Бетта тестирование AVZ 3.65

[QUOTE=Зайцев Олег]Что-то типа того я и сделаю. Т.е. попробую разделить имя файла и параметры ... алгоритмов несколько штук я придумал, но универсальность пока невысокая (я рассуждаю аналогично - или искать расширение исполняемого файла, или остепенно отсекать параметры. Плюс еще кавычки - их нужно будет убрать. Короче говоря завтра будет апдейт, я включу в него реализацию этого анализа[/QUOTE]
А если сделать так, разбить строку на части используя пробел как разделитель, удалить все кавычки и каждую часть попытаться найти на диске, в том числе используя все директории указанные в PATH а так же %systemroot%\system, %systemroot%\system32

[QUOTE=Geser]А если сделать так, разбить строку на части используя пробел как разделитель, удалить все кавычки и каждую часть попытаться найти на диске, в том числе используя все директории указанные в PATH а так же %systemroot%\system, %systemroot%\system32[/QUOTE]
..."Program Files"... ?


Вообще способы запуститься через Ж. Imho не так много -
[list][*]cmd.exe /c c:\i`m.exe[*]explorer.exe c:\i`m.exe[*]rundll32.exe c:\i`m.dll (i`m.exe?)[*]command.com /с c:\i`m.exe[*]mmc.exe c:\i`m.msc[*]explorer.exe c:\i`m.exe

не уверен, но может тоже прокатит -[*]hh.exe i`m.chm ???[*]runonce.exe c:\i`m.exe ???[*]iexplore.exe ???[/list]

Можно и по шаблонам разобрать.

[QUOTE=Geser]А если сделать так, разбить строку на части используя пробел как разделитель, удалить все кавычки и каждую часть попытаться найти на диске, в том числе используя все директории указанные в PATH а так же %systemroot%\system, %systemroot%\system32[/QUOTE]
Все хорошо, только в именах файлов и пути часто встречаются пробелы и поиск по частям может ничего не дать. Вот если откидывать от конца пути часть до пробела (запятой) и пытаться найти то, что откинули, и то, что осталось - так может что-то получиться...

Примеры:
C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe /k
RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
Как будем анализировать?

Поиск обязательно производить в тех местах, откуда система может сама запускать файлы без конкретного пути (PATH, %systemroot%, %systemroot%\system, %systemroot%\system32, %userprofile%\Мои документы, Program Files, корни дисков и т.д.).

[QUOTE=RiC]..."Program Files"... ?

Можно и по шаблонам разобрать.[/QUOTE]
Мда, не подумал :)
А если так, сначала выбрасываем из строки всё вида
/\w+ что отбросит все ключи. Потом ищем всё что имеет вид ".*" это должны быть файлы. Вырезаем всё найденное из строки. Оставшееся пытаемся найти как файл постепенно отбрасывая справа части отделённые пробеламии запятыми.

[QUOTE=Geser]Потом ищем всё что имеет вид ".*" это должны быть файлы.[/QUOTE]
А как быть с этим (реальный пример, так система в автозапуск написала):
[B]C:\WINDOWS\system32\dumprep 0 -k[/B]
Без подстановки расширений не обойтись...
А если в исполняемом файле несколько точек?

[QUOTE=DenZ]
Поиск обязательно производить в тех местах, откуда система может сама запускать файлы без конкретного пути (PATH, %systemroot%, %systemroot%\system, %systemroot%\system32, %userprofile%\Мои документы, Program Files, корни дисков и т.д.).[/QUOTE]

Тогда лучше анализировать переменные окружения (+ определенные фиксированные пути, такие как корневые каталоги и т.п)

О службах и автозапуске.
[QUOTE=Зайцев Олег]Я в принципе для подобных целей задумывал исследование системы - там сводный отчет всего небезопасного.[/QUOTE]
Я понимаю. Я говорил о продвижении AVZ в массы. :) Поясню на примере. Полупродвинутый юзер только-только включил комп, проверился на вирусы - все хорошо. Запустил taskmanager, а там болтается процесс "abcd.exe". Юзер запускает рекомендованный ему AVZ, идет в автозапуск - а там "abcd.exe" нет. "AVZ - отстой!!"
ИМХО прямо в менеджере автозапуска надо сказать о том, что для полной информации надо смотреть еще и службы. Помощь ведь никто не читает. Если на панель поставить кнопку для вызова "Диспетчер служб и драйверов" это отъест много ресурсов?

[QUOTE=DimaT]Всецело поддерживаю.
[B]Олег[/B], эту тему ты в последнее время не ''замечаешь'' специально? :)
Или это в более дальних планах и не входит в приоритетные задачи?[/QUOTE]
Будет версия англицкая, будет ... не замечаю, потому что работаю над ней :)
Если все будет хорошо, через неделю выпущу ее

[QUOTE=Зайцев Олег]Будет версия англицкая, будет ... не замечаю, потому что работаю над ней :)
Если все будет хорошо, через неделю выпущу ее[/QUOTE]
Ура!!!

[QUOTE=HUMA]Как бы не совсем в тему, однако помогите разобраться пожалуйста

Почему [B]на моей машине[/B] AVZ ищет ntoskrnl.exe по пути
%USERPROFILE%\WINDOWS\SYSTEM32 , которого в принципе не существует ? Аналогичная картина при проверке Winsock Layered Service Provider (SPI/LSP). Подозреваю, что дело здесь не в AVZ, так как ABBY FineRider впадает в тот же ступор при поиске TWAIN-драйвера
Причем иногда (крайне редко) все-таки работает
Остальной софт функционирует нормально, да и вообще нареканий к работе системы нет...
Система W2K SRV SP4 c TS
Правда несколько раз приходилось пользоваться утилитой ntswitch для установки несерверного софта (Partition Magic)
В общем замучал меня этот вопрос, натолкните на мысль
Заранее спасибо[/QUOTE]
Это интересный глюк, спасибо за лог, сейчас будеу разбираться

Пара глючков:
1. Если включить "Отчет о чистых объектах", то независимо от "Проверять чистые объекты по базе безопасных" в лог пишется "чист, найден в базе безопасных (в базе безопасных НЕ значится)"
2. Если убрать птичку "Не проверять архивы более N мб", архивы > N mb все равно не проверяются

[QUOTE=Зайцев Олег]Будет версия англицкая, будет ... не замечаю, потому что работаю над ней :)
Если все будет хорошо, через неделю выпущу ее[/QUOTE]
Обрадовал!!!
Спасибо!
Тогда не будем мешать... :)

[QUOTE=userr]Пара глючков:
1. Если включить "Отчет о чистых объектах", то независимо от "Проверять чистые объекты по базе безопасных" в лог пишется "чист, найден в базе безопасных (в базе безопасных НЕ значится)"
2. Если убрать птичку "Не проверять архивы более N мб", архивы > N mb все равно не проверяются[/QUOTE]
1. Глюк - исправлен
2. Глюк - исправлен
Спасибо !

[QUOTE=DimaT]Обрадовал!!!
Спасибо!
Тогда не будем мешать... :)[/QUOTE]
Спасибо будет, когда english версия выйдет :) На самом деле там проблема в том, что очень много разных сообщений (в отчетах, в ходе рахных проверок и т.п.). Они размазаны по коду, выносить в ресурсы их - коряво, в сумме более 1000 строковых констант, некоторые склоняются (например, 1 вирус, 2 вируса ...). Перевод интерфейса - это ерунда по сравнению с проблемой этих констант

[QUOTE=Зайцев Олег]Спасибо будет, когда english версия выйдет :) На самом деле там проблема в том, что очень много разных сообщений (в отчетах, в ходе рахных проверок и т.п.). Они размазаны по коду, выносить в ресурсы их - коряво, в сумме более 1000 строковых констант, некоторые склоняются (например, 1 вирус, 2 вируса ...). Перевод интерфейса - это ерунда по сравнению с проблемой этих констант[/QUOTE]
Думаю неправильные склонения все переживут :)

Да ну. Выносите все строки в дефайны, а дефайны определяете для каждого интернационального билда свои... Я с самого начала так делаю обычно

Глюк - не глюк, но фича нарылась интересная. Проверял компьютер с блокировкой руткитов (только User Mode; драйвер, правда, для проверки всё равно загружался). Нашёл ноль зверей, обрадовался и решил музыку завести. Не заработало. Полез в панель управления, в настройку звуков. Выбираю, жму "Воспроизвести" - делает вид, что воспроизводит... молча... в течение минуты... стандартный ding... в общем, я не стал дожидаться окончания этого "воспроизведения". После перезагрузки всё заработало.

Windows XP SP2 с хотфикcами по июль. AVZ 3.70

Короче, Олег, в новом мега-парсере файлнеймов не забудьте про НТФС потоки. Мне щас один мегаБХО прописался прямиком в System32:tjaa.dll =))

по процедуре исследования системы:

на мой взгляд, несколько нестандартный подход к формированию отчета.
предлагаю: имя выходного файла назначить по умолчанию avz_sysinfo;
использовать кнопки start/stop(пуск/стоп) запуск/прерывание исследования системы;
по окончанию исследования выдавать сообщение, типа "исследование системы завершено"-ок;
и открывать в окне исследования кнопку просмотра отчета (как в главном окне программы, где просмотр протокола сканирования) браузером по умолчанию.
может быть, еще изготовить режим "ведение-просмотр истории исследования системы"?
типа, имя лога формировать с датой исследования.

[QUOTE=Xen]Короче, Олег, в новом мега-парсере файлнеймов не забудьте про НТФС потоки. Мне щас один мегаБХО прописался прямиком в System32:tjaa.dll =))[/QUOTE]
Да, потоки не плохо бы проверять :)

[QUOTE=Geser]Думаю неправильные склонения все переживут :)[/QUOTE]
Солидарен.
Тем более, параллельно бы что-то еще там ''находили'', более существенное...

Между тем вышла новая версия 3.70.05. Изменения
[+] Доработан анализатор BHO и все системы, работающие с CLSID - введена поддержка
ссылок (когда один CLSID явняется ссылкой на другой)
[++] Введена проверка/лечение потоков NTFS + эвристик на исполняемые потоки
[+] Вывод в протокол информации о том, включено лечение или нет
[-] Исправлена работа переключателей, управляющих проверкой архива и размера
архива
---------
Обновилась база: Загружена база: 15775 сигнатур, 1 нейропрофиль, 55 микропрограмм лечения, микропрограммы эвристики: 299, подписи файлов: 34273

Нет изменений в пункте "о программе"

[QUOTE=shu_b]Нет изменений в пункте "о программе"[/QUOTE]
да, ошибочка вышла - я обновил архив, все исправлено. Кстати, в обновленную версию я внес обну поправочку - я забыл, что NTFS потоки бывают не только у файлов - они бывают и у каталогов ... я прикрутил соответтсвующую проверку. Если у кого есть время - просьба потестировать

Потестировал. Всё нормально.

Ща заценим. Стало интересно, насколько АВЗ обгоняет мои по актуальности базы.

Кстати, может на сайте стоит обновить доку по текущей минорной версии?

Антивирусная утилита АВЗ.. #13#10 идет проверка... #13#10 осталось...

так и задумано или там другие символы подразумевались? на моей дефалтной в2к они отображаются в виде двух узких прямоугольников, но никак не переносами строк

Ништяк. Половину нашел (с включенным эвристиком). Правда, в потоках нихрена не нашел =))

[QUOTE=Xen]Ништяк. Половину нашел (с включенным эвристиком). Правда, в потоках нихрена не нашел =))[/QUOTE] Уточни свои заключения...

[QUOTE=Зайцев Олег]Между тем вышла новая версия 3.70.05. Изменения
[+] Доработан анализатор BHO и все системы, работающие с CLSID - введена поддержка ссылок (когда один CLSID явняется ссылкой на другой) [/QUOTE]

Ещё немного БХО партизанской наружности.

BHO {A5366673-E8CA-11D3-9CD9-0090271D075B} - этот наиболее извратен.

Модуль расширения {7A2EFD41-E6B3-11D2-89E3-00E0292EE574}
Модуль расширения {7A2EFD41-E6B3-11D2-89E3-00E0292EE575}
Модуль расширения {92780B25-18CC-41C8-B9BE-3C9C571A8263}
Вариации на "тему".

[QUOTE=Xen]Антивирусная утилита АВЗ.. #13#10 идет проверка... #13#10 осталось...

так и задумано или там другие символы подразумевались? на моей дефалтной в2к они отображаются в виде двух узких прямоугольников, но никак не переносами строк[/QUOTE]
Это особенность W2K - он не понимает перевод строки в хинте. Это проявляется и на NT4 ... я наверное сделаю проверку версии, и под этими системами не буду вставлять переводы строки

[QUOTE=RiC]Ещё немного БХО партизанской наружности.

BHO {A5366673-E8CA-11D3-9CD9-0090271D075B} - этот наиболее извратен.

Модуль расширения {7A2EFD41-E6B3-11D2-89E3-00E0292EE574}
Модуль расширения {7A2EFD41-E6B3-11D2-89E3-00E0292EE575}
Модуль расширения {92780B25-18CC-41C8-B9BE-3C9C571A8263}
Вариации на "тему".[/QUOTE]
Спасибо, беру в разработку !
А сами звери, порождающие эти BHO есть в наличие ?

[QUOTE=Зайцев Олег]Спасибо, беру в разработку !
А сами звери, порождающие эти BHO есть в наличие ?[/QUOTE]
Есть, как же без них, да и не зверьё это - все законопослушные жители на самом деле :)

{A5366673-E8CA-11D3-9CD9-0090271D075B} - это ставит FlashGet

{7A2EFD41-E6B3-11D2-89E3-00E0292EE574} и
{7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - это ставит Promt6

{92780B25-18CC-41C8-B9BE-3C9C571A8263} - Microsoft Office 2003

Олег, при копировании (автодобавлении) подозрительных файлов в Карантин неплохо бы сохранять их даты создания (модификации) в avzXXXXX.ini (и присваивать avzXXXXX.dta дату оригинального файла).
По этим датам можно отличить вирус от "хорошего" файла, например, когда новый софт в этот период не ставился, т.к. обычно дата вирусного файла совпадает с датой попадания в систему.

[QUOTE=DenZ]Олег, при копировании (автодобавлении) подозрительных файлов в Карантин неплохо бы сохранять их даты создания (модификации) в avzXXXXX.ini (и присваивать avzXXXXX.dta дату оригинального файла).
По этим датам можно отличить вирус от "хорошего" файла, например, когда новый софт в этот период не ставился, т.к. обычно дата вирусного файла совпадает с датой попадания в систему.[/QUOTE]
Логично - я внесу поправку в механизм копирования в карантин и буду сохранять реальную дату файла

[QUOTE=Mamont]{A5366673-E8CA-11D3-9CD9-0090271D075B} - это ставит FlashGet
{7A2EFD41-E6B3-11D2-89E3-00E0292EE574} и
{7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - это ставит Promt6
{92780B25-18CC-41C8-B9BE-3C9C571A8263} - Microsoft Office 2003[/QUOTE]

Всё верно, но способы запихивания в BHO и Toolbar`ы у всех троих разный, поэтому как Sample вешь полезная :)

kto to skazet po4emy KAZAA tak silno zaadwarrena i zatroyanena downloaderami ?avz nashla v kazaa 3,0 14 gadostey MS toze mnogo 4ego nashel , pri popqtke 4isti tolko adwari sama KAZAA sletala krome togo MS s4itat samu kazaa.exe virem , nu i kak teor uzat kazaa ? libo vremeno polozit na secure poka ka4aesh muzqku ))?

[QUOTE=HUMA]Как бы не совсем в тему, однако помогите разобраться пожалуйста

Почему [B]на моей машине[/B] AVZ ищет ntoskrnl.exe по пути
%USERPROFILE%\WINDOWS\SYSTEM32 , которого в принципе не существует ? Аналогичная картина при проверке Winsock Layered Service Provider (SPI/LSP). Подозреваю, что дело здесь не в AVZ, так как ABBY FineRider впадает в тот же ступор при поиске TWAIN-драйвера
Причем иногда (крайне редко) все-таки работает
Остальной софт функционирует нормально, да и вообще нареканий к работе системы нет...
Система W2K SRV SP4 c TS
Правда несколько раз приходилось пользоваться утилитой ntswitch для установки несерверного софта (Partition Magic)
В общем замучал меня этот вопрос, натолкните на мысль

[B]Олег, Aintrust[/B] - спасибо что откликнулись
"лечится" переводом сеанса в режим установки приложений
Извиняюсь, что нагородил тут, не подумав....