Comments 38
Картинка с женщиной классная).
MBRLock научился полноценно лечить? Прошлый релиз не справился с задачей
Спасибо. пользуюсь Вашей утилитой.
Будет ли возможность одной кнопкой восстановить убитый очередным локером запуск explorer.exe при удалении файла? чаще всего нормальный запуск системы после лечения требует низкоуровневого вмешательства.
Будет ли возможность одной кнопкой восстановить убитый очередным локером запуск explorer.exe при удалении файла? чаще всего нормальный запуск системы после лечения требует низкоуровневого вмешательства.
да. мы работаем над этим в данный момент. а для продвинутых, будет так же мощный скриптовый язык для лечения и/или анализа системы.
необходима скачка утилиты с рандомного ip адреса, при нахождении вируса на компьютере он просто блочит известные сервера антивирусов и не дает скачать утилиту. Правда я не понимаю как это реализовать).
Наши все IP пробить и добавить в черный список не большая проблема. Тут нужно что то вроде CDN. Как показывает практика, блокировка нас по IP не популярна, по доменному имени лочат, а так же по имени файла, cureit.exe/launch.exe и все что содержит подстроку «drweb» давно в черном списке, поэтому файл отдается со случайным именем при загрузки. Так же могут блокировать по артефактам в исполняемом файле, информации из ресурсов, версии файла, строк в файле, цифровой подписи, заголовкам окон и т.п. Эта вечная борьба очень увлекательна.
может с обменниками договорится, пусть держут у себя текующую версию релиза. А при запросе в яндексе cureit подсовывать рекламу для скачки файла на дружественный сервер. Список дружественных серверов пусть меняется раз в месяц.- генерировать новые объявления с новыми партнерами раз в месяц… тогда тяжело заблочить по ip или домену. Правда геморрой тот еще)
Да может и злоумышленник сделать фейк если не известен какой ресурс официальный…
Да может и злоумышленник сделать фейк если не известен какой ресурс официальный…
Не могу скачать по ссылке. 404 ошибка.
Мне (сабжу) дали возможность продолжить тут общение, так что если есть что спросить, буду рад ответить на ваши вопросы, либо помочь.
Молодец, главный разработчик. Тулза нормальная, юзаю местами. Сорцы бы вашей ВМ не помешали бы )
Я, честно говоря, ждал от статьи технических подробностей о внутреннем устройстве программы. А тут какой-то один маркетинг…
А что именно интересует?
Ну так как интервью с главным разработчиком, то было бы интересно послушать историю разработки, как продукт развивался, какие проблемы заковыристые возникали и как были решены. Про какие-нибудь интересные архитектурные или алгоритмические решения… Ну и т.п.
Можно и на форум заглянуть или в бета-тестировании поучаствовать :)
forum.drweb.com/index.php?&showforum=17
forum.drweb.com/index.php?&showforum=17
Продукт CureIt! уже как таковой существует довольно давно. Я подхватил его разработку года 3 назад. По сути это был тот же сканер что и в домашней версии. Реализовал новый стартер, который запускает курит, и служит защитой от обнаружения малварью, при старте программы, усилил самозащитой. Раньше это был sfx-rar архив со сканером внутри. Разработка версии 7.00 началась в прошлом году, это первая версия которая не является сканером, а отдельный модуль. Первая проблема, это придумать новый имидж, простой и эффективный.
Самая сложная проблема, возникшая при разработке, это адаптация нашего Scanning Engine (многопоточный сканирующий сервис) модуля к диким условиям. Его пришлось серьезно усилить, чтобы он мог запускаться и работать совместно с активными руткитами. Max++ (ZeroAccsess) и его клоны доставили нам не мало хлопот, убивая нас из ядра, придумали как скрываться от них эффективно, чтобы они нас даже не увидели.
Алгоритмических решений по сравнению с существующей версией CureIt! очень много, фактически мы написали новый продукт. Придумали новый модуль для поиска и нейтрализации активных угроз (dwarkapi.dll), реализовали его с нуля, учитывая весь опыт борьбы. Разработали новый модуль для отложенного лечения малвари. Реализовали новые алгоритмы лечения буткитов, избавились от хард-ресетов на x64 системах (позже и на x86 будет). попутно улучшая самозащиту. Так же рискнули, и начали использовать впервые подсистему Shark для поиска и нейтрализации угроз. Shark — это подсистема, в драйвере Shield, которая использует очень низкоуровневый доступ к системным данным и структурам ядра ОС, очень многое не документировано. Но зато позволяет обходить все руткиты. Для эффективного лечения сделали песочницу, на уровне ядра, чтобы угроза не размножалась и не перезаражала систему. Это постоянно активно улучшается.
Реализовали проверку системного BIOS компьютера, насколько мне известно мы единственный вендор который это может. Это был вызов, мы его приняли и справились. Хотя бсодов по началу было полно. Очень многие вендоры биосов и оем не соблюдают стандарты, данные в служебных заголовках попадались кривые. В «депо» компьютерах например такое было, насколько я помню.
Я могу об этом писать долго, т.к. это мое хобби и жизнь. Жена, сейчас наверно улыбнется, прочитав. Но понимаю что пост надо закончить уже.
Самая сложная проблема, возникшая при разработке, это адаптация нашего Scanning Engine (многопоточный сканирующий сервис) модуля к диким условиям. Его пришлось серьезно усилить, чтобы он мог запускаться и работать совместно с активными руткитами. Max++ (ZeroAccsess) и его клоны доставили нам не мало хлопот, убивая нас из ядра, придумали как скрываться от них эффективно, чтобы они нас даже не увидели.
Алгоритмических решений по сравнению с существующей версией CureIt! очень много, фактически мы написали новый продукт. Придумали новый модуль для поиска и нейтрализации активных угроз (dwarkapi.dll), реализовали его с нуля, учитывая весь опыт борьбы. Разработали новый модуль для отложенного лечения малвари. Реализовали новые алгоритмы лечения буткитов, избавились от хард-ресетов на x64 системах (позже и на x86 будет). попутно улучшая самозащиту. Так же рискнули, и начали использовать впервые подсистему Shark для поиска и нейтрализации угроз. Shark — это подсистема, в драйвере Shield, которая использует очень низкоуровневый доступ к системным данным и структурам ядра ОС, очень многое не документировано. Но зато позволяет обходить все руткиты. Для эффективного лечения сделали песочницу, на уровне ядра, чтобы угроза не размножалась и не перезаражала систему. Это постоянно активно улучшается.
Реализовали проверку системного BIOS компьютера, насколько мне известно мы единственный вендор который это может. Это был вызов, мы его приняли и справились. Хотя бсодов по началу было полно. Очень многие вендоры биосов и оем не соблюдают стандарты, данные в служебных заголовках попадались кривые. В «депо» компьютерах например такое было, насколько я помню.
Я могу об этом писать долго, т.к. это мое хобби и жизнь. Жена, сейчас наверно улыбнется, прочитав. Но понимаю что пост надо закончить уже.
Как насчёт локализаций? Будет ли сервер, на котором добровольцы смогут „помочь“ с переводом?
И мало кто знает, что на борту у нас под капотом своя мини-ОС, что тоже не добавляет стабильности.
Эта фраза сильно резанула глаз. Она _очень_ сильно смахивает на рафинированный маркетоидный буллшит. Очень прошу разъяснить, что именно имелось в виду.
В общих словах все просто, наш сканер, курит, теперь еще любой клиент кто использует dwarkapi, живет в свое эко-системе уровня ядра, никто не видит как мы читаем или пишем на диск по секторно, читаем или пишем в реестр… Мы не пользуемся ядром ОС, мы не используем дисковую подсистему, файловые драйвера, всем тем что загружено в реальной ОС. У нас все свое, безопасное и защищенное от внешнего мира. Чтобы все это заработало как часы в реальности а не в теории, нам потребовался не один год. Но это наша гордость.
Кстати, совсем не в теме сейчас, как обстоят дела со стелсами и полиморфами сейчас? В поздне-досовские времена все более-менее распространенные вирусы были полиморфны и пытались маскироваться от антивирусов, а сейчас складывается впечатление, что вирусописатели «начали халявить» и просто удовлетворяются тем, что новый вирус не детектится существующими антивирусами, но сигнатура у него постоянная и добавить ее в базу несложно. Так ли это, и «в детстве даже вирусы были лучше», или и сейчас есть вирусы, которые доставляют сильную головную боль писателям антивирусов?
Тенденция сейчас, заработать денег различными путями. Поэтому порог вхождения в отрасль достаточно низкий, никто не изобретает сверх сложных вирусов, большинство из входящего потока это юзер-модные образцы малвари. Полиморфики по пальцам можно пересчитать, xpaj, virut… редко но метко. Популярный пример например, маячок, ничего особенного, но держится за счет постоянной перепаковки упаковщика. У нас он в топе по статистики CureIt! уже не первый месяц. Хотя, обычная dll с инжектом в процессы через appinit_dll, без какой либо защиты. С руткитами тоже тенденция к упрощению, из ядра возвращаются в юзер-мод. Берут массовостью, под сотню тысяч образцов в сутки приходит.
Головную боль доставляют уже несколько лет, только руткиты/буткиты, вроде эпохальных TDL/TDSS (3-4 поколения), их мало но это шедевры, я и мои ребята с ними и боремся. Почти год без остановки шли сражения, придумывали новые алгоритмы, обходили защиты, смотрели как нас обходят буквально через месяц уже, больше 30 вариантов руткита было в паблике. Была реальная Война. Потом придумали универсальный подход и забыли о нем. Сейчас затишье, ждем.
Головную боль доставляют уже несколько лет, только руткиты/буткиты, вроде эпохальных TDL/TDSS (3-4 поколения), их мало но это шедевры, я и мои ребята с ними и боремся. Почти год без остановки шли сражения, придумывали новые алгоритмы, обходили защиты, смотрели как нас обходят буквально через месяц уже, больше 30 вариантов руткита было в паблике. Была реальная Война. Потом придумали универсальный подход и забыли о нем. Сейчас затишье, ждем.
Так и есть…
Спасибо всем за вопросы. Заходите в гости на форум, всем будем рады. Передаю бразды правления обратно. До новых встреч!
На всякий случай, а то может кто забыл, что было решено не иметь с Dr. Web никаких отношений: https://habr.com/en/post/381989/
Sign up to leave a comment.
Интервью с главным разработчиком Dr.Web СureIt! 7.0