Názory k článku Antivirus CD: Co dokáže a jak ho vyrobit?
-
Jiří J. (neregistrovaný)No mě avast pod linuxem tak často killoval systém, že jsem ho raději smazal. Nejvíce to způsobovalo testování /dev, nahodil jsem vyjímku.. ale i při hlášení výsledků na konci scanu (test mého ~/ )se to kouslo a musel jsem zmáčknout magické tlačítko reset na bedně. Jak GUI, tak konzolová verze.
ClamAV jede vpohodě :) -
Samozrejme NTFS to UMI, jinak by to skutecne bylo k nicemu...
Ale pozor - CD na bazi Knoppixu 3.9 a 4.0 je v pohode, vyscanovat NTFS neni zadny problem.
Problem nastava s nejnovejsim Knoppix 5.0.1! Ten NTFS sice cte, ale omylem nevidi nektere adresare, ktere maji v nazvu pismenko s diakritikou.
Chybicka v Knoppixu, proto verzi 5.0.1 pro NTFS nepouzivat... -
Patrik (neregistrovaný)Preji pekny den.
Protoze jsem v clanecku ne zcela pochopil nektera vychozi tvrzeni autorky, rad bych pozadal o vysvetleni.
Jde mi o nasledujici informaci:
'„Windowsovské” antiviry nemají za běhu Windows přístup do jejich systémových souborů. Za běhu Windows se virus může před strážci systému schovat.'
Znamena to, ze antivirus do systemovych souboru nemuze a virus ano? Co znamena, ze se v systemovych souborech (bylo-li to tak mysleno) muze virus schovat? A jak se tam dostane, kdyz na rozdil od antiviru typicky nema autorizaci pro podobnou operaci?
Diky
P. -
Krysa (neregistrovaný)Ačkoliv jsem s windows nepracoval již dlouho, dovolil bych si připomenout ještě jednu skutečnost: Antiviry se ve windows na bázi NT(2000, XP) obvykle spouští pod uživatelem administrator. administrator ale není správce systému. Skutečnost je taková, že ve windows se ani správce nemůže přihlásit jako skutečný správce systému. Díky tomu nemůže ukončit procesy spuštěné pod skutečným správcem SYSTEM, ale obvykle může měnit systémové soubory. Změnou systémového soubory virem s právy administratora se může při příštím startu spustit proces, se kterým za běhu Windows podle mě dostupných informací nikdo nic nesvede.
-
K2 (neregistrovaný)Správcem systému je opravdu Administrator. Systémové procesy ovšem běží v kontextu System, nikoliv Administrator (na unixech je to jedno a totéž). Antiviry pracují také v kontextu System, a jsou rpavidla implementované jako drivery v řetězci mezi Win32 voláním pro práci si soubory a ovladačem disku (v tom řetězci je také file system, quota manager, šifrování a komprese na úrovni FS apod.). Z tohoto titulu může antivir přečíst cokoliv. Výjimkou je situace, kdy driver na nižší úrovni data ukryje, nebo když totéž provede kernelový modul (kernelový rootkit). To je ovšem problém na Windows stejně, jako na unixech, jen se kernelové rootkity u unixů asi tak často nevidí. Pro ilustraci si to lze zjednodušeně představit tak, že bych na Linuxu měl "zlý" (upravený) modul file systému ReiserFS, který by procesům ClamAV a Avast ukrýval některé soubory.
-
K2 (neregistrovaný)okamzite po navratu z probihajiciho syscallu, takže třeba neumřou vůbec... Ve Windows je to podobné, s tím, že lze ukončení procesu vynutit. Viz utilita kill ze support tools, nebo taskkill v XP+. Některé systémové procesy jsou obecně chráněné, aby je nemohl odstřelit každý, kdo má práva admina.
-
su - \mathfrak{M}ĦĒNJMARCHON (neregistrovaný)Presne. Co sa tyka zaspavania v kerneli, jedna verzia k3b to vedela dokonale. Teraz pravdupovediac neviem, ci to bol bug priamo k3b, cdrecordu, driveru na CD mechaniku alebo kooperacny paradox - aj ked zase ziadny kernelovy kod by si toto dovolit ani pri chybnych argumentoch nemal ;-).
Proste proces bol natrvalo uspany v kerneli a nic moc s tym neslo spravit. -
Mard (neregistrovaný)Co to pises prosim tebe? Spravny virovy proces se ti ani nevypise v seznamu procesu :-) Tak co potom chces killovat? Nektere rootkity ti fakt system dost pozmeni. Me asi pred deseti lety, kdyz jsem s linuxem zacinal, nekdo napadl server a zavedl tam prima zmeny. Asi dva dny jsem to resil, nez jsem nasel vsechny backdoory. Prisel jsem na prunik zcela nahodou tak, ze se mi nezdaly velikosti systemovych souboru a udelal jsem binarni kontrolu se zalohou. Pak uz jsem ovsem zacal patrat podrobneji. Mohu te ale ujistit, ze ps mi se zadnym argumentem nic podezreleho nevypsalo.
-
Neni nutne nahrazovat ReiserFS. Je mozne se za behu systemu napojit mezi ReiserFS a VFS (tj. tesne nad ReiserFS) a ukryvat soubory na teto urovni. Krome toho je tu samozrejme moznost napojit se vys, na volani open (mezi aplikaci a puvodni open).
Jak jste ovsem spravne poznamenal, kernel-level rootkity jsou problemem u vsech systemu (krome tech co maji kernel v ROM). V Linuxu se vyskytuji mene predevsim proto, ze prumerny linux nestoji prumernemu crackerovi za nabourani (a to predevsim proto, ze linuxovy spravce linuxu obvykle rozumi vic nez windowsi administrator windows). -
Pro *nixy existovalo a existuje mnohem vic druhu rootkitu, protoze mnohe z nich jsou jen proof of concept a protoze kazdy *nix vyzaduje jiny rootkit (a napr. linux i jine pro 2.2, 2.4 a 2.6). Pod windows je rootkitu mene, ale IMHO jsou rozsirenejsi, je vic zarootkitovanych kompu, vice instanci rootkitu.
-
su - \mathfrak{M}ĦĒNJMARCHON (neregistrovaný)Tak s tym mozem suhlasit, ja som pocital prave pocet druhov, nielen co sa tyka modifikacii pre jadra, ale celkovo rozlicne pristupy (plejada LKM rootkitov, vyhadzovanie sa z tabuliek procesov, ..., boot/init rootkity, pre ine *nixy ich uz tak dobre nepoznam, ale principy su podobne).
-
Tomas (neregistrovaný)Pri cteni me napadlo nekolik moznych vylepseni
V korporatnim (ale i akademickem) prostredi jsou pocitace zasitovane, neni potom lepsi pouzit sit misto nejake flash?
1. Proc otravovat uzivatele se strkanim flash disku do pocitace?
Na jednom serveru by mohla bezet sluzba, kam by se vysypal vysledek testu. Nakonec by tam mohly byt i ty virove databaze. Pokud nemate silnou linku, tak poznate rozdil. I se silnou linkou je to vyhoda.
2. Proc uzivatele otravovat se psanim prikazu? Proste by strcil CD do mechaniky a (ne)dival by se na monitor, co se deje.
3. Skript specificky pro pocitac by mohl ulozen na serveru z bodu 1, pocitac by se mohl identifikovat napriklad podle MAC adresy (spravce si pohlida, aby opravdu byla jednoznacna). -
anonymnípokud vim tak se vsude rika ze nakazeny pocitac se ma ihned odpojit od site a zapojit zpet az kdyz je cisty coz si myslim i skript v clanku dodrzuje mozna az zbytecne neb virus by v prostredi linuxu nemel mit moznost fungovat, ale jistota je jistota ;) proto asi reseni s centralni spravou neni nijak idealni i kdyz realizovatelne by to bylo.
a co se tyce uzamcenych souboru ve windows jsou to typicky pagefile.sys a jeste asi tri soubory ktere treba F-secure hlasi jako nezkontrolovane, co rekne avast ted z hlavy nevim. Treba pagefile.sys je idealni ten se porad meni takze antivirus by stejne nic moc nezmohl i kdyz ten muzete pro jistotu pred rebootem smazat a windows si ho po bootu znovu vytvorej ale jestli s virem nebo bez to uz nevim.... -
Sandžůró (neregistrovaný)Říká se to o odpojení od sítě správně, ale popsaný způsob bootu sytému s antivirem přes PXE s tím nekoliduje - nakažený OS v tu chvíli není spuštěn, ke slovu se dostane jen BootROM síťové karty. Takže si dovedu představit situaci, kdy mám síť pracovních stanic s podporou Wake-on-LAN a PXE: 1. Byla nahlášena virová infekce a počítač vypnut -> na serveru místo "default local" dám "default Antivir", vzdáleně nakažený stroj zapnu a dál se rýpu prstem v nosu, zatímco antivir léčí... Přečtu log a teprve pak, možná, vstávám ze židle. 2. Lidi si stěžují, že jim ráno po zapnutí jejich pleček strašně dlouho běží antivirová kontrola celého disku (patrně součást bezpečnostní politiky firmy :), takže se tato vypne - zůstane jen rezidentní štít - a kontrola antivirem se dělá v noci z cronu (serveru) dle bodu 1.
-
Jarda (neregistrovaný)To je vsechno hezke, ale potiz je, ze clamav nektere viry zarazuje do databaze i s mnohamesicnim zpozdenim anebo take vubec. Schvalne si zkuste otestovat to svinstvo, ktere dostavate mailem a porovnejte vysledky treba s Avastem. Vselijake ty postcards.exe a podobne. Treba v souboru verificar.exe s datem Nov 13 2005 mi clamav nasel Trojan.Downloader.Banload-667 az ted nekdy pred mesicem nebo dvema. Antivirus, ktery reaguje s takovym zpozdenim, je na dve veci - bohuzel. A kdyz jsem se jim jednou pokousel jeden kousek poslat, vysledek se nedostavil anebo za strasne dlouho. A to presto, ze se o nic cisteho nejednalo. Pri spusteni pod wine se to napojovalo na nejake irc servery, ktere na Internetovych diskusich byly dost spatne proflaknute.
Je pravda, ze neco podobneho se mi kdysi stalo s AVG a s virem, ktery se na usenetu objevoval v hafu diskusi. Ale AVG uz po nejakou dobu nema nejlepsi jmeno. Zda se ale, ze clamav neni lepsi. Da se o nem, bohuzel, rici jen to, ze je lepsi, nez nic. :-( -
Jarda (neregistrovaný)Tak to mate kliku, patrne mate jako adresu retezec nahodne vygenerovanych znaku, maximalni delky povolene v RFC. V opacnem pripade by vam, drive nebo pozdeji, zacal chodit alespon spam. BTW, nato, aby vam chodily viry staci, aby vase adresa byla v adresari Utlouku na zavirovanem pocitaci. A ani se nedozvite, kdo to vlastne poslal, maximalne ISP. Takovych viru uz bylo... Dokonce i jedno ceske ministerstvo (tusim vnitra) posilalo takto Magistrem zavirovane maily az do Kanady.
-
Mard (neregistrovaný)Souhlas. Na realnou emailovou adresu zacne zcela jiste chodit spam. Zdroje: scan emailu z ruznych zdroju, nahodne generace adres, zavirovane PC jinych uzivatelu majicich tuto adresu na HD. Ja to jednou testoval prima adresou asi 100 znaku dlouhou. Po tydnu pouzivani uz chodilo cca 10 spamu denne a utesene to narustalo. Abych uklidnil prispevovatele, podotykam, ze jsem si na uvedenou pokusnou adresu skutecne neobjednaval zasilani letaku ani erotickych obrazku :-)
-
Je jedno kdo (neregistrovaný)Celý článek je hezky napsaný, ale má jednu závažnou chybu: popisované řešení je příliš Linuxové!
Tím chci říci, že naprosto zbytečně a složitě popisuje jak CD vyrobit místo toho, aby jej skutečně vyrobil a zde umístil jen odkaz: Tady si stáhněte a vypalte ISO obraz.... který pak použijete podle popsaného návodu.
Ten kdo naprosto perfektně neovládá Linux nemůže tak rady popisované ve článku využít. Celý článek je mu na prd! -
--==[FReeZ]==-- (neregistrovaný)Takhle se to vubec nedela, nevim jak to autora clanku napadlo, ale asi nema dostatek zkusenosti s Windows. Co treba programek IceSword, ktery odhali VESKERE hackovani Windows kernelu, (mnohdy skodlive) pluginy v Internet Exploreru, nebo jednoduse skryte procesy? IceSword je v tomto nejlepsi, stupidni clamav se mu v nicem nevyrovna hlavne z toho duvodu, ze pripadny rootkit ci virus muze byt uplne novy, protoze ho uzivateli nekdo naprogramoval a podstrcil.
Tim narazim na to, ze zadny antivirus nenajde trojan, ktery si tu dokazu behem jednoho dne naprogramoval, optimalizovat i odladit pro dobrou funkcnost. To znamena ze 1 den prace se mi v pripade zajmu vyplati na tak dlouhou dobu, jakou obeti pobezi Windows bez reinstalace.
A k cemu bude clamav proti memu vlastnimu trojanu? Zatimco IceSword zjisti, ze hackuji Windows Kernel, nebo skryvam procesy, popr. pouzivam svuj vlastni sitovy driver, pres ktery nenapadne downloaduji a uploaduji, abych obesel firewallem hlidany defaultni driver...
Imho univerzalni reseni je IceSword a jemu podobne utility, ktere zobrazi vsechno a cervene zvyrazni podezrele knihovny, drivery, pluginy... -
rsaf (neregistrovaný)Jeste bych dodal, ze skript pousteny po startu mi pripada dost stupidni... V pripade, ze je to pocitac s SATA diskem tak nam to z nej rovnou smazne nejaky soubor (i kdyz nedulezity ViryC.txt tak presto...) - mnohem, mnohem lepsi by bylo udelat si nejakou jednoduchou autodetekci (co mame k dispozici, pripojit filesystemy, hledat na tech filesystemech soubor s definici testu...
