13final.jpg

 

Файла spbj,spvq,spqv,spvr.sys е руткит в скрит формат и променящ се по име след всеки рестарт, затова няма съвпадение на името в снимките. В случая

използувам програмата "Daemon Tools" за демонстрационен тест.

От мене поздрави на Весо, предполагам, че за разлика от тебе е разбрал, какво съм искал да му кажа.

 

B-boy/StyLe/

"Както споменах и преди част от файловете които при теб са били засечени на снимката, аз ги имах също и при мен не се засичаха и затова те бях питал риторично дали са изтеглени от официалните страници.Да, след това каза, че след новия update на MBAM"

Това е грешка на програмата, след рестарт/не е след ъпдейт, защото ще излезе, че е грешка на разработчиците/ всичко е ОК. Проблемът е, че макар и рядко грешки от този тип се повтарят.

Например от какъв зор иска да изтрие деинсталацийте? Ако човек не съобрази последствиятаще са неприятни.

 

http://img690.imageshack.us/img690/5585/mbam1afinal.jpg

За успокоение ето една уникална снимка от грешка на известна програма:

 

http://img690.imageshack.us/img690/6372/sysinternals1final.jpg

 

Независимо дали е първа или не, засичането на рооткита е успех, който трябва да адмирираме.

Сега да разгледаме,какво е станало.На думи можеш да твърдиш, че МВАМ засича скритите файлове, но практически не е така.Какво се вижда от линка, който даваш МВАМ е засякла следният елемент:

Memory Modules Infected:
\\?\globalroot\Device\Ide\iaStor0\ohhrvmba\ohhrvmba\tdlwsp.dll (Rootkit.TDSS) -> Delete on reboot

Това е ред от регистрите. Само, че в регистратурата няма файлове.От тази гледна точка тя не е засекла никакъв файл защото физически не се намира там, това просто е една числова стойност. Този запис чрез ОС комуникира с изпълнимия файл и заедно изграждат процес, което вече става много опасно.

Само, че къде се намира изпълнимият файл? Теоретично би трябвало да е някъде на твърдият диск. Записа, който трябва да укаже пътя не ни показва

нещо разбираемо, сканираниятя със Гмер, СиСПрот също не показват наличие на скрит файл. Това подсказва, че няма наличие на процес и пряка заплаха,

което е подвеждащо и може би е причината за положените значителни усилия от страна на sUBs за спрявяне със ситуацията.

Само, че файла съществува като имплантант във iepor.sys но това не е скрит файл. По всяка вероятност "tdlwsp.dll" съществува и във "видима" форма, което не е ненормално. Снимките на RunScaner и резултатите от теста с virustotal показват това, но нещо от ситуацията не ми се връзват в логическа последователност.

По отношение на atapi.sys ти препоръчвам да видиш по какъв елегантен начин "JSntgRvr" се справя с проблема.Ти също си помагал в подобни тежки ситуаций и приложените техники ще ни бъдат от полза.

http://forums.techguy.org/malware-removal-hijackthis-logs/865402-rootkit-tdss-removal-help-needed.html

От тези примери се вижда, че МВАМ основно се използува, като индикатор, но не и като инструмент за премахване на заразата което в никакъв случай не кореспондира с твърдението:"И все пак MBAM е най-добрата програма към настоящия момент за почистване на актуални гадинки." Нали и ти самият не я използуваш, когато даваш съвети в подобни ситуаций.

Щях да забравя: аз казвам, че МВАМ не следи хеша, но ако ти можеш да ми докажеш ще ти повярвам. Практическо безсмислено е контрол по големини, защото

последните са обвързани с MD5, що се отнася до цифровите подписи за тях ще говорим в бъдещо време.

И приключвайки, аз не плюя програмата. Замислял ли си се защо майката се кара на детето си? Защото го обича. Винаги е по добре да си критичен,

отколкото безкритичен.

http://img147.imageshack.us/img147/9682/1aaj.gif *

http://img147.imageshack.us/img147/5963/nm1aa.gif

* "VY73!" е код, който означава "много поздрави"

Link to comment
Сподели другаде

  • Отговори 1.1k
  • Създадена
  • Последен отговор

ТОП потребители в тази тема

ТОП потребители в тази тема

Публикувани изображения

Брейк на главата :giggle: Таганайски брейк Гати бисера :crosseyes1: Не поздравявай ще ти трябват ръцете :giggle:

Индеанец,пробвай си нови защитни програми на виртуални машини и тренирай деинсталирането им със заклинания по пълнолуние,останалото е за експерти.Ало Плевен,някакви комплекси ли имаш за това кой какво мнение има за написаното от теб,та все в главата са ти тези - бисери/диаманти/изумруди ?

Добре че бях АЗ да ти привлека вниманието върху възможностите на защитните стени с HIPS,защото щеше да си разцъкваш още само антивирусните.Има още да учиш продължавай в същия дух :-8

Link to comment
Сподели другаде

Здравей Pesho,

Това е грешка на програмата, след рестарт/не е след ъпдейт, защото ще излезе, че е грешка на разработчиците/ всичко е ОК. Проблемът е, че макар и рядко грешки от този тип се повтарят.

Например от какъв зор иска да изтрие деинсталацийте? Ако човек не съобрази последствиятаще са неприятни.

 

Ами...действа се малко в стил "който играе печели, който не играе не печели"...За да се развива програмата, често се изпробват нови тактики и се рискува. Да неприятно е, но няма начин. Наскоро имаха сериозен проблем със засичането на напълно легитимния "atapi.sys", след изтриването на който при рестарт...системата ставаше небутваща. Сформираха и обучен екип, който да помага на пострадалите от този update. Същото важеше и за Combofix. Бе свален за известно време, заради бъг повреждащ Операционни Системи - Виста.

 

По всяка вероятност "tdlwsp.dll" съществува и във "видима" форма, което не е ненормално. Снимките на RunScaner и резултатите от теста с virustotal показват това, но нещо от ситуацията не ми се връзват в логическа последователност.

По отношение на atapi.sys ти препоръчвам да видиш по какъв елегантен начин "JSntgRvr" се справя с проблема.Ти също си помагал в подобни тежки ситуаций и приложените техники ще ни бъдат от полза.

 

Използването на RunScanner хич не бе случайно...По-друг начин бе невъзможно изпращането на файла до ВирусТотал.Ако беше видим наистина, щеше да се изправи по-нормалния начин с Browse през Windows Explorer-a.

А колкото до това дали аз (най-вече във форума на Avira) или "JSntgRvr" сме се справили след това в подобни ситуации...това е така именно, благодарение на sUBs и на другите експерти, които разгадаха първи този случай (в темата, която бях посочил) и вече научихме всички възможни начини за решаването на загадката.Хвала им. Въпреки, че донякъде пътя до файла (ide\IastorO) показваше това. При този вид инструменти, няма най-добър, но в сравнение с морално поостарелите алтернативи (като Ad-aware използващ еднджина на Avira или Spybot - използван главно заради имунизацията SDHelper и евентуално защитата в реално време TeaTimer)за момента ги минава по-повечето параграфи - скорост и ефективност. Естествено, че всяка си има плюсове и минуси. Един от тях (от минусите), е че MBAM атакува главно *.exe файлове и не проверява архиви. SAS също е много качествен инструмент. На нея просто поддръжката им куца доста сериозно...Напоследък и A2 се развива във възходящ ред, но все още имат да изчистват доста фалшиви тревоги и те. Eдно интересно ревю:

 

http://www.brighthub.com/computing/smb-security/articles/53169.aspx

 

Иначе казано и 3-те са добри и безплатни и лесни за употреба от начинаещи потребители. Естествено добре ще е същите да се консултират с някой по-запознат преди да натиснат REMOVE на намерените обекти. Напредналите потребители също може да ги използват най-вече ако ги мързи да чистят на ръка (нещо което в днешно време все повече се налага поради комплексността на заразите) или за да се уверят, че вече дадена система е чиста (след ръчните манипулации).

Поздрави.

Link to comment
Сподели другаде

Pesho, продължаваш да вадиш думите ми от контекста. Нека ти спестя умствените усилия и да се цитирам напълно, като дори ще си позволя да натъртя частта, която удобно изпускаш) :

Дори MBAM има други проблеми, които са огромни, сравнени с този, в който си се вкопчил.

Казано иначе огромните проблеми са огромни САМО сравнени с тази фалшива тревога. По-ясно не мога да го обясня. Ако продължиш да се хващаш за тези думи и да ги вадиш от конктекст, ще знам, че си нищо повече от един т.нар. troll.

 

Иначе би ми било много интересно да разбера коя програма считаш за по-добра от MBAM.

 

Колкото до The Avenger, не знам как точно DAEMON Tools си работи с драйверите си и кога ги създава/сменя. Достатъчно доказателство е фактът, че с нея са били трити различни скрити за Windows API файлове.

 

И не схванах каква е грешката на RootkitRevealer.

Link to comment
Сподели другаде

http://www.tallemu.d..._chip0912_2.php

Free 1 year Online Armor Premium Firewall v4.0 License Става - с използване на немско прокси - например http://www.unblock24.de/

Промолицензи за цяла година не се предоставят често - аз си осигурих - нека да има. Поздрави

Link to comment
Сподели другаде

Ползвах руската търсеща система Nigma и посоченото немско прокси - за минути си осигурих 3 техни писма-отговори на различни БГ-пощенски кутии. Още работи - не зная кога свършва промоакцията.P.S http://www.nigma.ru/index.php?s=http%3A%2F%2Fwww.tallemu.d..._chip0912_2.php%2F&t=web&rg=&yn=1&gl=1&rm=1&ms=1&yh=1&av=1&ap=1&nm=1&lang=all&srt=0
Link to comment
Сподели другаде

Привет Night_Raven,

Pesho, продължаваш да вадиш думите ми от контекста. Нека ти спестя умствените усилия и да се цитирам напълно, като дори ще си позволя да натъртя частта, която удобно изпускаш) :

Чак пък умствените усилия .....

Казано иначе огромните проблеми са огромни САМО сравнени с тази фалшива тревога. По-ясно не мога да го обясня. Ако продължиш да се хващаш за тези думи и да ги вадиш от конктекст, ще знам, че не си нищо повече от един т.нар. troll.

Когато си казал нещо, което не би трябвало, оправданието обикновенно е: думите са извадени от контекста. Само, че независимо от това смисъла на написането не се променя.Дал съм коментар по този въпрос, само трябва да го прочетеш. Когато две страни спорят нормално е да използуват аргументи, когато едната няма такива и си позволи фриволни интерпретация, това вече е признак на лош вкус.

Избягвай да използуваш думичкта "САМО", защото смисъла, който придава не кореспондира с няколкото примера, който дадох.

Иначе би ми било много интересно да разбера коя програма считаш за по-добра от MBAM.

Според мене SAS е по добрата в сравнение с MBAM.Можеш да видиш и линка, който B-boy/StyLe/ дава.

Колкото до The Avenger, не знам как точно DAEMON Tools си работи с драйверите си и кога ги създава/сменя. Достатъчно доказателство е фактът, че с нея са били трити различни скрити за Windows API файлове.

Ако знаеш за тези факти и доказателства, моля дай да ги видим. Може и аз да греша.

И не схванах каква е грешката на RootkitRevealer.

Програмата е индексирала 25611 обекта заключени за Win API, което даже теоретически е почти невъзможно.Сериозна грешка!

 

http://img201.imageshack.us/img201/8035/newproject.jpg

http://img147.imageshack.us/img147/5963/nm1aa.gif

Link to comment
Сподели другаде

Честно казано не виждам смисъл да се занимавам с теб повече. Не и след като за теб ваденето на думи от контекст и използването им в коренно различен смисъл е редовна практика.
Link to comment
Сподели другаде

Здравей B-boy/StyLe/,

 

.............

 

 

Наскоро имаха сериозен проблем със засичането на напълно легитимния "atapi.sys", след изтриването на който при рестарт...системата ставаше небутваща. Сформираха и обучен екип, който да помага на пострадалите от този update.

................

Използването на RunScanner хич не бе случайно....

.....................

Поздрави.

Знам, има връзка с 3145??

http://www.iishacks.com/index.php/2009/11/11/malwarebytes-atapisys-and-registry-false-positives/

RunScanner не вижда hidden's файлове и тук не става въпрос за тази форма, а за инплантиране или вмъкване на зловреден код /в сличая библиотека/ в друг файл, което е нещо съвсем друго. От тук и въпросите:

atapi.sys се намира на няколко места на HDD и не разбрах, кой от тях е поразен?

Ако в някой от файловете е инплантиран зловредният код, то стойността на заразеният файл логично да е сбор от номинала плюс кода. Такова неща не видях. Възможно е да няма промени в стойностите, но само ако кода е имплантиран в ADS на приемния файл.Това не е сложна и много възможна ситуация, затова е препоръчително да се проверява и тази хипотеза.

Приехме, че това е руткит, но не видях да се използува някой от многото антируткит програми, който излязоха напоследък.Така поне щяхме да имаме някаква представа за ефективността им. Тук изслючвам "Gmer". Възможност дава и сравняването по контролни суми, но дистанционно няма как да стане. Все пак това е мощен и не е за пренебрегване инструмент.

Съгласен съм с мнението ти за споменатите анти'spyware програми, но те нямат никакъв шанс при руткит зараза.

Ако не се лъжа ти си Avira фен, затова при възможност я провери как се предстаня на "AntiVirusTester3.0"

http://www.simtel.net/product/view/id/56121

И накрая няколко нагледни примера:

Ако расъждаваме можем да стигнем близко до отговора:

 

http://img27.imageshack.us/img27/9435/mbam29finala.jpg

 

За решаване на проблема:

 

http://img27.imageshack.us/img27/6161/mbam32finala.jpg

 

може да помогне и тази програма:

 

http://img27.imageshack.us/img27/4061/mbam31final.jpg

 

http://img27.imageshack.us/img27/4052/mbam30final.jpg

 

Успех!

 

http://img256.imageshack.us/img256/9070/httpsupervisor3asxw4801.gif

http://img4.imageshack.us/img4/589/88233294.gif

Link to comment
Сподели другаде

Здравей Pesho,

 

Наистина малко изопачаваш нещата. :)

 

RunScanner => не съм казал, че тя вижда скрити файлове, но само с нея стана номера за директен upload на файла до VirusTotal. През Windows Explorer => Browse => до файла...и няма никой вкъщи !

А трика директно да се paste-не пътят до файла в search полето на VirusTotal също не даде резултат.В случая RunScanner бе доста полезна дори и само за статистиката...

 

Малко ще ми е трудно да ти обясня целия начин за борба с руткита, но искам да ти кажа, че начини има много и повечето са успешни. Малко по-специфично е при iaStor.sys.

Не съм споленал, че и тези три антишпионски програми ще се справят със заразата. Нито те, нито която и да е програма ще успее. Всъщност прочетох едно мнение за Windows Defender и онемях.

 

I had this problem and I was shocked at what fixed it for me. I tried all the programs listed in this thread a nothing.

Ironically, the one that did fix it was Windows Defender!!!!

If your Windows Defender is up to date, just do a scan and it will detect and remove the rootkit.

Believe me, I was as shocked as anyone that a MicroSoft product actually did something.

 

PS: За тези които не разбират английски се казва, че Windows Defender - обновен, го е намерил и премахнал...кой знае...аз съм скептичен леко. Засега действащите методи са :

*автоматичен с Combofix =>

 

Infected copy of c:\windows\system32\drivers\atapi.sys was found and disinfected

Restored copy from - kitty ate it :P

 

(тук има и команди за скрипт с които се олеснява процеса, но няма да ги пиша, защото трябва да се внимава при неправилна употреба с тях).

 

*ръчен метод => намиране и заместване на инфектирания файл с чисто копие. Изключително трябва да се внимава какво, кога и как се замества, за да не станe Windows unbootable.

*ръчен метод => без търсене на чисти копия => или стратегията на GMER по въпроса =>

 

If he did a copy of atapi.sys when rootkit is active then VT shows nothing.

 

He should make a copy in Recovery Console C:\WINDOWS\system32\drivers\atapi.sys -> C:\infected.sys and then send to VT

 

There is simple trick to clear this infection without finding the legit copy of atapi.sys

 

1. copy file when RK is active C:\WINDOWS\system32\drivers\atapi.sys -> C:\clear.sys

2. run RC and replace infected atapi.sys with C:\clear.sys -> C:\WINDOWS\system32\drivers\atapi.sys

 

Впрочем GMER вече засича в повечето случаи модифицираните atapi.sys. За по прецизна работа се препоръчва да се деинсталира Daemon Tools и драйвера към него - SPTD.sys

Казваш ми успех. Наистина гадинката е упорита за премахване, но вече съм се сблъсквал с нея доста пъти и досега не съм имал неуспех.

Програмата, която казваш - Sanity Check си я споменавал и преди, и аз реших да я тесвам още тогава, защото авторите я хвалят, че работи на Windows Vista/7 x64. Досега няма много подобни програми работещи на тези платформи. (Не че е и нужно засега)...и просто не работи...тръгва да сканира и идва...BSOD на системата. 3 пъти пробвах и то с включените опции за GlobalFlag и нейсе.

Разкарах я с кеф, докато не я стабилизират.

 

Мерси за инструмента. Аз колкото и да съм и фен, знам че и тя пропуска и изобщо не разчитам само на нея...

Толкова с теста:

 

http://i48.tinypic.com/2cs6h55.jpg

 

Ако ти се чете за TDL3 руткита =>

 

http://www.rootkit.com/blog.php?newsid=970

 

http://rootbiez.blogspot.com/2009/11/rootkit-tdl3-why-so-serious-lets-put.html

 

http://www.prevx.com/blog/139/Tdss-rootkit-silently-owns-the-net.html

 

А, ако искаш и един Rogue, който го инсталира и пачва atapi.sys да си играеш с него пиши на лични. :)

 

И нещо не я бива тази програма за тестване на антивирусните...

 

Провали се на всички тестове...засича самото *.exe на програмата...и минава истинските EICAR тестове...

 

http://i.imagehost.org/0173/2009-11-23_05_14_46.jpg

 

На всички тестове...една и съща картинка и едни и същи предупреждения...

 

А EICAR-а Avira си го закова:

 

http://i.imagehost.org/0706/2009-11-23_05_16_46.jpg

 

Сам си прави сметката дали да вярваш на онова софтуерно недорозумение...

 

Поздрави ! :)

Link to comment
Сподели другаде

Линкът не работи.

 

http://nt100000000000.wordpress.com/2009/11/20/online-armor-premium-firewall-%E5%85%8D%E8%B2%BB%E4%B8%80%E5%B9%B4%E7%94%B3%E8%AB%8B-free-1-year-license/

 

Ползвай преводача да се ориентираш. Аз ползвах ТОВА прокси :thumbsup:

post-5346-12594874274205_thumb.jpg

post-5346-12594874479843_thumb.jpg

post-5346-12594874664553_thumb.jpg

Link to comment
Сподели другаде

Привет B-boy/StyLe/,

Не преинечавам нещата, просто искам да бъда точен. Това е форум и тука се стремим с малко думи да кажем колкото се може повече неща. Това в комбинация с невникване в съдържанието на написаното създава впечетление за някакво изваждане съдържание от контекс или, както ти го каза по друг начин.

1.Не мислех да го правя, но ще ти обясня, защо написах: " "RunScanner" не вижда hidden's файлове". Ето, какво пишеш:

 

"Използването на RunScanner хич не бе случайно...По-друг начин бе невъзможно изпращането на файла до ВирусТотал. Ако беше видим наистина, щеше да се изправи по-нормалния начин с Browse през Windows Explorer-a."

 

Изразът "ако беше видим наистина" смислово означава, че файла е невидим.ОК?

Благодарство за добрата оценка на "моята програма". Сигурно си забравил, затова подсещам:

 

http://img40.imageshack.us/img40/171/mbam42final.jpg

 

2.AntiVirusTester е много добра програма. Ако RTP на АВ допусне тестовият вирус да се кешира програмата счита теста за провален и отбелязва това с червен картон и обратно, ако тестовият вирус бъде "хванат" в TPC/IP стека теста е успешен и това се маркира със зелен картон. Разбира се кеширането на някакъв зловреден код не може да се счита за провал на АВ програма, защото обикновенно се засича и неутрализира, но презумцията е, че папките "Темр" се намират в обсега на Win API на ОС. За сравнение давам резултата от теста на Avast.

 

http://qr4uda.bay.livefilestore.com/y1p-5ge53CCgzJzo_WBGZug2Nwh2T7ya7rpE_TEmu0RxN3s5bhFS-klGBRf0vceHQ7chqJjJez7g3VRMj65si8HO6YRUt337N7w/MBAM.gif

 

3.Това, че дадена програма не подържа х64 не значи, че е лоша. Проблема е на майстора, който няма достатъчно инструменти. С примера показвам един

начин за справяне със ситуацията, по точно диагностицирането на проблема, защото това се оказа най-трудното, самото почистване е просто рутинна операция.

Личи си, че доста неща си прочел щом си стигнал и до WD, но някъде да срещна анализ на atapi.sys? Интересува ме, затова питам?

Приключвайки темата се надявам след гафа с atapi.sys, който между впрочем е повторение на измисления тест, който демонстрирах,ще разбереш логиката

на мойте разсъждения. Разпознаването по име на зловредният код в реални условия се оказа ситуация с неприятни последици за съжаление.

Успех! http://img341.imageshack.us/img341/8636/thumbup2.gif

 

http://img513.imageshack.us/img513/6673/123a.gif

http://img147.imageshack.us/img147/5963/nm1aa.gif

Link to comment
Сподели другаде

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

Loading...

×
×
  • Създай ново...