Názory k článku
Antivirus CD: Co dokáže a jak ho vyrobit?

Je to velmi uzitecna fce, navic ma avast verzi i pro Linux, cehoz opravdu dobre vyuzivam pri kontrole sdilenych samba disku

No mě avast pod linuxem tak často killoval systém, že jsem ho raději smazal. Nejvíce to způsobovalo testování /dev, nahodil jsem vyjímku.. ale i při hlášení výsledků na konci scanu (test mého ~/ )se to kouslo a musel jsem zmáčknout magické tlačítko reset na bedně. Jak GUI, tak konzolová verze.
ClamAV jede vpohodě :)

do jisté míry, ale od jisté míry ne. není to všemocné, jednou jedinkrát sem to musel použít na kamarádově notebooku s win xp, ovšem i když avast vše odstranil, po nabootování windouzů byl vir opět zpátky, takže pomohla jenom nová čistá instalace systému.

No to tak bejva, oni totiz widle kdyz se jim neco zmeni v registrech tak si vlastne ten vir obnovujou porad dokola. Staci vypnout sledovani disku (pravy tlacitko - Tento pocitac) a je dobry ty viry killovat v nouzaku. Ale reinstall je preci jenom jistota / stupidita ...

System Restore může po odvirování viry nakopírovat zpátky :(, ale s registry to nemá nic společného.

U wokenic bych si s tím tvým tvrzením nebyl tak jistý, tam souvisí všechno se vším :-) Ale je fakt že wokenice mají spoustu míst kam vir nastrakají samy (dopredu ladovany dll, body obnoveni, restore, atd.).

Umí to CD přistupovat na NTFS disky? Pokud ne bude to asi dost k ničemu :-(

Zapis by mel jit pres fuse. Ale nevim, jestli a jak kombinace unionfs a fuse pracuje :-D.

spis bych se ptal jestli umi ty antiviry pracovat pod ntfs, linux na ntfs si sahnout umi, ale nevim toho moc o moznem mazani, ci chcete-li zapisu

Preji pekny den.
Protoze jsem v clanecku ne zcela pochopil nektera vychozi tvrzeni autorky, rad bych pozadal o vysvetleni.
Jde mi o nasledujici informaci:
'„Windowsovské” antiviry nemají za běhu Windows přístup do jejich systémových souborů. Za běhu Windows se virus může před strážci systému schovat.'

Znamena to, ze antivirus do systemovych souboru nemuze a virus ano? Co znamena, ze se v systemovych souborech (bylo-li to tak mysleno) muze virus schovat? A jak se tam dostane, kdyz na rozdil od antiviru typicky nema autorizaci pro podobnou operaci?

Diky

P.

Ačkoliv jsem s windows nepracoval již dlouho, dovolil bych si připomenout ještě jednu skutečnost: Antiviry se ve windows na bázi NT(2000, XP) obvykle spouští pod uživatelem administrator. administrator ale není správce systému. Skutečnost je taková, že ve windows se ani správce nemůže přihlásit jako skutečný správce systému. Díky tomu nemůže ukončit procesy spuštěné pod skutečným správcem SYSTEM, ale obvykle může měnit systémové soubory. Změnou systémového soubory virem s právy administratora se může při příštím startu spustit proces, se kterým za běhu Windows podle mě dostupných informací nikdo nic nesvede.

Správcem systému je opravdu Administrator. Systémové procesy ovšem běží v kontextu System, nikoliv Administrator (na unixech je to jedno a totéž). Antiviry pracují také v kontextu System, a jsou rpavidla implementované jako drivery v řetězci mezi Win32 voláním pro práci si soubory a ovladačem disku (v tom řetězci je také file system, quota manager, šifrování a komprese na úrovni FS apod.). Z tohoto titulu může antivir přečíst cokoliv. Výjimkou je situace, kdy driver na nižší úrovni data ukryje, nebo když totéž provede kernelový modul (kernelový rootkit). To je ovšem problém na Windows stejně, jako na unixech, jen se kernelové rootkity u unixů asi tak často nevidí. Pro ilustraci si to lze zjednodušeně představit tak, že bych na Linuxu měl "zlý" (upravený) modul file systému ReiserFS, který by procesům ClamAV a Avast ukrýval některé soubory.

Prominte, ale jeste jsem na Linuxu nevidel proces, ktery bych jako root nemohl zabit. Ale pokud (jak tu nekdo rekl) uzivatel Administrator ve Windows nemuze zabit nektere procesy, tak to preci neni to same.

I ty muzes zabit. Pokud jim posles signal 9, tak jsou uz vlastne mrtvy a umrou okamzite po navratu z probihajiciho syscallu ...

okamzite po navratu z probihajiciho syscallu, takže třeba neumřou vůbec... Ve Windows je to podobné, s tím, že lze ukončení procesu vynutit. Viz utilita kill ze support tools, nebo taskkill v XP+. Některé systémové procesy jsou obecně chráněné, aby je nemohl odstřelit každý, kdo má práva admina.

Presne. Co sa tyka zaspavania v kerneli, jedna verzia k3b to vedela dokonale. Teraz pravdupovediac neviem, ci to bol bug priamo k3b, cdrecordu, driveru na CD mechaniku alebo kooperacny paradox - aj ked zase ziadny kernelovy kod by si toto dovolit ani pri chybnych argumentoch nemal ;-).

Proste proces bol natrvalo uspany v kerneli a nic moc s tym neslo spravit.

Co to pises prosim tebe? Spravny virovy proces se ti ani nevypise v seznamu procesu :-) Tak co potom chces killovat? Nektere rootkity ti fakt system dost pozmeni. Me asi pred deseti lety, kdyz jsem s linuxem zacinal, nekdo napadl server a zavedl tam prima zmeny. Asi dva dny jsem to resil, nez jsem nasel vsechny backdoory. Prisel jsem na prunik zcela nahodou tak, ze se mi nezdaly velikosti systemovych souboru a udelal jsem binarni kontrolu se zalohou. Pak uz jsem ovsem zacal patrat podrobneji. Mohu te ale ujistit, ze ps mi se zadnym argumentem nic podezreleho nevypsalo.

Neni nutne nahrazovat ReiserFS. Je mozne se za behu systemu napojit mezi ReiserFS a VFS (tj. tesne nad ReiserFS) a ukryvat soubory na teto urovni. Krome toho je tu samozrejme moznost napojit se vys, na volani open (mezi aplikaci a puvodni open).

Jak jste ovsem spravne poznamenal, kernel-level rootkity jsou problemem u vsech systemu (krome tech co maji kernel v ROM). V Linuxu se vyskytuji mene predevsim proto, ze prumerny linux nestoji prumernemu crackerovi za nabourani (a to predevsim proto, ze linuxovy spravce linuxu obvykle rozumi vic nez windowsi administrator windows).

Já vím, že není třeba nahrazovat ReiserFS, ale musel jsem to demonstrovat tak, aby to bylo jednoduše pochopitelné. Jo s tím o správcích systémů nelze než souhlasit :(

Prave si myslim, ze pre *nixy existovalo (aspon donedavna) rootkitov viac (skryvajucich subory, network connections, moduly, ...), dnes uz tazko povedat - hlavne sa to blbo pocita, uz trebars len kvoli poctu variant.

Pro *nixy existovalo a existuje mnohem vic druhu rootkitu, protoze mnohe z nich jsou jen proof of concept a protoze kazdy *nix vyzaduje jiny rootkit (a napr. linux i jine pro 2.2, 2.4 a 2.6). Pod windows je rootkitu mene, ale IMHO jsou rozsirenejsi, je vic zarootkitovanych kompu, vice instanci rootkitu.

Tak s tym mozem suhlasit, ja som pocital prave pocet druhov, nielen co sa tyka modifikacii pre jadra, ale celkovo rozlicne pristupy (plejada LKM rootkitov, vyhadzovanie sa z tabuliek procesov, ..., boot/init rootkity, pre ine *nixy ich uz tak dobre nepoznam, ale principy su podobne).

Pri cteni me napadlo nekolik moznych vylepseni

V korporatnim (ale i akademickem) prostredi jsou pocitace zasitovane, neni potom lepsi pouzit sit misto nejake flash?

1. Proc otravovat uzivatele se strkanim flash disku do pocitace?
Na jednom serveru by mohla bezet sluzba, kam by se vysypal vysledek testu. Nakonec by tam mohly byt i ty virove databaze. Pokud nemate silnou linku, tak poznate rozdil. I se silnou linkou je to vyhoda.

2. Proc uzivatele otravovat se psanim prikazu? Proste by strcil CD do mechaniky a (ne)dival by se na monitor, co se deje.

3. Skript specificky pro pocitac by mohl ulozen na serveru z bodu 1, pocitac by se mohl identifikovat napriklad podle MAC adresy (spravce si pohlida, aby opravdu byla jednoznacna).

To můžete rovnou bootovat ze sítě přes PXE. Pokud by server byl chytrý, pamatoval by si datum posledního skenu a podle toho by buď spustil kontrolu nebo pokračoval s bootováním. Výsledek by se opět uložit na server.

Říká se to o odpojení od sítě správně, ale popsaný způsob bootu sytému s antivirem přes PXE s tím nekoliduje - nakažený OS v tu chvíli není spuštěn, ke slovu se dostane jen BootROM síťové karty. Takže si dovedu představit situaci, kdy mám síť pracovních stanic s podporou Wake-on-LAN a PXE: 1. Byla nahlášena virová infekce a počítač vypnut -> na serveru místo "default local" dám "default Antivir", vzdáleně nakažený stroj zapnu a dál se rýpu prstem v nosu, zatímco antivir léčí... Přečtu log a teprve pak, možná, vstávám ze židle. 2. Lidi si stěžují, že jim ráno po zapnutí jejich pleček strašně dlouho běží antivirová kontrola celého disku (patrně součást bezpečnostní politiky firmy :), takže se tato vypne - zůstane jen rezidentní štít - a kontrola antivirem se dělá v noci z cronu (serveru) dle bodu 1.

Tak to mi prijde zatim jako nejrozumnejsi co sem tu cetl, jeste by to chtelo naky howto pro lamy a bylo by :)

Bohuzel IMHO boot pres PXE neni prave to prave orechove pro lamy :-(

To je vsechno hezke, ale potiz je, ze clamav nektere viry zarazuje do databaze i s mnohamesicnim zpozdenim anebo take vubec. Schvalne si zkuste otestovat to svinstvo, ktere dostavate mailem a porovnejte vysledky treba s Avastem. Vselijake ty postcards.exe a podobne. Treba v souboru verificar.exe s datem Nov 13 2005 mi clamav nasel Trojan.Downloader.Banload-667 az ted nekdy pred mesicem nebo dvema. Antivirus, ktery reaguje s takovym zpozdenim, je na dve veci - bohuzel. A kdyz jsem se jim jednou pokousel jeden kousek poslat, vysledek se nedostavil anebo za strasne dlouho. A to presto, ze se o nic cisteho nejednalo. Pri spusteni pod wine se to napojovalo na nejake irc servery, ktere na Internetovych diskusich byly dost spatne proflaknute.
Je pravda, ze neco podobneho se mi kdysi stalo s AVG a s virem, ktery se na usenetu objevoval v hafu diskusi. Ale AVG uz po nejakou dobu nema nejlepsi jmeno. Zda se ale, ze clamav neni lepsi. Da se o nem, bohuzel, rici jen to, ze je lepsi, nez nic. :-(

Při brouzdání porna nedávám svou reálnou emailovou adresu, takže mi svinstvo nechodí. Tedy s výjimkou reklamních emailů od Volný.cz :)

Tak to mate kliku, patrne mate jako adresu retezec nahodne vygenerovanych znaku, maximalni delky povolene v RFC. V opacnem pripade by vam, drive nebo pozdeji, zacal chodit alespon spam. BTW, nato, aby vam chodily viry staci, aby vase adresa byla v adresari Utlouku na zavirovanem pocitaci. A ani se nedozvite, kdo to vlastne poslal, maximalne ISP. Takovych viru uz bylo... Dokonce i jedno ceske ministerstvo (tusim vnitra) posilalo takto Magistrem zavirovane maily az do Kanady.

Souhlas. Na realnou emailovou adresu zacne zcela jiste chodit spam. Zdroje: scan emailu z ruznych zdroju, nahodne generace adres, zavirovane PC jinych uzivatelu majicich tuto adresu na HD. Ja to jednou testoval prima adresou asi 100 znaku dlouhou. Po tydnu pouzivani uz chodilo cca 10 spamu denne a utesene to narustalo. Abych uklidnil prispevovatele, podotykam, ze jsem si na uvedenou pokusnou adresu skutecne neobjednaval zasilani letaku ani erotickych obrazku :-)

Dalsi moznosti je Ultimate Boot CD, jehoz jednou z mnoha funkci je i antivirovej scan. Ma asi tri antiviry, tusim tam byl norton, f-prot a pci-cillin?

Sorry, je to F-Prot, McAfee, Avast! a AVG, ted jsem testoval aktualni verzi...

Aktualni verze ma podle info na ultimatebootcd.com virove definice z unora 2006. To taky neni zadna slava.

Nezapominejte, ze se dokaze pripojit na internet a stahnout update. Zkousel jsem to s F-Protem a fungovalo...

"Po skončení zvolené operace se CD automaticky vypne a vysune."

Vypínačom.... alebo príkazom # halt /dev/hdc

Celý článek je hezky napsaný, ale má jednu závažnou chybu: popisované řešení je příliš Linuxové!


Tím chci říci, že naprosto zbytečně a složitě popisuje jak CD vyrobit místo toho, aby jej skutečně vyrobil a zde umístil jen odkaz: Tady si stáhněte a vypalte ISO obraz.... který pak použijete podle popsaného návodu.

Ten kdo naprosto perfektně neovládá Linux nemůže tak rady popisované ve článku využít. Celý článek je mu na prd!

Takhle se to vubec nedela, nevim jak to autora clanku napadlo, ale asi nema dostatek zkusenosti s Windows. Co treba programek IceSword, ktery odhali VESKERE hackovani Windows kernelu, (mnohdy skodlive) pluginy v Internet Exploreru, nebo jednoduse skryte procesy? IceSword je v tomto nejlepsi, stupidni clamav se mu v nicem nevyrovna hlavne z toho duvodu, ze pripadny rootkit ci virus muze byt uplne novy, protoze ho uzivateli nekdo naprogramoval a podstrcil.

Tim narazim na to, ze zadny antivirus nenajde trojan, ktery si tu dokazu behem jednoho dne naprogramoval, optimalizovat i odladit pro dobrou funkcnost. To znamena ze 1 den prace se mi v pripade zajmu vyplati na tak dlouhou dobu, jakou obeti pobezi Windows bez reinstalace.

A k cemu bude clamav proti memu vlastnimu trojanu? Zatimco IceSword zjisti, ze hackuji Windows Kernel, nebo skryvam procesy, popr. pouzivam svuj vlastni sitovy driver, pres ktery nenapadne downloaduji a uploaduji, abych obesel firewallem hlidany defaultni driver...

Imho univerzalni reseni je IceSword a jemu podobne utility, ktere zobrazi vsechno a cervene zvyrazni podezrele knihovny, drivery, pluginy...

Jeste bych dodal, ze skript pousteny po startu mi pripada dost stupidni... V pripade, ze je to pocitac s SATA diskem tak nam to z nej rovnou smazne nejaky soubor (i kdyz nedulezity ViryC.txt tak presto...) - mnohem, mnohem lepsi by bylo udelat si nejakou jednoduchou autodetekci (co mame k dispozici, pripojit filesystemy, hledat na tech filesystemech soubor s definici testu...