Printable View
[b]Зайцев Олег[/b], если будете обновлять полиморф, то хотелось бы потестировать при использование команды ZIP_CreateArchive
[quote="Зайцев Олег;1266270"]например помечать файлы в списке (например удалять из списка те, что успешно добавлены в архив)[/quote]
Здравствуйте, Зайцев Олег!
Есть такая особенность в x64 ОС с раскрытием цели ярлыков, которая проходит через специальную папку %ProgramFiles% (%CommonProgramFiles).
В лог AVZ попадет путь: C:\Program Files [b](x86)[/b]\..., вместо x64 битной.
Отключение файл. редиректа здесь не поможет. [URL="http://autoit-script.ru/index.php/topic,16410.msg101168.html"]Пример темы[/URL], где пытались решить такую проблему.
В подобных LNK в дополнительную секцию дублируется при создании ярлыка идентификатор специальной папки,
по номеру которого можно определить ее битность.
Если Вас заинтересует, я могу отписать в личку, как добраться до нужного оффсета и о соответствии ID-шек.
[b]Зайцев Олег[/b], заметил, что утром 2015-06-04 был обновлён полиморф. В нём просто обновлены базы AVZ или какие-то изменения функционала тоже есть?
[QUOTE=regist;1284923][b]Зайцев Олег[/b], заметил, что утром 2015-06-04 был обновлён полиморф. В нём просто обновлены базы AVZ или какие-то изменения функционала тоже есть?[/QUOTE]
Там улучшения для совместимости с Win10, всякие мелкие доработки, но в общем ничего значимого не поменялось
Просто ошеломительный лог в теме [url]http://virusinfo.info/showthread.php?t=185014&p=1288935#post1288935[/url] - смотреть разделы "Модули пространства ядра", "Службы", "Драйверы". C:\cygwin64\bin\CC в карантине и выглядит так:[CODE]!<symlink>gcc.exe [/CODE]
[quote="Зайцев Олег;1288280"]Там улучшения для совместимости с Win10[/quote]
пока видно ещё не до конца совместимость. Вот [URL="http://rghost.ru/76VlpvJRR"]лог свежего полиморфа.[/URL]
RegKeyCreate реагирует на отключение редиректора, а RegKeyDel - нет.
В итоге ветвь не удаляется:
[code]
var
AName : string = 'SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps';
begin
if IsWOW64 then SetupAVZ('X64R=NY');
RegKeyCreate('HKEY_LOCAL_MACHINE',AName);
RegKeyDel('HKEY_LOCAL_MACHINE',AName);
if IsWOW64 then SetupAVZ('X64R=YY');
end.
[/code]
Вот моя небольшая шпаргалка о том, какие функции поддерживают ключ KEY_WOW64_64KEY
(не знаю, как тут рисовать таблицы)
'''''''''''''''''''''''''''''''''''''''''''''''''':'''''''''''''''''''''''''''''''''''''''''''
''': Function:'':::::::::::: Can recursively ::''::::: Support flag ::'':::::: Must close ::''::: Minimum ::''
'''::::name::''::::::::::: delete all subkeys ''::: KEY_WOW64_64KEY :'': all handles ''::: OS support '
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
::::':SHDeleteKey::::::::::::: Yes :::::::::::: Partially (Win7+)::::::::::: ? :::::::::::Win2000
::::':RegDeleteKey:::::::::::: No ::::::::::::::::: No ::::::::::::::::::::Yes !:::::::Win 2000
::::':RegDeleteKeyEx:::::::::: No ::::::::::::::::: Yes :::::::::::::::::::Yes !:::::::Win XP x64+
::::':RegDeleteTree::::::::::: Yes :::::::::::::::: Yes ::::::::::::::::::::: ? :::::::::Win Vista !
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
[b]Зайцев Олег[/b],
1) можете пояснить в чём разница между командами [URL="http://z-oleg.com/secur/avz_doc/index.html?script_fileexists.htm"][B]FileExists[/B][/URL] и [B]FileExistsMask[/B] ?
Проверил вроде бы обе команды поддерживают указание маски.
2) Заметил, что в новый полиморф стал проверять разрядность заданий в планировщике заданий. Только в логе это указывается is64="Y" и is64="N", а во всей остальной части лога это указывается Is64="0" и Is64="1". Это так и будет в планировщике так, а в остальной части по другому или потом и в остальной части лога измените на новый вариант?
[QUOTE=regist;1292614][b]Зайцев Олег[/b],
1) можете пояснить в чём разница между командами [URL="http://z-oleg.com/secur/avz_doc/index.html?script_fileexists.htm"][B]FileExists[/B][/URL] и [B]FileExistsMask[/B] ?
Проверил вроде бы обе команды поддерживают указание маски.
2) Заметил, что в новый полиморф стал проверять разрядность заданий в планировщике заданий. Только в логе это указывается is64="Y" и is64="N", а во всей остальной части лога это указывается Is64="0" и Is64="1". Это так и будет в планировщике так, а в остальной части по другому или потом и в остальной части лога измените на новый вариант?[/QUOTE]
1. В текущей реализации принципиальной разницы между этими функциями нет никакой (за исключением того, что FileExists не гарантирует поиск по маске, а FileExistsMask - гарантирует - в будущих версиях что-то может поменяться, и не факт, что поиск по маске в FileExists будет работать).
2. Нет, это глюк, поправил для однообразия (с точки зрения анализатора "кибера" 1 и Y идентичны по сути)
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
[QUOTE=Dragokas;1291559]RegKeyCreate реагирует на отключение редиректора, а RegKeyDel - нет.
В итоге ветвь не удаляется.
[/QUOTE]
Я знаю эту тонкость, потому скажем в визардах, где часто используется SetupAVZ('X64R=xx') нигде RegKeyDel не применяется. В скриптах хелперов есть риски нарваться на проблемы с этим, пока не знаю, что лучше - изменить логику работы функции или документировать эту тонкость
1) Спасибо за пояснение. Надеюсь, что вторая команда тогда также будет документирована в справка. Пока её нет [url]http://z-oleg.com/secur/avz_doc/index.html?script_fileexistsmask.htm[/url]
2) [quote="Зайцев Олег;1292930"]что лучше - изменить логику работы функции или документировать эту тонкость[/quote]
Лучше изменить логику работы. Потому что понадобилось удалить ключ реестра, так пришлось извращаться через
[CODE] ExecuteFile('reg.exe','delete "HKLM\'+AName+'" /f /reg:64',1,15000,true);[/CODE]
Время идет, а бага [url]http://forum.kaspersky.com/index.php?showtopic=326018[/url] как была так и осталась.
1) [quote="Зайцев Олег;1095056"]По ".dll" все просто - когда идет поиск файла, там задается ожидаемое расширение, которое используется в качестве дефолтного. При пустом пути они не должно применяться, проверю[/quote]
В последней версии полиморфа эта бага до сих пор актуальна.
[IMG]http://i69.fastpic.ru/big/2015/0712/50/b5dff8b69fb3992a1066ca9d714b9f50.png[/IMG]
[URL="http://rghost.ru/private/6mjvQLzly/e227843637b82b9b844f4486bae0871c"]лог.[/URL]
2) До этого вы как-то писали, что тестовые версии будут иметь три группы цифр, в частности был AVZ версии 4.42.129 private build и т.д..
Может лучше вернуться к такой нумерации версий? Отличать их проще и удобней, чем по дате обновления баз.
3) [quote="Зайцев Олег;1270891"]2. Функцию получения сведений о базах сделаю в ближайшие дни, для этого все необходимое в движок добавлено.[/quote]
А это пока не делали?
[b]Зайцев Олег[/b], в HTML логе свежей версии полиморфа есть
[QUOTE]AVZ работает с правами администратора [B](+)[/B][/QUOTE]
В логе обычной версии этого плюса нет. Это какая-то дополнительная проверка или для чего он?
На полиморфе снова ошибка
[ATTACH=CONFIG]579082[/ATTACH]
Будет ли исправлена в ближайшей версии? Готов тестировать и предоставить дополнительную информацию.
Явно ругань на картридер. Как по мне, не критично
[quote="thyrex;1298263"]Как по мне, не критично[/quote]
Я тоже несколько раз встречался с таким глюком, в том числе и на предыдущих версиях AVZ и из-за него просто невозможно собрать логи! Нажимать отмена в сообщение об ошибке бесполезно, так как сообщение вылезет снова. Так что критично.
[quote="thyrex;1298263"]Явно ругань на картридер.[/quote]
Можете пояснить, как это явно по скрину видно? А также, когда встречалось мне картридера там в помине не было. А в данном случае про кардридер знаете, только из-за того, что уже неделю выясняли на другом форуме из-за чего нельзя собрать логи.
У меня иногда при использовании 3G-модема, где есть возможность и карточки вставлять, выскакивает такая ошибка. Жал Продолжить, если не изменяет память.
На скрине явно устройства J, K, L относятся к картридеру.
[quote="regist;1298275"]А в данном случае про кардридер знаете, только из-за того, что уже неделю выясняли на другом форуме из-за чего нельзя собрать логи.[/quote]Это Вы о чем сейчас?
[quote="thyrex;1298414"]На скрине явно устройства J, K, L относятся к картридеру.[/quote]
И как же это явно видно если не из предыдущих постов [b]chinaski[/b]?
На скрине это может быть и флешка, юсб винчестер, телефон и или другие варианты.
[quote="regist;1298275"]встречался с таким глюком, в том числе и на предыдущих версиях AVZ[/quote]
поискал у себя в переписке, в тот раз это была какая-то фигня для клавиатуры и мыши, чтобы делить их между десктопом и лэптопом. В списке дисков компьютера она как диск не отображалась.
[quote="thyrex;1298414"]Жал Продолжить, если не изменяет память.[/quote]
[url]http://virusinfo.info/showthread.php?t=155719&p=1253438&viewfull=1#post1253438[/url]
[quote="chinaski;1253438"]Кстати, если на ошибке нажимать Отмена Повторить или Продолжить то ошибка появляется снова.[/quote]Когда я это наблюдал тоже выполнить сканирование никак нельзя было, ни один из стандартных скриптов для сборка логов также не работал.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
А если проблема в картридере, то есть ноуты со встроенным картридером. Получается на таком ноуте на текущий момент логи AVZ вообще никак не сможет юзер собрать если обратиться к нам.
[quote="regist;1298417"]http://virusinfo.info/showthread.php?t=155719&p=1253438&viewfull=1#post1253438[/quote]Я не мониторю всю тему в отличие от Вас. Высказался из личного опыта. Потому язвить не нужно.
Ноут со встроенным картридером ведет себя вполне добропорядочно.
[quote="thyrex;1298423"]Ноут со встроенным картридером ведет себя вполне добропорядочно.[/quote]
Ноуты разные бывают ;). Начало истории было на соседнем форуме, если мне не подводит память, то [b]chinaski[/b], писал, что картридер как раз встроенный.
[b]thyrex[/b],
[b]regist[/b],
Все верно картридер встроенный, при нажатии на любую кнопку ошибка появляется снова, ни собрать какой либо лог, ни выполнить скрипт не получается на системе, я считаю исправить ошибку важно, потому что таких систем может быть много что тогда делать с ними? Например на этой я периодически чищу вирусы и каждый раз мне приходится использовать 10 разных утилит (само собой утрирую) что бы удалить все что надо, вместо того что бы сделать все с AVZ за один раз.
Ошибка, аналогичная [url=http://virusinfo.info/showthread.php?t=155719&page=8&p=1256912&viewfull=1#post1256912]этой[/url].
Проявляется и на обычной и на свежей полиморфной версии.
Прилагаю скрин, дебаг лог и [url=http://rghost.ru/6f5gKvr4d]лог Process Monitor-a[/url].
[url=http://www.cyberforum.ru/viruses/thread1504288.html]Тема[/url].
[quote="Sandor;1298857"]Ошибка, аналогичная этой.
Проявляется и на обычной и на свежей полиморфной версии.
Прилагаю скрин,[/quote]
Как и в прошлый раз ошибка из-за чтения параметра реестра. Я надеялся, что в полиморфе её ещё в прошлом году исправили. [URL="http://virusinfo.info/showthread.php?t=155719&p=1256970&viewfull=1#post1256970"]Тут[/URL] уже давал ссылку на тему в ноябре прошлого года с такой ошибкой. С того же времени Олег в курсе про неё.
Как воспроизвести её у себя написал в закрытом [URL="http://virusinfo.info/showthread.php?t=187451&p=1299054&viewfull=1#post1299054"]тут[/URL].
[url]http://virusinfo.info/showthread.php?t=189507[/url] - вышла новая версия, данную ветку обсуждения закрываю