Erekle
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dimsoft
OSAM - Autorun manager
Цитата: ...В эту утилиту заложена идея читать реестр не через классическое API, а дампировать его на диск и анализировать дампы. Это позволяет обходить некоторые виды руткитов, что в других менеджерах автозапуска не встречатеся.
...в OSAM реализована технология "двойного сканирования", направленная на противодействие руткитам, скрывающих какие-либо записи в реестре. Эта технология реализована через прямой разбор реестра без использования функций операционной системы.
...2) Во-вторых, записи, скрытые руткитами, с помощью обычного редактора реестра - вы не увидите. Нужны именно специальные программы с функциями антируткита.
3) В-третьих, как вы правильно заметили: "одна запись может вести за собой другую, т.е. необходимы специальные знания".
И дело не только в этом. К примеру, если вы удалите запись (в которой прописан вредоносный файл), имеющую отношение к настройкам вашего Интернета (напр., Winsock Providers) - у вас пропадет Интернет.
OSAM же удаляет подобные вещи корректно (автоматически исправляя цепочку провайдеров).
4) В-четвертых, с помощью реестра вы не можете проверить цифровую подпись или сертификат файла (ведь, возможно, он совсем не тот за кого себя выдаёт).
OSAM, выводя запись в реестре, также выводит и детализированную информацию о всех файлах, которую ему удалось найти в вашем случае (а это может быть очень важным).
5) В-пятых, regedit не выводит никакие данные после символа с кодом 0 (т.е. обрезает строки). И вы опять-таки можете увидеть не всё.
6) В-шестых, при использование обычного редактора реестра (даже, если предположить, что вам хорошо известны все ключи, которые используются вирусами), вам понадобится по меньшей мере час, чтобы проанализировать все уязвимые места вашей системы... С помощью OSAM'а вы сделаете это гораздо быстрее.
...На данный момент у нас существует еще как минимум две технологии, позволяющие работать с активным реестром напрямую, не используя какого-либо API вообще. В зависимости от отведенного времени на проект OSAM, в ближайшее время будет реализована либо первая (достаточно хорошая и несколько проще второй в реализации), либо вторая (принципиально новая, нигде и ни в каком виде, даже частичном, не применявшаяся). Обе технологии - know-how, поэтому до реализации информация по ним, к сожалению, не излагается даже в обзорном виде. Оценивать же, конечно, имеет смысл только после реализации.. |
Правда, иногда есть сложности, когда соотв. ключи ретиво защищаются компонентом руткита, или -
Цитата: ...если отойти от рустока, то новые варианты TDSSS* стали использовать перехваты соотвествующих функций в режиме ядра (сплайсинг). По классификации ЛК - Backdoor.Win32.TDSS
Пока этих вариантов мало (идет обкатка), но думаю через месяцок-другой их станет куда больше. |
- однако всё это неактуально с LiveCD.
А также -
Цитата:| технология прямого чтения диска. Она используется для возможности получения информации о заблокированных и/или скрытых файлах, отсылки их на проверку с помощью Online Malware Scanner. Так же ее можно использовать для сохранения этих файлов для дальнейших исследований. |
|
Стояли Авасты 4.8, но Про. Все они беспрепятственно пропустили одного и того же трояна, который окопался в файлах Юзеринита, Блокнота и Калькулятора. Авасты нашли их там и благополучно обезвредили. В итоге системы недосчитались этих файлов и не могли запускаться. Плюс - Авасты не видели другой разновидности трояна, окопавшейся в копиях Юзеринита, и часть систем загружалась посредством такого Юзеринита. Вывод: VRDB - уникальная среди антивирусов свалка. 
Цели - запустить систему, а то и очистить от всего (по крайней мере от коптящегося) мусора - можно достичь за 10-15 минут при присутствии всяких там super-hidden. Проверено. 