-
[QUOTE=regist;1264590]А ещё лучше добавить [URL="http://forum.kaspersky.com/index.php?showtopic=223351&view=findpost&p=1790531"]обещанную ещё в 2012 году [/URL]архивацию и разархивацию произвольных файлов.[/QUOTE]
Делал я это когда то, не помню, почему на паблик не пошло. Добавил, полиморф обновлен. Команды:
function ZIP_ExtractArchive(AArchiveFile, ADestDir, AMask : string; APWD : string = ''); - извлекает их архива с именем AArchiveFile файлы, соответствующие маске AMask в каталог ADestDir. Структура каталогов в архиве и ADestDir будут идентичны. Если архив с паролем, то необходимо задать необязательный 4-й параметр APWD и указать в нем пароль (если это не сделать, то защищенные паролем файлы не извлекутся или извлекутся с нулевым размером). Пример:
[CODE]begin
ZIP_ExtractArchive('d:\test.zip', 'e:\распаковка ZIP', '*.*');
end.[/CODE]
Создание архива ведется функцией function ZIP_CreateArchive(AArchiveFile : string; AFileList : TStrings; APWD : string = ''), где
AArchiveFile - полное имя создаваемого архива
AFileList - список добавляемых файлов
APWD - необязательный параметр, пароль архива (если не задан - то создается архив без пароля).
Список файлов содержит или полные имена файлов (они добавляются в корень архива), или <полное имя файла на диске>;<имя файла в архиве> - в этом случае можно добавлять файлы в различные каталоги в архиве и не обязательно под именами как на диске. Пример:
[CODE]var
FileList : TStrings;
begin
FileList := TStringList.Create;
FileList.Add('d:\msdia80.dll');
FileList.Add('d:\msdia80.dll;test.dll');
FileList.Add('d:\avz_sysinfo.htm;LOG\avz_sysinfo.htm');
FileList.Add('d:\avz_sysinfo.xml;LOG\avz_sysinfo.xml');
ZIP_CreateArchive('d:\test.zip', FileList, 'infected');
end.[/CODE]
-
[b]Зайцев Олег[/b], а какие-то коды возврата будут возвращаться об успешности/не успешности архивации/разархивации?
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[quote="Зайцев Олег;1266233"]Делал я это когда то, не помню, почему на паблик не пошло.[/quote]
а может тогда и это делали или можно сделать? [quote="Zaitsev Oleg"]плюс будет функция запроса информации о базах[/QUOTE]
-
[QUOTE=regist;1266262][b]Зайцев Олег[/b], а какие-то коды возврата будут возвращаться об успешности/не успешности архивации/разархивации?[/QUOTE]
Это функции, возвращают boolean - true в случае успеха и false в случае ошибок. Не все конечно ошибки могут быть пойманы, но тем не менее. ZIP_CreateArchive кроме того когда идет по списку файлов, то проверяет, есть ли каждый из файлов и доступен ли он на чтение. Если нет - то файл пропускается и ошибка не возникает.
-
[quote="Зайцев Олег;1266266"]Если нет - то файл пропускается и ошибка не возникает.[/quote]
то есть если удалось заархивировать только часть файлов (а к остальным допустим был блокирован доступ), то будет возвращено true - то есть успешная архивация?
-
[QUOTE=regist;1266268]то есть если удалось заархивировать только часть файлов (а к остальным допустим был блокирован доступ), то будет возвращено true - то есть успешная архивация?[/QUOTE]
Да, именно так и будет. Можно конечно сделать какой-то счетчик файлов, или например помечать файлы в списке (например удалять из списка те, что успешно добавлены в архив)
-
[quote="Зайцев Олег;1266270"]или например помечать файлы в списке (например удалять из списка те, что успешно добавлены в архив)[/quote]
Этот вариант предпочтительней. Иногда при архивирование используется удаление исходных файлов, тогда в таком случае используя этот список можно будет удалять только те которые успешно заархивировались.
А по поводу функции вывода даты обновления баз можно сделать?
И заодно напомню про просьбу добавить [URL="http://virusinfo.info/showthread.php?t=155719&p=1256556&viewfull=1#post1256556"]IsAdmin[/URL] для проверки запущен ли AVZ с правами администратора.
И ещё небольшое замечание: [url]http://tnkscr.net/rCHAqq.jpg[/url] дату сборки полиморфа при следующей пересборке надо бы поправить.
-
[QUOTE=regist;1266285
И заодно напомню про просьбу добавить [URL="http://virusinfo.info/showthread.php?t=155719&p=1256556&viewfull=1#post1256556"]IsAdmin[/URL] для проверки запущен ли AVZ с правами администратора.
[/QUOTE]
Добавил функцию IsAdmin:boolean, пример вызова:
[CODE]begin
if IsAdmin then
AddToLog('У пользователя есть права администратора')
else
AddToLog('У пользователя НЕТ прав администратора');
end.[/CODE]
Следует только понимать, что эта функция вернет True при условии, что пользователь входит в группу "Администраторы" данного ПК, но при этом права могут быть подрезаны UAC, блокированы чем-то и т.п. - функция это не может учесть
[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]
[QUOTE=regist;1266285]И ещё небольшое замечание: [url]http://tnkscr.net/rCHAqq.jpg[/url] дату сборки полиморфа при следующей пересборке надо бы поправить.[/QUOTE]
Это учтено, дата сборки поправлена.
-
[b]Зайцев Олег[/b], AVZ до сих пор не проверяет AltStartup?
Обсуждалось ещё в 2011 году [URL="http://virusinfo.info/showthread.php?t=112069"]здесь[/URL] и [URL="http://virusinfo.info/showthread.php?t=121803&p=898196&viewfull=1#post898196"]здесь[/URL].
-
Я тут решил вспомнить молодость и просканировать комп АВЗ (Windows 7 64bit). И возникла у меня пара вопросов. Я понимаю что это, наверное, уже обсуждалось, но все же
1. AVZPM, AVZGuard не работают в 64-bit версиях Windows. Может в этих версиях Windows стоит не показывать эти пункты меню или хотя бы сделать их неактивными?
2. Вот эти ошибки:
[CODE]1.2 Searching for kernel-mode API hooks
Error loading driver - operation interrupted [C000036B]
1.5 Checking IRP handlers
Error loading driver - operation interrupted [C000036B][/CODE]
я так понимаю тоже связаны с тем что 64-bit. Может стоит указать это в логе, а не просто Error? Или даже не пытаться загружать эти драйверы в 64-bit версиях Windows?
Особенно учитывая что 64-bit версии сейчас становятся стандартом.
Прошу прощения за придирки, но я так понимаю что это не сложно сделать.
3. Во время сбора подозрительных файлов получил много ошибок типа
[CODE]Quarantine file: failed (error), attempt of direct disk reading (localspl.dll)
Quarantine file (direct disk reading) "%S" - failed (error)
Quarantine file: failed (error), attempt of direct disk reading (localspl.dll)
Quarantine file (direct disk reading) "%S" - failed (error)[/CODE]
Проверил пару файлов, они находятся в C:\Windows\System32
Вроде раньше файлы без полного пути автоматом искались там?
-
[QUOTE=regist;1267882][b]Зайцев Олег[/b], AVZ до сих пор не проверяет AltStartup?
Обсуждалось ещё в 2011 году [URL="http://virusinfo.info/showthread.php?t=112069"]здесь[/URL] и [URL="http://virusinfo.info/showthread.php?t=121803&p=898196&viewfull=1#post898196"]здесь[/URL].[/QUOTE]
А реальные зловреды с запуском через данный ключ попадаются ? (c 2011 мне лично не попадалось ...). Сделать то несложно - я добавил, полиморф обновлен (там теперь в папках автозапуска список разделен, чтобы было видно, что найдено в Startup, AltStartup и Common Startup)
[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]
[QUOTE=Geser;1268049]Я тут решил вспомнить молодость и просканировать комп АВЗ (Windows 7 64bit). И возникла у меня пара вопросов. Я понимаю что это, наверное, уже обсуждалось, но все же
[/QUOTE]
1,2. Исторически это не было отключено, добавить отключение в принципе несложно (драйвера x64 там нет, поскольку подписанный драйвер x64 с функционалом BootCleaner очень опасен)
3. Там в системе две папки - для x32 и x64 приложений. Делается попытка карантина и там, и там - это может порождать подобные ошибки. Почему полное имя не сформировалось - это странно, в теории должно.
-
[QUOTE]подписанный драйвер x64 с функционалом BootCleaner очень опасен[/QUOTE]
А что, КАВ не имеет драйвера с подобным функционалом? Да и можно, наверное, сделать какой-то шифрованный протокол общения с АВЗ. Не странно ли что x64 системы остаются без возможности удаления зловредов.
[QUOTE]Почему полное имя не сформировалось - это странно, в теории должно.[/QUOTE]
Если интересно готов произвести действия нужные для дибага
-
Здравствуйте, [b]Зайцев Олег[/b] !
1) [B]Права.[/B] Возможно ли добавить проверку, запущен ли AVZ с повышенными привилегиями? (например, будет называться [B]IsElevated()[/B])
У Вас уже есть IsAdmin. Полагаю, код на Delphi Вы используете [URL="http://www.experts-exchange.com/Programming/Languages/Pascal/Delphi/Q_25007971.html"]примерно такой[/URL],
проверяя принадлежность SID текущего пользователя SID-у группы Администраторы через EqualSid.
Чтобы проверить предоставлены ли пользователю все права, которыми обладает группа, нужно всего лишь заменить EqualSid на функцию CheckTokenMembership.
Как вариант, результат можно выводить не в новой функции, а в той же IsAdmin() в виде числа, например:
0 - не администратор
1 - входит в группу "Администраторы"
2 - входит в группу "Администраторы", запущен с повышенными привилегиями
[spoiler]
P.S. На всякий... По приведенной ссылке выше в AllocateAndInitializeSid, как я вижу, ошибка: SECURITY_NT_AUTHORITY - вместо константы должен быть указатель на массив, представляющий из себя заполненный SID, где SID[4] = SECURITY_NT_AUTHORITY;
[/spoiler]
2) [B]Базы.[/B] Поддержу на счет показа версий баз обновлений. Т.к. уже есть функция распаковки архивов,
не трудно ли будет сделать функцию, которая выведет дату обновлений?
С уважением, Алекс.
-
В этой [url]http://virusinfo.info/showthread.php?t=183145[/url] теме AVZ не показала, что имеются проблемы с настройками SPI/LSP. Из лога MiniToolBox:
[QUOTE]
========================= Настройки Winsock =====================================
Catalog5 01 C:\WINDOWS\SysWOW64\mswsock.dll [286208] (Microsoft Corporation)
Catalog5 02 C:\WINDOWS\SysWOW64\winrnr.dll [23040] (Microsoft Corporation)
Catalog5 03 C:\WINDOWS\SysWOW64\mswsock.dll [286208] (Microsoft Corporation)
ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Catalog9 01 C:\WINDOWS\SysWOW64\mswsock.dll [286208] (Microsoft Corporation)
Catalog9 02 C:\WINDOWS\SysWOW64\mswsock.dll [286208] (Microsoft Corporation)
Catalog9 03 C:\WINDOWS\SysWOW64\mswsock.dll [286208] (Microsoft Corporation)
Catalog9 04 C:\WINDOWS\SysWOW64\mswsock.dll [286208] (Microsoft Corporation)
Catalog9 05 C:\WINDOWS\SysWOW64\mswsock.dll [286208] (Microsoft Corporation)
Catalog9 06 C:\WINDOWS\SysWOW64\mswsock.dll [286208] (Microsoft Corporation)
Catalog9 07 C:\WINDOWS\SysWOW64\mswsock.dll [286208] (Microsoft Corporation)
Catalog9 08 C:\WINDOWS\SysWOW64\mswsock.dll [286208] (Microsoft Corporation)
x64-Catalog5 01 C:\Windows\System32\mswsock.dll [339456] (Microsoft Corporation)
x64-Catalog5 02 C:\Windows\System32\winrnr.dll [30720] (Microsoft Corporation)
x64-Catalog5 03 C:\Windows\System32\mswsock.dll [339456] (Microsoft Corporation)
ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
x64-Catalog9 01 C:\Windows\System32\mswsock.dll [339456] (Microsoft Corporation)
x64-Catalog9 02 C:\Windows\System32\mswsock.dll [339456] (Microsoft Corporation)
x64-Catalog9 03 C:\Windows\System32\mswsock.dll [339456] (Microsoft Corporation)
x64-Catalog9 04 C:\Windows\System32\rsvpsp.dll [Файл не найден] ()
x64-Catalog9 05 C:\Windows\System32\rsvpsp.dll [Файл не найден] ()
x64-Catalog9 06 C:\Windows\System32\mswsock.dll [339456] (Microsoft Corporation)
x64-Catalog9 07 C:\Windows\System32\mswsock.dll [339456] (Microsoft Corporation)
x64-Catalog9 08 C:\Windows\System32\mswsock.dll [339456] (Microsoft Corporation)
x64-Catalog9 09 C:\Windows\System32\mswsock.dll [339456] (Microsoft Corporation)
x64-Catalog9 10 C:\Windows\System32\mswsock.dll [339456] (Microsoft Corporation)
x64-Catalog9 11 C:\Windows\System32\mswsock.dll [339456] (Microsoft Corporation)
[/QUOTE]
-
[quote="mike 1;1270505"]AVZ не показала, что имеются проблемы с настройками SPI/LSP. Из лога MiniToolBox:[/quote]
[b]Vvvyg[/b], вот [URL="http://virusinfo.info/showthread.php?t=155719&p=1141860&viewfull=1#post1141860"]здесь[/URL] писал писал о подобной проблеме.
[quote="Зайцев Олег;1269498"]драйвера x64 там нет, поскольку подписанный драйвер x64 с функционалом BootCleaner очень опасен[/quote]
раньше вы писали, что как только появятся такие вирусы под x64 сразу появится и драйвер для x64 систем. А драйвер с функционалом бутклинера для x64 врядли более опасен, чем драйвер с тем же функционалом под x32. Как понимаю проблема в том, что на данный момент у драйвера подписи нет.
-
[QUOTE=Dragokas;1270389]Здравствуйте, [b]Зайцев Олег[/b] !
...
[/QUOTE]
1. Менять функцию IsAdmin нельзя, так как потеряется совместимость. А сделать новую можно, если нужно ... Работа IsAdmin происходит по описанному алгоритму (в AVZ естественно правильный код, первым параметром передается массив, с значением 5=SECURITY_NT_AUTHORITY в нужном байте ...). Добавить такую проверку/функцию можно, скажем IsAdminElevated... Но только делать это нужно не через CheckTokenMembership. Дело в том, что CheckTokenMembership просто более качественно проверит, запущен ли текущий процесс из под учетки с правами админа, а для проверки повышенных привилегий правильнее сначала посредством CheckTokenMembership убедиться в наличие админких прав, а потом вызвать GetTokenInformation для процесса с TOKEN_INFORMATION_CLASS = TokenElevation для того, чтобы узнать, идет запуск с повышенными привилегиями или нет.
2. Функцию получения сведений о базах сделаю в ближайшие дни, для этого все необходимое в движок добавлено.
-
Adware попало в базу безопасных.
[IMG]http://i.imgur.com/lXrzKQp.png[/IMG]
[url]https://www.virustotal.com/ru/file/9e63f6d3ab97d53924b975ed233cf595efaedca94ab513398cb892684c8027f1/analysis/[/url]
Тема: [url]http://virusinfo.info/showthread.php?t=183437[/url]
-
Ещё файлы от Baidu похоже снова попали в базу безопасных, в частности проверьте MD5 3D8B42ECAF1F07A676FAABBB7B2024C1
-
Службу Планировщик заданий наверное следует исключить из потенциально опасных.
-
[b]Зайцев Олег[/b], здравствуйте!
В приложенных комплектах в каждом из xml-файлов ошибки с экранированием. Проверьте, пожалуйста.
[url]http://rghost.ru/7Q4FNk2Jh[/url]
[url]http://rghost.ru/8nW2FdX64[/url]
[url]http://rghost.ru/8KfJcz4S4[/url]
Также напоминаю про Ваше обещание:
[QUOTE]плюс будет функция запроса информации о базах[/QUOTE]
Спасибо!
-
Adware опять попало в базу безопасных.
Тема: [url]http://forum.kasperskyclub.ru/index.php?showtopic=46545&p=680879[/url]
MD5: 918007C1311C833B58F50B59B454266D
VT: [url]https://www.virustotal.com/ru/file/d41f20af6d1664bedc12df152849bc058d31d9563b9fa973b71bcceee17edb80/analysis/[/url]
Page generated in 0.00568 seconds with 10 queries