Перейти к содержимому


Фото
- - - - -

не работают исключения превентивной защиты

превентивная исключения

  • Please log in to reply
9 ответов в этой теме

#1 chelny_it

chelny_it

    Newbie

  • Posters
  • 18 Сообщений:

Отправлено 09 Июнь 2021 - 18:21

Добрый день!
 
Превентивная защита упорно игнорирует исключения для программы и библиотеки.  ПО взято по ссылке гитхаб.com/angelbbs/NiceHashMinerLegacy/releases  до недавнего времени проблем не было, даже в исключения добавлять не требовалось. добавилась функция запуска программы и все накрылось. на данный момент выходу из положения отключая превентивную защиту до запуска ПО и не перезагружая пк. Подскажите что сделать еще чтоб доктор понял наконец что это нужное ПО

Spoiler

 

p.s. форум не позволяет прикреплять архив с отчетом размером 32 Мб с ошибкой "Этот файл слишком велик".  Поэтому приложу ссылкой https://yadi.sk/d/se5fyEhPVdN87g



#2 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 09 Июнь 2021 - 19:06

до недавнего времени проблем не было, даже в исключения добавлять не требовалось

 

До недавнего времени был баг в продуктах и соответствующий эвристик малвари не работал, пофиксили в arkapi 12.6, который вышел недавно.

 

Майнер юзает известный уязвимый подписанный драйвер для доступа к ядру, что характерно для малвари.

 

2021-Jun-09 17:44:28.314788 [ 5700] [INF] [arkdll] [4636]

id: 23623, timestamp: 17:43:43.336, type: ServiceStart (58), flags: 1 (wait: 1)
sid: S-1-5-18, cid: 816/6740:\Device\HarddiskVolume2\Windows\System32\services.exe
behaviour: create_service, drop_executable, modify_executable
  request by: \Device\HarddiskVolume2\NHML\NiceHashMinerLegacy.exe:10988
  fileinfo: size: 3383296, easize: 40, attr: 0x820, buildtime: 31.05.2021 08:54:06.000, ctime: 31.05.2021 15:10:53.000, atime: 09.06.2021 17:43:32.893, mtime: 31.05.2021 15:10:53.000, descr: , ver: , company: , oname:
  file sha1: 538517570633101313678d599c5f9bc070b118e0
  file sha256: faca05b104ce7e7022ec79c3c0dde4a61f120583436647e00b766fd4bec80081
  status: unsigned, pe32, new_pe, dot_net / unsigned / unknown / unknown / unknown
  svc name: WinRing0_1_2_0, wow64: 0
  hips: type: 3, action: allow [2]
  svc command: \??\C:\NHML\OpenHardwareMonitorLib.sys
  cmd:
resolved path: C:\NHML\OpenHardwareMonitorLib.sys, status: db_cert_white_list, signed, pe64, driver (600204)
  fileinfo: size: 14544, easize: 40, attr: 0x820, buildtime: 26.07.2008 16:29:37.000, ctime: 31.05.2021 15:11:45.000, atime: 09.06.2021 17:43:41.245, mtime: 09.06.2021 17:43:41.245, descr: WinRing0, ver: 1.2.0.5, company: OpenLibSys.org, oname: WinRing0.sys
  signer: C=JP|CN=Noriyuki MIYAZAKI, timestamp: 26.07.2008 16:30:38.000, thumbprint: cda98ac4019456095593902e4b4a87ac283ed54a
  file sha1: d25340ae8e92a6d29f599fef426a2bc1b5217299
  file sha256: 11bd2c9f9e2397c9a16e0990e4ed2cf0679498fe0fd418a3dfdac60b5c160ee5
  status: db_cert_white_list, signed, pe64, driver / signed / unknown / unknown / white
path: \Device\HarddiskVolume2\NHML\NiceHashMinerLegacy.exe ==> denied access to file
process: \Device\HarddiskVolume2\NHML\NiceHashMinerLegacy.exe:10988 ==> suspended all threads in process
path: \Device\HarddiskVolume2\NHML\NiceHashMinerLegacy.exe ==> quarantined
send driver event reply for unblock process ==> success
process: \Device\HarddiskVolume2\NHML\NiceHashMinerLegacy.exe:10988 ==> terminated
disinfect: \Device\HarddiskVolume2\NHML\NiceHashMinerLegacy.exe ==> quarantined [8]
analyze object behavior and find traces:
can't find traces for object: \Device\HarddiskVolume2\NHML\NiceHashMinerLegacy.exe
threat: DPH:Trojan.SoftLoader ==> sended user virus found alert
path: \Device\HarddiskVolume2\NHML\OpenHardwareMonitorLib.sys ==> denied access to file
path: \Device\HarddiskVolume2\NHML\OpenHardwareMonitorLib.sys ==> quarantined
disinfect: \Device\HarddiskVolume2\NHML\OpenHardwareMonitorLib.sys ==> quarantined [8]
threat: DPH:Trojan.SoftLoader ==> sended user virus found alert
id: 23623 ==> denied [5], time: 44976.028800 ms

 

Исключения не поддержаны, сделаем.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#3 chelny_it

chelny_it

    Newbie

  • Posters
  • 18 Сообщений:

Отправлено 09 Июнь 2021 - 19:20

оперативненько :). спасибо



#4 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 11 Июнь 2021 - 18:36

в бете уже можно исключать. добавлять путь к процессу в исключения процессов у спайдер гарда.


With best regards, Konstantin Yudin
Doctor Web, Ltd.

#5 chelny_it

chelny_it

    Newbie

  • Posters
  • 18 Сообщений:

Отправлено 16 Июнь 2021 - 17:15

обновления прилетели от 16.06. в исключения гуарда sys и dll докинул. все равно превентивная рубит, у нее вроде как не было изменений. Пока работаем по прежнему способу



#6 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 16 Июнь 2021 - 17:26

обновления прилетели от 16.06. в исключения гуарда sys и dll докинул. все равно превентивная рубит, у нее вроде как не было изменений. Пока работаем по прежнему способу

По Вашему скрину программа карантинится по DPH. А DPH это эвристик спайдера, а не превентивка.

Стоит убрать созданное в превентивке правило для Вашего приложения.

Вышел ли сегодня фикс исключений для приложений и процессов спайдера, я не знаю.



#7 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 16 Июнь 2021 - 17:33

обновления прилетели от 16.06. в исключения гуарда sys и dll докинул. все равно превентивная рубит, у нее вроде как не было изменений. Пока работаем по прежнему способу

нужные еще в бете
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#8 chelny_it

chelny_it

    Newbie

  • Posters
  • 18 Сообщений:

Отправлено 16 Июнь 2021 - 17:55

интересно что спайдер не считает OpenHardwareMonitorLib.sys проблемой. сам говорит что угрозы не найдены и предлагает восстановить

Spoiler



#9 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 16 Июнь 2021 - 18:00

интересно что спайдер не считает OpenHardwareMonitorLib.sys проблемой. сам говорит что угрозы не найдены и предлагает восстановить

Spoiler

DPH - это эвристик спайдера. Он работает только когда файл запускается. А сам спайдер (и сканер тоже) проверяет и перепроверяет файл только по базам.



#10 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 16 Июнь 2021 - 18:08

Исключений в поведенческом анализе превентивки не существует, там можно только создать правила для конкретного приложения.

Фиксят сейчас исключения для спайдера, которые отвалились.


Сообщение было изменено SergSG: 16 Июнь 2021 - 18:09




Also tagged with one or more of these keywords: превентивная, исключения

Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых