AVZ 4.27

[quote=aintrust;150624]Ну, разве это причина для того, чтобы не реализовывать удаление по маске?

Я бы вообще предложил немного другой синтаксис этой команды, к примеру:
[I]DeleteFileMask(папка, маска, удаление_в_подпапках, ...)[/I]

Тогда приведенная выше команда будет выглядеть так:
[I]DeleteFileMask('C:', '*.*', 'yes', ...)[/I]

Такой случай, когда в качестве "папки" используется только диск, можно специально оговорить или даже запретить, заменив его отдельной специальной командой.

Кстати, есть такая команда, [I]DeleteDirectory(папки)[/I]. Почему у тебя не было сомнений в ее реализации, ведь с ее помощью тоже можно прибить систему всего лишь одной "неловкой" командой?[/quote]

DeleteDirectory убивает только пустую папку - если в папке есть хоть один файл, то она останется на диске ... поэтому она не опасна. ОК, я сделаю DeleteFileMask с такими параметрами ...

Может, просто запретить работу данной команды в директориях системных, программ, и прочих?
Иначе, чует моё сердце, будет вал претензий - "Почему Ваша тупая прога удалила мою систему?".
Ответ "У Вас самого кривые руки" - не катит, т.к. любая прога должна иметь защиту от дурака...
И потом - мало ли кто после 10 часов напряжённой работы может случайно дать неправильную команду?!?

[QUOTE=Зайцев Олег;150691]DeleteDirectory убивает только пустую папку...[/QUOTE]
В доке, кстати, этого не написано... =)

[quote=aintrust;150720]В доке, кстати, этого не написано... =)[/quote]
Я дописал доку и соорудил функцию. Убойная получилась штука, особенно для чистки темп папок и кешей IE

Вопрос: что не правильно в этом скрипте?

[CODE]begin
RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon','DefaultUserName','User');
RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon','DefaultPassword','password');
RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon','AutoAdminLogon','1');
end.[/CODE]

У меня он не работает, тоесть значения в реестре не меняются...

[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]

LOL

Всё работает. Ошыбка на сайте Microsoft -> [url]http://support.microsoft.com/kb/315231[/url]

Должно быть так:

[CODE]begin
RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','DefaultUserName','User');
RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','DefaultPassword','password');
RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','AutoAdminLogon','1');
end.[/CODE]

В логах AVZ:
[QUOTE]Файл успешно помещен в карантин (C:\WINDOWS\system32\cd_load.exe)
C:\WINDOWS\system32\cd_load.exe >>>>> AdvWare.Cydoor успешно удален[/QUOTE]

На самом деле это ADwWare.Cydoor

[quote=PavelA;151778]В логах AVZ:
На самом деле это ADwWare.Cydoor[/quote]
Какая разница - главное, что он удален :)

[QUOTE=PavelA;151778]
На самом деле это ADwWare.Cydoor[/QUOTE]
ну а на самом деле это [B]Adware.Cydoor [/B] ;)
[QUOTE=Зайцев Олег]Какая разница - главное, что он удален [/QUOTE]
Эт' точно (с) ;)

[QUOTE=Зайцев Олег;151781]Какая разница - главное, что он удален :)[/QUOTE]
Проблема в том, что ищещь в гугле и не находишь И-ции.
Если по правильному имени, то можно еще неск. файликов прихватить.

Сорри, за обшибку. Даже стыдно, что сам такой же оказался.

[quote=PavelA;151808]Проблема в том, что ищещь в гугле и не находишь И-ции.
Если по правильному имени, то можно еще неск. файликов прихватить.

Сорри, за обшибку. Даже стыдно, что сам такой же оказался.[/quote]

Это имена из моей классификации - надо бы их истребить, так как последние пару лет я стараюсь полностью придерживаться классфикации ЛК (в частности я это делал именно из за удобства поиска зловредов в viruslist или гугле) - даже если вводится недетектируемый ЛК на момент внесения зловред, то имя я даю по их классификации (что-то типа Trojan.Win32.Pinch.gen или по ближайшему похожему - имхо нет принципиальной разницы, если AVZ будет детектить Hoax.Win32.Renos.ab, а KAV - скажем Hoax.Win32.Renos.bc - тип зловреда и семейство ясны).

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Теперь вопрос к хелперам - очередной раз в обсуждении вспомнился попрос о введении цифровых подписей к скрипту и привязке подписанного скрипта скажем к серийному номеру диска - дабы исключить возможность лобового запуска "чужих" скриптов для самолечения. Подписанный скрипт на ПК с "привильным" номером тома (или иной уникальной меткой) будет работать как и сейчас, без вопросов, а вот неподписанный или сделанный для другого ПК - выдавать куча алертов, предупреждая, чем чреват запуск "чужого" скрипта. Есть мнения или идеи по этому поводу ?

С учётом факта подписывания достаточно при подписывании в AVZ автоматически добавлять в начало скрипта проверку на совпадение с исходным компьютером. И при запуске неподписанного, конечно, орать. А уж при запуске скрипта с кривой подписью орать ещё больше. Ещё вопрос, стоит ли ор отключать ключами комстроки...
Кстати, подпись будет на X.509 и отдельным файлом, isn't it? Или всё же свой бинарный формат?

[QUOTE=Зайцев Олег;151841]
Теперь вопрос к хелперам - очередной раз в обсуждении вспомнился попрос о введении цифровых подписей к скрипту и привязке подписанного скрипта скажем к серийному номеру диска - дабы исключить возможность лобового запуска "чужих" скриптов для самолечения. Подписанный скрипт на ПК с "привильным" номером тома (или иной уникальной меткой) будет работать как и сейчас, без вопросов, а вот неподписанный или сделанный для другого ПК - выдавать куча алертов, предупреждая, чем чреват запуск "чужого" скрипта. Есть мнения или идеи по этому поводу ?
[/QUOTE]

Я "за", только как будет реализована подпись ?

[quote=zerocorporated;151903]Я "за", только как будет реализована подпись ?[/quote]
При исследовании ПК будет вычислен некий бредокод, в основе например серийный номер системного тома. Далее этот код хелпер вводит куда-то (в отдельную тулзу, в существующий редактор скриптов ... и жмет "подписать"). В результате в скрипт вставляется комментарий с контрольной суммой скрипта и ID его системы. Лобовой запуск такого скрипта на дрегом ПК приведет к выдаче алерта о том, что применять "чужие скрипты" чревато и предложением одуматься и отменить выполнение скрипта. Аналогично с правкой и искажениями - если скрипт искажен, то будет выдан алерт о том, что нарушена CRC скрипта и лучше его не выполянять.
Понятное дело, что если убрать из скрипта этот комментарий или сделать свой скрипт по образу и подобию найденного в Инет, то алерт выдаваться не будет. Это имиенно мера защиты от ситуаций:
1. Один юзер обращается за помощью по нескольким ПК. Особенно актуально, если это скажем админ - он делает логи с 2-3 ПК и есть опасность, что он перепутает скрипты
2. Юзер находит в разделе "помогите" подходящие по его мнению скрипты и начинает их пускать все подряд - в этом случае алерт быть может заставит его лишний раз подумать

[quote]Аналогично с правкой и искажениями - если скрипт искажен, то будет выдан алерт о том, что нарушена CRC скрипта и лучше его не выполянять.[/quote]
Вот это IMHO лишнее. Бывает, хэлпер допускает неточность или опечатку, которую тут же и обнаруживает. Одно дело быстренько поправить "по месту", другое - прогонять через редактор и копировать скрипт заново...

полностью согласен с [b]Bratez[/b] ...

Тогда подпись получится несколько ущербная.

Хотя инцидентов с самостоятельной правкой скриптов самими пользователи я не припомню. Да и нет, по большому счёту, защиты от активного дурака.

Imho пусть "бредокод" генерится при исследовании системы и пишется в hmml/xml (незаметно для юзера типа желтым по желтому)
При генерации скрипта по протоколу исследования автоматом сразу после begin его и вставить можно. код не совпадает - ругань, нет кода - предупреждение

[QUOTE=AStr;152076]Imho пусть "бредокод" генерится при исследовании системы и пишется в hmml/xml (незаметно для юзера типа желтым по желтому)
При генерации скрипта по протоколу исследования автоматом сразу после begin его и вставить можно. код не совпадает - ругань, нет кода - предупреждение[/QUOTE]
и это очень правильное мнение. Лучше сделать эту процедуру выполняемой автоматически при исследовании системы, чем потом ручками что-то куда-то вставлять, получать пряник, который потом скармливать программе.

AVZ 4.27 30.08.2007
Какой-то походу баг..
Запускаю ревизор. Выбираю Documents and Settings. Настройки: Типы файлов - все файлы, режим создания базы - любой.
Нажимаю пуск. Начинается создание базы, через некоторое время вылетает окно "Антивирусная утилита AVZ" с текстом "Range check error."
Методом исключений начинаем искать где собака порылась и находим "C:\Documents and Settings\DoggoD\Рабочий стол".
На рабочем столе имеются папки. Если я в дереве Ревизора убиру галку с ЛЮБОЙ из вложенных папок, то база создается..

[QUOTE=Nick222;150694]Может, просто запретить работу данной команды в директориях системных, программ, и прочих?
Иначе, чует моё сердце, будет вал претензий - "Почему Ваша тупая прога удалила мою систему?".
Ответ "У Вас самого кривые руки" - не катит, т.к. любая прога должна иметь защиту от дурака...
И потом - мало ли кто после 10 часов напряжённой работы может случайно дать неправильную команду?!?[/QUOTE]

Согласен если это домашний пользователь сделает ... то подобные высказывания возможны, если системный администратор то проблем как правило возникать не будет! Думаю, что перед тем как выполнить скрипт, AVZ проверит к какому классу пользователей относится учетная запись... если без прав администратора то команда не будет выполненна в системных директориях. Возможно Олег уже это предусмотрел!