# Форум на русском языке  > Решения по информационной безопасности  > Другие программы по безопасности  > Публичное бета-тестирование  >  AVZ on LiveCD

## drongo

Олег Зайцев, *требуется сделать*:
-плагин для bartpe  который сможет работать с реестром и переменными окружения зараженной машины .
-думаю, удобнее будет сделать в самой avz- автовыбор реестра( если система поднялась с СД, а не с харда- автоматически подключалась бы к реестру заражённой системы а не к  bartpe( со стороны пользователя не нужно телодвижений  - меньше движений- меньше багов )- 
-в логах avz должна быть строчка в верху  с указанием, к какому реестру было подключение
- в гуи сделать выбор через окошко  "Обзор"
место сохранение логов и карантина. ( Через скрипт уже ведь есть, осталось через гуи воплотить  :Wink:  )
-возможность обновления баз локально  через гуи (базы распакованы на диске, флешке итд)
-Полная  рабочая сборка с имиджем и отдельно плагин закинуть  на рапиду или какой-нибудь обменник, далее я сам уже закину в битторент - разберут  :Smiley: 

P.S. Надеюсь, так менее туманно  :Wink:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

Что нужно мне:
1. Откуда этот самый BartPE берется ? Чтобы мне не искать (готовых бут-дисков дисков с разными BartPE и т.п. у меня горсть лежит, но если брать все официально - то официально)
2. Есть данные о том, как для него делать плагины ?

----------


## drongo

1.конечно с официального сайта:
http://www.nu2.nu/pebuilder/
http://www.nu2.nu/pebuilder/#download
2. надо поискать подробную инструкцию. надеюсь, ребята читающие эту тему помогут. если найду раньше сообщу.

*Добавлено через 4 минуты*

http://www.homenetworkhelp.info/inde...ast-2007-03-19
 хорошая статейка, внизу линки на сайты с инструкциями для создания нового плагина

*Добавлено через 6 часов 48 минут*

Добавил про обновление- важная вещь, совсем не охота каждый раз мастерить livecd

----------


## Vorland

> Олег Зайцев, *требуется сделать*:
> -плагин для bartpe  который сможет работать с реестром и переменными окружения зараженной машины .


Да уж, LiveCd становится наиболее актуальным средством борьбы со зловредами. Может лучше сделать LiveCd на базе VistaPE (WinPE 2.0) (vistape.net/rus/index.html)? Там поменьше ограничений будет на работу программ...

И подключаемый реестр зараженной машины - это очень нужно! (Правда, это я встречал только в LiveCd от SysInternals ERD Commander - видимо не очень просто это сделать.)

P.S. Сканер Drweb можно запускать с VistaPE, переместив всю папку Drweb на LiveCd (проверено лично), Spybot вроде бы тоже можно переносить на LiveCd копированием папки, сканер AVZ пока не проверял. 

Актуальным для меня является вопрос о переносе сканера Kaspersky 2009 на LiveCD (родной Rescue диск на BartPE не очень устраивает - на одних системах запускается, на других - нет). Никто не встречался с ручными методами переноса Kaspersky 2009 на LiveCd?

----------


## DVi

> Актуальным для меня является вопрос о переносе сканера Kaspersky 2009 на LiveCD (родной Rescue диск на BartPE не очень устраивает - на одних системах запускается, на других - нет). Никто не встречался с ручными методами переноса Kaspersky 2009 на LiveCd?


http://downloads.kaspersky-labs.com/...ds/RescueDisk/

----------


## Damien

> И подключаемый реестр зараженной машины - это очень нужно! (Правда, это я встречал только в LiveCd от SysInternals ERD Commander - видимо не очень просто это сделать.)


как вариант - подключать и редактировать поломанный реестр с помощью "Загрузить куст" в стандартном "regedit". Это возможно в любой загружающейся сборке LiveXP.

----------


## Vorland

> http://downloads.kaspersky-labs.com/...ds/RescueDisk/


Это на базе Linux. А хотелось бы на базу Win PE перенести Kaspersky.

А если использовать LiveCd на базе Linux, то как обновлять базы на нём (без выхода в Инет для обновления или повторного скачивания всего образа) - ручками, имея только установленный под Windows Kaspersky. Интересует только какие какие папки/файлы и где заменять... (UltraIso пользоваться умеем ;-) ?




> как вариант - подключать и редактировать поломанный реестр с помощью "Загрузить куст" в стандартном "regedit". Это возможно в любой загружающейся сборке LiveXP.


Как заставить при этом AVZ (или другой антивирус) работать с загруженным кустом ?

----------


## Damien

> Как заставить при этом AVZ (или другой антивирус) работать с загруженным кустом ?


даже не задавался этим вопросом т.к. всё приходилось делать вручную.
Но, по идее работа с загруженным кустом ничем не отличается от обычного. Ну разве что некоторые утилиты не смогут найти разделы отвечающие за автозагрузку т.к. они будут лежать не по привычным путям, а с приставкой. Тогда это вопрос к разработчикам утилит...

----------


## DVi

> А хотелось бы на базу Win PE перенести Kaspersky


WinPE небесплатен, поэтому Лаборатория Касперского его не использует.

----------


## VV2006

Зато BartPE бесплатен, поэтому многие сборщики LiveCD используют его. Проблема только в том, пользователь сам должен собрать LiveCD из своего (презюмируется - легального) дистрибутива Windows.
Вот один из примеров плагина для работы АVZ с Live CD:
; AVZ.inf
; PE Builder v3 plug-in INF file for copy custom tools CD
; Created by VV2006
; 
[Version]
Signature= "$Windows NT$"

[PEBuilder]
Name="AVZ"
Enable=1
Help=""

[WinntDirectories]
a="Programs\AVZ",2

[SourceDisksFolders]
files=a,,1

[Software.AddReg] 
0x2,"Sherpya\XPEinit\Programs","AVZ","%SystemDrive  %\programs\AVZ\avz4remoute.cmd||%SystemDrive%\Prog  rams\AVZ\avz.exe" "
0x2,"Sherpya\XPEinit\Desktop","AVZ","%SystemDrive%  \programs\AVZ\avz4remoute.cmd||%SystemDrive%\Progr  ams\AVZ\avz.exe,0" 

Содержимое командного файла avz4remoute.cmd, выполняющего копирование каталога AVZ во временный каталог (как правило, это корень виртуального диска B:\) и последующий запуск для удалённой системы:
xcopy avz /S %temp%\avz\*.*
start RunScanner.exe /y /t 0 %temp%\avz\avz.exe
Редиректор-сканер, позволяющий переназначить работу программы на реестр другой системы, можно скачать здесь: http://www.paraglidernc.com/Files/RunScanner10022.cab

Вот здесь можно скачать базовый конструктор от *7sh3* с полностью русифицированным Help'ом (детальное описание формата файла модуля см. в pebuilder_xpe/help/russian/pluginformat.htm) :  http://forum.ru-board.com/topic.cgi?...026&start=1780

Существуют некоторые неудобства при использования плагина, содержание которого приведено выше. Так, невозможно предотвратить обработку данных текущей (WinPE) системы, которая выполняется наряду с обработкой данных удалённого реестра (возможно, решение всё же есть, и оно в более внимательном изучении ключей работы рансканера  :Smiley: ). При работе с дисками, где систем Windows больше одной, нужен запуск AVZ через рансканер с дополнительным ключом /w <windows directory> для указания конкретной системы (телодвижения всё-таки могут понадобиться). 
Конечно, было бы замечательно, если бы Олег попробовал реализовать в своей программе дополнительные возможности, предложенные *drongo*.

----------


## Биомеханик

Немного покопался, сделал загрузочный диск с минимумом функций, и вроде как нормально стартующим AVZ с подключением реестра (высвечивается окно для указания пути к виндовс, пока не проверял) пока не проверял. Багов ещё многовато, драйвера надо вшить на дисковые подсистемы и пр. Если кому интересно кину на сетевой FTP (для нас бесплатный, вым виден из нета) для тестов.

Да, кстате может кто нибудь объяснит почему пуск в верху экрана появляется?
Кстати можно сделать на базе ERD Commander, но это вроде как коммерческий продукт, но скачивается бесплатно.

А вот что под вечер получилось.
http://security.belgorod-net.ru/PAK/...rusKit_0.1.rar 97 mb
Багов ещё хватает, например AVZ думает что система EN, драйверов нет, да и тестов почти не было. Короче пробуйте. 
В будущем надеюсь закинуть и подключить ещё парочку популярных утилит.

----------


## VV2006

*Биомеханик*
Скачал, загрузил образ в виртуальной машине. Возник вопрос: а выкладывать "для тестов" образ, загружаемый с паролем на входе в систему, это что, "шутка юмора"?
Посмотрел файлы образа, отвечающие за работу AVZ. Ничего нового в создании плагина не обнаружил. Упаковка UPX'ом - не в счёт, считаю, лучше экономить оперативную память и время выполнения, чем дисковую память. Смысл предлагаемого тестирования образа? Помочь Вам устранить ошибки, сбросить пароль на вход в систему? См. мой пост выше, лучше конструктора, чем по приведенной в нём ссылке вряд ли найдёте...

----------


## Биомеханик

Пароль virusinfo
Какая паковка?

----------


## VV2006

*Биомеханик*, насчёт паковки всё нормально: просто как-то не обращал внимание на оригинальную упаковку AVZ (UPX v2.03). Дело в том, что иногда при сборке LiveCD многие модули жмут дополнительно, чтобы место сэкономить. Сорри, померещилось...  :Smiley: 

Касательно Вашей сборки, Пуск обнаружился на привычном месте. Появление английского интерфейса AVZ, видимо, связано с недостатками плагина локализации. При использовании конструктора от *7sh3* такой проблемы нет - всё на великом и могучем.

Особенность рансканера: при запуске с CD-диска (I386) командного файла avz4remoute.cmd (run.cmd в образе *Биомеханик*) следует запрос каталога установки Windows; если же запускаем эту же сборку с (флеш)диска (MININT, у себя обозвал пробный вариант MINI_Z c соответствующей корректировкой пути в setupldr.bin) запроса каталога установки Windows не происходит и сразу появляется диалоговое окно выбора профиля пользователя. Это связано с особенностью реализации режима умолчания для запуска рансканера. 

Проблема решаема, чтобы иметь возможность выбора инсталляции, следует запускать AVZ для удалённой системы так: 
start RunScanner.exe /y /sd /t 0 %temp%\avz\avz.exe

Ключ */sd* включает сканирование корневых каталогов на всех дисках с целью поиска Windows-инсталляций - можно выбрать из найденных (для Vista - ключ /sv, для "ручного" указания каталога Windows можно использовать ключ /s).

По-прежнему остаётся нерешённым вопрос отграничения данных текущей системы от данных удалённой системы при запуске AVZ для удалённой системы.

----------


## Биомеханик

Я убрал (уберу) все ненужные модули из конструктора для уменьшения веса и возможных багов. Также планирую добавить дрова на скази и рейд + video карты (что смогу найти) + некоторые проги типа Hijackthis и каперского.
С локализацией вопрос почти решился в тестовых сборках получается запустить сразу русский гуй.
RunScaner поправлю. Будет два ярлыка для обычной винды и висты.
С последним пунктом не понял. Про какие конфликты идёт речь?

----------


## VV2006

*Биомеханик*, из Windows XPE запустите свой run.cmd. Ну, а далее, например, Сервис - Менеджер автозапуска. Теперь обратите внимание на значения данных в колонке "Файл" - видны элементы автозапуска как для удалённой системы, так и для текущей PE-системы (наиболее заметны строки с "ненужными" путями X:\....) Конфликтом или проблемой вряд ли стоит это называть, но неудобством -несомненно. 

Дано: среда преинсталляции (PE), позволяющая работать с удалённой Windows-системой.
Задача: не пропустить на вход AVZ данные текущей PE-системы (о текущих процессах, значениях ключей PE-реестра, запущенных PE-службах, загруженных PE-драйверах и т.п.), чтобы AVZ обратывались только (исключительно) данные удалённой (неактивной, "лежащей" системы).

----------


## Биомеханик

Ну это уже к Олегу. Пути с X:\ можно легко отфильтровать. Короче нужна корректированная версия AVZ для PE систем.

----------


## VV2006

Изменения, вносимые в удалённую систему (файлы, реестр) сохраняются в ней. Практически, возможно и восстановление настроек загрузки в SafeMode (10-ый скрипт). Поэтому, AVZ c LiveCD можно использовать, в частности, для решения проблемы с восстановлением варианта безопасной загрузки, упомянутой вот в этой теме: http://virusinfo.info/showthread.php?t=36275

----------


## antanta

Меня тоже достало вручную подключать реестр (из PE). Не будучи кодером, все же взялся на написание утилитки, которая хотя бы "собирает" по диску файлы реестра, определяет какой ControlSet текущий, показывает авторран и драйверы(службы) с возможностью отключения. Теперь поймал ступор, из-за недостатка знаний. Проблема в том, что проверять файлы по каталогу безопасных, работая в "нормальной" винде достаточно просто. А в PE с криптопровайдером работать не получается. Наверное, можно сделать специальную сборку, только универсальность теряется. Хэши sha1 , рассчитанные для всего файла (могу), не совпадают с хэшами, хранящимися в *.cat файлах, поскольку MS  исключает из подсчета некоторые части образа. Вот здесь описано: http://209.85.229.132/search?q=cache...lnk&cd=1&gl=ru
Если кто-то поможет понять, как это должно быть реализовано, буду благодарен. 
А еще лучше, если в AVZ будет добален функционал для работы из PE. Никакой плагин там не требуется, просто возможность нажатием "кнопки" выбрать интереующую копию винды. Или, хотя бы, вручную указывать исследуемые ветки реестра(вместо software - AVZ_software и т.д.). Даже проблема проверки по каталогу MS особо не стоит, в AVZ своя база достаточно большая. Жаль, я не могу понять ее формат ;-)

Если уж система не стартует, то один из "мягких" способов ее запустить - исследовать и подправить реестр, загрузившись со сторннего носителя. Возможно, иногда имеет смысл начисто переустановить погибшую систему(сам не люблю). В таком случае полезно было бы повытягивать максимум информации из старого реестра. Те же сетевые настройки, который пользователь "не знал, да еще и забыл". 
(Как один из вариантов направления развития для AVZ).

*Добавлено через 1 час 43 минуты*

Хорошо, задам вопрос, подразумевающий конкретный ответ:"Уважаемый Олег Зайцев(автор AVZ), предполагается ли выход в свет версии AVZ, которая бы работала с "удаленным" реестром, будь то через загрузку кустов в "локальный реестр" Windows PE или прямым разбором файлов реестра? 
На руборде в ветке AVZ народ о том же просил.

----------


## VV2006

> На руборде в ветке AVZ народ о том же просил.


...и по-прежнему просит:
http://forum.ru-board.com/topic.cgi?...6436&start=260  :Wink:

----------


## Ikarek

Добрый день. Сегодня столкнулся с проблемой при восстановлении ОС. Хотел поинтересоваться, ведутся работы в направлении обсуждаемой темы? Очень, мне кажется, полезная функция была бы.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## vladkras

аналогично, куда все пропали-то? второй день бьюсь с вирем, вебовский лайв сиди не помогает, нужна альтернатива

----------


## QUARQ

http://forum.ru-board.com/topic.cgi?...&limit=1&m=3#1  нашел вот такую сборку RusLive Full в оболочку встроен RunScanner
правой кнопкой по AVZ выбрать "run with remote registry"
авз в комплеке нету надо самому создать папку PePrograms\avz4
а в нее кроме авз положить текстовый файлик link.shl вот с таким содержимым
[Shortcut]
exe=\AVZ.EXE
lnk=AVZ
Desktop=
QuickLaunch=
StartMenu=Программы (CD)\AVZ
Programs=
workdir= 
args= 
icon=\AVZ.EXE
hotkey= 
[AutoRun]
exe=
reg=


тогда он будет отображаться в ПУСКЕ ,в сд утилитах

----------


## Oyster

Для тех, кто желает создать загрузочную флэшку с AVZ, набросал пошаговое руководство.
Понадобятся: дистрибутив Windows XP, PE builder, PEToUSB, RunScanner, AVZ
1. Распаковываем архив с PE Builder, в каталоге plugin создаём папки AVZ и RunScanner. В папке plugin\AVZ создаём папку files.
2. В папку plugin\RunScanner кладём содержимое архива RunScanner (cab-файл можно распаковать архиватором 7-Zip)
3. В папку plugin\AVZ\files кладём файлы AVZ - avz.exe, avz.hlp и папку Base. 
4. В папке plugin\AVZ создаём два файла:
4.1. avz.inf с содержимым


```
; ----------------------------------------
; PE Builder v3 plugin INF file
; Plugin by Paraglider
; http://www.paraglidernc.com
;
; Plugin For AVZ
; ----------------------------------------
; Built with PluginCreator

[Version]
Signature="$Windows NT$"

[PEBuilder]
Name="AVZ"
Enable=1
Help="avz.hlp"

[WinntDirectories]
a="Programs\AVZ",3
b="Programs\AVZ\Base",3

[SourceDisksFiles]
Files\*.*=a 

[SourceDisksFolders]
Files\Base=b 

[Append]
nu2menu.xml, avz.xml

[Software.AddReg]
0x2,"Sherpya\XPEinit\Programs","AVZ","%ProgramFiles%\RunScanner\RunScanner.exe|/t 0 /ac /sd /m+ /y %ProgramFiles%\AVZ\avz.exe|%ProgramFiles%\AVZ\avz.exe lang=ru"
0x1,"Paraglider\Runscanner\avz.exe","HKCU","Software\Microsoft\Windows\CurrentVersion\Applets\avz"
```

4.2. avz.xml с содержимым


```
<!-- Nu2Menu entry for AVZ -->
<NU2MENU>

 
	<MENU ID="Programs">
          <MITEM TYPE="ITEM" DISABLED="@Not(@FileExists(@GetProgramDrive()\Programs\RunScanner\RunScanner.exe))"
          CMD="RUN" FUNC="@GetProgramDrive()\Programs\RunScanner\RunScanner.exe /t 0 @GetProgramDrive()\Programs\AVZ\avz.exe lang=ru">AVZ</MITEM>
	</MENU>         
    
</NU2MENU>
```

5. Запускаем BE Builder, указываем путь к дистрибутиву Windows XP (папку, в которой лежит i386), каталог назначения оставляем с именем BartPE, образ не создавать и не записывать.
6. Нажимаем кнопку "Модули", в списке модулей разрешаем AVZ и RunScanner, возвращаемся в основное окно.
7. Нажимаем кнопку "Создание сборки", ждём окончания.
8. Вставляем флэшку и запускаем PeToUSB
9. Указываем Destination Drive - USB Removable, выбираем в списке свою флэшку, ставим галки Enable Disk Format и Enable LBA (FAT 16X)
10. Source Path To Build BartPE/WinPE Files - указываем путь к каталогу BartPE в папке с PE Builder
11. Ставим галку Enable File Copy, в списке указываем Overwrite Always
12. Нажимаем Start и ждём окончания копирования.
При загрузке с этой флэшки в подменю Programs будет пункт AVZ, а в Programs - System Tools пункт Remote RegEdit

P.S. Владельцам ноутбуков, привыкшим шлёпать по тачпэду вместо щелчков его левой кнопкой, придётся вспомнить про неё  :Smiley:

----------


## Aleksandr49

*Oyster*, 
Спасибо, но я сделал по рекомендации QUARQ использовав готовый RusLive CD и добалил туда AVZ, все работает отлично.
Спасибо.

----------


## senyak

А можно готовый образ?

----------


## horror02

НАрод дайте, пожалуйста, готовый образ ливСД с AVZ(который может работать с "удаленным реестром")

----------


## Erekle

AVZ хорошо работает с RunScanner. Если последний есть, AVZ можно запускать "с удаленным реестром" хоть с флешки, хоть с диска установленной системы, даже если программы нет в сборке. Изменения сохраняются, например, скрипты Восстановления системы. Ну, бывает, не срабатывает в итоге - если пропустили заразу и она восстановила статус-кво с загрузкой основной системы.  :Smiley: 
Другое дело, что путаница с реестром LiveCD имеется. В некоторых сборках есть проблемы, иногда это объяснимо, - если до того подключали реестр для другой программы, и после её закрытия реестр всё равно заблокирован.

----------


## bellic

Поддерживаю общую "хотелку" по доработке AVZ  - в плане работы с удаленной системой... 
Думаю саму утилиту и не обязательно закатывать на LiveCD - можно и флешкой её туда подсунуть - обновлять базы имхо будет легче.

В одном из редакторе реестра видел при старте запрос - "Укажите папку, где размещена Windows" - после этого загружался реестр по известному пути и т.д.

В утилите тоже хотелось бы это использовать,  - смотреть Автозапуск например или лечить стандартными скриптами...

Думаю автор всё-же прислушается к этому пожеланию!?

----------


## santy

> Для тех, кто желает создать загрузочную флэшку с AVZ, набросал пошаговое руководство....


*Oyster*, какие шрифты надо добавить, чтобы АВЗ нормально отображал кириллицу при запуске в LiveCD (созданного с помощью pebuilder)?

----------


## Oyster

> *Oyster*, какие шрифты надо добавить, чтобы АВЗ нормально отображал кириллицу при запуске в LiveCD (созданного с помощью pebuilder)?


Создавал на базе русской XP OEM SP3, причём даже не с оригинального диска, а с папки I386, которая изначально была на ноутбуке. Шрифты специально не добавлял, в AVZ нормально отображается всё или почти всё  :Huh:  Хотя в других программах бывают проблемы.

----------


## Linia

Простите, а не выложите получившийся образ? (присоединяю свою просьбу к уже высказанным) Чем дальше - тем больше появляется SMS-вирусов, блокирующих любые действия. Пока удалишь агрессора из реестра автозагрузки - семь потов сойдет. (грустно)

----------


## Alexoid

Олег, Вы сделали замечательный инструмент. Можно его еще улучшить, если добавить работу с оффлайн системой, как в последних версиях autoruns от sysinternals. Там указываем путь к каталогу виндовс и каталогу пользователя, а далее утилита сама подмонтирует нужные ветви реестра и работает только с ними. 
Если это будет, то мы сами соберем себе плагины такие, какие ему нужны, под БартПЕ, или под ВинПЕ. 
А пока приходится свежие винлокеры с помощью autoruns выковыривать...

----------


## Oyster

> указываем путь к каталогу виндовс и каталогу пользователя, а далее утилита сама подмонтирует нужные ветви реестра и работает только с ними.


RunScanner именно это и делает, причём позволяет натравить на оффлайн-реестр любую указанную Вами программу, не только AVZ.



> Если это будет, то мы сами соберем себе плагины такие, какие ему нужны, под БартПЕ, или под ВинПЕ.


Можно даже не создавать полноценный плагин, а запускать врукопашную с параметрами командной строки.

----------


## Erekle

> -думаю, удобнее будет сделать в самой avz- автовыбор реестра


Всё-таки - да. И если опцией "подключиться оффлайн", - прямым разбором, минуя активный реестр.

AVZ c Runscanner работает, это известно. Но: блокеры, это актуально. Иногда нет возможности сделать логи даже в безопасном режиме и остаётся сторонняя система (мне то что, я не хелпер  :Smiley:  ). Второе: AVZ  и так входит по умолчанию в состав практически любого РЕ, и, как правило, с  Runscanner-ом. Но для удобного просмотра хоть логов, хоть прямо в программе, лучше без ненужного Х: Третье - работают "оффлайн", с кустами, многие: Registrar, RegAlyzer (правда, эти монтируют в активный реестр), Raw Registry Editor, RegdatXP, OSAM ещё.

----------


## Travoed

> AVZ c Runscanner работает, это известно.


К сожалению коряво работает , цепляет часть реестра LiveCD .
Та же история и с Autoruns .

----------


## Erekle

Цепляют...



> работают "оффлайн", с кустами, многие:


uVS забыл.

----------


## Oyster

> Просмотрел ветку. Значит Олег Зайцев не захотел прикручивать AVZ к Bartу или подобному. Ну а кто-то другой сумел прикрутить?


Способ с RunScanner имеет недостатки и, возможно, это не единственный вариант, но часто его достаточно для первых этапов лечения.

----------


## Erekle

Но есть без RunScanner-а?
Я вообще от жизни отстал (были причины). Последние Autoruns тоже предлагают, оказывается (слышал краем уха, но новую версию проверил только сегодня), - но опять с монтированием в активный реестр (Registrar в виде "временних веток" в НКLM, uVS в виде разных веток там же, Autoruns - в виде "Autoruns Software").

Все эти программы работают с другим реестром и в обычной обстановке, не только в РЕ. RunScanner используют или нет, не знаю. Плюс ещё один к списку: SеrvicesPE Korale - и в РЕ, и в обычной системе, неплохая программка для быстрого просмотра и редактирования служб и драйверов. И по этой части я предпочту конечно его, а не AVZ... Правда, если анализируемая сторонняя система находится на том же ПК (подключен винчестер, например), в таком случае будет два диска С:, следовательно, путаница с наличием или отсутствием файлов. Например, Autoruns сейчас говорит, что файла Х на С: нет. Его нет на основном С:, но есть на Ф:, который недавно был диском С: в другом месте.  :Smiley:  

Но это частный случай, с подсоединением диска. Так же будет (и есть) в случае барта с РанСканером? Да, но - если искать что-то "в реестре". Но если "в такой-то части реестра", а конкретно - в подключенной части? Тот же SеrvicesPE Korale и uVS никакую путаницу не допускают, ни с реестром РЕ, ни в основном.

В самом деле, какая разница, чем и куда подключать, и какая разница, RunScanner-ом или собственны скриптом? Или разбор возможен полностью в обход реестра? Как OSAM это делает, точно не помню - не знаю...

Есть вероятность отстать от конкурентов, в конце концов.  :Smiley:

----------

