ситуация: есть KAV последней версии kav7.0.1.325sch.exe и есть KmdManager.exe от Four-F. регистрируем драйвер... и... КАЛ на это как-то очень странно реагирует. то вопит, а то не вопит. вопит редко, не вопит чаще (30%/70%) по крайней мере под хрюшей sp2. почему вопит - это понятно. а вот почему он может не вопеть?! очччень страно. ведь никто же не шифруется. региструем драйвер честным способом... аналогичм образом обстоят дела с ручным прописыванием драйвера в ветке сервисов, причем КАЛ начинает вопить (иногда) даже если туда записать какую-то фигню типа мусора. в общем, ситуация... кто протестит у себя на своих машинах, а? берем любой драйвер, какой не важно, и региструем его через KmdManager или другим загрузчиком. только регистрируем, не загружаем. если мне кто-то покажет как "починить" кал, чтобы получить от него _стабильное_ ругательство, с тем я поделюсь методом, как обходить проактивку кала и кучи других аверов - в смысле загрузки драйвера под любой системой (включая вислу) так что они даже не пукнут меня щас как раз обратное интересует - как добиться стабильного ругательства на _легальной_ ничем не замаскированной операции регистрации драйвера. я бы понял, если бы кал совсем не ругался (ну типа не следит он за этим и все тут), но вот "плавающий" результат убивает. или хотя бы от чего это может зависеть? система xp sp2 под варей 5.5, вход под админом (не runas), кал установленный с дефлотными установками. еще 29 дней осталось до истечения триала. що за глюки... p.s. и еще кто-то грит, что у кала хорошая проактивка... дык она не только нехорошая, она вообще какая-то... сама себе на уме.
Крис, на правах оффтопика, мне всегда было интересно а ты случаем не родственник основателя одноименной лаборатории? Поверь он так глотает-не глотает множество драйверов. Это связано не с тем, что он чето там недостаточно похукал, а с его обработчиками этих хуков. Доподлинно известно, что КАЛ7 версии глотает дрова грузимые GUI приложениями, т.е. если есть гуй и это происходит при открытом окне гуя КАЛ7 запросто может это пропустить. Ещё КАЛ7 глотает загрузку драйверов через SCM с консолькой, но тут когда как, видимо зависит это от скорости срабатывания обработчиков КАЛА и их десинхронизации с происходящим в системе. А ещё можно просто загрузить драйвер через NtSetSystemInformation, проверял последний раз на 123 билде КАЛА7, все хавало за ура. Вероятно если повозиться с настройками проактивной заshitы, то вывинтив их все до упора, можно добиться свинячего визга на все действия. Тот же самый кг/ам аффтары КАЛ сотворили кстати и с записью в реестр, ибо их обработчики точно также способны схавать запись туда. С этой точки зрения куда интереснее выглядит КАЛ8, при включении максимального режима заshitы, КАЛ8 отслеживает загрузку драйверов следующим образом уровень 1. Хуки сдт, если словил хоть как то в дело вступает LoadNotifyRoutine для получения имени и пути модуля для красного балона в трее уровень 2. Если проактив облажался как обычно при максимальных настройках, то КАВ8 просто и нагло МОНИТОРИТ запись данных в system32\drivers при помощи Fltfiltrer. Любая запись туда файла драйвера приводит к воплям. Не проверял с другими директориями и вероятностями. Жду описание обхода в личку Хотя вероятно, я уже знаю что это.
muxamor > Крис, на правах оффтопика, мне всегда было интересно а ты случаем > не родственник основателя одноименной лаборатории? тамбовский волк я ему, а не родственник > Вероятно если повозиться с настройками проактивной заshitы, > то вывинтив их все до упора, можно добиться свинячего визга на все действия. вот это мне и интересно... как можно добиться стабильного срабатывания кала при честной регистрации драйверов. даже не загрузке. просто регистрации, ибо грузиться можно и в boot-time еще до кала, а загрузившись до него, понятное дело, с ним можно творить все угодно. так что если кал проморгал регистрацию драйвера, то жить ему до перезагрузки. ккккал. > уровень 1. Хуки сдт, если словил хоть как то в дело вступает > LoadNotifyRoutine для получения имени и пути модуля для красного балона в трее угу, только кал и ко почему-то любят игнорировать дрова, возращающие 0C0000182h из DriverEntry. типа если драйвер обломался с загрузкой, то все нормально. а то, что он (драйвер) побывал на ядерном уровне и уже скопировал себя куда или чего-то там захучил - их вроде как не волнует. сказано же STATUS_DEVICE_CONFIGURATION_ERROR, система как бы выгрузила драйвер и все ништяк. но это будет потом. сначала надо разобраться с регистрацией драйвера в сервисах. как-то кал на нее очень странно реагирует (то реагирует, а то нет), а я тут ввязался написать одной фирме дополнительный защитный комплекс, реализовав то, что не реализовано у кала, который у них стоит. ситуация крайне мутная. если я реализую что-то (допустим, защиту от регистрации драйверов), то должен сначала доказать, что она не реализована у кала. а как я могу это доказать, если стабильного визга кала - никак не достигается?! а не реализовать эту защиту тоже не могу, т.к. это получается, что у меня дыра. вариант - реализовать, но не просить за это денег - это слишком суровая мера ;( вот пытаюсь пока добиться стабильного ругательства.
kaspersky Ну на самом деле его можно вынести преспокойно и без перезагрузки, отхучить сдт, кильнуть сервис и приложение, перетереть его драйверам файлы через raw mode. Это связано с тем, что они используют документированные Notify routine, которые говорят КАЛу, что драйвер выгрузился, и он типа с ним соглашается. Как известно они сверх уязвимы и никак не предполагись изначально для детекта руткитов, это скорее вспомогательный функционал для всякой невинной фигни. Я бы на их месте выкинул эту часть из детекта вообще, потому что это кг/ам чистой воды. Вероятно слишком много входных данных для КАЛА и его обработчики не в состоянии решить что это такое грузиться и давать это типа по дефолту Выкрути все что можно на максимум, потому что только после этого эта программа начинает хоть что-то видеть. Не знаю, наверное жуткий боян, но можно перечислить ветку с дровами и найти среди них те, которые там уже прописаны, но файлов их нет и они не загружены. После этого подсовываем свой файл и грузим его какбы легитимно, КАЛ7 будет курить в сторонке, на 8 не проверял. В конце концов все сводится к поиску либо доверенного процесса, либо патчем (аля вирус) либо способа загрузки(подмены существующего своим) драйвером. Я бы на твоем месте не экспериментировал все-таки с КАЛОМ потому что как хипса он полное гуано и мягко говоря не лучший представитель. Лучше взять к примеру System Safety Monitor, вот он тебе даст более и менее стабильный детект, впрочем версия 2.3, которую я последнюю смотрел можно было похерить из юзер лэнда через systemdebugcontrol. Как вариант можно предложить каким либо способом похэкать КАЛовские сервисы или саму программу (методы до сих пор есть) и на время следать её ещё более слепой. Ну как известно все противоборство КАЛ с руткитом заканчивается после загрузки последнего.
muxamor так ведь задача как раз другая. не как обойти KAV, а как его не обходить. потеребив свой хвост я решил временно убрать у админа и системы права на запись в сервисную ветку реестра, чтобы нельзя было тупо зарегистрить драйвер... надеюсь, какое-то время такая "защита" продержиться т.к. малварь она в своей массе не шибко умная и не догадывается, что даже админ может не иметь каких-то прав, хотя, конечно, имеет возможность их приобрести... сейчас поставил варю на два проца (виртуальных) и кал вообще стал... ну короче говоря цирк. то начинает стабильно орать. но стабильно молчать. это на него наверное так фазы луны влияют или я тогда уже не знаю... настройки крутить тоже не могу, т.к. тестироваться все это будет на стороне клиента самим клиентом, у которого настройки дефлотные, и просить их изменить... чтобы заработала моя демонстрашка... это... да, там наверное дело все в уведомлениях. я что заметил - если кал сканирует вновь появившиеся файлы (точнее появляющиеся в большом количестве - трудно что ли их сгенерировать автоматом?), то на драйвера он вообще реально кладет. и по хвосту ему там куда мы лезем. по крайней мере под виртуалкой на старом пне. возможно на живом железе ситуация иная - не проверял, ибо ставить кал на живое железо - не гуманно (по отношению к железу). кстати, очень удивился увидев отказ кала ставиться на 2003 сервер. грит, мол такие оси мы не поддерживаем... я вообще с него фигею... куча народа, которую я знаю, сидит именно под сервером, т.к. там дисковая подсистема реально лучше хрюшиной - программы быстрей компиляться да и вообще... хотя да, тем кто компилит программы такое добро и даром не нужно тут дали мне один антивирь (о котором просили не распростаняться), который покруче кала, но тоже прошляпил одну... гм... дырищу... там он грузит драйвера автоматом и не следит за веткой еррор в регистри, которую если выставить в единицу, винда загружать драйвер в следующий раз не будет
Таже петрушка с ГоноВебом, мол, если у тебя сервер на ноуте стоит, то это твои проблемы, покупай серверный ГовноВеб. Мали-и-и-н, задроты.
Я уже понял, что ты не троян даунлоадер пишешь На самом деле реально фигею от этого куска хипсы, это же надо накодить такое гуано, что нужны пляски с бубном, чтобы только доказать что оно может выполнять свои первостепенные задачи. +100 Это типа не бага, а технология iswift/ichecker, кг/амный пиарный ход для наивных идиотов. Там в восьмерке ещё счетчики производительности к драйверу прикрутили для красивых графиков. а что если в демке написать несколько вариантов загрузки дрова и вогнать это в небольшой цикл - такое даже тормозной КАЛ должен засечь. -успехов
