[QUOTE=aintrust;90413]Однако, странный же у вас а-вирус... Если не секрет, то как этого "героя" зовут?[/QUOTE]
Не знаю точно. Что-то у нас проверяет ХТТП трафик на входе. Некоторые жабаскрипты невинные режет, и логи, вот.
Printable View
[QUOTE=aintrust;90413]Однако, странный же у вас а-вирус... Если не секрет, то как этого "героя" зовут?[/QUOTE]
Не знаю точно. Что-то у нас проверяет ХТТП трафик на входе. Некоторые жабаскрипты невинные режет, и логи, вот.
Думаю, фон отчета должен быть однотипный, желательно светлый(как сейчас), но может быть с некоторыми небольшими градиентами, для разделения строк отчета, как это бывает в форумах, чтобы не рябило в глазах. А цветовой маркер модуля поместить в первом поле. Вот только какой формы? Или полностью закрашивать ячейку, или проставлять какой-нибудь ромб, шарик, звездочку-снежинку (*)...
------
а в самом софте, при просмотре процессов и других данных, "зловредность" показывать цветом шрифта, и при переходе на активную строку цветом фона.
Мне вариант #3 вполне нравится. Я, правда, не большой любитель цветного фона ("матово-молочный" белый - forever!), но в принципе, согласился бы, если бы чередующиеся строки имели разный оттенок одного "светлого" цвета. Мне нравятся, к примеру, варианты фона светло-зеленого или переходного к светло-голубому (типа очень светлой морской волны) цвета или, другой вариант, чередование "мягкий белый - светло-серый". Что касается 1-й ячейки - все ОК, отлично видать даже издалека! :P
Олег, заметил сегодня одну интересную вещь с локализацией. :) Залезал во вторую стадию Отложенного удаления - смотрел диалоговое окно для описания в хелпе - и выбрал один из хранящихся у меня на Рабочем столе скриптов. Папка называется "Скрипты лечения".
Теперь смотрите на скрине, что получилось :)
[QUOTE=NickGolovko;90444]Папка называется "Скрипты лечения". [/QUOTE]
Нехорошо получилось... Должно быть: "...\Scriptы of healing\..."! ;)
[QUOTE=aintrust;90449]Нехорошо получилось... Должно быть: "...\Scriptы of healing\..."! ;)[/QUOTE]
Угу - в AVZ есть статическая локализация и динамический переводчик. Вот последний и безобразничает - увидел смесь русского и английского и решил ее перевести. Надо подумать, как это побороть.
[QUOTE=aintrust;90441]Мне вариант #3 вполне нравится. Я, правда, не большой любитель цветного фона ("матово-молочный" белый - forever!), но в принципе, согласился бы, если бы чередующиеся строки имели разный оттенок одного "светлого" цвета. Мне нравятся, к примеру, варианты фона светло-зеленого или переходного к светло-голубому (типа очень светлой морской волны) цвета или, другой вариант, чередование "мягкий белый - светло-серый". Что касается 1-й ячейки - все ОК, отлично видать даже издалека! :P[/QUOTE]
Вот и я считаю, что вместо покраски всей строки красить только первую ячейку (и быть может помещать туда какой-то зачок типа "+", "?", "!") и остальную строку делать одноцветной. Иначе глаза рябит от разноцветного протокола.
[QUOTE=Зайцев Олег;90452]Вот и я считаю, что вместо покраски всей строки красить только первую ячейку (и быть может помещать туда какой-то зачок типа "+", "?", "!") и остальную строку делать одноцветной. Иначе глаза рябит от разноцветного протокола.[/QUOTE]
Мне тоже третий вариант более всего приглянулся.
идея со значками, также хороша, с ними можно цвета сделать менее насыщенными.
[QUOTE=anton_dr;90425]Первый вариант предпочтительней, только цвета помягче, не такие агрессивные. Или ненасыщенные :)[/QUOTE]
Согласен с Антоном. Как пример - PE Руссиновича.
Олег, вот еще момент. У нас тут Haxdoor: [url]http://forum.kaspersky.com/index.php?showtopic=29045[/url] В протоколах нет ни одного упомянутого пользователем драйвера. :( Мне глаза изменяют, или Каспер мешает, или вир хитрый, или?.. :)
А почему бы не сделать в меню AVZ пункт "Отблагодарить" со номерами вэбмани кошельков и т.п.? Я бы сделал :).
[QUOTE=NickGolovko;90478]Олег, вот еще момент. У нас тут Haxdoor: [url]http://forum.kaspersky.com/index.php?showtopic=29045[/url] В протоколах нет ни одного упомянутого пользователем драйвера. :( Мне глаза изменяют, или Каспер мешает, или вир хитрый, или?.. :)[/QUOTE]
Я бы в том случае задумался над файлами:
D:\WINDOWS\userinit.exe
D:\WINDOWS\СТFМОN.EXE
xmm13g.dll
А драйвера может быть не видно - его может KAV блокировать или он стаыится до KAV и мы не видими в логе его перехватов (а видим перехват KAV).
[QUOTE=Rik_;90490]А почему бы не сделать в меню AVZ пункт "Отблагодарить" со номерами вэбмани кошельков и т.п.? Я бы сделал :).[/QUOTE]
Принципиальная позиция :) Негоже наживаться на пострадавших от компьютерного зверья
Я имел в виду, что в списке драйверов не отображается. :) Видимо, правда мешает Каспер :)
[QUOTE=Iceman;90476]Согласен с Антоном. Как пример - PE Руссиновича.[/QUOTE]
Скажите - различают как-то процессы в PE по цветам? Или просто случайная выбор для подсветки строк?
Если будет подсвечена вся строка, это будет удобнее, не надо будет возвращаться глазами к началу строки, чтоб посмотреть на цвет. Но цвета должны быть мягкие, ненасыщенные.
Можно вот такие
Может быть, тогда имеет смысл сделать настроечную цветовую схему для выбора пользователем: различать модули по цветовому маркету, различать модули по цветовому фону?
-------
правда, у Helper-ов, возможно, будут разные предпочтения. :).
[QUOTE=anton_dr;90541]Если будет подсвечена вся строка, это будет удобнее, не надо будет возвращаться глазами к началу строки, чтоб посмотреть на цвет. Но цвета должны быть мягкие, ненасыщенные.
Можно вот такие[/QUOTE]
Это вариант мне тоже нравится. Мягко и вполне наглядно.
[QUOTE=santy;90540]Скажите - различают как-то процессы в PE по цветам? Или просто случайная выбор для подсветки строк?[/QUOTE]
Различают. См. "Options" / "Configure Highlighting..." в меню Process Explorer - там указано, что означает каждый из цветов фона. Фон можно выбрать как по цвету, так и просто отменить вообще.
[QUOTE=santy;90544]Может быть, тогда имеет смысл сделать настроечную цветовую схему для выбора пользователем: различать модули по цветовому маркету, различать модули по цветовому фону?
-------
правда, у Helper-ов, возможно, будут разные предпочтения. :).[/QUOTE]
Нет, этого делать нельзя по вполне понятным соображениям: тогда хелперы не разберутся, что означает каждый из цветов в логе. Цвета д.б. заранее оговоренными, чтобы не возникало вопросов.
а если ещё побледнее (первые две колоночки...)
[QUOTE=aintrust;90553]Различают. См. "Options" / "Configure Highlighting..." в меню Process Explorer - там указано, что означает каждый из цветов фона. Фон можно выбрать как по цвету, так и просто отменить вообще.
[/QUOTE]
Спасибо, посмотрю.
[QUOTE=aintrust;90553]
Нет, этого делать нельзя по вполне понятным соображениям: тогда хелперы не разберутся, что означает каждый из цветов в логе. Цвета д.б. заранее оговоренными, чтобы не возникало вопросов.[/QUOTE]
сами цвета оставить так как было уже выбрано: единственно: способ обозначения выбирать: либо маркером в первом столбце, либо подкраской фона. Как вариант.
[quote=Shu_b;90554]а если ещё побледнее (первые две колоночки...)[/quote]
Оно побледнее, но как-то "агрессивнее" что ли. Хотя это только мое "ИМХО" :) Текст на нем хуже читается. Опять же, ИМХО.
Я бы тоже согласился с первым вариантом, где цвета немного поярче/насыщеннее. Моим глазам так "более удобно"... ;)
[QUOTE=santy;90555]единственно: способ обозначения выбирать: либо маркером в первом столбце, либо подкраской фона. Как вариант.[/QUOTE]
Я знаю, что на это скажет Олег: "это же анти-вирусный инструмент, а не графический редактор!" ;) По мне так, если честно, все равно, какой вариант будет выбран, лишь бы все было более-менее однозначно.
[QUOTE=aintrust;90564]Я знаю, что на это скажет Олег: "это же анти-вирусный инструмент, а не графический редактор!" ;) По мне так, если честно, все равно, какой вариант будет выбран, лишь бы все было более-менее однозначно.[/QUOTE]
Главное, чтобы первый ком (вариант) оказался блином. :). Угадать с цветами с первого раза всегда бывает трудно. Глаза должны привыкнуть к цвету. На восприятие программы это очень сильно влияет. Если неудачной бывает цветовая схема - не вполне приятно работать с программой.
-------
на virusinfo отличная цветовая схема. Это добавляет ему популярности. :).
Олег а можно что бы у драйвера немного более осмысленное название было, а то иной раз не поймёшь руткит затисался или драйвер от AVZ=))
Ego1st, полагаю, тебя устроит название "eto_drajver_AVZ.sys"? :D
нет зачем-же просто что-то типа AtrwV544Z.sys хотябы что бы пресутствовали буквы avz и сразу понятно становиться..
[QUOTE=Ego1st;90783]нет зачем-же просто что-то типа AtrwV544Z.sys хотябы что бы пресутствовали буквы avz и сразу понятно становиться..[/QUOTE]
На мой взгляд, "проблема" с этими псевдо-случайными именами файлов драйверов AVZ - несколько надуманная, т.к. они во всех окнах и отчетах показываются зеленым (безопасным) цветом, так что с руткитом их никак не перепутаешь! Для большинства пользователей этой цветовой индикации вполне достаточно для того, чтобы не обращать на эти драйверы никакого внимания.
Другое дело - идентификация этих драйверов как принадлежащих AVZ. Тут, пожалуй, есть рациональное зерно в вашем предложении насчет "прошивки" хаотично разбросанных символов [B]A[/B], [B]V[/B] и [B]Z[/B] в именах этих файлов. В общем, поддерживаю!
[quote]На мой взгляд, "проблема" с этими псевдо-случайными именами файлов драйверов AVZ - несколько надуманная, т.к. они во всех окнах и отчетах показываются зеленым (безопасным) цветом, так что с руткитом их никак не перепутаешь! Для большинства пользователей этой цветовой индикации вполне достаточно для того, чтобы не обращать на эти драйверы никакого внимания.[/quote]
так я не для себя, это я говорю о логах (что-то я в них зеленого цвета вообще не видел), когда смотришь по ним, непонятно к кому относиться драйвер..
[quote=aintrust;90785]Другое дело - идентификация этих драйверов как принадлежащих AVZ. Тут, пожалуй, есть рациональное зерно в вашем предложении насчет "прошивки" хаотично разбросанных символов [B]A[/B], [B]V[/B] и [B]Z[/B] в именах этих файлов. В общем, поддерживаю![/quote]
Когда зловреды будут знать, что когда в имени драйвера обязательно есть эти буквы, это будет не совсем хорошо.
Олег, предложение из разряда "для ленивых" =) Можно через скрипт реализовать отключение System Restore? =))
[QUOTE=Ego1st;90806]так я не для себя, это я говорю о логах (что-то я в них зеленого цвета вообще не видел), когда смотришь по ним, непонятно к кому относиться драйвер..[/QUOTE]
Если речь идет о логе в главном окне AVZ, то, действительно, там сейчас нет цветовой индикации безопасных модулей (хотя я сильно ратую за то, чтобы она там была!), однако ничто не мешает заглянуть в окно "Модулей пространства ядра" и увидеть там зеленый цвет этих драйверов. Если же мы говорим о протоколах "Исследования системы", то там цветовая индикация присутствует, и все "безопасные" драйверы показываются более светлым оттенком фона.
Так что, в принципе, никаких проблем, кроме относительного неудобства в первом случае...
[QUOTE=anton_dr;90808]Когда зловреды будут знать, что когда в имени драйвера обязательно есть эти буквы, это будет не совсем хорошо.[/QUOTE]
А ничего страшного в этом нет. Ну, будут там эти буквы, разбросанные по имени в беспорядке, и что? Зловред станет искать их по файловой маске, чтобы сделать атаку на этот драйвер или сам AVZ? Вряд ли, да и ненадежно это (можно перепутать с любым другим драйвером, в имени которого случайно встретятся эти буквы)... =)
Построить реальную атаку против самого AVZ и/или его драйверов сейчас можно гораздо более простыми методами, например:
- делая поллинг [I]CreateFile[/I] с именем симлинка на драйвер AVZ (см., кстати, примеры в моем блоге, посвященные "убиению" AVZ - там использован этот метод контроля запуска AVZ);
- отслеживая создание ключей в ветви [I]HKLM\System\CurrentControlSet[/I];
- отслеживая вызов [I]NtLoadDriver[/I] и т.д.
Вариантов на самом деле очень много, от простых до сложных, в зависимости от поставленной задачи - было бы желание, как говорится.
Как я уже многократно писал ранее, основная проблема всех "детекторов", что запускаются на уже зараженной машине (типа AVZ или любого детектора руткитов) состоит именно в том, что зловред/руткит к моменту такого запуска полностью контролирует систему и может как разрешить, так и запретить все, что угодно. "Запоздалые" попытки загрузки более серьезных средств борьбы (типа модулей AVZGuard, AVZPM или AVZBC) могут легко быть блокированы - и, увы, ничего с этим не поделаешь, [I]c'est la vie[/I]. Тут как в старой поговорке: "Кто первый встал, того и тапки...". =)
Здравствуйте!
не нашёл подходящеё темы для размещения своего вопроса т.к. тема "Чаво" закрыта, посему, если разместил не там, прошу извинить.
Подскажите, вот скачал с сайта AVZ 23 версии, запустил но мне пишет что не установлен драйвер мониторинга AVZPM и проверка не будет производиться"...что сие значит и как тогда установить этот драйвер?..
Заранее спасибо.:?
[QUOTE=ORG-IT;90835]Здравствуйте!
не нашёл подходящеё темы для размещения своего вопроса т.к. тема "Чаво" закрыта, посему, если разместил не там, прошу извинить.
Подскажите, вот скачал с сайта AVZ 23 версии, запустил но мне пишет что не установлен драйвер мониторинга AVZPM и проверка не будет производиться"...что сие значит и как тогда установить этот драйвер?..
Заранее спасибо.:?[/QUOTE]
Меню "AVZPM", там пункт "Установить драйвер расширенного мониторинга процессов". После установки драйвера этот пункт заблокируется и разблокируются два других - "Удалить драйвер расширенного мониторинга процессов" и "Удалить и выгрузить драйвер расширенного мониторинга процессов". Для полноты картины после установки драйвера рекомендуется перезагрузиться
Спасибо!
[B]Олег[/B], скажыте пожалуйста, как узнать почему файл не добавился в карантин?
[QUOTE=Muffler;90867][B]Олег[/B], скажыте пожалуйста, как узнать почему файл не добавился в карантин?[/QUOTE]
Если файл опознается как безопасный - то его добавление в карантин блокируется.
Менеджер внедренных DLL показал:winspool.drv- подозрение на keylogger или троянскую DLL.Winspool.drv работает в сервисе Spoolsv.exe.В system32 есть Winspool.exe , в свойствах которого указано:Windows 16-bit WoW Psuedo printer Driver(loaded as winspool.drv) производитель-Microsoft Corp.Winspool.exe, Winspool.drv прошли контроль подлинности по AVZ но в справочнике по процессам CompoWiki winspool.exe-Spyware от CWS.Помогите разобраться-чему верить!
[QUOTE=barsukRed;90911]Менеджер внедренных DLL показал:winspool.drv- подозрение на keylogger или троянскую DLL.Winspool.drv работает в сервисе Spoolsv.exe.В system32 есть Winspool.exe , в свойствах которого указано:Windows 16-bit WoW Psuedo printer Driver(loaded as winspool.drv) производитель-Microsoft Corp.Winspool.exe, Winspool.drv прошли контроль подлинности по AVZ но в справочнике по процессам CompoWiki winspool.exe-Spyware от CWS.Помогите разобраться-чему верить![/QUOTE]
"справочник по процессам" можно выкинуть - толку от него нуль, так как судить о вредоносности процесса по имени исполняемого файла и копирайтам нельзя. А они каким цветом его показывает AVZ ? Если зеленым, то файл безопасен.