Все, найденное Олегом самостоятельно, уже давно первым делом отправляется в вирлаб ЛК. Именно поэтому надобность в антивирусных базах AVZ (в составе AVPTool) отпала. КИСовский эмулятор тоже работает на высоте.
Printable View
Все, найденное Олегом самостоятельно, уже давно первым делом отправляется в вирлаб ЛК. Именно поэтому надобность в антивирусных базах AVZ (в составе AVPTool) отпала. КИСовский эмулятор тоже работает на высоте.
Вот посмотрите, что у меня получилось: [url]http://avptool.virusinfo.info[/url]
Всё супер, только цвет фона лучше что бы совпадал с цветом фона форума.
По моему нужна центральная страница на virusinfo.info с конкретным планом действий по возможности без "если" пошагово.А вот в шагах можно ссылаться на стрнички которые сделал DVI.
Тоже чуть подкорректировать текст на кажой странице в связи с этим.
[quote=Geser;159388]Всё супер, только цвет фона лучше что бы совпадал с цветом фона форума.[/quote]
Сделал. Так лучше?
[QUOTE=DVi;159415]Сделал. Так лучше?[/QUOTE]
Лучше. Только линки в шапке плохо видны из за градиента. Лу4ше их вынести в отдельный блок.
И вообще, лучше натравить на страничку дизайнера. Потому как всеравно создается впечетление нацарапанного на коленке.
Естественно, это сделано мной на коленке. Я версткой веб-сайтов не занимался с 19**-лохматого года.
[QUOTE=DVi;158929]Все, найденное Олегом самостоятельно, уже давно первым делом отправляется в вирлаб ЛК. Именно поэтому надобность в антивирусных базах AVZ (в составе AVPTool) отпала. КИСовский эмулятор тоже работает на высоте.[/QUOTE]Если бы ЛК ещё делилась с Олегом, было бы просто замечательно.
[quote=Maxim;159695]Если бы ЛК ещё делилась с Олегом, было бы просто замечательно.[/quote]
Не дай Бог :) У меня и так поток зловредов такой, что девать их некуда, с учетом RiskWare и вирусов к коллекции более 200 тыс. уникальных семплов
[QUOTE=Зайцев Олег;159707]Не дай Бог :) У меня и так поток зловредов такой, что девать их некуда, с учетом RiskWare и вирусов к коллекции более 200 тыс. уникальных семплов[/QUOTE]Вот так всегда. Желаешь как лучше, а оно получается как обычно :( Это Вы столько получаете в день\неделю\месяц?
[quote=Maxim;159708]Вот так всегда. Желаешь как лучше, а оно получается как обычно :( Это Вы столько получаете в день\неделю\месяц?[/quote]
Получаю что - зверей имеется в виду ? В день от 2 до 10 тыс. штук, из них порядка 100-120 новых ITW семплов, ранее мне не попадавшихся (собственно они и попадают в базу AVZ), остальное - повторы, или подозрения. Несложной арифметикой можно посчитать, что в месяц выходит 50-300 тыс. семплов зловредов на переработку, рост базы зверей примерно 3-4 тыс. сигнатур в месяц. И плюс в среднем тысяча XML логов AVZ в день ...
[QUOTE]Получаю что - зверей имеется в виду ?[/QUOTE]Да, а Вы что подумали? :) Вроде про зверей ведем разговор.
[QUOTE]И плюс в среднем тысяча XML логов AVZ в день ...[/QUOTE]А логи куда отправляют? На Вашем сайте вроде нет формы для логов.
[quote=Maxim;159712]Да, а Вы что подумали? :) Вроде про зверей ведем разговор.
А логи куда отправляют? На Вашем сайте вроде нет формы для логов.[/quote]
Логи собирает сам AVZ - у меня и у ряда знакомых админов AVZ стоит на серверах и запускается на ПК юзеров из логон-скрипта в режиме сбора информации и логов. Они собираются на сервер, а далее оптом на анализ.
Совместим ли AVPTool с антивирусными мониторами других производителей?
Насчёт идеи замены связки CureIt+AVZ+HijackThis... ИМХО, это идея пока плоха.
В своё время у нас велись разговоры о том, настаивать ли на проверке CureIt или же просто предлагать, ибо не у всех широкий канал и качать 8Мб дюже тяжело для диалапщиков, кои ещё есть. Теперь же предлагается скачивать почти 15Мб и все разговоры "о узких каналах" пропали.
Далее, все три утилиты в связке не требуют инсталляции и, в принципе, сразу готовы к работе.
Бывает так, что система настолько переколбашена зловредами, что установить что-либо не представляется возможным. Также возможна установка софта (в том числе и защитного) с ошибками из-за противодействия всё тех же зловредов.
AVPTool требует установки, ставит свои драйвера (насколько понял, klif.sys там тоже присутствует). Потом будет необходима деинсталляция (после лечения), а если она пройдёт некорректно? А юзер потом попробует поставить другой АВ продукт? Что будет? Война форматов?
О какой замене CureIt может идти речь? С CureIt всё проще, пришёл, просканировал, пролечил и всё. Главное преимущества CureIt в отвязке от интсалляции, что снимает много проблем.
Да, у AVPTool хороший потенциал, но, ИМХО, необходимо в первую очередь отвязать эту утилиту от установки.
да и скорость сканирования субъективно ниже той же AVZ. Испытал на 3 пользовательских компах. Пока старая связка работает пошустрее.
Не обратил внимание, возможно ли сканирование сетевых ресурсов?
Используются ли эвристические механизмы и возможности АВЗ при автоматическом сканировании Tool-ом?
"-" необходимо ставить на каждый компьютер для последующего сканирования (неудобно в локальной сети + еще последующая перезагрузка после деинсталляции);
"-" драйвер AVZPM автоматически не установился при инсталляции на вирт.машину, установить драйвер из AVPtool не нашел как;
на мой взгляд, привязка тонких инструментов удаления вредоносного кода, каким является АВЗ к конкретным антивирусным продуктам - не вполне правильное решение. Удобнее было бы использовать он-лайн сервис исследования системы для получения того же лога исследования и последующего исполнения скрипта.
[URL="http://virusinfo.info/member.php?u=798"]santy[/URL], AVPTool совместима с антивирусными мониторами других производителей. Самым сложным было обеспечить совместимость с собственным антивирусным монитором Лаборатории Касперского.
[QUOTE]Используются ли эвристические механизмы и возможности АВЗ при автоматическом сканировании Tool-ом?
[/QUOTE]
Нет, AVZ использутся только при "ручном лечении".
[QUOTE]"-" необходимо ставить на каждый компьютер для последующего сканирования (неудобно в локальной сети + еще последующая перезагрузка после деинсталляции);
"-" драйвер AVZPM автоматически не установился при инсталляции на вирт.машину, установить драйвер из AVPtool не нашел как; [/QUOTE]
По этим вопросам я вижу, что Вы профессионально используете AVZ для лечения машин в Вашей локальной сети. Следовательно, AVPTool для Вас не подходит. AVPTool предназначена "для домохозяек" (избитый термин, как нельзя точнее характеризующий утилиту), ее задача - обеспечить максимально понятный неподготовленному пользователю интерфейс для выполнения главной задачи - лечения зараженной машины. Само лечение будет произведено автоматически (антивирусным движком) либо "вручную" (консультацией хелперов).
[URL="http://virusinfo.info/member.php?u=7937"]Alvares[/URL], скорость сканирования [I]зараженного[/I] компьютера не является приоритетом в разработке ни у одного производителя.
[B][URL="http://virusinfo.info/member.php?u=1327"][B]ALEX(XX)[/B][/URL][/B], посетителям Вирусинфо я предлагаю не замену связки CureIt+AVZ+HJ, а альтернативу. IMHO, более простую и удобную в использовании. Если человека не удовлетворяет размер дистрибутива или качество работы AVPTool, или ему противно само упоминание фамилии Касперского, он также беспрепятственно будет пользоваться связкой CureIt+AVZ+HJ.
По поводу инсталлятора:
[LIST][*]Инсталлятор AVPTool написан на InnoSetup и не имеет препятствий для установки даже в сейф-моде.[*]Инсталлятор AVPTool практически не отличается от инсталлятора любого другого софта, и при установке производит только стандартные действия. Это сделано для того, чтобы активный зловред имел меньше возможности отличить AVPTool от обычного софта и не препятствовал работе утилиты.[*]Инсталлятор устанавливает драйвер самозащиты, все дальнейшие специфические антивирусные действия AVPTool производит под прикрытием драйвера.[*]Вы напрасно думаете, что CureIt не имеет инсталлятора. CureIt представляет из себя самораспаковывающийся RAR-архив, который инсталлирует сканер DrWeb во временную папку и автоматически запускает его на выполнение. Т.е. это поведение, на мой взгляд, ничем не отличается от инсталлятора. Причем привязка к RAR потребовала от разработчиков CureIt иметь в этом дистрибутиве файлы со статическими именами, поэтому активному зловреду гораздо легче защищаться от CureIt.[/LIST]Мой основной вопрос: готовы ли хелперы работать с логами AVPTool вместо связки логов AVZ+HJ и отказаться от HJ в пользу AVZ/AVPTool?
[QUOTE=DVi;160508]Мой основной вопрос: готовы ли хелперы работать с логами AVPTool вместо связки логов AVZ+HJ и отказаться от HJ в пользу AVZ/AVPTool?[/QUOTE]Я нет.
[quote=Maxim;160536]Я нет.[/quote]
Аргументируйте свой ответ, пожалуйста.
По словам Олега Зайцева, ядро AVZ умеет делать все, что умеет HJ.
[quote=DVi;160508]Вы напрасно думаете, что CureIt не имеет инсталлятора. CureIt представляет из себя самораспаковывающийся RAR-архив, который инсталлирует сканер DrWeb во временную папку и автоматически запускает его на выполнение. Т.е. это поведение, на мой взгляд, ничем не отличается от инсталлятора. Причем привязка к RAR потребовала от разработчиков CureIt иметь в этом дистрибутиве файлы со статическими именами, поэтому активному зловреду гораздо легче защищаться от CureIt.
[/quote]
Ну, собственно про это я в курсе, но для меня такой режим работы более прозрачен. Есть ли возможность проделать такое в AVPTool? Или может стоит попробовать 2 версии AVPTool, которая устанавливается и которая работает аналогично CureIt
ALEX(XX), я отказался от RAR именно из-за необходимости распаковывать в активную среду зараженного компьютера беззащитные файлы. В InnoSetup у меня есть возможность выкладывать файлы под случайными именами и запускать драйвер до распаковки.
И еще одно: я не знаю, умеет ли CureIt лечить активное заражение, требующее перезагрузки. Если да, то как его разработчики решили вопрос перезагрузки? Ведь непосредственно после окончания работы процесса cureit.exe RAR удаляет все файлы утилиты из временной папки.
[quote=DVi;160561]И еще одно: я не знаю, умеет ли CureIt лечить активное заражение, требующее перезагрузки. Если да, то как его разработчики решили вопрос перезагрузки? Ведь непосредственно после окончания работы процесса cureit.exe RAR удаляет все файлы утилиты из временной папки.[/quote]
Я не знаю как они это решили, но в процессе лечения предлагается перезапуск компьютера и зараза прибивается насколько я помню
Если это действительно так, то я посмотрю повнимательнее. Спасибо.
[QUOTE=DVi;160508][*]Вы напрасно думаете, что CureIt не имеет инсталлятора. CureIt представляет из себя самораспаковывающийся RAR-архив, который инсталлирует сканер DrWeb во временную папку и автоматически запускает его на выполнение. Т.е. это поведение, на мой взгляд, ничем не отличается от инсталлятора. Причем привязка к RAR потребовала от разработчиков CureIt иметь в этом дистрибутиве файлы со статическими именами, поэтому активному зловреду гораздо легче защищаться от CureIt.[/QUOTE]
КуреИт это sfx zip-архив. ;)
>pkunzip -t cureit.exe
PKUNZIP (R) FAST! Extract Utility Version 2.04g 02-01-93
Copr. 1989-1993 PKWARE Inc. All Rights Reserved. Shareware Version
PKUNZIP Reg. U.S. Pat. and Tm. Off.
■ 80486 CPU detected.
■ EMS version 4.00 detected.
■ XMS version 2.00 detected.
■ DPMI version 0.90 detected.
Searching ZIP: CUREIT.EXE - TempMode
Silent=1
Setup=_start.exe
Testing: be-cureit.dwl OK
Testing: bg-cureit.dwl OK
Testing: crw44400.cdb OK
Testing: crw44401.cdb OK
Testing: crw44402.cdb OK
...
[QUOTE=DVi;160561]И еще одно: я не знаю, умеет ли CureIt лечить активное заражение, требующее перезагрузки. Если да, то как его разработчики решили вопрос перезагрузки? Ведь непосредственно после окончания работы процесса cureit.exe RAR удаляет все файлы утилиты из временной папки.[/QUOTE]
КуреИт умеет все то же самое, что и GUI-сканер Доктора. То есть активное заражение, требующее перезагрузки компьютера, осуществляется. И никакие файлы для этого не нужны, как в темповой папке, так и где-либо еще. Ну, почти не нужны. ;)
[QUOTE=ALEX(XX);160563]но в процессе лечения предлагается перезапуск компьютера и зараза прибивается насколько я помню[/QUOTE]
Вы правильно помните. Именно так и происходит.
[quote=borka;160622]То есть активное заражение, требующее перезагрузки компьютера, осуществляется. И никакие файлы для этого не нужны, как в темповой папке, так и где-либо еще. [/quote]
Чем же тогда на перезагрузке выносится активный руткит, если не драйвером антивируса?
И откуда возьмется этот драйвер, если RAR потрет все файлы Доктора?
А если не потрет драйвер - то кто файл этого драйвера будет удалять после перезагрузки и окончания лечения?
[QUOTE=DVi;160629]Чем же тогда на перезагрузке выносится активный руткит, если не драйвером антивируса?
И откуда возьмется этот драйвер, если RAR потрет все файлы Доктора?
А если не потрет драйвер - то кто файл этого драйвера будет удалять после перезагрузки и окончания лечения?[/QUOTE]
Ключевое слово - [b]Шилд[/b].
Вы не отквотили последнее предложение: "Ну, почти не нужны." ;)
[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]
[QUOTE=DVi;160508]Самым сложным было обеспечить совместимость с собственным антивирусным монитором Лаборатории Касперского.[/QUOTE]
Можно вопрос - а почему так? Почему нельзя было взять тот же, что и в KAV/KIS? Чисто из любопытства...
Парадокс получается: [b]первое[/b], чего добились в Шилде - это совместимости с klif'ом...
[quote=borka;160632]Ключевое слово - [B]Шилд[/B].[/quote]
Т.е. этот драйвер остается в системе после удаления временных файлов CureIt?
[quote=borka;160632]
Можно вопрос - а почему так? Почему нельзя было взять тот же, что и в KAV/KIS? Чисто из любопытства...
[/quote]
Два драйвера, одновременно занимающихся одним и тем же по одному и тому же протоколу, могут привести систему в неработоспособное состояние. В AVPTool сделано изящное решение, не нарушающее работу остальных драйверов.
[quote=borka;160632]
Парадокс получается: [B]первое[/B], чего добились в Шилде - это совместимости с klif'ом...[/quote]Новый Клиф в теории не мешает никакому защитному софту, в то же время полноценно контролируя систему.
[QUOTE=DVi;160643]Т.е. этот драйвер остается в системе после удаления временных файлов CureIt?[/QUOTE]
У КуреИта нет временных файлов. Я так понимаю, что Вы имели в виду "после завершения работы КуреИта и удаления его из временного каталога"? Да, разумеется. Шилд остается в системе. Кто ж вынесет зловреда при перезагрузке?
[QUOTE=DVi;160643]Два драйвера, одновременно занимающихся одним и тем же по одному и тому же протоколу, могут привести систему в неработоспособное состояние. В AVPTool сделано изящное решение, не нарушающее работу остальных драйверов. [/QUOTE]
Я имел в виду, почему не используется [b]тот же драйвер[/b], который ужЕ сидит в системе? Конечно, если он там есть.
[QUOTE=DVi;160643]Новый Клиф в теории не мешает никакому защитному софту, в то же время полноценно контролируя систему.[/QUOTE]
Ну, это понятно.
[quote=DVi;160629]Чем же тогда на перезагрузке выносится активный руткит, если не драйвером антивируса?
И откуда возьмется этот драйвер, если RAR потрет все файлы Доктора?
А если не потрет драйвер - то кто файл этого драйвера будет удалять после перезагрузки и окончания лечения?[/quote]
Все просто :) Только стоит внимательно посмотреть.
При запуске сканера в темп дропается драйвер, загружается и удаляется. Думаю, тоже самое и в кюрите. Если обнаруживается вирус,которого нельзя тут же удалить (например используется в данный момент системным процессом и открыт с монопольным доступом) - остается один вариант - удалить его в процессе загрузки системы :). Файл ведь можно создать в любом месте на диске - не только в темпе ;). этот файл загружается на раннем этапе загрузки системы (подобно BC от AVZ), удаляет файл и себя :). Я это писал в тесте с руткитами айти-спец.
вoт oнo чтo... знaчит дpaйвep caмoyдaляeтcя. cпacибo за информацию.
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
bopka, пpиcyтcтвyющий в cиcтeмe klif мoжeт быть любoй cтapoй вepcии. oбecпeчить coвмecтимocть c любым клифoм пoчти нepeaльнo.
[QUOTE=DVi;160809]вoт oнo чтo... знaчит дpaйвep caмoyдaляeтcя. cпacибo[/QUOTE]
Ведь это единственное разумное объяснение. "Спасибо" улыбнуло :)
[QUOTE=vaber;160798]При запуске сканера в темп дропается драйвер, загружается и удаляется. Думаю, тоже самое и в кюрите. [/QUOTE]
КуреИт реализован на базе GUI-сканера. Поэтому в данном контексте это одно и то же.
[QUOTE=vaber;160798]этот файл загружается на раннем этапе загрузки системы (подобно BC от AVZ), удаляет файл и себя :). [/QUOTE]
Скажем так, драйвер выполняет предписанные действия.
[QUOTE=DVi;160809]bopka, пpиcyтcтвyющий в cиcтeмe klif мoжeт быть любoй cтapoй вepcии. oбecпeчить coвмecтимocть c любым клифoм пoчти нepeaльнo.[/QUOTE]
Ясно. :unsure:
[QUOTE=HEKTO;160989]"Спасибо" улыбнуло :)[/QUOTE]
Может, это было "Спасибо за идею"? :wink:
[quote=borka;161093]
Скажем так, драйвер выполняет предписанные действия. [/quote]
Именно поэтому я и привел аналогию с бутклиннером AVZ - он тоже выполняет предписанные действия ;).
[QUOTE=DVi;160508]...AVPTool предназначена "для домохозяек" (избитый термин, как нельзя точнее характеризующий утилиту), ее задача - обеспечить максимально понятный неподготовленному пользователю интерфейс для выполнения главной задачи - лечения зараженной машины. Само лечение будет произведено автоматически (антивирусным движком) либо "вручную" (консультацией хелперов).
[/QUOTE]
Мое мнение: домохозяйкам нужны хорошая микроволновка, антивирусный монитор с настроенным обновлением баз, плюс телефон.номер опытного пользователя... опытному пользователю необходимы хорошая визард-система с возможностью "визуально рассмотреть внутренности системы" (то, что есть в АВЗ), с исследованием, анализом и автоматическим генератором скриптов лечения_удаления (которые возможно интерактивно поправить), полноценные антивирусные сканеры (CurIt, KAV и т.д.) плюс url форумов и помощь экспертов по безопасности.
[quote=santy;161597]Мое мнение: домохозяйкам нужны ... антивирусный монитор с настроенным обновлением баз, плюс телефон.номер опытного пользователя... [/quote]
В идеале именно так. Сервис скорой антивирусной помощи (а это и есть Вирусинфо) сключается в работу, когда не выполняется одно из этих условий. Согласитесь, что "лечение по телефону" проще производить, если интерфейс запущенной утилиты будет максимально прост, и Хелперу не придется объяснять домохозяйке предназначение большого количества кнопок и функций.
[QUOTE=DVi;160508][URL="http://virusinfo.info/member.php?u=7937"]Alvares[/URL], скорость сканирования [I]зараженного[/I] компьютера не является приоритетом в разработке ни у одного производителя.
[/QUOTE]
А я лично считал, что нагрузка на систему и скорость движка играют не последнюю роль.
[QUOTE=Alvares;162062]А я лично считал, что нагрузка на систему и скорость движка играют не последнюю роль.[/QUOTE]
Безусловно. Но что важнее - пролечить качественно или пролечить быстро? Приоритет, ИМХО, у качества. Если одновременно и качественно, и быстро, то это только плюс для антивируса.
Я согласен с borka.
Смотрите, какие у меня получились инструкции:
[url]http://avptool.virusinfo.info/ru[/url] - на русском языке
[url]http://avptool.virusinfo.info/en[/url] - на английском языке
P.S. Почему-то иногда вместо страниц в IE отображается какой-то мусор. Однажды IE даже умудрился упасть. NickGolovko, проверьте, пожалуйста, в чем там может быть дело?