-
[QUOTE=Sanja]угу.. имхо намного лучше просто писать статистику по соединениям ака нетстат... полезней :)[/QUOTE]
Так оно и делается - только не во время сканирования, а в менеджере TCP/UDP.
[B]to Xen[/B]
Привязка к процессу идет в XP и W3K. В 2K можно извратится и привязаться к процессам, но я это не делал ...
-
>В 2K можно извратится и привязаться к процессам, но я это не делал ...
Попробуй через обращение к Device/Tcp ; Device/Udp - В 2к тоже будет работать..
-
В WinPCap'e вроде сделано что-то типа того...
-
Планируется ли в AVZ запуск с ключами из командной строки? Или они и сейчас существуют?
-
[QUOTE=Гость]Планируется ли в AVZ запуск с ключами из командной строки? Или они и сейчас существуют?[/QUOTE]
Есть и сейчас :)
Описание в документации. Хотя вроде там не все существующие ключики описаны.
-
[QUOTE=Grey]Есть и сейчас :)
Описание в документации. Хотя вроде там не все существующие ключики описаны.[/QUOTE]
Да, тем процентов 80% ключей - я как раз описываю их сейчас. И есть уже корпоративный AVZ - у него управление идет внешней микропрограммой (ее пишет и тестирует админ, в микропрограмме оговорены действия, которые AVZ должен сделать на автомате). Тесты уже пректически завершены, на этой неделе я публикую версию с этой фичей (она, кстати, есть и в текущем AVZ - но не документирована)
-
[QUOTE=Зайцев Олег]И есть уже корпоративный AVZ - у него управление идет внешней микропрограммой (ее пишет и тестирует админ, в микропрограмме оговорены действия, которые AVZ должен сделать на автомате). Тесты уже пректически завершены, на этой неделе я публикую версию с этой фичей (она, кстати, есть и в текущем AVZ - но не документирована)[/QUOTE]
Вах! :)
AVZ растет не по дням, а по часам, что не может не радовать.
-
Люди, объясните все-таки парню с рабочей окраины
есть ли смысл оставлять AVZ висеть в трее, или это только для удобства вызова.
Вообще я много пользуюсь ей и не по назначению (порты, реестр, поиск).
На одном из форумов ссылку на AVZ скрыли за пятью постами, варез.
-
[QUOTE=WakenUp]Люди, объясните все-таки парню с рабочей окраины
есть ли смысл оставлять AVZ висеть в трее, или это только для удобства вызова.
Вообще я много пользуюсь ей и не по назначению (порты, реестр, поиск).
На одном из форумов ссылку на AVZ скрыли за пятью постами, варез.[/QUOTE]
Пока нет смысла. Может скоро будет.
-
[QUOTE=WakenUp]Люди, объясните все-таки парню с рабочей окраины
есть ли смысл оставлять AVZ висеть в трее, или это только для удобства вызова.
Вообще я много пользуюсь ей и не по назначению (порты, реестр, поиск).
На одном из форумов ссылку на AVZ скрыли за пятью постами, варез.[/QUOTE]
С технической точки зрения всящий в трее AVZ текущей версии ничего полезного не делает - просто висит ... так что пользы от его висения действительно никакой нет
-
Есть предложения по доработке -
Вот я открыл список процессов, обозреваю список DLL-ек у explorer.exe - там присутствует vbsys2.dll, впоследствии опознанная как некая гадость. Но она не выделена красным, а могла бы! Это трудно сделать? (блин, пропустил, надо было MD5 посчитать, а вдруг там сразу отмечает...)
И второе - была зверюга, спрятавшаяся под user mode rootkit, выделена красным. Но AVZ её не знает. Руткитность убрал, а процесс остался. Может, всё же такие процессы сразу в крантин и эвристическую чистку системы?
Вот ещё: Поиск файлов на диске. Отмеяаю, удаляю - список не изменился. Ага, понял, "Для удаления файла необходима перезагрузка". Жму Обновить - файла больше нет. Ну уж или перезагрузка, но он ещё есть, или совсем нет. Непонятно.
-
[QUOTE=UFANych]Есть предложения по доработке -
Вот я открыл список процессов, обозреваю список DLL-ек у explorer.exe - там присутствует vbsys2.dll, впоследствии опознанная как некая гадость. Но она не выделена красным, а могла бы! Это трудно сделать? (блин, пропустил, надо было MD5 посчитать, а вдруг там сразу отмечает...)
И второе - была зверюга, спрятавшаяся под user mode rootkit, выделена красным. Но AVZ её не знает. Руткитность убрал, а процесс остался. Может, всё же такие процессы сразу в крантин и эвристическую чистку системы?
Вот ещё: Поиск файлов на диске. Отмеяаю, удаляю - список не изменился. Ага, понял, "Для удаления файла необходима перезагрузка". Жму Обновить - файла больше нет. Ну уж или перезагрузка, но он ещё есть, или совсем нет. Непонятно.[/QUOTE]
1. А на основании чего считать vbsys2.dll годастью ? Если ее сигнатур нет в базе, то в принципе оснований для этого нет ... Теоретически можно сделать проверку файлов по базе зверей, но это приведет к еще большим тормозам диспетчера процессов
2. Если включено "Копировать подозрительные в карантин", то процессы руткита теоретически туда попадут ... а вот процесс на автомате не убивается - мало ли что это - есть неопасных ряд программ, маскирующих свои процессы
3. Удаление файлов включает их переименование (чтобы файл не смог запуститься) и отложенное удаление. Раз поиск не нашел файлы при втором заходе, то это означает, что AVZ не смог их удалить, но смог переименовать и переименованные файлы были записаны на отложенное удаление. Сообщение я прикручу отдельно ...
-
Вышла новая версия - 3.80 - или перевая корпоративная, как ститать - поэтому для ее обсуждения я делаю отдельную ветку.
-
Тема закрыта, как не актуальная по версии AVZ и времени размещения последнего поста.
Пост NO-REG скопирован в актуальную тему.
Page generated in 0.00853 seconds with 10 queries