[Erekle]

Online Solutions, меня всё-таки интересует несколько подробное разъяснение, сводится ли обнаружение руткитов к "двойному сканированию".

Подтверждаю: это замечательная программа. По крайней мере, Autoruns у меня вытеснил.

Из темы на Вирусинфо:

Цитата:

Цитата: - Думаю бесплатно до первого релиза смотрите * : *- доступно только в зарегистрированной версии (условия могут измениться в ближайшее время) - На самом деле смысл этой фразы немного другой (хотя согласна, что звучит слишком двусмысленно). Эта программа - один из модулей OSPD (другой программы этой компании). И если говорить грубо, то Autorun Manager просто оттуда "выдрали", из-за чего некоторые функции, к сожалению, остались недоступными (для примера, обратите внимание на меню по правой кнопки мыши: Move file to quarantine; Scan by antivirus...). Но по сути перенос ряда реализованных функций предполагается сделать в ближайшее время (конечно, не "Scan by antivirus", а конкретно тех, что помечены *). Поэтому и написано, что условия могут и измениться (но именно в бесплатную сторону, а не в платную, как бы странно это не было).

[Online Solutions]

Добрый вечер!

Цитата Erekle:

меня всё-таки интересует несколько подробное разъяснение, сводится ли обнаружение руткитов к "двойному сканированию". »

Да. Только не стоит понимать слова "двойное сканирование" в прямом смысле. Это просто название технологии. Технология обнаружения скрытых записей заключается в следующем: сравниваются два варианта сканирования:
- через функции операционной системы (ОС)
- и без использования функций ОС (прямой разбор системного реестра).
В случае нахождения каких-то отличий, запись считается скрытой.
Технические детали реализации являются know-how. :-)

[Erekle]

Цитата:

сравниваются два варианта сканирования

Понятно, спасибо.
Но если отличия есть по недосмотру разработчика легального компонента, который и не думал о сокрытыи, или по какой-нибудь другой причине, - эти записи и тогда будут считаться (преднамеренно) скрытыми? В частности, здесь (версия для печати) указывали, что в разряд скрытых попали драйверы от МС...

Из незначительных минусов:

Цитата:

программа создает очень много временных файлов. Запускала программу раз 6 - несколько сотен файлов tmp после нее осталось.

Также - всё-таки программа не из разряда "нажми раз-два", и без меню, только с кнопками, как-то как без рук...

Профессиональный разбор сабжа

[Pili]

Отличная программа.

Цитата Online Solutions:

генерация файла отчета двух видов (текстовый и html*) со всей информацией об автозагрузке. »

Это будет в следующих релизах? Есть запись в log, что в общем тоже не плохо )

[Erekle]

Накопившиеся от разных программ и уже ненужные дополнения к Проводнику и другим меня достали, и сегодня проводил генеральную чистку OSAM-ой, потому что эти расширения и модули все сидели в автозапуске (некоторые не то что без спроса, но и без нужды и скрытно от пользователя).

Выявился один несущественный недостаток - очевидно из-за того, что программа конечнего вида пока не обрела. В частности: расширение-DLL от File Menu Tools. Из автозапуска убрал, из CLSID - тоже, файл удалил. Но программа пишет, что "файл найден, но детали недоступны" (что на желтом фоне). Путь к нему тот, который и вёл прямой дорогой. Но файла ведь нет? В Деталях указано: Raw Registry Parameter - HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,{C1B2C38F-3DCA-4E3D-BC34-D5B87B636543} - вот такого ключа в реестре нет. Значит, RAW, но в итоге ошибка.
То же самое в отношении uxtuneup.dll (оказалось, TuneUp вешает свой дизайн-сервис на Svchost). Файла нет, в реестре нет, но есть Raw Registry Parameter, которого в реестре глазами не видно, - и в результате OSAM говорит, что файл на диске имеется.

И ещё одно - желательно наличие быстрого пойска, с помощью которого можно было бы сразу отыскать, имеется ли в автозагрузке интересующийся файл - в т. ч. и по частичному совпадению в имени. С существующим инструментом я как-то не до конца разобрался.

Надеюсь, эти замечания будут полезны - программа в самом деле очень нравится.

[Online Solutions]

Цитата Erekle:

Но если отличия есть по недосмотру разработчика легального компонента, который и не думал о сокрытыи, или по какой-нибудь другой причине, - эти записи и тогда будут считаться (преднамеренно) скрытыми? В частности, здесь (версия для печати) указывали, что в разряд скрытых попали драйверы от МС... »

Отличий такого плана быть не может. То есть здесь идет речь именно о том, что на одном "уровне" доступа к данным эти данные видны и их удается получить (не используя штатных функций OS), а на другом "уровне" (более простом, используя стандартные функции) - эти данные не видны. Это 100% скрытие и ничем другим являться не может.

По тому линку, что Вы привели, к сожалению, не смог найти то, на что Вы хотели сослаться. Но, подозреваю, что Вы перепутали два статуса: "hidden record (rootkit activity)" и "file not found" (посмотрите подсказку по цветам в 'легенде' сбоку экрана; либо подробнее прочитайте на сайте Saule: описание Online Solutions Autorun Manager - OSAM.

Первый статус обозначает, что запись в реестре скрыта. Это точно руткит. Второй статус касается самих файлов. Он всего лишь означает, что при попытке считать информацию о файле (версию, производителя и т.п.), оказалось, что такого файла не существует. Запись в реестре есть, а файла, на который эта запись ссылается - нет. Чисто теоретически, конечно, это может свидетельствовать о рутките, который прячет файлы. Но в 99% случаев - это просто обычная ситуация, когда файла действительно нет на диске. И переживать по этому поводу не стоит совершенно. По этому поводу введем более подробные разъяснения (записал: OSPD-2499).

Есть небольшая проблема с определением статуса как "file not found" в разделе драйверов, но это только касается тех записей, где путь определен как "system32\drivers\имя-файла"; эта ошибка будет исправлена (OSPD-2191).

[Online Solutions]

Цитата Erekle:

Из незначительных минусов: Цитата: программа создает очень много временных файлов. Запускала программу раз 6 - несколько сотен файлов tmp после нее осталось.

Об этой проблеме мы в курсе, она будет решена (OSPD-2179).
Как над нами уже пошутили: "Зато вы можете воспользоваться бесплатной программой 'OSPC: Privacy Cleaner' для удаления временных файлов".

Цитата Erekle:

Также - всё-таки программа не из разряда "нажми раз-два", и без меню, только с кнопками, как-то как без рук... »

Про это уже отвечал, будем совершенствовать usability.

Цитата Pili:

Отличная программа.

Спасибо за Ваш отзыв! Нам они очень важны.

Цитата Pili:

Цитата Online Solutions: генерация файла отчета двух видов (текстовый и html*) со всей информацией об автозагрузке. Это будет в следующих релизах? Есть запись в log, что в общем тоже не плохо ) »

Да. Это будет доступно в следующем публичном релизе. Осталось подождать совсем немного.

[Online Solutions]

Добрый день!

Уважаемый, Erekle, спасибо за Ваши сообщения, они нам очень ценны! Мы хотели бы пригласить Вас на наш форум, так как это уже вопросы, касающиеся технической поддержки. Все эти вопросы можно задать там и таким образом получить на них ответы гораздо быстрее.

Цитата Erekle:

Выявился один несущественный недостаток - очевидно из-за того, что программа конечнего вида пока не обрела. В частности: расширение-DLL от File Menu Tools. Из автозапуска убрал, из CLSID - тоже, файл удалил. Но программа пишет, что "файл найден, но детали недоступны" (что на желтом фоне). Путь к нему тот, который и вёл прямой дорогой. Но файла ведь нет? В Деталях указано: Raw Registry Parameter - HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,{C1B2C38F-3DCA-4E3D-BC34-D5B87B636543} - вот такого ключа в реестре нет. Значит, RAW, но в итоге ошибка. То же самое в отношении uxtuneup.dll (оказалось, TuneUp вешает свой дизайн-сервис на Svchost). Файла нет, в реестре нет, но есть Raw Registry Parameter, которого в реестре глазами не видно, - и в результате OSAM говорит, что файл на диске имеется. »

На самом деле это всего лишь отключенные элементы, которые при необходимости можно восстановить так же, как отключили - просто вернув на место галочку и нажав Apply. Поле Raw Registry содержит в себе данные о том, где данный объект находится (если он отмечен как включенный) или находился (если рядом с ним галочка снята) в реестре.

Если Вы хотите избавиться от "отключенных" записей совсем (чтобы они не отображались в списке), то закройте программу и удалите файл "\Data\osamdata.bin" (здесь хранятся данные об отключенных ключах реестра) и каталог "\FileStorage\" внутри каталога "\Data\" (в FileStorage хранятся файлы). Удалять нужно и то, и другое. Что-то одно - нельзя.

В ближайшем релизе будет сделана функция удаления отключенных записей через интерфейс программы.

Цитата Erekle:

И ещё одно - желательно наличие быстрого пойска, с помощью которого можно было бы сразу отыскать, имеется ли в автозагрузке интересующийся файл - в т. ч. и по частичному совпадению в имени. С существующим инструментом я как-то не до конца разобрался. Надеюсь, эти замечания будут полезны - программа в самом деле очень нравится. »

Поиск вызывается кнопкой "Search" в toolbar (верхнее меню), либо комбинацией клавиш "Ctrl+F". Там есть возможность поиска по имени файла. Искать нужно либо по всем разделам, либо по текущему. В имени файла можно использовать маски (например, "ux?uneu*"). Так же не забывайте об отличной функции - "группировка по файлам" (кнопка "Group by full path" в верхнем меню). В этом случае по выбранному Вами файлу будет указана вся информация о том, где он прописан в автозапуске (все ключи реестра и все файловые каталоги).

[Online Solutions]

Добрый вечер!

Вышло долгожданное обновление OSAM: Autorun Manager - v1.0.0.5974. Очень кратко об изменениях по сравнению с предыдущей версией:

• введена система фильтров, позволяющая быстро и удобно анализировать только те компоненты автозагрузки, которые интересны в данный момент или вызывают наибольшее подозрение (например, изначально анализировать только заблокированные файлы, скрытые записи и т. п.);
• новая функция: частичное обновление - чтобы не пересканировать все области автозагрузки, можно обновить информацию по отдельной группе, что значительно экономит время;
• появилась возможность удаления ранее отключенных элементов одним кликом мыши (удаление из внутреннего хранилища);
• доступен для использования html-лог;
• добавлено несколько новых способов автозагрузки (внимание: в ближайшее время будет добавлено еще несколько);
• исправлен ряд ошибок в "двойном-сканировании", противодействующем руткитам (rootkits) на уровне ядра (RING0);
• улучшен алгоритм поиска скрытых ключей на уровне приложений (RING3);
• исправлены ошибки в обработке (анализе данных) некоторых ключей;
• значительные улучшения в детальной информации о записях в реестре и файлах - теперь гораздо больше информации, которая позволяет судить о записях (дата добавления записи в реестр, тип загрузки драйвера/сервиса, его текущий статус - запущен или нет, дата отключения записи и т. п.);
• улучшена система поиска в автозагрузке;
• улучшен интерфейс ("легенда", настройки, подписи для кнопок на toolbar), что добавило привлекательности программе;
• реализована поддержка Windows v2000 (полнофункциональная работа, как и на других ОС линейки NT).

Скачать OSAM: Autorun Manager v1.0.0.5974 можно здесь. Расчитываем на ваши отзывы!