Программа противодействия вирусам - ВОИН
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Программа противодействия вирусам - ВОИН - 2010-08-26 21:09:24.736666
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
WARRIOR 2.0 RC1
- это программа для возвращения доступа к системе в случае её блокировки. Также эта программа способна помочь в случае, когда вирус мешает нормальной работе за компьютером. Это не антивирус - warrior не ищет и не удаляет вирусы. Его главная задача - экстренная помощь при столкновении с вирусом.
Ссылки: (будут добавляться)
http://rghost.net/2899607
http://www.rapidshare.ru/1655687
http://ifolder.ru/19734143
Ссылки на плагин для BartPE:
http://rghost.net/2898737
http://www.rapidshare.ru/1655475
http://narod.ru/disk/26016907000/WarriorPlug.rar.HТМL
Изменения:
- Добавлена возможность выбора системы с которой будем работать.
- Добавлен редактор файла ключей
- Добавлен сам файл ключей
- Добавлены новые ключи
- Добавлена возможность не забирать права и не переносить в ветку бэкапа
- Добавлена возможность восстановления безопасного режима
- Обновлен интерфейс основного модуля
- Добавлена поддержка SATA дисков
- Программа выполнена в виде модуля к LiveCD
- Исправлены мелкие ошибки
Подробности к плагину для LiveCD и впринципе к программе:
1) Программы установки работают только с LiveCD
2) Чтобы указать систему, создайте в корне диска C:\WinPath.txt с содержанием типа C:\Windows
3) Чтобы плагин работал, буква диска LiveCd должна быть X: (икс)
4) Все может работать и с LiveUSB с сохранением таких же путей, как и на диске.
5) По техническим причинам кол-во SATA дров ограничено и если при загрузке с диска выпадает BSOD то необходимо пересобрать свой диск с нужными драйверами.
Способ применения:
1) Загрузились с диска. Выбрали пункт, проследовали указаниям.
2) Если все прошло успешно, просмотрели логи и нашли вирус. Если не понятно что к чему, загрузили логи на файлообменник и дали ссыль мне например или сведущему человеку. Логи предварительно заархивировать. Логи это папки Logs и Logs1
3) Удалили вирус. Загрузились с диска и удалили программу.
4) Больше не ловим вирусы, ок?
В обозримом будущем виднеется:
1) Отвязка от LiveCd и жестких путей, т.е. программе пофигу откуда её запустили, главное сделать дело. Это касается исключительно установщика и деинсталятора. Основной модуль и так может.
2) Дополнение в виде анализатора части логов autoruns и вывода процентного предположения места нахождения вируса. (надеюсь на это не уйдет ещё пара месяцев)))
3) Обработка логов. А то куча файлов не прельщает)
Непонятки:
1)Во время конфигурирования файла ключей после нажатия некоторых кнопок бегунок полосы прокрутки может начать дергаться туда-сюда. Это нормально и означает "пожалуйста, подождите"
2)Если во время загрузки появится ошибка недоступности файла FindWins.txt попробуйте перезапустить программу из меню пуск - Programs - Warrior -Warrior. Косяк требует глубоких исследований, ибо он бродячий.
Авторы программы: Ltonid и Alianna
Автор плагина: XALK
Огромная благодарность всем, кто помогал в тестировании; а также тем, кто оказывал информационную и духовную поддержку.
Версия программы: 2.0 RC 1
Тип:freeware
Дата выпуска: 10.10.2010
Срок годности: пока востребован.
Примечание:
Данный продукт распространяется "как есть", авторы не несут отвественности за причиненный моральный или физический ущерб.
з.ы. предложения и информацию о косяках принимаю в PM.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-08-26 22:31:55.073333
|
|
|
DeSTRo
Сообщений: 1885
Оценки: 20
Присоединился: 2008-01-17 14:28:02.940000
|
урррряяяяя [sm=ay.gif]
Бывают ситуации, довольно часто (: что антивирус не запускается при старте, комп не выходит в инет и т.д. удаляешь антивирус (не обязательно Каспер) устанавливаешь другой, а он не запускается (:
Понятное едло сидит руткит и червячОГ.
Червя поймать не проблема, а вот руткит, я последнего поймала именно переборкой дров винды при её старте.
з.ы. Пойду скачивать [sm=ah.gif]
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-08-26 23:11:33.983333
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Ну пока что до дров я не добрался. Пока не придумал как. Так что с этим диском охотиться на руткиты сложно.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-08-27 01:55:14.440000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Ну это лишь начало проекта и лишь одна из частей. Да и дело не в Live cd, он лишь пришелся к стати.
Хочу услышать то что вы бы хотели видеть на Live cd того что ещё не создано другими.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-08-27 07:49:00.306666
|
|
|
DeSTRo
Сообщений: 1885
Оценки: 20
Присоединился: 2008-01-17 14:28:02.940000
|
quote:
ORIGINAL: Автор
Абсолютно бесполезная прога ИМХО
1 - Это все равно что я, вырезаю из дерева фигурки своими руками, а мне предлагают топор.
2 -
quote:
В каких случаях применять:
1) Если вы включили комп и изрекли:
- Что за смс я должен отправить?
- А че он так тормозит?
- Почему инет тормозит?
- А что с моим антивирусом?
2) Если вы скачали прогу, запустили, а антивирус промолчал, но вы чуете подвох. Можно сразу не думая запустить reestr.exe
3) Антивирус поймал вирус, но что-то не так с системой и т.д.
Если вы в этих случаях не знаете что делать, то прога вам не поможет.
3 - Если проблема на столько серьезная что приходится подгружаться из под лив си ди, то эта прога последняя из тех что я хотел-бы видеть на своем лив.
Вооот, понеслась.
Если это я не сделал, или у меня такого нет, буду обсирать (извиняюсь за выражение) По русски это называется зависть.
Так говорить каждый сможет, а ты возьми и сделай, сделаешь лучше? молодец.
quote:
ORIGINAL: Ltonid
Вобщем в продолжение идеи и особенно по результам последних испытаний давно уже велась работа по созданию LiveCD наборту которого будет warrior.
На этих дисках он представлен ввиде твух програм:
1) просто программа
2) служба warrior
Также была написана программа оболочка для "Тупо нажать кнопку".
Скорей всего сделанное дело, скажем так, не подходит для тебя.
quote:
ORIGINAL: Ltonid
Если "пользователи" диска будут без опыта, можно было бы оставить какие нибудь описание, что данная программа делает.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-08-27 08:50:42.103333
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
quote:
Если "пользователи" диска будут без опыта, можно было бы оставить какие нибудь описание, что данная программа делает.
Это будет обязательно, но пока не ясно как это сделать правильней. Потому что справки не читают, а мозолить глаза лишними сообщениями тоже не охото. В виде всплывающей подсказки может…
quote:
Скорей всего сделанное дело, скажем так, не подходит для тебя.
Это про "тупо нажать"? Ну все были такими))
Вчера предложили сделать warrior в виде плагина для bartpe. Пока не известно на сколько это сложно. У меня есть вопросы. Если кто-то уже делал такое прошу написать в ПМ.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-08-27 15:02:51.743333
|
|
|
Alianna
Сообщений: 1922
Оценки: 356
Присоединился: 2010-03-02 11:27:12.343333
|
quote:
Было-бы круто сделать прогу на подобия шоу "Первый миллион" Тоесть эдакий такой помощник спаситель в экстренных ситуациях.
Можешь - сделай. Не можешь - юзай то, что сделали другие.
quote:
третий вариант прога пингует связь и говорит юзеру, проблемы с компом и в нем вирус, или просто нет соединения у провайдера
В ближайшем будущем поддержка сети не предусматривается. Поддержка сторонних программ тоже вряд ли будет, Ltonid ведь писал об этом в первом посте.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-08-27 15:09:15.780000
|
|
|
Backdoor_
Сообщений: 212
Оценки: 0
Присоединился: 2010-05-27 15:33:14.940000
|
Ltonid, поздравляю тебя с очередным изобретением велосипеда
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-08-27 15:30:17.270000
|
|
|
Alianna
Сообщений: 1922
Оценки: 356
Присоединился: 2010-03-02 11:27:12.343333
|
quote:
Alianna
Что за дебильная привычка у некоторых сапортавцев, лезть без мыла не зная сути???
Кхм-кхм. Что-то не похоже что ты внимательно читал.
quote:
Авторы: Ltonid и Alianna
А если у тебя предвзятое мнение по отношению к девушкам и ты считаешь всех дурами - это твоя проблема. А переходить на личности не советую.
Сорь за оффтоп.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-08-27 15:30:49.890000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Хватит перепалку устраивать. Уже все решили с Автор. Любые идеи приветствются.
quote:
Ltonid, поздравляю тебя с очередным изобретением велосипеда
А в чем велосипед? Покажи хоть одну прогу которая может САМА без подсказки менять права на ветки реестра.
Повторяю для тех кто ещё считает что я изобрал LiveCD. LiveCD это лишь форма представления. Как подкосетник для яиц. Можно их и в пакет сложить.
Собрать один хороший диск и выложить его, это велосипед?
Пожалуйства все следущие отписавшиеся с критикой на какой либо момент, предлагайте решение этой проблемы. Мне не обидно, я старался для себя и просто поделился.
И никто, пожалуйста никто не защищайте проект. Это мое дело и мне надо знать его минусы и плюсы.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-08-27 21:07:27.370000
|
|
|
DeSTRo
Сообщений: 1885
Оценки: 20
Присоединился: 2008-01-17 14:28:02.940000
|
[deleted by DesTRo]
з.ы. Это только из за уважение к тебе.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-08-27 23:51:58.010000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Не совсем так. Из-за высокой опасности криворуких и любопытных прога работает только из под винды. С диска она только добавляется в автозагрузку. Блокировка действует до её отмены с помощью unreestr.exe
Сейчас готовиться вторая версия основной программы с безграничным функционал по отключению. Чуть чуть фантазии и можно отключать прямо с диска)) Но об этом я позже распишу.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-08-29 08:10:13.410000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
1. Программа подставляет значение перебором в предпоследнюю ControlSet. Их может быть и 20 штук и надо вставлять в 19. В твоем случаем НЕТУ 002 и сработала программа верно посчитав 001 последней, а 000 предпоследней т.к. 002 нет. Исправлю, подумаю. Так что это особенность чужого компа. Всего учесть нельзя.
2. Вирусы типа салити переписывают сценарии, и уже не запуститься ниче. Но я подумаю и над этим. Все зависит от порядка запуска и когда запускаются сценарии. Видишь оно в userinit, а моя служба выше будет и ей не нужен userinit. Вобщем все зависит от ситуации.
3.
quote:
А ещё у меня возник вопрос. Чем хуже твоей проги любой WinLiveCD+Autoruns?
А нечем, это дополнение. Это для тех кто не умеет юзать autoruns. Таких много больше. Я б уду стараться идти в ногу с распространенными вирусами и гнать их в шею.
В новой версии будет пошире возможности. А ещё я вчера увидел как послать все антивири и ауторанс пить чай и курить в сторонке:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\]
“Taskman” = "%UserProfile%\csrss.exe"
или
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN\RTHDBPL = [binary data]
это из реальных свежих вирусов. И таких все больше и больше.
4.
quote:
А еще можно сделать сценарием выхода без изменения разрешений доступа. Получится превентивная мера борьбы с автостартами.
я уже думаю над этим.
Однако спасибо что посмотрел и нашел косяк.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-08-29 08:42:33.146666
|
|
|
lkesh
Сообщений: 208
Оценки: 0
Присоединился: 2008-12-07 11:14:59.056666
|
Вирусы типа салити это code inject и к автостарту не имеют никакого отношения.
Автостарт. Его так много.
Тут невозможно автоматизировать программными средствами. Просто поверь. А иначе уже давно бы антивирусные лаборатории создали бы механизм противодействия.
Хотя если придумаешь метод как запустится раньше вируса это будет очень ценно. Точнее самый ранний запуск.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-08-29 09:13:04.543333
|
|
|
DeSTRo
Сообщений: 1885
Оценки: 20
Присоединился: 2008-01-17 14:28:02.940000
|
quote:
ORIGINAL: lkesh
Хотя если придумаешь метод как запустится раньше вируса это будет очень ценно. Точнее самый ранний запуск.
Запускаться с драйверами.
zzsxx в каком то посте обьяснял как это делается. Он тогда подменял драйвер мыши. Либо использовать руткита.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-08-29 09:59:16.046666
|
|
|
lkesh
Сообщений: 208
Оценки: 0
Присоединился: 2008-12-07 11:14:59.056666
|
quote:
Он тогда подменял драйвер мыши.
Ха-ха. Подмена устройства PnP. Это бывает от безысходности и то неоправданно. Есть же для начинающих тот же старфорс. Вот на нем и можно обкатывать.(уровень тот же только методика запуска другая не PnP)
quote:
Либо использовать руткита.
Тут все серьезно. Типичный пример Gmer. Эта гадость в случае серьезного заражения падает в BSOD. И использование руткит(кернел)-технологий в лечении есть признак плохого тона(это примерно как пожар бензином тушить).
Нужно искать валидные методы.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-08-29 10:23:03.443333
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
quote:
Хотя если придумаешь метод как запустится раньше вируса это будет очень ценно. Точнее самый ранний запуск.
Самый ранний запуск это драйвер с параметром start равный 0. Это при бегунке. Туда моей программе не залезть. Потом идут драйверы с параетром start равным 1, это после бегунка перед экраном приветсвия. Далее идут службы и драйверы с параметром start =2, это моя служба во время экрана приветсвия. И наконец start=3 это при загрузке профиля пользователя. Start=4 отрубает автозагрузку.
Пока что я на start=2 и меня это устраивает. Обгоняет большую часть вирусов.
Драйвер писать не вижу смысла ибо большими правами чем у системы получить не удасться, а служба и так из под системы работает.
quote:
Вирусы типа салити это code inject и к автостарту не имеют никакого отношения.
Ты не полностью видишь картину. Салити тоже надо запуститься. И он это может сделать только через ветки автозагрузки (ну не считать идиотов которые запускают его руками). Но уже в эти ветки положить валидный файл который по имени и пути не исключишь. Выбросив всё есть шанс продержаться до прибытия антивиря.
Естественно все ветки собрать сложно, но я и не собирался. По мере изменения направленности распространения вирусов, можно менять ветки. Например трой Zeus запускается через shell или userinit. Моя прога их исправляет и тем самым посылая зевса в тьму таракань. Больше мне не надо, пусть дальше действую антивирусы и другие вещи. Тоже самое касается руткитов. Сам руткит, да бог с ним пусть запускается но если отобрать права у системы у нужных веток другая дрянь уже не пролезет как бы руткит не старался. Конечно сейчас из мер безопасности у системы права не отбираются, но это мелочь, которую я расширю до ручного выбора.
На полную автоматизацию я не претендую, но на срочный ремонт компа пожалуй. Да и как я пписал уже борьбы со службами и драйверами не для моей проги. Да и autoruns с ними САМ не может справиться. Придется сидеть и смотреть кто лишний.
Как предлагала Destro сделать анализатор служб и драйверов. Я уже придумал как это сделать и как только только закончу одну прогу, примусь за другую.
quote:
А иначе уже давно бы антивирусные лаборатории создали бы механизм противодействия.
А вот тут не соглашусь. Контролировать ветки автозагрузки пока что умеет только McAfee, остальные не могут без ручного вмешательства. Да он знает не все, но стандартный набор который есть в autoruns кроет легко. В других это нет и врядли будет ибо это просто сведет на нет работу антивиря если вирус не запуститься после перезагрузки, при этом в логах уже будет ссыль на дропер.
lkesh, давай обсуждение в ПМ, асю и куда тебе удобней. У меня вопросы есть.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-08-29 10:49:24.253333
|
|
|
lkesh
Сообщений: 208
Оценки: 0
Присоединился: 2008-12-07 11:14:59.056666
|
quote:
Салити тоже надо запуститься.
Его запускает пользователь кликнув в прогу(зараженную).)))
quote:
при этом в логах уже будет ссыль на дропер
А как его выделить среди остальных? Я имею ввиду автостарт левый.
Удалять все? Охрененное решение. Только как тот китаец придумавший скрипт удаляюший все файлы по маске r*.exe и удаливший все драйвера на мою старую звуковуху аудиджи, а он думал тот китаец что радмина у меня кастрирует.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-08-29 13:37:53.676666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Да делается запуск любой проги раньше любого сервиса. Делали так. Ничего дико сложного, для тех кто работает в асме.
Способы эти самые разнообразные. Начиная от песочницы и заканчивая переделкой загрузчика. Посередине между этими способами стоит методика регулировки загрузки веток реестра ControlSet.
Создать такое не самое сложное для хорошего программера.
Сложности начинаются на уровне пользования данныеми способами.
При модификации загрузчика пользователю придёться самостоятельно настраивать загрузчик.
При запуске песочницы и модификации веток реестра возникает проблема с установаемыми прогамми.
Для простого пользователя всё это становиться кошмаром и требует хороших знаний. Потому и не используется на компах
В сети используется часто. Пример когда загрузка рабочей станции идёт только после выполнения скриптов с сервера и загрузки профиля с сервера. Многие ветки реестра храняться в таком случае на сервере, и при загрузке восстанавливаются. А скрипты крутят дополнительные действия.
Но на домашнем компе это неудобно.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-08-29 14:21:26.276666
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
quote:
Его запускает пользователь кликнув в прогу(зараженную).)))
Ну я же уточнил что этот способ запуска не в счет. от этого ничего не убережет.
Ещё раз всем повторяю. Warrior не должен искать вирусы, он не будет бороться с вирусами сложнее чем блокер. Все что выходит за грани понимания идиота програмно решить крайне сложно.
Мне пофигу на вирусы сервисы, на вирусы стартующие из загрузчика, руткиты нулевого кольца, и супер мега мощный идиотизм пользователя. Нет и ещё нет способа защиты от этого. Все что я придумаю я опубликую. Если кто-то считает что можно сделать универсал то выложите идею, я подумаю над програмным решением.
Warrioк удаляет всю автозагрузку лишь из ТЕХ ключей ГДЕ НЕТ НИЧЕГО СИСТЕМНОГО. И НИКОГДА не будет. Так что китаец это не ко мне. Я не могу написать за месяц то чего не придумали за 15 лет толпы грамотных людей, а не 1 человек с 5 курс инженерно-строительного факультета.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-08-29 20:55:37.580000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Ltonid спокойней. Не стоит так нервничать. Ну не понимает он для чего нужна данная прога. Не сталкивался он с подобными проблемами. Пока во всяком случае. Да умеет пользоваться некоторыми утилитами, да кое-что прочитал по Windows, где-то кое-чему научили. Но всё равно он не сталкивался с проблемой блокировки Windows, не разбирал эту проблему, и не лечил это. Ему повезло. Ну так не стоит так нервничать. Ты что не видишь, что он как алкаш в последней стадии опьянения повторяте одно и то же: фразу о том, что это ему не понятно и потому не нравиться. Тупой он.
Обрати внимание на вменяемых пользователей твоей проги.
Кстати у меня вопрос по твоей проге. Обычно в качестве защиты, я на компы с Windows ставлю как миниум двух пользователей: админа и простого пользователя. И часто у простого пользователя прова ограничены, само собой. А теперь вопрос: вирус поймал админ, не важно как и по каким причинам. Будет ли работать защита при заходе простого пользвателя.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-08-30 00:28:22.923333
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Вопрос я понял, попробую попроще ответить.
Если запустить вориор как программу из под пользователя, то не сработает. Если установить как службу то сработает. Сейчас делаю версию чтобы ваще все с диска сделал и спишь спокойно. Однако я пока не взялся за проблему какой файл реестра надо подгружать чтобы менять HKEY_USERS. Надеюсь я ответил.
Посидел, подумал. И придумал повседневное использование Warrior. Если оставить только функцию защиты, то можно установить защиту, а потом снимать её. Для чего это можно использовать:
Например вы скачали прогу и надо искать к неё патч, кейген или ещё чего нить. Это поход по страшным варез сайтам. Но даже если в очередном кейгене будет вирус, он не попадет в автозагрузку, перезагрузился и продолжай.
Или например вам принесли флешку. А в голову крадуться мысли об очередном злом вирусе. Запустил вориор, защитил ключи, вставил, сделал дело, перезагрузился, снял защиту.
Конечно это не для данной версии, но как вариант помоему самое то, особенно для тех кто часто программы качает странные.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-08-31 11:43:41.783333
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Вобщем как я и обещал выпускаю бетку warrior 2.0 . Пока что он не на диске, пока не будет релиза. Перед использованием прочитать ReadMe чтобы не пострадать.
Новые возможности:
1) Ключи берутся из файла. Дополняйте своими, делитесь с другими.
2) Реализовано использование частичного функционала. Т.е. не удалять ключи, не изменять права.
3) Исправлены мелкие ошибки.
4) При хорошей фантазии можно вносить изменения в ключи HKLM прямо из под livecd. Ведется работа по разработке плагина для BartPE.
Прошу быть предельно внимательными. Лучше сделать бэкапы, сохранить их отдельно, а потом эксперементировать. Все бэкапы проверить на валидность. Это только бэтка и могут быть неожиданности, как при действии, так и при отмене действий.
Все подробностив ReadMe.
Ссыль
http://slil.ru/29619511
http://ifolder.ru/19100033
Слушаю вопросы, предложения, замечения. Прошу перед вопросом перечитать внимательно ReadMe чтобы не было казусов. И очень прошу ЗА МЕНЯ НЕ ОТВЕЧАТЬ, даже если вы уверены в своем ответе.
Такой вопрос к общественности.
Есть ли смысл реализовывать опцию отбирания прав у System?
З.Ы. первый пост не трогаю ибо эта версия не для новичков. Программа также опасна как и полезна.
з.ы.ы. Сегодня увидел
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{98ZVD5C0-4FCB-11CF-AAX5-81CX1C635612}\]
“StubPath” = "%Systemdrive%\ReCycLEr\S-1-5-21-1482276501-1663491937-6831267430-1013\svchost.exe"
и это реально пашет. Люди стали все чаще испольщовать редкие пути указанные в autoruns.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-08-31 18:39:47.953333
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
quote:
Есть ли смысл реализовывать опцию отбирания прав у System?
Чревато проблемами. И большими проблемами. Не вздумай это делать.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-08-31 19:01:35.960000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
quote:
ORIGINAL: zzsnn
quote:
Есть ли смысл реализовывать опцию отбирания прав у System?
Чревато проблемами. И большими проблемами. Не вздумай это делать.
Да я тоже за то чтобы не трогать, но подружить антивири и вориор я просто не представляю как. Одни вопят что ты к реестру обратился и блочат, но делают это так криво что он вылетает. Я даже не знаю почему((
А ты потестил уже или как? Я посмотрел в autoruns где то около 100 ветвей, но я не думаю что надо все пихать. Как лучше поступить? Или правда добавлять по мере эпидемий?
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-09-11 10:05:22.516666
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
В скором времени состоиться релиз второй версии.
Новвоведения:
1) Обновлен установщик, теперь эффективнее
2) Добавлен редактор файла ключей для опытных пользователей.
3) Исправлен недочет указанный ikesh
За это время первая версия помогла в бою нескольким пользователям чему я очень рад. Вторая версия умудрилась помочь мне в бою с широко известным трояном Zeus. В два клика я получил контроль над машиной.
Сейчас появилась задумка бэкапить вирусы из ветки Winlogon как компромис не отбирания прав у системы, т.е. кроме чистки параметров файл переноситься в карантин таким образом если внешняя служба захочет восстановить автозапуск, то файла не будет и он не стартанет. Единственное условие отрубать сеть, чтобы не скачался вирь снова.
По поводу ZeuS.
Как оказалось он установил службу и имел права системы. Но как то не очень эффективно ими пользовался)) Все что делала служба это добавляла к ключу userinit путь к загрузчику зеуса, но не запускала его. Естественно при загрузке ключ убивался службой вариора и ниче страшного не происходило.
Ещё одним сюрпризом было это добавление вредоносной dll в автозагрузку в ветку HKCR . Т.к. её запись прячется среди множества других dll я пока не придумал как с этим бороться. Функционал dll пока не исследовал. Сам zeus в боддержку себе скачал ещё 7 файлов включая специальную утилиту для его обновления)) Прямо целый програмный комплекс. Палевность нулевая в прямом смысле этого слова. Критические модули (служба, зевс, загрузчик) палились нулем или одним антивирем по данным вирустотал. (по секрету одним этим антивирем был макафи).
Вот такой он зевс.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-09-11 15:24:59.363333
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
А почему бы тебе не делать снимок всего автозагружаемого при первом запуске. Ключи, и некоторые файлы. Потом, при необходимости напрямую тупо давить ключи и заменять своими, сохранёнными. Понятно, что это нужно делать при перезагрузке, значит и прога-защита должна быть написана на уровне DOS. Windows-прога потребует графику и библиотеки, а в DOS можно и Паскалем сделать.
Понятно, что данный метод спасёт только при наличи бэкапа, и не против всего сработает, но позволит, как миниум на короткое время получить контроль над системой, сразу после включения. А как максиум - отрубит гадость из автозагрузки.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-09-11 15:45:11.553333
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Так в этом и прикол что бэкапа нет. Ну а в данный момент то что ты предложил уже реализовано. Пожалуйста, запусти и получишь бэкап. При этом можно не изменять ничего. Только бэкап он в отдельных рег файлах. Но это уже на фантазию.
А вот запуск из дос мне не под силу пока что. Диск уже считай дос и из под него в принципе можно делать восстановление.
Можешь уточнить свою идею, потому что я пока не вижу принципа её применения на уже зараженном компе. Предотвратитьь заражение можно и простым снятием прав.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-09-11 15:59:39.506666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Нужно прогу написать на в DOS, можно на Паскале, которая бы заменяла отдельные строчки в файле реестра на файлы бэкапа. Как миниум в юзерском профиле это можно реализовать на Cи и в Windows, а ветки HKLM закрывать при бэкапе на уровне запрета любому пользователю возможность изменить. Это сразу в проге сделать - кнопку нажал и запрет на изменение. Кнопку нажал - разрешил. Могу посмотреть в справочнике как это делать в скриптах. Когда-то реализовывал такое. Просто ради интереса, в одной конторе админа не было и 4 компа, знакомый просил сделать хоть какую-то защиту. Но у них приходили время от времени и обновляли что-то в софте. Потому нужно было реализовывать возможность включать защиту и отключать защиту на уровне запрета изменения автозапуска. Вот тогда и пришлось учить скрипты и делать подобное. Понятное дело, что уже забыл всё, но в каком справочнике смотрел помню. Нужно только спавочник найти. Если нужно будет поищу.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-09-11 16:15:12.870000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Ясно. Тогда это надо делать отдельную программу потому что это другой смысл. Это уже предупреждение и защита, а моя прога создана для работы уже после заражения.
В принципе переделать не сложно но позже. Хотя мне не ясно зачем дос потому что реестр можно изменять и из под системы если есть права хотя бы у системы. А если у кого то тоже будут права системы то пофигу ему будет на защиту.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-09-11 16:38:05.893333
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
А кто тебе запрещает и системе сделать запрет на измение. По файлу вернуть полный доступ можно изменив Владельца. По ветке реестра не помню, счас сижу под Линуксом и не могу посмотреть как там. Посмотри сам.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-09-12 10:02:26.943333
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Вобщем все чаще и чаще вирусы начали использовать способ автозапуска типа
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2ED62908-E79E-B5E8-4F58-E8BDF994A5AC}\]
“StubPath” = “%Temp%\1sass.exe”
По данным мелкософт эти ключи стартует только один раз при первом входе пользователя. А также стартуют если система считает что они ни разу не стартовали.
Вопрос:
Значит ли это что если вирус один раз запускался он больше не запуститься?
Есть ли какие нибудь такие ключи (вверх по ветке) чтобы отрубить эту загрузку? Например: добавлю я параметр NoRun=1 в ветку Installed Components и вся подветка не стартанет. Такое возможно или нет?
Вот яркий пример:
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer]
"DisableLocalUserRun"=dword:00000001
Проблема в том что перебрать всю ветку сложно, отделить вирус от не вируса ещё сложнее (я про програмную реализацию).
з.ы. прошу не надо мне объяснять что делают эти ключи, я уже все прочитал. Я знаю что ауторанс их знает.
На закуску. Это обычный вирус распространяющийся на флешках.
The Worm captures the Date and Time of Last execution and restores any changes in the registry made by the user (Restores to original value created by the worm).
[HKEY_USERS\S-1-5-(Varies)\Software\VB and VBA Program Settings\ShitMaker\Info\]
ActivedEXE= "%ProgramFiles%\EXPLORER.exe"
[HKEY_USERS\S-1-5-(Varies)\Software\VB and VBA Program Settings\ShitMaker\Info\]
LastStartTime= "09-09-2010 5:53:53 PM"
Аторам сиего чуда пора выдать медаль http://vil.nai.com/vil/content/v_142463.htm
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-09-12 12:50:05.736666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
А что в пользователе Default по данной ветке? Может его использовать как кальку?
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-09-12 15:26:28.476666
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Гляну, но боюсь на захламленном компе в этой ветке ещё десяток сторонних прог наберется.
Вобщем наверно анализатор придется прикручивать, который Destro предлагала.
Короче я подумал. Наверно вориору остануться простенькие ключи, не надо его захламлять. А все извращения в ауторанс подобие перекинуть.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-09-13 06:46:43.080000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
1. Все программы данного класса работают по одному принципу. Другого просто нет.
2. За КИС платить нужно.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-09-13 08:33:42.693333
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Выше я уже написал что я тягаться с антивирусами не намерен, а только переделывать за ними когда они не справляются. Даже имея КИС пользователи пропускают вирусы самостоятельно просто его отключая, поэтому и существует вориор.
Вобщем не могу не рассказать про ZeuS.
Доразобрал я это творение.
Вот несколько особенностей:
1) Компоненты зевса скачивают, устанавливают и защищают друг друга, при этом часть из них совсем не прописывается в автозапуск, а мирно сидит в папке винды и ждет.
2) Он прописывается в множетсва веток реестра для автозапуска и любой упущенный компонент по цепочке приведет к повторному заражению. Причем вновь скаченные файлы вообще ничем не паляться если они были обновлены.
3) У зевса целых три бекдора,служба, в виде exe и приметного файла netprotocol.exe, и в виде dll, причем имя её хоть и жестко прописано в программе однако выглядит как набор букв typu.qgo. Она чтобы её не спалили запускает процесс svchost.exe и внедряется в него. Написана почти вся на асме. В качестве антиотладки исполняет код в стеке (не исполняемой секции) чем усложняет работу. И самое главное что отстук и серверы для соединения разные. Коннект постоянный.
4) В моем случае был смстрой. Его особенность что он проверял код через инет.
5) Полиморфный VBA криптор почти на все файлы, но есть и другие упаковщики. Самый интересный для меня стал тот что маскируют под UPX. Секции программы названы UPX и UPX1. И если попробывать распаковать UPX ом то он распаковывается без ошибок но затем в середине программы падает в исключние. Соотвественно ручная распаковка к этому не приводит.
6) Основной модуль sdra64 и модуль обновления msupdt.exe прописываются в userinit и сильно осложняют жизнь, если компоненты их прописавшие все ещё в автозагрузке. Потому что эти модули стартуют раньше любой другой программы включая антивирусы и вориор службу.
7) Zeus также создает службу которая выполняет роль бэкдора.
8) Ещё несколько библиотек и файлов конфигурации содержат в себе зашифрованные команды и данные.
9) Один из модулей был собран с помощью gcc.
10) Чуть не забыл. Модуль смстроя убивает безопасный режим но очень хитро. Две ветки начинающиеся на буквы minimal и network он переименовывает в M и N чем убивает безопансый режим, но после разблокировки соотвественно возращает все на место.
Лучший способ борьбы. Отрубить инет, применить вориора. Тогда появиться доступ к системе. Если вирус не поменял свои места в автозагрузке то надо будет прибить службу. (возможно я её вручную добавлю т.к. имя опять таки жестко в программе).
Вобщем очень интересный вирь, авторы молодцы, идей и решений множество, однако есть и косяки которые могут привести к не работоспособности системы.
Если в ключе userinit нету запятой, то вирус дважды добавляет путь до себя затирая содержимое ключа. На висте и 7 запятой нету по умолчанию.
Чтобы не заразиться в инете:
1) Обновите jаvа до последней версии.
2) Обновите firefox и поставьте заплатки на IE.
3) Обновите flash и adobe reader.
Три простых совета на 99% защитят от заражения.
Ещё кому не сложно, прошу скинуть мне в PM копию ветки HKLM\SYSTEM\CurrentControlSet\Control\Safeboot от 7, написав версию. Позже реализую восстановление безопасника прямо с диска. Так ультимэйт скинули, если у кого есть Homeedition буду ждать.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-09-20 14:42:03.360000
|
|
|
Stalkersid
Сообщений: 140
Оценки: 0
Присоединился: 2010-02-15 14:49:49.143333
|
Вот про Zeus детальная инфа… все изложено как на ладони:
ZeuS - Шпионское ПО (Spyware, далее "бот") для 32-х разрядной MS Windows 2000/XP+ служит для управления компьютерами жертв и получения с них информации при помощи ведения логов.
ZeuS состоит из трех частей:
Панель управления, которая устанавливается на сервер(а).
Билдер, является приложением для Windows, служит для задания конфигурации бота.
Бот, является приложением для Windows, но уже запускается на компьютере жертвы.
Внимание! В зависимости от количества активных ботов, сборки, и настройки, вам понадобится от обычного хостинга до мощного сервера или серверов.
ZeuS имеет следующие основные возможности и свойства (здесь приведен полный список, в вашей сборке часть этого списка может отсутствовать):
Бот:
Написан на VC++ 8.0, без использования RTL и т.д., на чистом WinAPI, за счет этого достигается маленький размер (10-25Кб, зависит от сборки).
Не имеет собственного процесса, за счет этого нельзя обнаружить в списке процессов.
Обход большинства фаерволов (включая популярный Outpost Firewall версий 3, 4, но сущетвует временная небольшая проблема с антишпионом). Не дает гарантии беспрепятственного приема входящих соединений.
Сложно обнаружить поиском/анализом, бот устанавливается жертве и создает файл с временем системных файлов и произвольным размером.
Работает в лимитированных учетных записях Windows (работа в гостевой учетной записи в настоящее время не поддерживается).
Невидим для экваристики антивирусов, тело бота зашифровано.
Некоем образом не создает подозрения на свое присутствие, если вы это не захотите. Здесь имеется ввиду то, что любят делать многие авторы spyware: выгрузка фаерволов, антивирусов, запрет на их обновление, блокировка Ctrl+Alt+Del и т.д.
Блокировка Windows Firewall (данная функция требуется только для беспрепятственного приема входящих соединений).
Все свои настройки/логи/команды бот хранит/принимает/передает в зашифрованном виде по HTTP(S) протоколу. (т.е. в текстовом виде данные будете видеть только вы, все остальное бот<->сервер будет выглядеть как мусор).
Обнаружение NAT при помощи проверки своего IP через указанный вами сайт.
Отдельный файл конфигурации, что позволяет себя защитить от потери ботнета в случаи недоступности основного сервера. Плюс дополнительные (резервные) файлы конфигурации, к которым бот будет обращаться, когда не будет доступен основной файл конфигурации. Эта система гарантирует выживание вашей ботнета в 90% случаях.
Возможность работать с любыми браузерами/программами работающими через wininet.dll (Internet Explorer, AOL, Maxton и т.д.):
Перехват POST-данных + перехват нажатых клавиш (включая вставленные данные из буфера обмена).
Прозрачный URL-редирект (на фейк-сайты и т.д.) c заданием простейших условий редиректа (например: только при GET или POST запросе, при наличии или отсутствии определенных данных в POST-запросе).
Прозрачная HTTP(S) подмена содержимого (Веб-инжект, который позволяет подменять не только HTML страницы, но и л
A.
юбой другой тип данных). Подмена задается при помощи указания масок подмены.
Получение содержимого нужной страницы с исключением HTML-тегов. Основано на Веб-инжекте.
Настраиваемый TAN-граббер для любых стран.
Получения списка вопросов и ответов в банке "Bank Of America" после успешной авторизации.
Удаление нужных POST-данных на нужных URL.
ИДЕАЛЬНОЕ РЕШЕНИЕ ДЛЯ ВИРТУАЛЬНЫХ КЛАВИАТУР: После захода на нужную URL, происходит получение скриншота в области экрана, где была нажата левая кнопка мыши.
Получение сертификатов из хранилища "MY" (сертификаты с пометкой "Не экспортируемый" не экспортируются корректно) и его очистка. После это любой импортируемый сертификат будет сохранен на сервер.
Перехват логина/пароля протоколов POP3 и FTP в независимости от порта и запись его в лог только при удачной авторизации.
Изменение локального DNS, удаление/добавление записей в файл %system32%\drivers\etc\hosts, т.е. сопоставление указанного домена с указанным IP для WinSocket.
Сохраняет содержимое Protected Storage при первом запуске на компьютере.
Удаляет Сookies из кэша Internet Explorer при первом запуске на компьютере.
Поиск на логических дисках файлов по маске или загрузка конкретного файла.
Запись только что посещенных страницы при первом запуске на компьютере. Полезен при установки через сплойты, если вы покупаете загрузки у подозрительного сервиса, можно узнать что грузится еще параллельно.
Получение скриншота с компьютера жертвы в реальном времени, компьютер должен находится вне NAT.
Прием команд от серверной части и отправка отчета назад об успешном выполнении. (В настоящее время запуск локального/удаленного файла, немедленное обновление файла конфигурации, уничтожение ОС).
Socks4-сервер.
HTTP(S) PROXY-сервер.
Обновление бота до последней версии (URL новой версии прописывается в файле конфигурации).
Панель управления:
Для работы требуется PHP + MySQL.
Простой инсталлятор (обычно хватает ввода данных юзера MySQL и нажатия кнопки 'Install').
Многопользовательский режим, каждому пользователю можно задать определенные права доступа.
Статистика установок(инсталлов, заражений).
Статистика ботов находящихся в онлайн.
Разделение ботнета на сабботнеты.
Обзор онлайновых ботов (так же возможен фильтр)
Просмотр скриншота в реальном времени.
Просмотр и проверка Sock4.
Время нахождения бота в онлайн.
Скорость соединения (только для ботов вне NAT).
Хранении логов в базе данных. Это дает следующие преимущества:
Поиск логов по фильтру содержимого.
Поиск логов по шаблонам с выделением нужных POST данных (например позволяет выделять на сайте http://rambler.ru/ только логи и пароль, отбрасывая при поиски все остальные данные).
Хранение логов в зашифрованных файлах, в структуре директорий ботнет\страна\ID компьютера.
Отдача команд ботам (так же возможен фильтр).
При знании PHP вы можете самостоятельно перенастроить панель управления по вашем вкусу.
Билдер:
Н
аписан на VC++ 8.0, без использования RTL и т.д. на чистом WinAPI, за счет этого достигается маленький размер (зависит от сборки, в сборке с декодером логов размер будет более 400кб, т.к. будет включена база стран по IP).
Просмотр статуса текущей системы, в качестве теста бота вы можете запустить его на своем компьютере, а потом нажатием одной кнопки удалить его.
Декодер логов, с распределением по странам.
Билдер файла конфигурации (шифрованного) и самого бота.
Полиморфный криптор BETA. В настоящее время находится на стадии тестирования, и не гарантирует сто процентную защиту от антивурсов. Но гарантировано доведение данной функции до ума в ближайшее время.
|
|
|
|
|
RE: Программа противодействия вирусам - ВОИН - 2010-09-20 16:17:46.900000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Stalkersid это никак не поможет в борьбе с ним, тем более что эта информация жесть как устарела. Количество плагинов зашкаливает за пределы разумного, поэтому выделить среди 30 файлов тело самого zbot могут только те кто с ним бился до плагинов. Если ты сам писал статью, то к каждой части допиши пример имени и расположения файла и веток реестра. Ddos бота я выловил, но это один плагин, увидеть бы другие.
Недавно испытал Warrior в борьбе с салити. Ну скажем так эпидемию быстро получилось прервать. Комп был спасен.
Однако у салити появились две не хорошие черты:
1) Распространяться по сети через уязвимости.
2) Две службы для веток которых были отобраны права на чтение у админа и на изменение у системы. Таким образом антивири шли гулять лесом.
В реестре их легко отличить по пустоте в инфе при выделении мышкой.
3) Выяснил почему салити выживает после переустановки. Это касается только переустановки поверх или восстановления типа как в 7. Если папка куда винда складывает установочные файлы при установке. Там не распакованные файлы типа reg.ex_ и т.д. В составе салити есть dll которая внедряясь в процессы производит заражение exe файла. Так вот салити эту самую dll кидает в эту папку и упаковывает. В итоге при переустановке система видит что типа нафига копировать одно и тоже и распаковывает файлы из этой папки. Иногда эта папка в самой папке Windows иногда за пределами.
4) Соответсенно за счет служб салити имеет права системы и заражает всю папку SystemVolumeInformation.
5) Салити не трогает папку винды поэтому прячьте антивирусы там)
6) Использует хитрый ключ Winlogon\Shell но из ветки HKCU.
7) Для запуска файла для распространения по сети использует ключ HKLM…Winlogon\Taskman
|
|
|
|
|
|
