# Форум на русском языке  > Решения по информационной безопасности  > Другие программы по безопасности  > Публичное бета-тестирование  >  Бетта тестирование AVZ 3.65

## Зайцев Олег

Вышла новая новая версия AVZ - 3.65.0. Версия доступна для загрузки тут: http://z-oleg.com/secur/avz-dwn.htm (http://z-oleg.com/avz-betta3.zip)
Радикальные новшества и пределки:

[-] В ходе проверки архива не работала кнопка "Стоп" - останов происходил только после завершения проверки текущего архива - исправлено
[-] На максимуме эвристики шло ложное срабатывание на каждый файл, извлеченный из архива (сообщение из-за того, что PE файл имеет расширение TMP) - исправлено
[++] *Переделан GUI* - он стал поддерживать стили XP, вроде бы решились проблемы с копированием лога в буфер обмена
[+] Задание порога размера архива для проверки (по умолчанию - 10 МБ)
[+] Добавлена поддержка архивов формата GZIP и TAR
[+] Добавлена поддержка архивов MHT
[++] *Добавлена поддержка проверки писем электронной почты* (EML, MSG и все производные от них, в частности вложенные письма, письма с альтернативными фрагментами и т.п.)
[+] Добавлена работа с INI файлами win.ini и System.ini для менеджера автозапуска
[++] *Эвристическое удаление файлов*. Суть его состоит в том, что если в ходе лечения удалялись вредоносные файлы и включена эта опция, то производится автоматическое исследование системы, охратывающее классы, BHO, расширения IE и Explorer, все доступные AVZ виды автозапуска, Winlogon, SPI/LSP и т.п.
Все найденные ссылки на удаленный файл автоматически вычищаются с занесением в протокол информации о том, что конкретно и где было вычищено. Для этой чистки активно применяется движок микропрограмм лечения системы
[+] Вывод данных о безопасности процесса в анализаторе портов TCP/IP, если процесс опознан по базе
безопасных
----
В новой версии обновлена базы вирусов - добавлено около 430 новых "зверей", усовершенствован эвристик. Я провел работу над ложными срабатываниями и пополнил базу "правильных" файлов примерно на 3 тыс. образцов. У версии 3.65 в базе 15098 сигнатур, 1 нейропрофиль, 55 микропрограмм лечения, 289 микропрограммы эвристики, 5 микропрограмм восстановления настроек системы, 33802 подписей безопасных файлов

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Geser

Только вот теперь я не вижу русских букв. Одни вопросики  :Sad:  Хоть и стоит использовать русские фонты для не юникод программ  :Sad:

----------


## Зайцев Олег

> Только вот теперь я не вижу русских букв. Одни вопросики  Хоть и стоит использовать русские фонты для не юникод программ


 Это полохо - значит, я что-то перемудрил - сейчас попробую это воспроизвести у себя

----------


## Geser

Может всётаки вытащиш в ресурсы все надписи? Мы бы помогли перевести...

----------


## Зайцев Олег

> Может всётаки вытащиш в ресурсы все надписи? Мы бы помогли перевести...


 Я работаю над переводом ... вынести строки в ресурсы нереально, очень много строки собираются в динамике (несколько сотен). Сейчас я делаю переводчик, он почти готов - он по базе переводит фразы. Т.е. если, например,  в AVZ встречается фраза "Сохранить протокол", то она певодится и перевод "Save log" один раз заносится в базы. И затем переводчик автоматом переведет ее во всех местах программы

----------


## Arkadiy

Я сейчас запустил АВЗ и она нашла какой-то вирус, но удалять его нехочет, несмотря на то что галочку рядом с "выполнять лечение" я поставил. Может потому что это он в архиве?

----------


## pig

> C:\WINDOWS\webdlg32.cab/{CAB}/webdlg32.inf>>>>> Вирус !! AdvWare.ToolBar.SBSoft.g
> C:\WINDOWS\webdlg32.cab/{CAB}/webdlg32.dll>>>>> Вирус !! AdvWare.ToolBar.SBSoft.g


Да, в архиве. Надо найти сам архив (C:\WINDOWS\webdlg32.cab) и прибить.

----------


## Arkadiy

> Да, в архиве. Надо найти сам архив (C:\WINDOWS\webdlg32.cab) и прибить.


Найден и удалён

----------


## Зайцев Олег

Кстати, в тему (в хелпе пока этого нет) - при обнаружении в архиве чего-то AVZ форматирует имя как .../{тип архива}/... Если архив содержит вложенные архивы, то в "пути" соответственно будет развернута вся цепочка. При этом если просмотреть список найденных вредоносных файлов, то туда попадет именно архив верхнего уровня - это позволяет при желании прибить его вручную.

----------


## Geser

И еще, как насчет опубликовать утилитку для создания файлов с сигнатурами что бы сисадмины могли быстро добавлять безопасные файлы?

----------


## Geser

И еще одна вещь нужна. Возможность писать в протокол все проверенные файлы с указанием находится файл в списке безопасных или нет. удобно когда присылают файлы на проверку быстро отсеять безопасные.

----------


## Зайцев Олег

> И еще, как насчет опубликовать утилитку для создания файлов с сигнатурами что бы сисадмины могли быстро добавлять безопасные файлы?


 Чисто технически это сделать можно, я нечто похожее как-то уже пробовал - но приведет это к тому, что по Инет начнут гулять "левые" базы "правильных" файлов. Плюс когда мне присылают чистые файлы для базы, то нередко в их рядах вылавливается 2-3 трояна (хотя присылает их сисадмин)... Хотя подумать об этом можно - я уже давно думаю о том, чтобы сделать нечто типа локального списка безопасных файлов (база открытого вида, в TXT или MD5 формате).

----------


## Зайцев Олег

> И еще одна вещь нужна. Возможность писать в протокол все проверенные файлы с указанием находится файл в списке безопасных или нет. удобно когда присылают файлы на проверку быстро отсеять безопасные.


 вот это нужно непременно нужно сделать - прямо сейчас немедленно и сделаю, а то забуду ... (я уже хотел такое сделать и забыл ... - именно для экспресс проверки присылаемых файлов, поскольку сейчас AVZ умеет проверять только один файл за раз ... что естественно неудобно. Только сразу вопрос - включить это в AVZ или сделать небольшую консолькую/GUI утилитку ? Напрашивается утилита ...

----------


## Geser

> вот это нужно непременно нужно сделать - прямо сейчас немедленно и сделаю, а то забуду ... (я уже хотел такое сделать и забыл ... - именно для экспресс проверки присылаемых файлов, поскольку сейчас AVZ умеет проверять только один файл за раз ... что естественно неудобно. Только сразу вопрос - включить это в AVZ или сделать небольшую консолькую/GUI утилитку ? Напрашивается утилита ...


В идеале возможность добавления в контекстное меню правой кнопки  :Smiley:  Если нет, то типа утилитки

----------


## santy

Добрый день!

1. MD5 таки нет еще на сайте с avz.
2. Сканировали машину с опцией проверять архивы.... при включенном мониторе drweb. Drweb ругнулся на  файл avz992_1.tmp размещенный в папке ...documents and  settings\...\local settings\temp. (файл вам отправил, это из семейства Istbar-ов (Trojan-Downloader.Win32.IstBar.ki)
Эффект распаковки зараженного архива?

----------


## Зайцев Олег

> Добрый день!
> 
> 1. MD5 таки нет еще на сайте с avz.
> 2. Сканировали машину с опцией проверять архивы.... при включенном мониторе drweb. Drweb ругнулся на  файл avz992_1.tmp размещенный в папке ...documents and  settings\...\local settings\temp. (файл вам отправил, это из семейства Istbar-ов (Trojan-Downloader.Win32.IstBar.ki)
> Эффект распаковки зараженного архива?


 1. MD5 нет, моя вина, сегодня положу ...
2. Да, avz992_1.tmp - это файлы, порождаемые при распаковке. avz - префикс имени, 992 - PID процесса AVZ, _1 - уровень вложения - в случае вложенного архива будет 2 и т.п. Значит, монитор учуял вынутый из архива файл и сработал ... это нормально, и AVZ не боится ситуации, связанной с тем, что монитор удалит или заблокирует доступ к такому временному файлу.

----------


## vegass

taze baida znaki voprosov krugom , chto delat?

----------


## Зайцев Олег

> taze baida znaki voprosov krugom , chto delat?


 Пока идет поиск пути решения - выходом станет версия, нормально работающая в Unicode или англоязычный вариант. Прочто я пока не могу воспроизвести у себя эту ситуацию (все системы, имеющиеся под рукой, такому багу не подвержены. К примеру, у меня на W-2003 Server в региональных настройках для not-Unicode программ стоит Russian и отображение русских букв идет нормально).
*to santy*
Я поместил MD5 сумму (после описания версии)

----------


## Grey

У меня что на русской что на английской WinXP SP2 тоже с русским все в норме.

----------


## Гость

> И еще одна вещь нужна. Возможность писать в протокол все проверенные файлы с указанием находится файл в списке безопасных или нет. удобно когда присылают файлы на проверку быстро отсеять безопасные.


Для админов,безусловно,удобно.А персональщикам  оно не всегда  и надо. За отдельную утиль! Кому надо- сольют.

----------


## Зайцев Олег

> Для админов,безусловно,удобно.А персональщикам  оно не всегда  и надо. За отдельную утиль! Кому надо- сольют.


 Так и поступим ...
Доступна версия 3.65.02 - в ней вроде-бы решена проблема с отображением ресских букв в англоязычных операционках. Плюс пойман баг с подвисанием AVZ в ходе сканирования многотомных CAB архивов.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Dandy

А проверка MIME так и не работает (см. тестовые письма)
пароль на архив: virus

P.S. То администратор: добавьте возможность загружать вложения с расширением rar. Thanks a lot...

----------


## anton_dr

При проверке, когда окно сворачивается в трей, неплохо было бы чтоб при наведении курсора показывался индикатор прогресса.

----------


## Зайцев Олег

> При проверке, когда окно сворачивается в трей, неплохо было бы чтоб при наведении курсора показывался индикатор прогресса.


 Логично, сейчас приделаю к иконке в трее Hint с информацией и менюшку.
*to Dandy*  
За образцы спасибо, как оказалось, собака зарыта не в анализаторе MIME, а гораздо выше - в анализаторе типа файла. Дело в том, что AVZ определяет тип по содержимому файла, у EML файла как правило первой строкой идет "Return-Path:" или "From:", а в данном случае - "Date:". Я сейчас подкручу анализатор и все будет работать как надо.

----------


## Dandy

То Олег:
Олег, Вы мое письмо по поводу eml, msg, tnef не получали?!   :Huh:  
там их было даже два...

----------


## Зайцев Олег

> То Олег:
> Олег, Вы мое письмо по поводу eml, msg, tnef не получали?!   
> там их было даже два...


 Нет - если можно, повторите на [email protected] ... 
Кстати, в одном из писем-образцов еще одна штука поймалась - анализатор AVZ как-то криво X-UUE отрабатывает (тип определяет, но в раскодированном варианте "зверя" не видит)

----------


## Geser

> P.S. То администратор: добавьте возможность загружать вложения с расширением rar. Thanks a lot...


Dobavil

----------


## Grey

* Олег*
Выслал Вам AdWare MyWebSearch

----------


## Зайцев Олег

> * Олег*
> Выслал Вам AdWare MyWebSearch


 Спасибо, сейчас загоню его в базы ...

----------


## userr

Чего пока не умеет AVZ по сравнению с hijackthis ? Или уже покрывает как бык овцу  :Smiley:

----------


## DenZ

Олег, в отчет "Исследование системы" в некоторых случаях попадают файлы, известные AVZ как безопасные (см. фрагмент лога), хотя стоит галка исключать их из протокола.
Например, *spidernt.exe* (известный AVZ как безопасный) в "Службах" и "Автозапуске" закрашен как небезопасный, хотя файл один и тот же, но AVZ почему-то его не опознает.
Кстати, в "Автозапуске" часто не "опознаются" безопасные файлы, запускаемые с ключами или без расширений (например, *C:\WINDOWS\system32\dumprep 0 -k*).

----------


## Geser

> Чего пока не умеет AVZ по сравнению с hijackthis ? Или уже покрывает как бык овцу


Да вроде уже всё умеет

----------


## DenZ

При сканировании архивов в логе постоянно появляются строки вида:
...
C:\DOCUME~1\86C2~1\LOCALS~1\Temp\avz_1744_1.tmp Invalid file - not a PKZip file
D:\Soft\Other\2002\Office XP\FILES\OSP\1049\IE5\RU\VMX86_01.CAB Access violation at address 00402680 in module 'avz.exe'. Read of address 01593C48
D:\Software\bigle3d.zip Cannot create file "C:\DOCUME~1\86C2~1\LOCALS~1\Temp\avz_1744_10.tmp"  . Процесс не может получить доступ к файлу, так как этот файл занят другим процессом
D:\Software\Fonts\Fontog35.zip Cannot create file "C:\DOCUME~1\86C2~1\LOCALS~1\Temp\avz_1744_10.tmp"  . Процесс не может получить доступ к файлу, так как этот файл занят другим процессом
...Причем последних строк очень много, меняются только название архивов, а временный файл, который не может создать AVZ, в текущем сеансе везде один.
Антивирусный монитор отключен, что мешает AVZ создать временный файл?

Выводы:
Опытным путем удалось выяснить, что сбой происходит при проверке архива VMX86_01.CAB (Access violation at address 00402680 in module 'avz.exe') и последующие архивы перестают проверяться, т.к. AVZ не может создать временный файл (avz_1744_10.tmp), который сам уже создал ранее при проверке VMX86_01.CAB и продолжает его использовать до выхода из AVZ!

----------


## VEGASS

AVZ 3.65.02  TE ZE SAMQE GLUKI  S KODIROVKOI NA ENGL VINDE   RANSHE   TAKGOO NE BQLO  V VINDE PODERZKA RUSKIH SHRIFTOV VKLU4ENA,, GDE BQ SKA4AT  PREZNIE RABO4IE VERSII?NA SAITE  IH UZE NET DLA SKA4KI

----------


## Geser

О, я смотрю появился version.txt. Это хорошая идея  :Smiley:

----------


## userr

> Да вроде уже всё умеет


может, тогда изменить рекомендации к разделу "Помогите", убрав *hijackthis*? Юзерам проще иметь дело с одной программой

----------


## Geser

> может, тогда изменить рекомендации к разделу "Помогите", убрав *hijackthis*? Юзерам проще иметь дело с одной программой


Пока что для контроля hijackthis оставим, но один лог, а второй будет от АВЗ. Вдруг АВЗ чего-то не знает. Вечером подредактирую инструкцию.

----------


## Зайцев Олег

> О, я смотрю появился version.txt. Это хорошая идея


 Это у меня склерозная книжка  :Smiley:  Чтобы знать, что в какой версии менялось - я теперь такой файлик во все версии буду помещать, с описанием, что и где поменялось. 
to Denz



> Выводы:[/B][B]Опытным путем удалось выяснить, что сбой происходит при проверке архива VMX86_01.CAB (Access violation at address 00402680 in module 'avz.exe') и последующие архивы перестают проверяться, т.к. AVZ не может создать временный файл (avz_1744_10.tmp), который сам уже создал ранее при проверке VMX86_01.CAB и продолжает его использовать до выхода из AVZ!


Судя по всему этот VMX86_01.CAB многотомный ... баг понятен, исправляю




> Пока что для контроля hijackthis оставим, но один лог, а второй будет от АВЗ. Вдруг АВЗ чего-то не знает. Вечером подредактирую инструкцию.


Совершенно верно, убирать лог Hijack нельзя ... у него есть свои плюсы и есть шанс, что Hijack поймает что-то, чего не ловит AVZ (а в исследовании системы нет пока данных про файл Hosts и еще нескольких моментов - но они скоро появятся)

----------


## vegass

proinformiruyte plz kak  gluk s  nadpisami  v avz budet  ispravlen,a to se4as odni ???????????????????? znaki voprosov

----------


## Зайцев Олег

> proinformiruyte plz kak  gluk s  nadpisami  v avz budet  ispravlen,a to se4as odni ???????????????????? znaki voprosov


 Версия 3.65.02 проходила тестирование на англоязычных системах - все работает. Возможно, что-то некорретное на самом ПК ?

----------


## anton_dr

Вроде писал позавчера, а поста нету?
Еще раз. При идущей прверке и свертывании в трей неплохо было бы при наведении курсора на значок АВЗ неплохо было ьы видеть индикатор прогресса, а не надпись Антивирусная утилита АВЗ

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Geser

Прикол, только заметил опрос  :Smiley:

----------


## _HEKTO_

> Версия 3.65.02 проходила тестирование на англоязычных системах - все работает. Возможно, что-то некорретное на самом ПК ?


Подтверждаю. У меня все стало нормально отображаться (W2k SP4 Server)

----------


## VEGASS

)))nado ze u mena  okazqvaetsa winda xp eng  na inoplanetnom yazqke)))

----------


## vegass

win xp sp2 eng .   sp2

----------


## dima26

> Версия 3.65.02 проходила тестирование на англоязычных системах - все работает. Возможно, что-то некорретное на самом ПК ?


Я проверил  на английском XP prof. SP2.  Если в ОС указано, что не UNICODE - это кирилица, тогда все нормально, в противном случае (например -немецкий) тогда знаки "?"   :Huh:

----------


## Зайцев Олег

> Я проверил  на английском XP prof. SP2.  Если в ОС указано, что не UNICODE - это кирилица, тогда все нормально, в противном случае (например -немецкий) тогда знаки "?"


 Да, в моем тесте кстати аналогично - не Unicode стоит кирилица, тогда все нормально ...

----------


## dima26

> Да, в моем тесте кстати аналогично - не Unicode стоит кирилица, тогда все нормально ...


Но это было и в предыдущей версии.
Все таки хотелось бы в будущем увидеть именно Unicode ну или английский GUI.

----------


## Зайцев Олег

> Но это было и в предыдущей версии.
> Все таки хотелось бы в будущем увидеть именно Unicode ну или английский GUI.


 Я не хочу делать Unicode - с ним может быть проблема на ПК с Win9x ... а вот англоязычная версия готовится

----------


## pig

> Я не хочу делать Unicode - с ним может быть проблема на ПК с Win9x


Конечно, будет, куда денется. Прикольно сделать две версии морды в разных DLL и при запуске выбирать в соответствии с платформой. Впрочем, это не горит, нам интереснее ехать.

----------


## dima26

> Я не хочу делать Unicode - с ним может быть проблема на ПК с Win9x ... а вот англоязычная версия готовится


А есть смысл поддерживать win9x, при том, что и ad-ware под него пишут мало?

----------


## Зайцев Олег

> А есть смысл поддерживать win9x, при том, что и ad-ware под него пишут мало?


 Есть конечно - подавляющее большинство AdWare отлично чувствуют себя под 9x ... и у меня в сети ПК с 9х сотни. Так что поддерживать 9х придется еще долго.

----------


## Гость

> Да, в моем тесте кстати аналогично - не Unicode стоит кирилица, тогда все нормально ...


neponal ,  eto zavisit ot versii  vindq ili  nado ru4kami vqstavit  ne unicode a cirilicy ?kstati  v  bolee ranih versiah    avz    2,6....    s  nadpisami bqlo vse ok  moget vernut vse kak bqlo ranshe?

----------


## dima26

> neponal ,  eto zavisit ot versii  vindq ili  nado ru4kami vqstavit  ne unicode a cirilicy ?kstati  v  bolee ranih versiah    avz    2,6....    s  nadpisami bqlo vse ok  moget vernut vse kak bqlo ranshe?


В версиях W2K и WinXP необходимо в настройках системы поставить, что программы, не поддерживающие Unicode - кирилица. Тогда все работает.
Не знаю, как было раньша, а с предыдущей версии ничего визуально не изменилось.

----------


## Shu_b

> Есть конечно - подавляющее большинство AdWare отлично чувствуют себя под 9x ... и у меня в сети ПК с 9х сотни. Так что поддерживать 9х придется еще долго.


аналогично.... с фингалом под глазом, за правое дело. сорри......

----------


## Зайцев Олег

Вышел новый AVZ  ver 3.65.07
Изменения и дополнения:
[+/-] Исправлены различные баги с проверкой архивных и почтовых файлов, доработаны алгоритмы
[+] Усовершенствовано эвристическое удаление файлов
[+] Добавлен переключатель "Проверять чистые объекты по базе безопасных" на закладку "Типы файлов" - при его включении все "чистые" по мнению AVZ файлы проверяются по базе безопасных и результат проверки вносится в протокол.
[+] В процессе сканирование во всплывающую подсказку иконки в трее и значка на панели выводится выполняемая операция, процент выполнения и ориентировочное время до завершения
[+] Улучшено копирование в карантин
[+] Доработано отложенное удаление файла (в частности, при ручном запуске
отложенного удаления предлагается произвести автоматическую зачистку
ссылок на него в системе)
[+] Обновлена справка по работе с программой
-----------
У новой версии в базу добавлено примерно 400 новых сигнатур, в обновленной базе 15506 сигнатур, 1 нейропрофиль, 55 микропрограмм лечения, 294 МП эвристики, 33802 цифровых подписей системных файлов. В базе переработан эвристик - добавлено детектирование ряда новых зверей

----------


## Geser

1. Зачистка реестра не работает при  удалении файла в результатах поиска файлов, а надо бы.
2. А почему нет возможности удалять BHO, а только возможность отключить?

А вообще, нашел у меня на рабочем компе адварь BHO эвристиком  :Smiley: 
Он, конечно был уже отключен в ИЕ, т.к. давно показался мне подозрительным, но как-то забыл покопать дальше. В общем хорошая программа выходит  :Smiley:

----------


## DimaT

*Олег*
Xoтел сегодня опробовать новую версию на работе, но увы...
На машинах, где не установлена поддержка русского, в GUI (меню и т.д.) - "крякозаблы"...  :Sad: 
Планируется Multiple language support?
По крайней мере английский?...
Программа сделана добротно, быстро развивается и жаль, если её можна _юзать_  только на машинах с предустановленной поддержкой русского языка...
Тем более, это не сложно сделать...

----------


## pig

> Планируется Multiple language support?


Да. См. выше по тексту.

----------


## DimaT

> Да. См. выше по тексту.


В том то и дело, что я не имею в виду вариант: 


> В версиях W2K и WinXP необходимо в настройках системы поставить, что программы, не поддерживающие Unicode - кирилица. Тогда все работает.


, а по крайней мере англоязычную версию, обещанную *Олегом*...

----------


## Зайцев Олег

> 1. Зачистка реестра не работает при удалении файла в результатах поиска файлов, а надо бы.
> 2. А почему нет возможности удалять BHO, а только возможность отключить?
> 
> А вообще, нашел у меня на рабочем компе адварь BHO эвристиком 
> Он, конечно был уже отключен в ИЕ, т.к. давно показался мне подозрительным, но как-то забыл покопать дальше. В общем хорошая программа выходит


1. Да, это я обязательно сделаю
2. Упущение, обазательно добавлю такую кнопочку

Адварь я посмотрел - ее обнаружение внесено в эвристик недавно, оказалось, это действительно "зверь"

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Dandy

Запуск из сетевых папок опять "поломатый"

----------


## pig

> В том то и дело, что я не имею в виду вариант:
> 
> 
> 
> 
> 			
> 				В версиях W2K и WinXP необходимо в настройках системы поставить, что программы, не поддерживающие Unicode - кирилица...
> 			
> 		
> ...


Так ведь и я об этом.

----------


## VEGASS

AVZ ver 3.65.07
   s  ETOI  NADPISI VSE OK   , NAKONEC TO

----------


## Зайцев Олег

> Запуск из сетевых папок опять "поломатый"


 Моя вина - причина найдена, исправляю ...

----------


## dima26

При сканировании в одном файле "подозрение на троян .... " Я почти уверен, что это ложное срабатывание. Нужно ли прислать этот файл и если да, то куда.

----------


## Iceman

Конечно отправить! 
Как: самое простое ;-)) - запустить программу АВЗ ->справка->о программе. Там написано.
Удачи.

----------


## dima26

> Конечно отправить! 
> Как: самое простое ;-)) - запустить программу АВЗ ->справка->о программе. Там написано.
> Удачи.


Отправил.

----------


## Гость

А можно в диспетчере процессов выделять цветом еще одну категорию процессов? i.e. хочется, если процесс проходит по базе как безопасный, но у его подгружены dllки, которые по базе безопасных файлов не проходят - выделять скажем красным цветом? А то сейчас пол часа рылся, в попытках найти из какого процесса была загружена вирусяка.

----------


## Geser

> А можно в диспетчере процессов выделять цветом еще одну категорию процессов? i.e. хочется, если процесс проходит по базе как безопасный, но у его подгружены dllки, которые по базе безопасных файлов не проходят - выделять скажем красным цветом? А то сейчас пол часа рылся, в попытках найти из какого процесса была загружена вирусяка.


Это удобнее делать по логу исследования системы

----------


## DimaT

*Олег, Geser*
В инете появилась ''устрашающая'' инфа: 


> В российском сегменте Интернета обнаружен новый вирус, активно распространяющийся по популярной системе интернет-пейджинга ICQ. Обычно вирус первично проявляется в виде сообщения от кого-либо знакомого (по всей видимости, уже зараженного) из контакт-листа ICQ, сообщение содержит вопрос о том, нет ли у получателя webmoney ("Есть webmoney?", "Привет, у тебя случайно нету webmoney?" и другие). 
> Затем обычно следует призыв посмотреть "прикольный флешь" или фраза "Смотри флашка прикольная!" (возможны другие варианты), которая сопровождается ссылкой на лежащий на одном из сайтов в российском Интернете исполняемый файл (зафиксировано название "chipes.exe", размер 22 308 байт). 
> 
> Получатели, открывшие этот файл, подвергаются заражению. В настоящее время, после звонка корреспондента "Ленты.Ру" хостинг-провайдеру сайта, где был размещен файл с фирусом, (российской компании в одном из крупных городов) изначальный источник распространения вредоносной программы был нейтрализован. В то же время, существует вероятность, что вирус распространяется еще через какие-либо сайты. 
> 
> Пока неизвестно, что именно делает вирус на зараженном компьютере помимо дальнейшей рассылки себя по ICQ. Известно, что некоторые пользователи ICQ-аккаунтов, которыми воспользовался вирус, не могут получить доступ к своей "аське". По всей видимости, работающие в области компьютерной безопасности компании вирус еще не изучили, так как популярные антивирусные средства его не опознают. Подробной информации специалистов об особенностях его поведения на уже зараженных машинах пока нет (в "диспетчере задач" процесс chipes.exe отсутствует, в процедурах автозапуска не прописывается). Всем пользователям ICQ рекомендуется ни в коем случае не открывать подозрительные .exe и другие исполняемые файлы из Интернета.


Хотелось бы услышать Ваш комментарий.
_Дружит_ ли он с AVZ?

----------


## Зайцев Олег

> *Олег, Geser*
> В инете появилась ''устрашающая'' инфа: 
> Хотелось бы услышать Ваш комментарий.
> _Дружит_ ли он с AVZ?


Пока информация и образец вируса лично мне не поступал, появится - внесу в базы. Мне кажется, что слухи об "супевирусе" в Инет существенно преувеличены. Для запуска вируса нужно иметь ICQ, полезть по присланной непонятно кем ссылке, выбрать запуск Exe (а не его сохранение) - слишком все сложно для эпидемии. Но пострадавшие явно будут

----------


## Зайцев Олег

Данный "ICQ вирус" изучен, его поймали разработчики VBA и поделились образцом для анализа. Вот описание вируса http://virusinfo.info/showthread.php?p=52533#post52533, а в аттаче - обновление AVZ для его поиска
Вирус, как оказалось, детектируется эвристиком AVZ, т.к. обладает руткит-механизмом.
Вот пример лога AVZ 
 Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
   SDT = 80559B80
   KiST = 804E2D20 (284)
Функция ZwQuerySystemInformation (AD) перехвачена (8057CC27->FCB3E300), перехватчик C:\WINDOWS\system32\drivers\SYSpnch.sys

----------


## DimaT

> ...в аттаче - обновление AVZ для его поиска
> Вирус, как оказалось, детектируется эвристиком AVZ, т.к. обладает руткит-механизмом.


Aй да Зайцев! Ай да молодец!  :Appl: 
Вот это заслуживает особой похвалы!
А куда ложить *daily.avz*? В подпапку *Base* без переименований?
И когда планируется обновление AVZ с автоматическим его удалением?
Тем более, ты собирался сделать несколько поправок...  :Cheesy:

----------


## DimaT

Для интереса сразу после AVZ с daily.avz запустил *Ad-Aware SE* с definitions file:SE1R60 *04.08.2005*: 



> Ad-Aware SE Build 1.05
> Logfile Created on:4 августа 2005 г. 19:37:52
> Using definitions file:SE1R60 04.08.2005
> »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»  »
> References detected during the scan:
> »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
> AlertSpy(TAC index:1):1 total references
> MRU List(TAC index:0):34 total references
> Tracking Cookie(TAC index:3):20 total references
> ...


На эти 21 critical objects (Data Miner) AVZ не _заточен_?

----------


## Geser

> Для интереса сразу после AVZ с daily.avz запустил *Ad-Aware SE* с definitions file:SE1R60 *04.08.2005*: 
> 
> На эти 21 critical objects (Data Miner) AVZ не _заточен_?


Куки детектить смысла нет. Никакой опасности они не представляют.

----------


## DimaT

> Куки детектить смысла нет. Никакой опасности они не представляют.


 Ну не от _скуки_ ведь это делает Ad-Aware?   :Wink:

----------


## Зайцев Олег

> Aй да Зайцев! Ай да молодец! 
> Вот это заслуживает особой похвалы!
> А куда ложить *daily.avz*? В подпапку *Base* без переименований?
> И когда планируется обновление AVZ с автоматическим его удалением?
> Тем более, ты собирался сделать несколько поправок...


Да, daily.avz нужно положить в папку Base - после этого AVZ видит сможет детектировать и удалять зверя. Тут еще нужно специалистов VBA поблагодарить - без их помощи "зверь" появился бы у меня только к вечеру.



> Ну не от _скуки_ ведь это делает Ad-Aware?


Детектировать кукизы AVZ не будет ... а зачем они в других продуктах - объясню. Во первых для объема базы (вот, в тестах антиспайверов - ловить некая программа X ничего не умеет, а база - 100 тыс. сигнатур), во вторых - для рекламы работы - типа никто ничего не поймал, а вот наша программа X - штук 50 разных паразитов нашла и удалила.
Техническая справка - кукиз IE - это небольшой текстовый файлик, он не может быть запущен или каким-то образом выполнен и опасности по сути не несет. Охота на кукизы многих антиспайверов доходит до паранои, один из лидеров - Ad-Aware SE - они к примеру ловят куки от Rambler, download.ru и т.п. Я занимаю радикальную позицию в этом вопросе, в моей статье КомпьютерПресс 7'2005 я довольно резко прошелся по этому поводу - по ловле кукизов в целов и по Ad-Aware + кукизы в частности

----------


## pig

Права человека вообще и Privacy в частности - это пунктик у западных граждан. Священная корова, не приносимая в жертву даже антитеррористической кампании. Так что tracking cookies - это не технический вопрос, а идеологический.

----------


## Зайцев Олег

> Права человека вообще и Privacy в частности - это пунктик у западных граждан. Священная корова, не приносимая в жертву даже антитеррористической кампании. Так что tracking cookies - это не технический вопрос, а идеологический.


 Да, согласен. Тут есть еще один моментик (важный для пользователя) - приходят к юзеру сети "люди в черном" и говорят - "служба безопасности ! Отвечайте, в интернет не выходил ? Порнуху/кректи/троянов не качал ?". Пользователь конечно "никак нет" - а те смотрят - а в кеше IE куча файлов + тьма кукизов - по ним сразу видно, что и в порнуху ходил, и креки качал ... и каюк  :Smiley:  (естественно, имеются в виду неподконтрольные ПК, типа ноутбуков ... - где есть возможность выхода в инет через модем). Вот отсюда, мне кажется, и культ "чистки следов"

----------


## AndreyKa

У меня предложение. Сделать включенной по умолчанию птичку напротив опции «Добавить протокол последнего сканирования AVZ» в диалоге "Исследование системы".
Уже пару раз приходили логи исследования системы без лога сканирования.
Предлагаю также сохранять последний лог сканирования AVZ в папке программы и добавлять его в протокол исследования системы, если в текущей сессии сканирование не проводилось.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Xen

Предлагаю сделать AVZ опен сурс и выложить на sourceforge.net =)

----------


## dima26

> Да, согласен. Тут есть еще один моментик (важный для пользователя) - приходят к юзеру сети "люди в черном" и говорят - "служба безопасности ! Отвечайте, в интернет не выходил ? Порнуху/кректи/троянов не качал ?". Пользователь конечно "никак нет" - а те смотрят - а в кеше IE куча файлов + тьма кукизов - по ним сразу видно, что и в порнуху ходил, и креки качал ... и каюк  (естественно, имеются в виду неподконтрольные ПК, типа ноутбуков ... - где есть возможность выхода в инет через модем). Вот отсюда, мне кажется, и культ "чистки следов"


Я бы предложил в будущем добавить  нахождение и удаление  кукиз по желанию пользователя и ууж точно не по умолчанию, но это далеко не первоочередная задача.

----------


## Geser

> Я бы предложил в будущем добавить  нахождение и удаление  кукиз по желанию пользователя, но это далеко не первоочередная задача.


Для чистки кукизоф и временных файлов полно бесплатных программ.

----------


## userr

Олег, может быть можно снова начать выкладывать обновления баз отдельно?

----------


## DimaT

> Детектировать кукизы AVZ не будет ... а зачем они в других продуктах - объясню...
>  Я занимаю радикальную позицию в этом вопросе, в моей статье КомпьютерПресс 7'2005 я довольно резко прошелся по этому поводу - по ловле кукизов в целов и по Ad-Aware + кукизы в частности


 Позиция понятная и аргументированная...
А _под руками_ ссылки на эту статью нет?

----------


## Зайцев Олег

> Позиция понятная и аргументированная...
> А _под руками_ ссылки на эту статью нет?


 КомпьютерПресс кажется не публикует статьи в Инет (или публикует с существенной задержкой)

----------


## Зайцев Олег

> Олег, может быть можно снова начать выкладывать обновления баз отдельно?


 Сейчас апдейты идут 1 раз в 10 дней - за это время накапливаются переделки самой программы. Другое дело в том, что я пытаюсь уменьшить размер баз - вроде, получается ...

----------


## DimaT

> Сейчас апдейты идут 1 раз в 10 дней - за это время накапливаются переделки самой программы. Другое дело в том, что я пытаюсь уменьшить размер баз - вроде, получается ...


А пытаешься уменьшить размер баз за счет чего?
Когда планируется выпустить перевод на английский?

----------


## Geser

> Когда планируется выпустить перевод на английский?


Да, народ требует английского  :Smiley:  Может помочь с переводом?

----------


## RobinFood

Вчера тестировал AVZ в боевых условиях - чужая "запущенная" машина плюс жесткая нехватка времени. Симптомы: сильно грузит сеть, периодически дохнет taskmgr. netstat -a -n -o показал, что процесс с определенным ID (отсутствующим в taskmgr) сканит 445-й порт.

Качаю AVZ, запускаю сканирование памяти (на сканирование дисков времени нет). При сканировании памяти обнаруживается парочка известных зверей, штук пять подозрений, наличие API-rootkit (сорри за отсутствие лога) и два скрытых процесса. Запускаю встроенный в AVZ диспетчер процессов, вижу оба этих процесса. Выделяю, жму "копировать в карантин". Файлы скопировались, но процессы остались. Убиваю процессы. Смотрю на наличие файлов в SYSTEM32 - нету (тут я тормознул: rootkit-то все еще активен). 

Перезагружаю систему - оба процеса опять присутствуют. Соображаю, что так и должно быть - ведь "Копировать в карантин" это именно копировать, а не переместить. На том я и остановился - на перезагрузку в safe mode времени уже не было (да и не было уверенности, что она поможет).

Кстати, заметил такую проблему в диспетчере процессов: после убиения процесса он на некоторое время все еще остается в списке. Если попытаться убить его повторно - в AVZ возникает access violation.

Выслал эти файлы (вместе с подозрительными) на [email protected]

В связи с вышенаписанным у меня возникли следующие пожелания по развитию:
1. При обнаружении скрытого процесса выводить не только имя, но и полный путь исполняемого файла.
2. В диспетчер процессов добавить кнопку... как же ее лучше назвать? "Убить процесс и переместить исполняемый файл в карантин"?  :Smiley:  Или просто "Переместить в карантин"?
3. Исправить access violation при попытке убить уже убитый процесс.

----------


## RobinFood

В дополнение к вышенаписанному: просканил все 6 файлов на www.virustotal.com.

В результате обнаружилось, что первый и третий - это (по классификации symantec) backdoor.berbew.n, второй (по symantec) - w32.ifbo.a, четвертый - вообще не вирус, а часть софтины Mercury QuickTest. Пятый определяется касперским как not-a-virus:porn-dialer.win32.minidial.a, шестой им же как Trojan-Downloader.Win32.Axload.a.

----------


## DimaT

> ...заметил такую проблему в диспетчере процессов: после убиения процесса он на некоторое время все еще остается в списке. Если попытаться убить его повторно - в AVZ возникает access violation.
> 
> В связи с вышенаписанным у меня возникли следующие пожелания по развитию:
> 1. При обнаружении скрытого процесса выводить не только имя, но и полный путь исполняемого файла.
> 2. В диспетчер процессов добавить кнопку... как же ее лучше назвать? "Убить процесс и переместить исполняемый файл в карантин"?  Или просто "Переместить в карантин"?
> 3. Исправить access violation при попытке убить уже убитый процесс.


 Толковое предложение.   :good:  
ИМХО, будет удобно...

А в моем случае как раз помогла только перезагрузка в safe mode...

*Олег*, а как ты _умудряешься_ удалить ''особо-коварных'' без safe mode?

----------


## Зайцев Олег

> Толковое предложение.   
> ИМХО, будет удобно...
> 
> А в моем случае как раз помогла только перезагрузка в safe mode...
> 
> *Олег*, а как ты _умудряешься_ удалить ''особо-коварных'' без safe mode?


 Если процесс защищается от убиения, то прибить без SafeMode (а иногда и отключения HDD для его подключения к здоровому ПК; или загрузки с CD, на которой Linux или урезанный XP) не выходит. Путей много - иногда удается переименовать файл (тогда он не загрузится), иногда - отложенное удаление. Эвристическое удаление часто помогает - файл прибить нелья, а ссылки удается. Плюс конечно антируткит. 
*to RobinFood*
Я изучил маскирующегося "зверя" - это сетевой червяк Net-Worm.Win32.Padobot.z по классификации AVP. И он неплохо маскируется - файлы и процессы не видны.

----------


## DimaT

> Если процесс защищается от убиения, то прибить без SafeMode не выходит. Путей много - иногда удается переименовать файл (тогда он не загрузится), иногда - отложенное удаление. Эвристическое удаление часто помогает - файл прибить нелья, а ссылки удается. Плюс конечно антируткит.


 Ну и как реальное состояние знает менее ''продвинутый юзер'' AVZ (в log, скорее всего, он ''не пойдёт'')?
Я несколько раз вручную удалял в SafeMode.
Иногда действительно достаточно переименовать файл и перезагрузиться...

----------


## Зайцев Олег

> Ну и как реальное состояние знает менее ''продвинутый юзер'' AVZ (в log, скорее всего, он ''не пойдёт'')?
> Я несколько раз вручную удалял в SafeMode.
> Иногда действительно достаточно переименовать файл и перезагрузиться...


 Обычно AVZ пробует все методы - попробовал один, если не срабоатло - другой и т.п. Если простое удаление не работает, то файл обязательно ставится на отложенное удаление - вот об этом информация попадает в лог и в хвосте обязательно пишется, что обязательна перезагрузка.

----------


## kps

Только что убедился в том, что у AVZ первоклассный эвристик.
Просканировал один "больной" комп и эвристик среагировал на
intelii32.exe>>> подозрение на Trojan.Win32.Agent.ba
NHelper.dll>>> подозрение на AdvWare.NavExcel.h

Проверка на вирустотале показала, что эти два файла действительно "звери".

----------


## Гость

> Это удобнее делать по логу исследования системы


Интересо - как? Вот сейчас на машие живет зверюга - Trojan-Downloader.Win32.Swizzor.dp (KAV). Зверюга активна, торчит из пространства iexplorer.exe, сам iexplorer.exe - зеленого цвета в диспетчере задач. В протоколе ничего нету.

----------


## Geser

> Интересо - как? Вот сейчас на машие живет зверюга - Trojan-Downloader.Win32.Swizzor.dp (KAV). Зверюга активна, торчит из пространства iexplorer.exe, сам iexplorer.exe - зеленого цвета в диспетчере задач. В протоколе ничего нету.


В логе исспедования системы видны все dll. Там можно найти все неизвестнте.

----------


## Зайцев Олег

Вышла версия 3.70. Радикальные переделки:
[++] Переделан формат AV баз. В результате объем баз уменьшился примерно на 120 кб. Это пожалуй самое радикальное изменение. Усилен эвристик, переработаны имеющиеся микропрограммы.
[++] Эвристическое удаление - усовершенствован алгоритм
[++] Эвристическое удаление подключено к расширенному протоколу и поиску файлов - выводится запрос о том, как удалять файлы
[+] В исследовании системы добавлена опция, позволяющая автоматически архивировать протокол в ZIP архив
[+] Доработана поддержка ключей командной строки с учетом новых возможностей программы
[+] Интрефейс: Доработана панель статуса (ее размеры меняются при масштабировании окна)
[+] Обновлена справка по работе с программой
---------
База в новой версии содержит 15727 сигнатур, 1 нейропрофиль, 55 микропрограмм лечения, 299 микропрограмм эвристики, 5 микропрограмм восстановления настроек системы, 34126 подписей безопасных файлов
---------
На очереди - добавление в карантин по списку, поиск файлов с поиском не толкьо подстроки, но и сигнатуры - это войдет на подверсии  3.70

----------


## bearcat

Почему загружается старая версия - 3,65,7 ???

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## RiC

Вот такие вот мелкие раскопки - 
Лезем в Менеджер расширений IE, дальше выбираем 
"Модуль расширения - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}" - филе не найдено.
В реестре - 
[HKEY_CLASSES_ROOT\CLSID\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}]
[HKEY_CLASSES_ROOT\CLSID\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\TreatAs]
@="{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBB}"

Далее ищем кто-же такой "@" страшный - 
[HKEY_CLASSES_ROOT\CLSID\{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBB}]
@="Java Plug-in 1.5.0_04 <applet> redirector"
[HKEY_CLASSES_ROOT\CLSID\{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBB}\InprocServer32]
@="C:\\Program Files\\Java\\jre1.5.0_04\\bin\\npjpi150_04.dll"
"ThreadingModel"="Apartment"

Оказавается всеми любимая Java  :Smiley: 

Олег, возможно ли какая-нибудь "механизация" этих раскопок ?

Я к тому, что HJT всё-же смог "докопаться" до "истины" -
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

----------


## Зайцев Олег

> Почему загружается старая версия - 3,65,7 ???


 Наверное, берется из кеша прокси или еще что-то похожее. На сайте у меня лежит файл размером 1.050.102 байта.

----------


## Зайцев Олег

> Вот такие вот мелкие раскопки - 
> Лезем в Менеджер расширений IE, дальше выбираем 
> "Модуль расширения - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}" - филе не найдено.
> В реестре - 
> [HKEY_CLASSES_ROOT\CLSID\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}]
> [HKEY_CLASSES_ROOT\CLSID\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\TreatAs]
> @="{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBB}"
> 
> Далее ищем кто-же такой "@" страшный - 
> ...


 Ссылка на ссылку ... такое раскрутить можно - рекурсивно. Сейчас переделаю алгоритм и AVZ станет раскручивать цепочки ссылок.

----------


## userr

Олег, ИМХО добавлять поддержку других архиваторов *принципиально* не нужно, это только увеличит размер программы и отвлечет время/силы от совершенствования основных вещей. Или для такого профи как ты это дело 5 минут?  :Smiley: 
 Вот exe пакеры дело другое.

----------


## Shu_b

В настройках протокола исследования системы есть пункт добавления результатов последнего сканирования, но при отсутсвии сканирования естественно ничего не добавляется. 
Может имеет смысл добавить функцию сканирования с требуемыми (для раздела помогите) параметрами при подготовки протокола исследования с соответствующим пунктом настройки ((*) произвести сканирование при отсутствии протокола) включённым по умолчанию.

----------


## Geser

> Олег, ИМХО добавлять поддержку других архиваторов *принципиально* не нужно, это только увеличит размер программы и отвлечет время/силы от совершенствования основных вещей. Или для такого профи как ты это дело 5 минут? 
>  Вот exe пакеры дело другое.


Полностью поддерживаю. По моему мнению архивароты вообще не нужны кроме cab. А вот наиболее распространённые пакеры, хоть UPX, не помешает добавить.
А еще очень хочется английскую версию  :Sad:

----------


## RiC

> Полностью поддерживаю. По моему мнению архивароты вообще не нужны кроме cab. А вот наиболее распространённые пакеры, хоть UPX, не помешает добавить.


Ещё бы до комплекта MSI, ITSF (ака CHM) и ZIP а остальное наф. не надо, "поддерживать" Imho имеет смысл только то, что  винда может распаковывать сама "подручными" средствами. Насчёт пакеров тоже не уверен, потому как возни с ними много а эффекта не особо, уж лучше при проверке памяти уже распакованных "изучать", потому как для распаковки надо или иметь хороший эмулятор кода, или постоянно пополнять новые алгоритмы распаковки, а пакеров сейчас водиться с полсотни, хотя "популярных" наверное с десяток, но некоторые из них распаковать весьма проблематично - Aspack, Asprotect, Acprotect, Yoda -это так по памяти, наиболее тяжёлые для распаковки. Хотя может кто и поможет с "универсальным" распаковщиком.
PS: Всё есть Imho  :Smiley:

----------


## DenZ

Олег, в "Менеджере автозапуска" и "Исследовании системы - Автозапуск" AVZ не "находит" некоторые файлы, хотя система их видит и благополучно запускает!
Первые три файла в примере (см. фрагмент лога) AVZ не хочет копировать в Карантин (видимо, не может найти, хотя они там есть и система их запускает при загрузке!), а последние два - вообще входят в базу безопасных файлов AVZ (проверено!), но они почему-то закрашены как небезопасные...

----------


## Зайцев Олег

> Олег, в "Менеджере автозапуска" и "Исследовании системы - Автозапуск" AVZ не "находит" некоторые файлы, хотя система их видит и благополучно запускает!
> Первые три файла в примере (см. фрагмент лога) AVZ не хочет копировать в Карантин (видимо, не может найти, хотя они там есть и система их запускает при загрузке!), а последние два - вообще входят в базу безопасных файлов AVZ (проверено!), но они почему-то закрашены как небезопасные...


 1. Это интересно - а какие конкрено файлы - каков их метод автозапуска ?
2. Да, момент с копированием в карантин известен - я пока ище пути решения. Суть в том, что файлы с параметрами. Получается проблема при их проверке по базе безопасных и при копировании.
Пример:
cmd.exe trojan.exe
Возникает вопрос - что проверять и копировать ... cmd.exe или trojan.exe

----------


## Зайцев Олег

> Ещё бы до комплекта MSI, ITSF (ака CHM) и ZIP а остальное наф. не надо, "поддерживать" Imho имеет смысл только то, что винда может распаковывать сама "подручными" средствами. Насчёт пакеров тоже не уверен, потому как возни с ними много а эффекта не особо, уж лучше при проверке памяти уже распакованных "изучать", потому как для распаковки надо или иметь хороший эмулятор кода, или постоянно пополнять новые алгоритмы распаковки, а пакеров сейчас водиться с полсотни, хотя "популярных" наверное с десяток, но некоторые из них распаковать весьма проблематично - Aspack, Asprotect, Acprotect, Yoda -это так по памяти, наиболее тяжёлые для распаковки. Хотя может кто и поможет с "универсальным" распаковщиком.
> PS: Всё есть Imho


С распаковкой архивов я согласен - это легко видеть и по поддерживаемым видам архивов - я поддерживаю то, что может быть распаковано системой. RAR тоже наверное стоит поддерживать - он популярен ... RAR, ACE и 7zip поддерживать очень легко - но поддержка каждого дает плюс 50-90 кб объема. Сейчас я добиваю CHM и MSI 
С пакерами все хитрее - поддерживать их надо, но есть три пути
1. Плюнуть и проверять память ... помогает в большинстве случаев, но прозволяет проверить только запущенные процессы
2. эмулятор кода. Тестовый пример есть, но он сыроват - идея проста - трассировать до первого вызова API или достижения N шагов программы (чтобы не повиснуть)
3. Распаковщики на каждый упаковщик
В идеале хорошо сочетание всех трех методов, я собираюсь для начала реализовать метод 1 с медленным и тщательным сканированием запущенных процессов - подобное дает хорошие результаты в DrWEB. А затем методы 2+3 ... - но это сложнее




> Вот такие вот мелкие раскопки - 
> Лезем в Менеджер расширений IE, дальше выбираем 
> "Модуль расширения - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}" - филе не найдено.
> В реестре - 
> [HKEY_CLASSES_ROOT\CLSID\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}]
> [HKEY_CLASSES_ROOT\CLSID\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\TreatAs]
> @="{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBB}"


Я изловил данную ситуацию и сделал рекурсивный просмотр таких цепочек с антизацикливанием (интересно, что будет с системой, если замкнуть ссылку типа 08B0E5C0-4FCB-11CF-AAA5-00401C608501 в кольцо  :Smiley:  )

----------


## userr

Олег, такое предложение - как-то дать понять юзеру в менеджере автозапуска, что надо еще и службы посмотреть. Либо прямо показывать в менеджере автозапуска небезопасные работающие службы, либо сделать кнопку на панели с соотв. подсказкой.

----------


## Зайцев Олег

> Олег, такое предложение - как-то дать понять юзеру в менеджере автозапуска, что надо еще и службы посмотреть. Либо прямо показывать в менеджере автозапуска небезопасные работающие службы, либо сделать кнопку на панели с соотв. подсказкой.


Я в принципе для подобных целей задумывал исследование системы - там сводный отчет всего небезопасного. Я просто не хочу перегружать окна, это связанос быстродействием - менеджеры для каждого файла просчитывают полную CRC, если включен антивирусный монитор и просчитать CRC 200-300 файлов, то тормоза будут страшные ...

----------


## DenZ

> 1. Это интересно - а какие конкрено файлы - каков их метод автозапуска ?


Да нет, я имел в виду как раз проблемы проверки файлов с параметрами и копировании их в карантин.



> Пример:
> cmd.exe trojan.exe
> Возникает вопрос - что проверять и копировать ... cmd.exe или trojan.exe


Может, проверять оба и копировать в карантин, если файла(ов) нет в базе безопасных?

Предлагаю отбрасывать с конца пути ключи запуска, начинающиеся с "/", "-", "," и т.п., до тех пор, пока файл не "найдется" на диске. 
А если расширение у файла отсутствует, то пытаться добавлять наиболее распространенные для исполняемых файлов (exe, com, dll, sys и т.п.).

----------


## Зайцев Олег

> Да нет, я имел в виду как раз проблемы проверки файлов с параметрами и копировании их в карантин.
> 
> Может, проверять оба и копировать в карантин, если файла(ов) нет в базе безопасных?
> 
> Предлагаю отбрасывать с конца пути ключи запуска, начинающиеся с "/", "-", "," и т.п., до тех пор, пока файл не "найдется" на диске. 
> А если расширение у файла отсутствует, то пытаться добавлять наиболее распространенные для исполняемых файлов (exe, com, dll, sys и т.п.).


 Что-то типа того я и сделаю. Т.е. попробую разделить имя файла и параметры ... алгоритмов несколько штук я придумал, но универсальность пока невысокая (я рассуждаю аналогично - или искать расширение исполняемого файла, или остепенно отсекать параметры. Плюс еще кавычки - их нужно будет убрать. Короче говоря завтра будет апдейт, я включу в него реализацию этого анализа

----------


## Sanja

Пример:
cmd.exe trojan.exe
Возникает вопрос - что проверять и копировать ... cmd.exe или trojan.exe

i to i drugoe  :Smiley:  a esho nado parsit takie veshi kak rundll32.exe virus.dll,entrypoint

----------


## HUMA

Как бы не совсем в тему, однако помогите разобраться пожалуйста

Почему *на моей машине* AVZ  ищет ntoskrnl.exe по пути
%USERPROFILE%\WINDOWS\SYSTEM32 , которого в принципе не существует ? Аналогичная картина при проверке Winsock Layered Service Provider (SPI/LSP). Подозреваю, что дело здесь не в AVZ, так как ABBY FineRider впадает в тот же ступор при поиске TWAIN-драйвера  
Причем иногда (крайне редко) все-таки работает
Остальной софт функционирует нормально, да и вообще нареканий к работе системы нет...
Система W2K SRV SP4 c TS  
Правда несколько раз приходилось пользоваться утилитой ntswitch для установки несерверного софта (Partition Magic) 
В общем замучал меня этот вопрос,  натолкните на мысль 
Заранее спасибо

----------


## DimaT

> А еще очень хочется английскую версию


Всецело поддерживаю. 
*Олег*, эту тему ты в последнее время не ''замечаешь'' специально?  :Smiley: 
Или это в более дальних планах и не входит в приоритетные задачи?

----------


## aintrust

> ...
> Почему *на моей машине* AVZ  ищет ntoskrnl.exe по пути
> %USERPROFILE%\WINDOWS\SYSTEM32 , которого в принципе не существует ? Аналогичная картина при проверке Winsock Layered Service Provider (SPI/LSP). 
> ...
> Система W2K SRV SP4 c TS  
> ...


"Проблема", очевидно, в TS. Это специфический случай, и с ним просто надо разбираться - так что помогайте!  :Smiley:  Для начала запустите, пожалуйста, AVZ с параметром DEBUG=Y и запостите протокол работы сюда.

----------


## HUMA

> "Проблема", очевидно, в TS. Это специфический случай, и с ним просто надо разбираться - так что помогайте!  Для начала запустите, пожалуйста, AVZ с параметром DEBUG=Y и запостите протокол работы сюда.


Прицепил...

----------


## Geser

> Что-то типа того я и сделаю. Т.е. попробую разделить имя файла и параметры ... алгоритмов несколько штук я придумал, но универсальность пока невысокая (я рассуждаю аналогично - или искать расширение исполняемого файла, или остепенно отсекать параметры. Плюс еще кавычки - их нужно будет убрать. Короче говоря завтра будет апдейт, я включу в него реализацию этого анализа


А если сделать так, разбить строку на части используя пробел как разделитель, удалить все кавычки и каждую часть попытаться найти на диске, в том числе используя все директории указанные в PATH а так же %systemroot%\system, %systemroot%\system32

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## RiC

> А если сделать так, разбить строку на части используя пробел как разделитель, удалить все кавычки и каждую часть попытаться найти на диске, в том числе используя все директории указанные в PATH а так же %systemroot%\system, %systemroot%\system32


..."Program Files"... ?


Вообще способы запуститься через Ж. Imho не так много -
cmd.exe /c c:\i`m.exeexplorer.exe c:\i`m.exerundll32.exe c:\i`m.dll (i`m.exe?)command.com /с c:\i`m.exemmc.exe c:\i`m.mscexplorer.exe c:\i`m.exe

не уверен, но может тоже  прокатит -hh.exe i`m.chm ???runonce.exe c:\i`m.exe ???iexplore.exe ???

Можно и по шаблонам разобрать.

----------


## DenZ

> А если сделать так, разбить строку на части используя пробел как разделитель, удалить все кавычки и каждую часть попытаться найти на диске, в том числе используя все директории указанные в PATH а так же %systemroot%\system, %systemroot%\system32


Все хорошо, только в именах файлов и пути часто встречаются пробелы и поиск по частям может ничего не дать. Вот если откидывать от конца пути часть до пробела (запятой) и пытаться найти то, что откинули, и то, что осталось - так может что-то получиться...

Примеры: 
C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe /k
RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
Как будем анализировать?

Поиск обязательно производить в тех местах, откуда система может сама запускать файлы без конкретного пути (PATH, %systemroot%, %systemroot%\system, %systemroot%\system32, %userprofile%\Мои документы, Program Files, корни дисков и т.д.).

----------


## Geser

> ..."Program Files"... ?
> 
> Можно и по шаблонам разобрать.


Мда, не подумал  :Smiley: 
А если так, сначала выбрасываем из строки всё вида 
/\w+ что отбросит все ключи. Потом ищем всё что имеет вид ".*" это должны быть файлы. Вырезаем всё найденное из строки. Оставшееся пытаемся найти как файл постепенно отбрасывая справа части отделённые пробеламии запятыми.

----------


## DenZ

> Потом ищем всё что имеет вид ".*" это должны быть файлы.


А как быть с этим (реальный пример, так система в автозапуск написала):
*C:\WINDOWS\system32\dumprep 0 -k*
Без подстановки расширений не обойтись...
А если в исполняемом файле несколько точек?

----------


## Dandy

> Поиск обязательно производить в тех местах, откуда система может сама запускать файлы без конкретного пути (PATH, %systemroot%, %systemroot%\system, %systemroot%\system32, %userprofile%\Мои документы, Program Files, корни дисков и т.д.).


Тогда лучше анализировать переменные окружения (+ определенные фиксированные пути, такие как корневые каталоги и т.п)

----------


## userr

О службах и автозапуске.



> Я в принципе для подобных целей задумывал исследование системы - там сводный отчет всего небезопасного.


Я понимаю. Я говорил о продвижении AVZ в массы.  :Smiley:  Поясню на примере. Полупродвинутый юзер только-только включил комп, проверился на вирусы - все хорошо. Запустил taskmanager, а там болтается процесс "abcd.exe". Юзер запускает рекомендованный ему AVZ, идет в автозапуск - а там "abcd.exe" нет. "AVZ - отстой!!"
 ИМХО прямо в менеджере автозапуска надо сказать о том, что для полной информации надо смотреть еще и службы. Помощь ведь никто не читает. Если на панель поставить кнопку для вызова "Диспетчер служб и драйверов" это отъест много ресурсов?

----------


## Зайцев Олег

> Всецело поддерживаю. 
> *Олег*, эту тему ты в последнее время не ''замечаешь'' специально? 
> Или это в более дальних планах и не входит в приоритетные задачи?


 Будет версия англицкая, будет ... не замечаю, потому что работаю над ней  :Smiley: 
Если все будет хорошо, через неделю выпущу ее

----------


## Geser

> Будет версия англицкая, будет ... не замечаю, потому что работаю над ней 
> Если все будет хорошо, через неделю выпущу ее


Ура!!!

----------


## Зайцев Олег

> Как бы не совсем в тему, однако помогите разобраться пожалуйста
> 
> Почему *на моей машине* AVZ  ищет ntoskrnl.exe по пути
> %USERPROFILE%\WINDOWS\SYSTEM32 , которого в принципе не существует ? Аналогичная картина при проверке Winsock Layered Service Provider (SPI/LSP). Подозреваю, что дело здесь не в AVZ, так как ABBY FineRider впадает в тот же ступор при поиске TWAIN-драйвера  
> Причем иногда (крайне редко) все-таки работает
> Остальной софт функционирует нормально, да и вообще нареканий к работе системы нет...
> Система W2K SRV SP4 c TS  
> Правда несколько раз приходилось пользоваться утилитой ntswitch для установки несерверного софта (Partition Magic) 
> В общем замучал меня этот вопрос,  натолкните на мысль 
> Заранее спасибо


 Это интересный глюк, спасибо за лог, сейчас будеу разбираться

----------


## userr

Пара глючков:
1. Если включить "Отчет о чистых объектах", то независимо от "Проверять чистые объекты по базе безопасных" в лог пишется "чист, найден в базе безопасных (в базе безопасных НЕ значится)"
2. Если убрать птичку "Не проверять архивы более N мб", архивы > N mb все равно не проверяются

----------


## DimaT

> Будет версия англицкая, будет ... не замечаю, потому что работаю над ней 
> Если все будет хорошо, через неделю выпущу ее


Обрадовал!!!
Спасибо!
Тогда не будем мешать...  :Smiley:

----------


## Зайцев Олег

> Пара глючков:
> 1. Если включить "Отчет о чистых объектах", то независимо от "Проверять чистые объекты по базе безопасных" в лог пишется "чист, найден в базе безопасных (в базе безопасных НЕ значится)"
> 2. Если убрать птичку "Не проверять архивы более N мб", архивы > N mb все равно не проверяются


1. Глюк - исправлен
2. Глюк - исправлен
Спасибо !

----------


## Зайцев Олег

> Обрадовал!!!
> Спасибо!
> Тогда не будем мешать...


 Спасибо будет, когда english версия выйдет  :Smiley:  На самом деле там проблема в том, что очень много разных сообщений (в отчетах, в ходе рахных проверок и т.п.). Они размазаны по коду, выносить в ресурсы их - коряво, в сумме более 1000 строковых констант, некоторые склоняются (например, 1 вирус, 2 вируса ...). Перевод интерфейса - это ерунда по сравнению с проблемой этих констант

----------


## Geser

> Спасибо будет, когда english версия выйдет  На самом деле там проблема в том, что очень много разных сообщений (в отчетах, в ходе рахных проверок и т.п.). Они размазаны по коду, выносить в ресурсы их - коряво, в сумме более 1000 строковых констант, некоторые склоняются (например, 1 вирус, 2 вируса ...). Перевод интерфейса - это ерунда по сравнению с проблемой этих констант


Думаю неправильные склонения все переживут  :Smiley:

----------


## Xen

Да ну. Выносите все строки в дефайны, а дефайны определяете для каждого интернационального билда свои... Я с самого начала так делаю обычно

----------


## pig

Глюк - не глюк, но фича нарылась интересная. Проверял компьютер с блокировкой руткитов (только User Mode; драйвер, правда, для проверки всё равно загружался). Нашёл ноль зверей, обрадовался и решил музыку завести. Не заработало. Полез в панель управления, в настройку звуков. Выбираю, жму "Воспроизвести" - делает вид, что воспроизводит... молча... в течение минуты... стандартный ding... в общем, я не стал дожидаться окончания этого "воспроизведения". После перезагрузки всё заработало.

Windows XP SP2 с хотфикcами по июль. AVZ 3.70

----------


## Xen

Короче, Олег, в новом мега-парсере файлнеймов не забудьте про НТФС потоки. Мне щас один мегаБХО прописался прямиком в System32:tjaa.dll =))

----------


## santy

по процедуре исследования системы:

на мой взгляд, несколько нестандартный подход к формированию отчета.
предлагаю: имя выходного файла назначить по умолчанию avz_sysinfo;
использовать кнопки start/stop(пуск/стоп) запуск/прерывание исследования системы;
по окончанию исследования выдавать сообщение, типа "исследование системы завершено"-ок;
и открывать в окне исследования кнопку просмотра отчета (как в главном окне программы, где просмотр протокола сканирования)  браузером по умолчанию.
может быть, еще изготовить режим "ведение-просмотр истории исследования системы"?
типа, имя лога формировать с датой исследования.

----------


## Geser

> Короче, Олег, в новом мега-парсере файлнеймов не забудьте про НТФС потоки. Мне щас один мегаБХО прописался прямиком в System32:tjaa.dll =))


Да, потоки не плохо бы проверять  :Smiley:

----------


## DimaT

> Думаю неправильные склонения все переживут


Солидарен. 
Тем более, параллельно бы что-то еще там ''находили'', более существенное...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

Между тем вышла новая версия 3.70.05. Изменения 
[+] Доработан анализатор BHO и все системы, работающие с CLSID - введена поддержка
 ссылок (когда один CLSID явняется ссылкой на другой)
[++] Введена проверка/лечение потоков NTFS + эвристик на исполняемые потоки
[+] Вывод в протокол информации о том, включено лечение или нет
[-] Исправлена работа переключателей, управляющих проверкой архива и размера
    архива
---------
Обновилась база: Загружена база: 15775 сигнатур, 1 нейропрофиль, 55 микропрограмм лечения, микропрограммы эвристики: 299, подписи файлов: 34273

----------


## Shu_b

Нет изменений в пункте "о программе"

----------


## Зайцев Олег

> Нет изменений в пункте "о программе"


 да, ошибочка вышла - я обновил архив, все исправлено. Кстати, в обновленную версию я внес обну поправочку - я забыл, что NTFS потоки бывают не только у файлов - они бывают и у каталогов ... я прикрутил соответтсвующую проверку. Если у кого есть время - просьба потестировать

----------


## Geser

Потестировал. Всё нормально.

----------


## Xen

Ща заценим. Стало интересно, насколько АВЗ обгоняет мои по актуальности базы.

----------


## Xen

Кстати, может на сайте стоит обновить доку по текущей минорной версии?

----------


## Xen

Антивирусная утилита АВЗ.. #13#10 идет проверка... #13#10 осталось...

так и задумано или там другие символы подразумевались? на моей дефалтной в2к они отображаются в виде двух узких прямоугольников, но никак не переносами строк

----------


## Xen

Ништяк. Половину нашел (с включенным эвристиком). Правда, в потоках нихрена не нашел =))

----------


## DimaT

> Ништяк. Половину нашел (с включенным эвристиком). Правда, в потоках нихрена не нашел =))


 Уточни свои заключения...

----------


## RiC

> Между тем вышла новая версия 3.70.05. Изменения 
> [+] Доработан анализатор BHO и все системы, работающие с CLSID - введена поддержка ссылок (когда один CLSID явняется ссылкой на другой)


Ещё немного БХО партизанской наружности.

 BHO   {A5366673-E8CA-11D3-9CD9-0090271D075B}  - этот наиболее извратен.

 Модуль расширения   {7A2EFD41-E6B3-11D2-89E3-00E0292EE574}  
 Модуль расширения   {7A2EFD41-E6B3-11D2-89E3-00E0292EE575}  
 Модуль расширения   {92780B25-18CC-41C8-B9BE-3C9C571A8263}  
 Вариации на "тему".

----------


## Зайцев Олег

> Антивирусная утилита АВЗ.. #13#10 идет проверка... #13#10 осталось...
> 
> так и задумано или там другие символы подразумевались? на моей дефалтной в2к они отображаются в виде двух узких прямоугольников, но никак не переносами строк


 Это особенность W2K - он не понимает перевод строки в хинте. Это проявляется и на NT4 ... я наверное сделаю проверку версии, и под этими системами не буду вставлять переводы строки

----------


## Зайцев Олег

> Ещё немного БХО партизанской наружности.
> 
> BHO {A5366673-E8CA-11D3-9CD9-0090271D075B} - этот наиболее извратен.
> 
> Модуль расширения {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} 
> Модуль расширения {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} 
> Модуль расширения {92780B25-18CC-41C8-B9BE-3C9C571A8263} 
> Вариации на "тему".


Спасибо, беру в разработку !
А сами звери, порождающие эти BHO есть в наличие ?

----------


## RiC

> Спасибо, беру в разработку !
> А сами звери, порождающие эти BHO есть в наличие ?


Есть, как же без них, да и не зверьё это - все законопослушные жители на самом деле  :Smiley:

----------


## Mamont

{A5366673-E8CA-11D3-9CD9-0090271D075B} - это ставит FlashGet

{7A2EFD41-E6B3-11D2-89E3-00E0292EE574} и
{7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - это ставит Promt6

{92780B25-18CC-41C8-B9BE-3C9C571A8263} - Microsoft Office 2003

----------


## DenZ

Олег, при копировании (автодобавлении) подозрительных файлов в Карантин неплохо бы сохранять их даты создания (модификации) в avzXXXXX.ini (и присваивать avzXXXXX.dta дату оригинального файла). 
По этим датам можно отличить вирус от "хорошего" файла, например, когда новый софт в этот период не ставился, т.к. обычно дата вирусного файла совпадает с датой попадания в систему.

----------


## Зайцев Олег

> Олег, при копировании (автодобавлении) подозрительных файлов в Карантин неплохо бы сохранять их даты создания (модификации) в avzXXXXX.ini (и присваивать avzXXXXX.dta дату оригинального файла). 
> По этим датам можно отличить вирус от "хорошего" файла, например, когда новый софт в этот период не ставился, т.к. обычно дата вирусного файла совпадает с датой попадания в систему.


 Логично - я внесу поправку в механизм копирования в карантин и буду сохранять реальную дату файла

----------


## RiC

> {A5366673-E8CA-11D3-9CD9-0090271D075B} - это ставит FlashGet
> {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} и
> {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - это ставит Promt6
> {92780B25-18CC-41C8-B9BE-3C9C571A8263} - Microsoft Office 2003


Всё верно, но способы запихивания в BHO и Toolbar`ы у всех троих разный, поэтому как Sample вешь полезная  :Smiley:

----------


## vegas

kto to skazet po4emy KAZAA tak silno zaadwarrena i zatroyanena  downloaderami ?avz  nashla  v kazaa 3,0  14  gadostey  MS  toze mnogo 4ego nashel , pri popqtke  4isti tolko adwari   sama KAZAA sletala  krome togo MS  s4itat samu kazaa.exe  virem ,  nu  i kak teor uzat   kazaa ? libo  vremeno polozit  na secure  poka ka4aesh muzqku ))?

----------


## HUMA

[QUOTE=HUMA]Как бы не совсем в тему, однако помогите разобраться пожалуйста

Почему *на моей машине* AVZ  ищет ntoskrnl.exe по пути
%USERPROFILE%\WINDOWS\SYSTEM32 , которого в принципе не существует ? Аналогичная картина при проверке Winsock Layered Service Provider (SPI/LSP). Подозреваю, что дело здесь не в AVZ, так как ABBY FineRider впадает в тот же ступор при поиске TWAIN-драйвера  
Причем иногда (крайне редко) все-таки работает
Остальной софт функционирует нормально, да и вообще нареканий к работе системы нет...
Система W2K SRV SP4 c TS  
Правда несколько раз приходилось пользоваться утилитой ntswitch для установки несерверного софта (Partition Magic) 
В общем замучал меня этот вопрос,  натолкните на мысль 

*Олег, Aintrust* - спасибо что откликнулись
"лечится" переводом сеанса в режим установки приложений
Извиняюсь, что нагородил тут, не подумав....

----------


## Boba

Добрый день. Упал тут на сервер страшный зверь по имени  BackDoor.HackDef.100. А поскольку к серверу физический доступ затруднён, да и диск из него не выковыряешь, то приходится лечить прямо на живой системе. Посоветовали AVZ - попробовал, неплохо на первый взгляд.

Только вот есть одна закавыка. Гадский руткит прячет файл rootkit.avz. То есть, положил его на шару на сервер - он там есть. Смотрю с самого сервера - нету. Соответственно, AVZ не может искать руткиты в памяти, ну и всё такое. Причём, прячет именно по имени, поскольку после переименовывания оно видно.

Вот вопрос - как бы с этим разобраться? Просто переименовать - нехорошо, следующая вариация стелса может новое имя прятать. Может сделать какой-то механизм? Самое простое - файл настроек, в котором прописываются алиасы для файлов баз?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> Добрый день. Упал тут на сервер страшный зверь по имени  BackDoor.HackDef.100. А поскольку к серверу физический доступ затруднён, да и диск из него не выковыряешь, то приходится лечить прямо на живой системе. Посоветовали AVZ - попробовал, неплохо на первый взгляд.
> 
> Только вот есть одна закавыка. Гадский руткит прячет файл rootkit.avz. То есть, положил его на шару на сервер - он там есть. Смотрю с самого сервера - нету. Соответственно, AVZ не может искать руткиты в памяти, ну и всё такое. Причём, прячет именно по имени, поскольку после переименовывания оно видно.
> 
> Вот вопрос - как бы с этим разобраться? Просто переименовать - нехорошо, следующая вариация стелса может новое имя прятать. Может сделать какой-то механизм? Самое простое - файл настроек, в котором прописываются алиасы для файлов баз?


 Значит, кто-то додумался до того, чтобы включить Rootkit.avz в список маскируемых. Неплохой тактический ход, но обмануть его можно - и достаточно просто. Значит так - по адресу http:\\z-oleg.com\avz.exe лежит новый exe файл от AVZ (приватная сборка, специально для решения данной проблемы). Он пытается загрузить файл rootkit.avz, если не удается - то пытается искать файл rk.avz, если и такого нет - checkrk.avz. Т.е. файл rootkit.avz можно переименовать в rk.avz или checkrk.avz и после этого провести лечение.
А для решения проблемы в чистом виде я в новой версии введу поддержку алиасов, задаваемых в командной строке.

----------


## pig

> А для решения проблемы в чистом виде я в новой версии введу поддержку алиасов, задаваемых в командной строке.


И, желательно, в интерактивном диалоге. Причём факт потери баз надо отслеживать уже при запуске и в случае чего выкидывать этот диалог принудительно.

----------


## Boba

Так, огромное спасибо, новая версия вроде зацепилась. Кстати, "rk.avz" не помог, его тоже прятало ;-). Второй сработал.

Пока результаты такие вот

 >> Опасно ! Обнаружена маскировка сервисов и драйверов на уровне API
 >>>> Подозрение на RootKit AtapiDriver C:\WINNT\system32\ATAPI.DRV
 >> Опасно ! Обнаружена маскировка сервисов и драйверов на уровне реестра
 >>>> Подозрение на RootKit AtapiDriver C:\WINNT\system32\ATAPI.DRV
 >> Опасно ! Обнаружена маскировка процессов
 >>>> Подозрение на маскировку процесса 1172 c:\winnt\system32\ntlmos.exe
 >>>> Подозрение на маскировку процесса 1216 c:\winnt\system32\nwlnkfsx.sys


Файлы скопированы, отосланы дрвебу (каспер их видит, веб нет, что очень странно :-)). 



> NewVirus.rar/ATAPI.DRV - инфицирован Backdoor.Win32.HacDef.ai
> NewVirus.rarntlmos.exe.no - инфицирован not-a-virus:Server-FTP.Win32.Serv-U.gen
> NewVirus.rar/nwlnkfsx.drv - в порядке
> NewVirus.rar/nwlnkfsx.sys - инфицирован Backdoor.Win32.Sjak.a


Тебе они нужны?

----------


## DenZ

О-го! Вирусописатели стали опасаться AVZ !!! Значит, огромное спасибо *Зайцеву Олегу* за хорошую программу!

А что будет, если Rootkit-ы начнут прятать *avz.exe* или другие важные компоненты AVZ? С этим как-то надо бороться...

----------


## Geser

> Тебе они нужны?


Всё нужно  :Smiley: 
Всё что АВЗ не знает присылайте  :Smiley:

----------


## aintrust

> ...
> А что будет, если Rootkit-ы начнут прятать *avz.exe* или другие важные компоненты AVZ? С этим как-то надо бороться...


Да, бороться, конечно, неплохо было бы...  :Smiley:  Но, на самом деле, тяжелая это война, с переменным перевесом в ту или иную сторону. В настоящий момент AVZ вообще никак не защищен, более того, к примеру, драйвер AVZ (при "умелом" его использовании вирусописателем - достаточно всего лишь нескольких инструкций на языке C) легко вызывает синий экран. И таких потенциально узких мест в AVZ пока что множество, а их "исправление" потребует довольно значительных временных затрат. 

А может действительно уже пришло для этого время, особенно в связи с предстоящим выходом утилиты на международный рынок? Что думаешь по этому поводу, Олег?

----------


## Зайцев Олег

> Да, бороться, конечно, неплохо было бы...  Но, на самом деле, тяжелая это война, с переменным перевесом в ту или иную сторону. В настоящий момент AVZ вообще никак не защищен, более того, к примеру, драйвер AVZ (при "умелом" его использовании вирусописателем - достаточно всего лишь нескольких инструкций на языке C) легко вызывает синий экран. И таких потенциально узких мест в AVZ пока что множество, а их "исправление" потребует довольно значительных временных затрат. 
> 
> А может действительно уже пришло для этого время, особенно в связи с предстоящим выходом утилиты на международный рынок? Что думаешь по этому поводу, Олег?


 Я поэтому и не хотел выходить на международный рынок ... 
Насчтет защиты - нужно подумать - просто исходно AVZ адумывался как утилита, подмога для антивиря/антиспайвера - в этом слечае защита была не нужна. А по мере роста получается, что необходимость в защите возникает - в данный тип HackDef тому пример (как оказалось, авторы этого зверя не поленились забить в конфиг множество масок для подавления видимости компонент разных антируткитов).

----------


## Geser

> А по мере роста получается, что необходимость в защите возникает - в данный тип HackDef тому пример (как оказалось, авторы этого зверя не поленились забить в конфиг множество масок для подавления видимости компонент разных антируткитов).


А создавать драйвер каждый раз с рандомальным именем?

----------


## aintrust

> А создавать драйвер каждый раз с рандомальным именем?


Да, такой метод "борьбы" многими применяется на практике (для случаев, когда драйвер "прошивается" в ресурсном разделе программы), хотя в данном конкретном случае речь идет не о драйвере, а о файле анти-руткитовых сигнатур, т.н. rootkit.avz. На самом деле описанная выше "проблема" вполне решаема, и, насколько я знаю, Олег уже нашел решение...

----------


## Xen

> Уточни свои заключения...


Уточняю. АВЗ нашла примерно половину спайваря, прописанного у меня на машине, но ни одного прятавшегося в НТФС потоках. Наверно, эти образчики просто не внесены в базу. Ближе к выходным буду посвободнее и протестирую еще раз. Олег, наверно, будет не против махнуться ITW экземплярами...

----------


## Зайцев Олег

Обмен ITW - это всегда полезно ... а в потоках обязан эвристик находить. Но с одной оговоркой - это в текущей версии AVZ, которая лежит на сайте - там как раз был баг в том, что не проверялись потоки каталогов (т.е. если зверь в потоке папки System32, то он не находился). В текущей версии это есть ...

----------


## bearcat

скажите пожалуйста, как реагировать на подобное сообщение


```
Функция user32.dll:DrawIconEx (173) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:GetCursor (253) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:GetIconInfo (271) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:SetWindowPos (609) перехвачена, метод CodeHijack (метод не определен)
```

----------


## DimaT

> скажите пожалуйста, как реагировать на подобное сообщение...


 Это стандартные вызовы ''законных'' функций Windows API...
A где ты получил эти строки?

----------


## bearcat

> A где ты получил эти строки?


фрагмент avz_log


```
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:DrawIconEx (173) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:GetCursor (253) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:GetIconInfo (271) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:SetWindowPos (609) перехвачена, метод CodeHijack (метод не определен)
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
```

----------


## Зайцев Олег

> скажите пожалуйста, как реагировать на подобное сообщение
> 
> 
> ```
> Функция user32.dll:DrawIconEx (173) перехвачена, метод CodeHijack (метод не определен)
> Функция user32.dll:GetCursor (253) перехвачена, метод CodeHijack (метод не определен)
> Функция user32.dll:GetIconInfo (271) перехвачена, метод CodeHijack (метод не определен)
> Функция user32.dll:SetWindowPos (609) перехвачена, метод CodeHijack (метод не определен)
> ```


Нужно искать перехватчик. Судя по набору функций перехвачено то, что имееет отношение к рисованию. Какие-либо укашательства системы установлены ? Система не загружена после серьезного сбоя ? Сохраняется ли этот эффект после перезагрузки ?
В любом случае стоит создать тему в разделе "помогите" с приложением указанных там логов - по ним можно сказать определенно.

----------


## Светослав

Последная версия 3.70 репортовала что UmxSbxExw.dll и UmxSbxw.dll с вероятности више 99% шпиони, keyloger. По поиску и според меня ето компонент Tiny Firewall, которим я пользуюс.

----------


## pig

Пришлите их Олегу для включения в базу безопасных.

----------


## Geser

Кстати, навеяно Kerish Doctor 2005  :Smiley: 
Олег, может добавиш в АВЗ опцию поиска ссылок на несуществующие файлы с возможностью чистки. Полезно после удаления ручками всяких "зверей"

----------


## Зайцев Олег

> Кстати, навеяно Kerish Doctor 2005 
> Олег, может добавиш в АВЗ опцию поиска ссылок на несуществующие файлы с возможностью чистки. Полезно после удаления ручками всяких "зверей"


 Ссылки на несуществующие файлы искать можно, вот удалять их весьма опасно ... а если эта ссылка ведет на CD ?  на сетевой диск ? В папку, недоступную текущему юзеру ? прививка от SPYWARE ? или этот CLSID создает некое приложение для некоей привязки/защиты ... - тот-же FineReader создает кучу CLSID в реестре, применяя для целей защиты - он в этом плане не одинок, есть сотни таких программ. Поэтому можно так начистить, что потом концов не найти.
А остальное есть - это микропрограммы эвристики, эвристическая чистка системы. Но там подход немного другой - в момент удаления файла удаляются явные ссылки на него.

----------


## Geser

> Ссылки на несуществующие файлы искать можно, вот удалять их весьма опасно ... а если эта ссылка ведет на CD ?  на сетевой диск ? В папку, недоступную текущему юзеру ? прививка от SPYWARE ? или этот CLSID создает некое приложение для некоей привязки/защиты ... - тот-же FineReader создает кучу CLSID в реестре, применяя для целей защиты - он в этом плане не одинок, есть сотни таких программ. Поэтому можно так начистить, что потом концов не найти.
> А остальное есть - это микропрограммы эвристики, эвристическая чистка системы. Но там подход немного другой - в момент удаления файла удаляются явные ссылки на него.


Ну так находить, а удаление уже по выбору пользователя. Перед удалением бекап удаляемых ключей и окошко с предупреждением к чему это может привести  :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> Ну так находить, а удаление уже по выбору пользователя. Перед удалением бекап удаляемых ключей и окошко с предупреждением к чему это может привести


Ну, это можно конечно ... только есть ли смысл ? Есть туча утилит для этих целей - взять тот-же RegCleaner, например. С другой стороны, я придерживаюсь мнения, что от такой чистки вреда больше, чем пользы... в XP в среднем в реестре 260 тыс. ключей. Предположим, что удастся удалить 50 ссылающихся в пустоту ключей (именно ключей, не параметров) - это 0.019% от кол-ва ключей реестра, так что выигрыша в объеме/быстродействии/глюках не будет. А вот смахнуть что-то лишнее можно легко.
Теперь по сути - что еще из обсуждаемых доработок AVZ критично и не реализовано ? (английский интерфейс отметаем - он в процессе, постепенно делается). Новая версия выходит в районе выходных, в ней очень существенно расширена/переработана база эвристика, добавляется детектирование более 500 новых зверей ...

----------


## Iceman

Олег! А как насчёт "Монитор для защиты в реальном времени" ? ;-))).

----------


## Зайцев Олег

> Олег! А как насчёт "Монитор для защиты в реальном времени" ? ;-))).


 Если без перехатов API - то таковой готов, можно будет его пометить в этот планируемый апдейт. Тут идеалогичеcкий вопрос - делать монитор отдельной программой или сделать в AVZ триггерную кнопку "Монитор", при нажатии которой кнлючится мониторинг процессов ??

----------


## Iceman

> Если без перехатов API - то таковой готов, можно будет его пометить в этот планируемый апдейт. Тут идеалогичеcкий вопрос - делать монитор отдельной программой или сделать в AVZ триггерную кнопку "Монитор", при нажатии которой кнлючится мониторинг процессов ??


С идеологией проще ;-)))

"Тут идеалогичеcкий вопрос - делать монитор отдельной программой или сделать в AVZ триггерную кнопку "Монитор", при нажатии которой кнлючится мониторинг процессов " - Кнопка спасёт, ИМХО. Не нужен комбайн многофункциональный на сотню мегов, НО! В данном случае, мне кажется, это вполне уместно.

----------


## Geser

> Теперь по сути - что еще из обсуждаемых доработок AVZ критично и не реализовано ? (английский интерфейс отметаем - он в процессе, постепенно делается). Новая версия выходит в районе выходных, в ней очень существенно расширена/переработана база эвристика, добавляется детектирование более 500 новых зверей ...


Я думаю функционально уже всё есть. Далее нужно совершенствовать эвристик, антируткит, наполнять базу безопасных

----------


## kps

> Теперь по сути - что еще из обсуждаемых доработок AVZ критично и не реализовано ?


Думаю, не помешало бы сделать встроенную обновлялку. Неудобно бегать каждый раз на оф. сайт и смотреть, появились ли новые апдейты или нет. Кроме того, не каждый пользователь догадается это делать. А если учесть, что далеко не каждый знает, в какую папку распаковывать скачанные вручную апдейты, то сразу видны преимущества встроенной обновлялки, к-рая и скачает нужные апдейты и установит их или сообщит, что новых обновлений нет. И кстати, через нее можно же обновлять не только базы, но и исполняемые файлы.

----------


## aintrust

> ...
> Теперь по сути - что еще из обсуждаемых доработок AVZ критично и не реализовано ? (английский интерфейс отметаем - он в процессе, постепенно делается). Новая версия выходит в районе выходных, в ней очень существенно расширена/переработана база эвристика, добавляется детектирование более 500 новых зверей ...


Да много еще чего!  :Smiley:  Из того, что помнится без заглядывания в старинные "хотелки" (не в порядке значимости):
1) разностный update через http/ftp/из локальной (сетевой) папки (как базы, так и сами модули!), с предупреждением о новой версии (не только с твоего сайта);
2) удаленное администрирование/управление (как у Symantec или Panda, к примеру) и как продолжение - возможность "невидимого"/неуправляемого режима работы (чтобы не нервировать пользователя); 
2a) сделать что-то наподобие системы ABS в Касперском, т.к. на этапе проверки памяти и сканирования дисков AVZ зачастую "грузит" компьютер просто "по-черному"!
3) реализация хоть какой-то самозащиты/самопроверки, пусть даже примитивной для начала;
4) возможность работы (с некоторым незначительным ограничением функциональности) не с правами Администратора - т.е. нужен инсталлятор;
5) реализация многопоточности (GUI - в отдельный поток!!!) и нормальной многооконности (ну уже просто больше нету сил...  :Sad:  - ну когда ты это сделаешь???);
6) приведение GUI к единому виду и шрифту (гриды, в частности), а лучше - проработать и написать новый, более современный фейс со скинами  :Smiley: , т.к. существующий уж очень сильно зависим от старинных и стандартно-туповатых Дельфийских контролов (опять же, к примеру, эти просто ужасные гриды!); мне это вообще кажется одной из основных задач, если речь идет об "интернационализации" программы;
6) кнопка "Пауза";
7) меню по right click в трее (как минимум Выход, Пуск/Стоп, Пауза).

Это так, навскидку, что сразу вспомнилось...  :Smiley:

----------


## Xen

Эта... в главном протоколе ричедит используется? Или просто мемо? добавьте красок ;-)

----------


## Xen

Насчет интерфейса вообще.. да. Согласен с aintrust'ом. Надо переделывать практически все, на самом деле.

----------


## aintrust

... продолжение...
8 ) контекстный html help;
9) shell extension "Проверить в AVZ";
10) вынести настройки в отдельное окно;
11) добавить звуки/схемы (с полным конфигурированием); 
12) меню программы: пункты должны отражать состояние программы, т.е. динамически активироваться/деактивироваться;
13) возможность создания job-ов + встроенный планировщик для их запуска.

И много еще чего...  :Smiley:

----------


## Xen

Ну и без моднявого инсталлятора точно не обойтись =))

----------


## Зайцев Олег

> Ну и без моднявого инсталлятора точно не обойтись =))


 Список внушительный  :Smiley:  Сейчас распечатаю его, почитаю ... Да, с интерфейсом согласен - ну не умею я рисовать интерфейсы  :Smiley:  У первого AVZ был интерфейс из двух кнопок - "Пуск" и "Стоп" ... с этим надо что-то делать, я подумаю что. 
По инсталлятору - его конечно можно приделать, но по любому я хочу сохранить версию без инсталляции - хотя-бы для данной конференции (человек скачал, компьютер проверил, логи запостил и программу стер - а инсталлировать что-то не все захотят).
*to Xen*
Лог - обычный Memo, надо его на RTF/HTML переводить - тогда можно будет выделять цветом информацию и а протокол втыкать гиперссылки на справку и FAQ.

----------


## Grey

> Да, с интерфейсом согласен - ну не умею я рисовать интерфейсы


Может кто из посетителей нарисует дизайн для AVZ, а если будет несколько вариантов - так и будет из чего выбрать  :Smiley:  Но насчет поддержки скинов - не думаю что стоит на это уделять внимание, в крайнем случае не сейчас.




> По инсталлятору - его конечно можно приделать, но по любому я хочу сохранить версию без инсталляции - хотя-бы для данной конференции (человек скачал, компьютер проверил, логи запостил и программу стер - а инсталлировать что-то не все захотят).


Полностью согласен, версию с инсталером при желании можно делать, но простую без всяких инсталов однозначно оставить.




> в протокол втыкать гиперссылки на справку и FAQ.


А вот это отличная идей!

----------


## anton_dr

А еще бы кнопочку в окошке поиска по реестру - отметить все. А то утомительно штук 50 галочек ставить в некоторых случаях.

----------


## Зайцев Олег

> А еще бы кнопочку в окошке поиска по реестру - отметить все. А то утомительно штук 50 галочек ставить в некоторых случаях.


Пошло позицией номер 14 к списку, который сделал aintrust - однозначно будет в новой версии.

*Внимание - я поменял опрос в шапке, прошу высказать мнение ... - по поводу настроек.*

*to Gray* 
Насчте поддержки скинов я согласен - в антивире это хулиганство ... а вот насчет дизайна главного окна - действительно, если у кого идеи есть - предлагаю нарисовать схематично, как бы они хотели видеть структуру главного окна - будет предметная тема для размышления.

----------


## anton_dr

> *Внимание - я поменял опрос в шапке, прошу высказать мнение ... - по поводу настроек.*


Тем кто уже отвечал в этом опросе, не дает сделать это повторно  :Sad:

----------


## aintrust

> По инсталлятору - его конечно можно приделать, но по любому я хочу сохранить версию без инсталляции - хотя-бы для данной конференции (человек скачал, компьютер проверил, логи запостил и программу стер - а инсталлировать что-то не все захотят).


Одно другому никак не мешает, можно держать и версию с инсталлятором, и просто .zip, как сейчас, если этого кому-то хочется. 

Инсталлятор нужен как средство, которое как минимум позволит, установив программу и драйвер под Администратором, в дальнейшем работать обычным юзером. Кроме того, установка extension тоже потребует инсталлятора. Что касается удобства работы с инсталлятором и без него - все это очень условно. По хорошему программа должна устанавливаться один раз и надолго, а потом просто обновляться без к.-л. инсталляций. И технология обновлений должна это учитывать, только и всего.

Сейчас у тебя другой подход, который мне не кажется перспективным...

----------


## Зайцев Олег

> А еще бы кнопочку в окошке поиска по реестру - отметить все. А то утомительно штук 50 галочек ставить в некоторых случаях.


Поправка - это уже реализовано. В списке найденных ключей есть меню по правой кнопке ...

----------


## aintrust

> *Внимание - я поменял опрос в шапке, прошу высказать мнение ... - по поводу настроек.*


Мне кажется, что надо создать _отдельную ветку_ для предложений относительно AVZ и все текущие предложения и опросы переместить тоже туда. А то предложения здесь появляются время от времени и потом благополучно "теряются" при переходе на новую версию и ветку, а в результате постоянно приходится возвращаться к одному и тому же. А в этой новой ветке можно было сделать что-то наподобие таблицы:
Предложение - Ссылка на пост - Реализовано/нет/когда - Если отвергнуто, то почему - и т.д.
Ведь ты создаешь "народный" продукт, устраиваешь тут голосования и пр. - народу будет интересно, как обстоят дела с предложениями - и, опять же, тебе будет глаз мозолить!  :Smiley: 




> Насчте поддержки скинов я согласен - в антивире это хулиганство ... а вот насчет дизайна главного окна - действительно, если у кого идеи есть - предлагаю нарисовать схематично, как бы они хотели видеть структуру главного окна - будет предметная тема для размышления.


Вот сразу в тебе виден чел, который на скины смотрит только как на средство развлечения... но ведь это не так! При чем тут хулиганство? Скин - это очень мощный механизм, который благодаря своему языку позволяет приспособить продукт под себя, под свои нужды (увеличить или уменьшить шрифты, к примеру, или перекомпоновать неудобное по-умолчанию расположение клавиш - ведь "на вкус и цвет товарища нет!"), это неотъемлемая часть любого современного интерфейса, независимо от приложения! Очень печально, что ты этого не хочешь понять!

----------


## DenZ

Олег, хорошо бы доделать анализ строк *Автозапуска* в плане корректного отсекания параметров, проверки файлов по базе безопасных и копирования в Карантин. 
Вы вроде говорили, что алгоритмы анализа уже есть - дело за реализацией!

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## userr

По поводу списка *aintrust* - чтобы обозначить, что есть разные мнения  :Smiley:  :

3) самопроверка - очень важно
6) кнопка "Пауза"; - хотелось бы
2a) грузит компьютер - может сразу запускать с низким приоритетом или сделать менюшку с выбором.

1,2,7,9:  будет - хорошо, не будет - и ладно.
4,5,8,10-13, гриды/скины: мне это не нужно.

----------


## Geser

То что написал aintrust важно для коммерческого продукта. Для продукта над которым работает один человек, и ресурсы очень ограничены, на мой взгляд, нужно делать упор именно на то что делает АВЗ уникальным. Иначе получится обычный антиспайварь не способный тягаться с коммерческими по понятной причине.
IMO наполнение баз безопасных файлов и улучшение эвристика это то на что нужно делать упор. А остальное мелочи, на которые жаль третить силы.

----------


## kps

> Тем кто уже отвечал в этом опросе, не дает сделать это повторно


Угу  :Sad: 
По-моему стоит вообще сделать несколько отдельных опросов по поводу необходимости разных нововведений и предложений. К примеру один опрос по интерфейсу, что нужно менять, улучшать и т.д. и там обсуждать конкретно эту тему. В другом опросе например спросить, какие нововведения важнее и критичнее или эту тему разбить еще на несколько опросов, и в каждом отдельном топе обсуждать именно конкретную тему, к-рой посвещен опрос. А этот топ о бета-тестировании по-моему не совсем подходит для этих целей.

----------


## Зайцев Олег

> Угу 
> По-моему стоит вообще сделать несколько отдельных опросов по поводу необходимости разных нововведений и предложений. К примеру один опрос по интерфейсу, что нужно менять, улучшать и т.д. и там обсуждать конкретно эту тему. В другом опросе например спросить, какие нововведения важнее и критичнее или эту тему разбить еще на несколько опросов, и в каждом отдельном топе обсуждать именно конкретную тему, к-рой посвещен опрос. А этот топ о бета-тестировании по-моему не совсем подходит для этих целей.


Опрос придется создать в отдельной теме - т.к. удалить опрос не получается. Через пару дней бедет новая тема и соотвественно опрос (или две темы - по интерфейсу и по тестированию).

----------


## aintrust

> То что написал aintrust важно для коммерческого продукта. Для продукта над которым работает один человек, и ресурсы очень ограничены, на мой взгляд, нужно делать упор именно на то что делает АВЗ уникальным. Иначе получится обычный антиспайварь не способный тягаться с коммерческими по понятной причине.
> ...
> А остальное мелочи, на которые жаль третить силы.


Я считаю, что продукт, который не стремится стать похожим на коммерческий, обречен на то, что он будет использоваться только компьютерными "маргиналами", т.е., в данном контексте, людьми, которым он более-менее понятен только по той причине, что они давно его используют и постоянно "пасутся" в форуме, где можно в любое время задать вопрос автору. Ситуация усложнится, если сделать версию для международного использования, я в этом уверен - поэтому лучше заранее скруглить все острые углы, слегка доработав существующий фейс и немного добавив функционал. А иначе "уникальность" может обернуться совсем другой стороной...

Давайте теперь попробуем посмотреть более внимательно на "мои" предложения с точки зрения временных затрат/"траты сил" на реализацию:
 - Некоторые из них (6, 7, 8, 10, 12) связаны с небольшими недоработками в текущем интерфейсе и не займут в реализации более одного дня (все вместе!). 
 - Часть предложений (1, 2, 4) связана с полным отсутствием какой-либо инфраструктуры у этого продукта, что мешает, к примеру, его внедрению 
у меня в локальной сети (а почему нет?) - ведь это могло бы дать значительный фидбек, а ведь я не один такой админ! Сколько займет реализация этих пунктов? Учитывая, что (1) уже практически готов, а (4) вообще выеденного яйца не стоит, максимум - неделю!
 - Часть предложений (2а, 5) напрямую связана с функциональностью программы, и отсутствие этих возможностей постоянно действует мне на нервы...  :Smiley:  Затраты? (2а) - трудно сказать, надо продумать сначала механизм (я пока что снижаю приоритет до минимума), а реализация - максимум пару дней, (5) - я не вижу особых трудностей, ну... 2 недели не напрягаясь, на фоне другой работы...
 - Часть предложений (3, 13) просто расширяет функционал - это на усмотрение автора, но, как говорится, хотелось бы... Затраты: (3) - не очень просто, требует хорошего продумывания, затрудняюсь сказать... месяц-два без напряга примерно на первичную реализацию (это мне, а Олегу - быстрее раза в полтора-два  :Smiley: ). (13) - совсем несложно, неделя без напряжения.
 - Что осталось? GUI, скины и звуки... Да, непросто поначалу, надо продумать язык, зато очень перспективно и интересно в реализации, кроме того - это огромный задел на будущее Олегу как программисту. Затраты - до нескольких месяцев.

Что в итоге имеем по затратам? Максимум 4-5 месяцев без напряга на все. Много это или мало? Думаю, что это совсем немного, учитывая историю развития (уже многолетнюю!) AVZ  :Smiley: .

А по поводу "коммерциализации" могу сказать вот что: коммерческим продукт может стать только при наличии хорошего саппорта, что Олегу одному действительно не под силу! А стать хорошим, качественным и отлично выглядящим (не хуже любого коммерческого) этому продукту ничего не мешает - было бы только _желание_ автора, а _сил_ у него точно хватит (в этом я абсолютно уверен!), и совсем не в ущерб отличной функциональности!




> IMO наполнение баз безопасных файлов и улучшение эвристика это то на что нужно делать упор.


Это - неумирущее, трудно не согласиться, но прелесть в том, что уже практически поставлено на автомат и не вызывает особых трудностей, позволяя больше времени уделять "хотелкам" со стороны!

----------


## aintrust

Кому интересны некоторые особенности загрузки процессора при работе AVZ в разных ОС (в частности, Windows XP SP2 и Windows Vista Beta 1) на компьютере с процессором Pentium 4 (Prescott, 3.00 GHz, 1MB L2 Cache, FSB 800 Mhz) с выключенной и включенной поддержкой технологии  Hyper-Threading, взгляните сюда, Post #14. Результаты теста пока очень и очень предварительные, но кое-что есть  интересное...

----------


## Зайцев Олег

> Кому интересны некоторые особенности загрузки процессора при работе AVZ в разных ОС (в частности, Windows XP SP2 и Windows Vista Beta 1) на компьютере с процессором Pentium 4 3.0 GHz (Prescott) с выключенной и включенной поддержкой технологии  Hyper-Threading, взгляните сюда, Post #14. Результаты теста пока очень и очень предварительные, но кое-что есть  интересное...


 У AVZ может небольшую накладку вносить второй поток, хотя он собственно просто ползает по дереву папок и считает файлы. Но картина действительно интересная ...



> Это - неумирущее, трудно не согласиться, но прелесть в том, что уже практически поставлено на автомат и не вызывает особых трудностей, позволяя больше времени уделять "хотелкам" со стороны!


Согласен на все 100% - сейчас по сути обработка "зверей", анализ и классификация, отлов новых зверей, ведение баз и прочая рутина проводится машиной и практически не отнимает у меня времени. Поэтому можно заняться интефейсом и движком.

----------


## Зайцев Олег

Вышла версия 3.75. Эту тему закрываю - для 3.75 создана новая ...
Новая тема - http://virusinfo.info/showthread.php?t=3261

----------

