Pull to refresh

Comments 38

MBRLock научился полноценно лечить? Прошлый релиз не справился с задачей
О каком именно релизе речь? Какого примерно числа качали? Подобных проблем не было
для понимания нужно больше деталей. возможно детекта на тот момент еще небыло в базах. если у вас есть еще проблема и возможность проверить, то можно по пробовать разобраться.
скорее всего речь все же о новой бете а не релизе. в первой бета-сборке был баг с лечением дисков, его исправили через пару часов. но это не релиз в нашем понимании, а публичная бета-версия.
Спасибо. пользуюсь Вашей утилитой.
Будет ли возможность одной кнопкой восстановить убитый очередным локером запуск explorer.exe при удалении файла? чаще всего нормальный запуск системы после лечения требует низкоуровневого вмешательства.
да. мы работаем над этим в данный момент. а для продвинутых, будет так же мощный скриптовый язык для лечения и/или анализа системы.
необходима скачка утилиты с рандомного ip адреса, при нахождении вируса на компьютере он просто блочит известные сервера антивирусов и не дает скачать утилиту. Правда я не понимаю как это реализовать).
Наши все IP пробить и добавить в черный список не большая проблема. Тут нужно что то вроде CDN. Как показывает практика, блокировка нас по IP не популярна, по доменному имени лочат, а так же по имени файла, cureit.exe/launch.exe и все что содержит подстроку «drweb» давно в черном списке, поэтому файл отдается со случайным именем при загрузки. Так же могут блокировать по артефактам в исполняемом файле, информации из ресурсов, версии файла, строк в файле, цифровой подписи, заголовкам окон и т.п. Эта вечная борьба очень увлекательна.
может с обменниками договорится, пусть держут у себя текующую версию релиза. А при запросе в яндексе cureit подсовывать рекламу для скачки файла на дружественный сервер. Список дружественных серверов пусть меняется раз в месяц.- генерировать новые объявления с новыми партнерами раз в месяц… тогда тяжело заблочить по ip или домену. Правда геморрой тот еще)
Да может и злоумышленник сделать фейк если не известен какой ресурс официальный…
проверил, курит скачивается нормально.
Мне (сабжу) дали возможность продолжить тут общение, так что если есть что спросить, буду рад ответить на ваши вопросы, либо помочь.
Привет, Костя! Как дела? Как там Ренат? Когда вы выйдете на американский рынок? А то Касперский вот на каждом углу продается)) И приезжайте в гости!))
Привет! Заняты активно 8.0 и Windows 8. Рынки это не мое, мне руткиты и т.п. малварь интересней.
А когда планируется обновление DrWeb Enterprise Suite до 7 версии?
Честно, незнаю. Я корпоративными версиями не занимаюсь. У меня однопользовательские версии, куриты, куринеты, ресеч.
Молодец, главный разработчик. Тулза нормальная, юзаю местами. Сорцы бы вашей ВМ не помешали бы )
Я, честно говоря, ждал от статьи технических подробностей о внутреннем устройстве программы. А тут какой-то один маркетинг…
А что именно интересует?
Ну так как интервью с главным разработчиком, то было бы интересно послушать историю разработки, как продукт развивался, какие проблемы заковыристые возникали и как были решены. Про какие-нибудь интересные архитектурные или алгоритмические решения… Ну и т.п.
Продукт CureIt! уже как таковой существует довольно давно. Я подхватил его разработку года 3 назад. По сути это был тот же сканер что и в домашней версии. Реализовал новый стартер, который запускает курит, и служит защитой от обнаружения малварью, при старте программы, усилил самозащитой. Раньше это был sfx-rar архив со сканером внутри. Разработка версии 7.00 началась в прошлом году, это первая версия которая не является сканером, а отдельный модуль. Первая проблема, это придумать новый имидж, простой и эффективный.

Самая сложная проблема, возникшая при разработке, это адаптация нашего Scanning Engine (многопоточный сканирующий сервис) модуля к диким условиям. Его пришлось серьезно усилить, чтобы он мог запускаться и работать совместно с активными руткитами. Max++ (ZeroAccsess) и его клоны доставили нам не мало хлопот, убивая нас из ядра, придумали как скрываться от них эффективно, чтобы они нас даже не увидели.

Алгоритмических решений по сравнению с существующей версией CureIt! очень много, фактически мы написали новый продукт. Придумали новый модуль для поиска и нейтрализации активных угроз (dwarkapi.dll), реализовали его с нуля, учитывая весь опыт борьбы. Разработали новый модуль для отложенного лечения малвари. Реализовали новые алгоритмы лечения буткитов, избавились от хард-ресетов на x64 системах (позже и на x86 будет). попутно улучшая самозащиту. Так же рискнули, и начали использовать впервые подсистему Shark для поиска и нейтрализации угроз. Shark — это подсистема, в драйвере Shield, которая использует очень низкоуровневый доступ к системным данным и структурам ядра ОС, очень многое не документировано. Но зато позволяет обходить все руткиты. Для эффективного лечения сделали песочницу, на уровне ядра, чтобы угроза не размножалась и не перезаражала систему. Это постоянно активно улучшается.

Реализовали проверку системного BIOS компьютера, насколько мне известно мы единственный вендор который это может. Это был вызов, мы его приняли и справились. Хотя бсодов по началу было полно. Очень многие вендоры биосов и оем не соблюдают стандарты, данные в служебных заголовках попадались кривые. В «депо» компьютерах например такое было, насколько я помню.

Я могу об этом писать долго, т.к. это мое хобби и жизнь. Жена, сейчас наверно улыбнется, прочитав. Но понимаю что пост надо закончить уже.
Спасибо большое за интересный и содержательный комментарий! Удачи вам, и это здорово, что вы занимаетесь любимым делом!
Как насчёт локализаций? Будет ли сервер, на котором добровольцы смогут „помочь“ с переводом?
Локализации встроены в модуль и не могут меняться или загружаться из вне. Все основные локализации, которые официально нами поддерживаются, уже включены в курит. Если у Вас есть желание добавить новый перевод, то можно связаться с нами по этому вопросу, написав запрос в тех. поддержку.
И мало кто знает, что на борту у нас под капотом своя мини-ОС, что тоже не добавляет стабильности.

Эта фраза сильно резанула глаз. Она _очень_ сильно смахивает на рафинированный маркетоидный буллшит. Очень прошу разъяснить, что именно имелось в виду.
В общих словах все просто, наш сканер, курит, теперь еще любой клиент кто использует dwarkapi, живет в свое эко-системе уровня ядра, никто не видит как мы читаем или пишем на диск по секторно, читаем или пишем в реестр… Мы не пользуемся ядром ОС, мы не используем дисковую подсистему, файловые драйвера, всем тем что загружено в реальной ОС. У нас все свое, безопасное и защищенное от внешнего мира. Чтобы все это заработало как часы в реальности а не в теории, нам потребовался не один год. Но это наша гордость.
Кстати, совсем не в теме сейчас, как обстоят дела со стелсами и полиморфами сейчас? В поздне-досовские времена все более-менее распространенные вирусы были полиморфны и пытались маскироваться от антивирусов, а сейчас складывается впечатление, что вирусописатели «начали халявить» и просто удовлетворяются тем, что новый вирус не детектится существующими антивирусами, но сигнатура у него постоянная и добавить ее в базу несложно. Так ли это, и «в детстве даже вирусы были лучше», или и сейчас есть вирусы, которые доставляют сильную головную боль писателям антивирусов?
Тенденция сейчас, заработать денег различными путями. Поэтому порог вхождения в отрасль достаточно низкий, никто не изобретает сверх сложных вирусов, большинство из входящего потока это юзер-модные образцы малвари. Полиморфики по пальцам можно пересчитать, xpaj, virut… редко но метко. Популярный пример например, маячок, ничего особенного, но держится за счет постоянной перепаковки упаковщика. У нас он в топе по статистики CureIt! уже не первый месяц. Хотя, обычная dll с инжектом в процессы через appinit_dll, без какой либо защиты. С руткитами тоже тенденция к упрощению, из ядра возвращаются в юзер-мод. Берут массовостью, под сотню тысяч образцов в сутки приходит.

Головную боль доставляют уже несколько лет, только руткиты/буткиты, вроде эпохальных TDL/TDSS (3-4 поколения), их мало но это шедевры, я и мои ребята с ними и боремся. Почти год без остановки шли сражения, придумывали новые алгоритмы, обходили защиты, смотрели как нас обходят буквально через месяц уже, больше 30 вариантов руткита было в паблике. Была реальная Война. Потом придумали универсальный подход и забыли о нем. Сейчас затишье, ждем.
Да о вас и ваших войнах прям кино можно снимать.
Я по-доброму =)
Спасибо всем за вопросы. Заходите в гости на форум, всем будем рады. Передаю бразды правления обратно. До новых встреч!
Only those users with full accounts are able to leave comments. Log in, please.