AVZ 4.30

[quote=Jef239;260383]"Для знатоков штучка" (с) Жванецкий
Ну под ассоциативой памятью я именно StringList и имел ввиду. Но кто же знал, что они у тебя есть???? Ты что, почти полный Object Pascal 2.0 сделал? ...
А в хелпе есть про это???
....
Интересно, а зачем редактор СКРИПТА трогает драйвер?
1:03:26 Разрешить AVZ_SE.EXE Изменение критического объекта системы F:\WINNT\system32\Drivers\ujy1njmz.sys[/quote]
Про стрингс в хелпе сказано, про массивы - нет, надо дописать. Движок там покупной - я взял готовый от создателя FastReports, здраво полагая, что если возьму свой - буду больше движком заниматься, чем его функционалом :) Но применил я движок больше как парсер скрипта ... со временем может и свой воткну.
Редактор скрипта может по инерции шалить с драйверами - он сделан из урезанной версии ядра AVZ, скрипт то выполнить он не может но некоторые остаточные эффекты могут быть

[quote=Зайцев Олег;260417]Про стрингс в хелпе сказано, про массивы - нет, надо дописать. [/quote]
Хорошо бы полное описание движка включить. Например, я просто не понимаю, есть ли там Try Except. И можно ли описывать свои классы.

Ещё. Олег, ну пожалуйста, преобразуй выдачу сообщений в выставление Selected в окне редактора скриптов. То есть разобраться, где именно он говорит про ошибку и что не умеет - КРАЙНЕ сложно. Похоже, что не умеет начальные значения переменных делать, но об этом опять-таки нигде ненаписано.

[quote=Зайцев Олег;260417]Движок там покупной - я взял готовый от создателя FastReports, здраво полагая, что если возьму свой - буду больше движком заниматься, чем его функционалом :) [/quote]
Правильно рассудил. Offtopic: У нас была задача - сделать генерацию кода и под 80186 (16-битный код, промышленный контроллер) и под win32. Потому о покупном движке даже не думали. Зато там только выражения, If и for. Но зато - именно генерация бинарного кода.

Народ объясните, после запуска утилиты AVZ, в графе потенциальных уязвимостей есть такое место: >> Безопасность: разрешен автозапуск программ с CDROM, что это значит если я отключил автозагрузку со всех носителей.

Есть такой особый параметр у драйвера CD-ROM

По ходу своего обучения появилось несколько предложений:

1. После исследования системы создаются два архива virusinfo_syscure.zip и virusinfo_syscheck.zip. В них содержатся файлы с одинаковыми именами - avz_sysinfo.htm. При распаковке архивов возникает конфликт имён. Предлагаю делать разные имена.
Да, я понимаю, что можно открывать протоколы и непосредственно из архива. Но это дело принципа.

2. Было бы очень удобно, если в протоколе рядом с Карантин, Удалить и т.п. была бы кнопка Google, после нажатия на которую открывалась бы новая вкладка в браузере с результатами поиска по полному пути файла либо только по его имено (тут надо подумать, как лучше).
А то надоедает каждый раз копировать имя (или путь), открывать Google и нажимать Поиск.

[QUOTE=MiStr;265804]По ходу своего обучения появилось несколько предложений:


2. Было бы очень удобно, если в протоколе рядом с Карантин, Удалить и т.п. была бы кнопка Google, после нажатия на которую открывалась бы новая вкладка в браузере с результатами поиска по полному пути файла либо только по его имено (тут надо подумать, как лучше).
А то надоедает каждый раз копировать имя (или путь), открывать Google и нажимать Поиск.[/QUOTE]

Не разу ещё не копировал :)По моему это зависит от настороек используемого браузера :) Достаточно выделить нужное и нажать правой кнопкой, выбрать поисковик.

[url]http://virusinfo.info/attachment.php?attachmentid=66520&d=1218357629[/url]

[quote=MiStr;265804]По ходу своего обучения появилось несколько предложений:

1. После исследования системы создаются два архива virusinfo_syscure.zip и virusinfo_syscheck.zip. В них содержатся файлы с одинаковыми именами - avz_sysinfo.htm. При распаковке архивов возникает конфликт имён. Предлагаю делать разные имена.
Да, я понимаю, что можно открывать протоколы и непосредственно из архива. Но это дело принципа.

2. Было бы очень удобно, если в протоколе рядом с Карантин, Удалить и т.п. была бы кнопка Google, после нажатия на которую открывалась бы новая вкладка в браузере с результатами поиска по полному пути файла либо только по его имено (тут надо подумать, как лучше).
А то надоедает каждый раз копировать имя (или путь), открывать Google и нажимать Поиск.[/quote]
1. Статичные имена файлов позволяют автоматизировать автоанализ протолоколов, обычно лог открывается прямо из архива и проблем никаких нет
2. А какой смысл хелперу искать в Google что-то ?! В большинстве случаев подобный поиск ничего вразумительного не дает - он дает кучу мусора, ссылок на разные противоречивые логи и описания. Крайне просто сделать выводы без привлечения поисковиков - на основании местоположения файла, его имени, размера, атрибутов, даты создания и характерных сообщений эвристики в логе - всеравно по сути все подозрительное и неопознаное нужно карантинить для изучения и вынесения точного вердикта.

[QUOTE=Зайцев Олег;265811]
2. А какой смысл хелперу искать в Google что-то ?! В большинстве случаев подобный поиск ничего вразумительного не дает - он дает кучу мусора[/QUOTE]
Мусор, между прочим сегодня- очень прибыльный товар ;). А искать в Гугле очень даже имеет смысл. Например имеется файл: %system%\adadfafas.dll , Гугл о нем не знает [B]ничего[/B], и это уже повод его заподозрить, и даже с высокой вероятностью утверждать. что это зловред. Если же Гугл дает ссылки на [QUOTE]разные противоречивые логи и описания.[/QUOTE]имеет смысл просмотреть некоторые из них, т.к. они очень часто находятся в ВИ или в форуме Касперского.
Хорошая база поиска по CLSID есть напр. на [url]www.castlecops.com[/url].

Нужно ли включать поисковики в лог, как предлагает MiStr - не уверен. Не потому что оно бесполезно, а просто страница будет только в мониторах 16:9 полностью видна 8)

edit: а вот еще интересная информация от уважаемого drongo: [url]http://virusinfo.info/showthread.php?t=27836[/url]

[QUOTE=drongo;265806]Не разу ещё не копировал :)По моему это зависит от настороек используемого браузера :) Достаточно выделить нужное и нажать правой кнопкой, выбрать поисковик.
[/QUOTE]
Действительно, я почему-то не заметил соответствующей функции. :)

[QUOTE=Зайцев Олег;265811]1. Статичные имена файлов позволяют автоматизировать автоанализ протолоколов, обычно лог открывается прямо из архива и проблем никаких нет
[/QUOTE]
Да, протокол открывается без проблем прямо из архива. Но я все архивы, содержащие протоколы, разархивирую, поскольку не люблю при открытии лишний раз нажимать мышкой в открывшемся окне программы-архиватора.

[QUOTE=Зайцев Олег;265811]
2. А какой смысл хелперу искать в Google что-то ?! В большинстве случаев подобный поиск ничего вразумительного не дает - он дает кучу мусора, ссылок на разные противоречивые логи и описания. Крайне просто сделать выводы без привлечения поисковиков - на основании местоположения файла, его имени, размера, атрибутов, даты создания и характерных сообщений эвристики в логе - всеравно по сути все подозрительное и неопознаное нужно карантинить для изучения и вынесения точного вердикта.[/QUOTE]
Есть много причин. Надеюсь, их не нужно все перечислять. Необходимость в функции, которую я предложил, частично отпала (см. начало моего сообщения).

[quote=MiStr;265824]Но я все архивы, содержащие протоколы, разархивирую, поскольку не люблю при открытии лишний раз нажимать мышкой в открывшемся окне программы-архиватора.[/quote]
И проводник и FAR и ещё много кто умеют входить в архивы как в папки.

У меня проводник не может входить в архивы, как в папки. У меня архиватор 7-Zip и Windows Vista.

[QUOTE=MiStr;265846]У меня проводник не может входить в архивы, как в папки. У меня архиватор 7-Zip и Windows Vista.[/QUOTE]Откройте Проводник, щелкните правым мышем по архиву, Открыть как... ZIP-компримированную папку (за точность перевода не ручаюсь, поэтом у даю картинку в аттаче)

[quote=Rene-gad;265848]Откройте Проводник, щелкните правым мышем по архиву, Открыть как... ZIP-компримированную папку (за точность перевода не ручаюсь, поэтом у даю картинку в аттаче)[/quote]
По-русски это будет "Открыть с помощью."-"Сжатые ZIP-папки".

Но можно проще - правая кнопка мыши и пункт "Проводник" (второй сверху).

[QUOTE=MiStr;265824]Действительно, я почему-то не заметил соответствующей функции. :)
[/QUOTE]

Например в опере: выделяем текст -> правой кнопкой мыши -> "Поиск" или "Поиск с помощью"

[QUOTE=zerocorporated;265870]Например в опере: выделяем текст -> правой кнопкой мыши -> "Поиск" или "Поиск с помощью"[/QUOTE]И в Лисе похоже :)

Есть оператор DeleteFileMask. А почему нет QuarantineFileMask? Получается, что файлы по маске можно только удалять, а закарантинить нельзя. Неужели не было прецедентов?

[quote=MiStr;265952]Есть оператор DeleteFileMask. А почему нет QuarantineFileMask? Получается, что файлы по маске можно только удалять, а закарантинить нельзя. Неужели не было прецедентов?[/quote]
Почему нельзя - оператор помещения файла в карантин QuarantineFile поддерживает поиск по маскам, см. доку: [URL]http://www.z-oleg.com/secur/avz_doc/script_quarantinefile.htm[/URL]
Просто в случае с удалением файлов для удаления по маске вводился особый оператор ввиду опасности данного удаления, с карантином такой опасности нет.

если пробовать что-то искать в гугле из лога авз, то скорее всего мы попадем сюдаже - на ВИ.
:)

то Олег:
Олегу Вас очень хорошая и серьезная тулза, но в бочку меда хорошую ложку дегтя добавляет большое кол-во опечаток в файле version.txt в архиве с прогой. Опечаток очень много - режут глаза. На новенького произведут впечатление, что автору "пофиг" на тулзу, да и сама тулза не стоит внимания. Сам знаю, что это не так. Но лучше будет все-таки без опечаток в описаниях версий.*

*имеются в виду опечатки в [B]обычных[/B] словах, а не в терминах - в них орфография гуляет - слова т.к новые и заимствованные.

Возможно, где-то эти вопросы уже поднимались, но я не нашел. Поэтому спрошу. Если подобное обсуждалось, то дайте ссылку и не пинайте ногами.

При чтении справки про АВЗгуард увидел следующее:
[QUOTE]
Создание файлов с расширениями *.exe, *.dll, *.sys, *.ocx, *.scr, *.cpl, *.pif, *.bat, *.cmd на любом диске
[/QUOTE]
(это запрещяется недоверенным приложениям)

Возникает ряд вопросов:
1). Почему заданы конкретные расширения (ведь практически любое расширение может "прятать" за собой исполняемый файл? Почему так их немного и нету, например, расширений *.com, *.inf
2). А как насчет записи в файл или модификация других файлов? (например модификация pe-файлов, *.ini-файлов и т.д - не суть важно каких именно)

...и еще:
если из справки копировать текст (выделить мышкой текст, вызвать контекстное меню и в нем выбрать соответствующий пункт) и затем вставлять в какой-либо, допустим, текстовый редактор, то вместе с текстом вставляется еще и следующее:

[QUOTE]AVZ, (C) Зайцев О.В., http:[/QUOTE]
...почему нету url-адреса?..
с ним было-бы лучше:)

[quote=priv8v;266809]Возможно, где-то эти вопросы уже поднимались, но я не нашел. Поэтому спрошу. Если подобное обсуждалось, то дайте ссылку и не пинайте ногами.

При чтении справки про АВЗгуард увидел следующее:

(это запрещяется недоверенным приложениям)

Возникает ряд вопросов:
1). Почему заданы конкретные расширения (ведь практически любое расширение может "прятать" за собой исполняемый файл? Почему так их немного и нету, например, расширений *.com, *.inf
2). А как насчет записи в файл или модификация других файлов? (например модификация pe-файлов, *.ini-файлов и т.д - не суть важно каких именно)[/quote]
1. Список минимизирован - так как если закрыть на запись/создание что-то лишнее, то недолго и систему угробить. Текущий список блокировки несколько отличается от описанного в справке:
*.exe, *.scr, *.dll, *.sys, *.ocx, *.pif, *.cmd, *.cpl, *.bat, *.nls, *.drv, *.lnk, autorun.*
2. Файлы из списка 1 невозможно открыть - следовательно, невозможно и модифицировать