А планируется ли в логах AVZ отображать ссылки на гадосодержащие сайты аналогично hijackthis?
А планируется ли в логах AVZ отображать ссылки на гадосодержащие сайты аналогично hijackthis?
[QUOTE=Зайцев Олег]Я думаю по этому поводу - но AVZ проверяет контролльную сумму всего файла, и расчет суммы может быть сопоставим с проверкой файла по нагрузке на систему. Тут есть другая идея - контролировать размер - если файл с таким размером есть, то CRC первых 2 кб, последних 2 кб - при его совпадении CRC всего файла. Тогда ускорение будет, причем существенное.[/QUOTE] :good:
Ну вряд ли проверка КАЖДОГО файла из тех 200 шт, содержащихся внутри какого либо CHM будет сопоставимой с 1/200 проверки контрольной суммы самого CHM. Файл нужно извлечь в temp, etc. А если ещё и какой нибудь резидентный сканер работает.... :(
А CRC первых и последних 2 кб можно использовать как ключ для поиска файла в базе. Полную CRC надо обязательно считать для тех архивов, у которых нет глобального каталога и нет внутренней CRC, входящей в глобальный каталог.
[QUOTE=Зайцев Олег]Я думаю по этому поводу - но AVZ проверяет контролльную сумму всего файла, и расчет суммы может быть сопоставим с проверкой файла по нагрузке на систему. Тут есть другая идея - контролировать размер - если файл с таким размером есть, то CRC первых 2 кб, последних 2 кб - при его совпадении CRC всего файла. Тогда ускорение будет, причем существенное.[/QUOTE]
таким образом база безопасных файлов вырастем втрое: нужно быдет хранить 3 CRC вместо одного. может обойтись всего двумя CRC?
предлагаю оптимизацию: считается CRC начала файла, дойдя до 2-килобайтовой границы сравнивается с базой, если в базе 2-килобайтных сигнатур она есть, то _продолжается_ процесс подсчета CRC для всего файла (чтобы первые 2 килобайта дважды не пересчитывать).
и еще - считать 2-килобайтовую CRC не для всех подряд файлов, а только для файлов определенной внутренней структуры (типа CHM или CAB).
[QUOTE=MOCT]...
и еще - считать 2-килобайтовую CRC не для всех подряд файлов, а только для файлов определенной внутренней структуры (типа CHM или CAB).[/QUOTE]
:yes_2:
Ну безусловно, об этом я и говорил в [URL=http://virusinfo.info/showpost.php?p=55785&postcount=139]своём первом сообщении[/URL]. :)
[QUOTE=UFANych]:yes_2:
Ну безусловно, об этом я и говорил в [url="http://virusinfo.info/showpost.php?p=55785&postcount=139"]своём первом сообщении[/url]. :)[/QUOTE]
я добавил свой голос в копилку ;-)
еще желательно добавлять ZIP-архивы из Java (%WINDIR%\JAVA\Packages\)
Просмотр карантина->Автодобавление->Пуск
Несколько раз подряд ближе к финалу автодобавления
Access violation at address 004048b4 in module "avz.exe" Write of address 0000000c
Потом все нормально.
Может я чего недопонял, но по ходу в версии 3.80.2 нету автообновления баз, а на сайте я их как-то в упор не нахожу :( Неужели нужно каждый раз скачивать прогу заново ради обновления баз??? Так же никакого инета не напасёсси. :(
Речь идет об автодобавлении в карантин. Обновления баз в AVZ нет.
AVZ в среднем обновляется раз в две недели. 2мб трафика в месяц- не очень страшно ;)
Обновления баз нет "здесь и сейчас", поскольку сама программа всё ещё очень интенсивно меняется вместе с форматом самих баз. Как устаканится - будут и отдельные обновления.
Можно ли добавить в AVZ сканирование по сети? Или это можно как-нибудь сделать в данной версии? Очень нужно. Заранее спасибо.
А смысл? По сети можно обычным антивирусом сканировать, с расширенными базами. Самые главные фишки именно AVZ - антируткит, исследование системы - по сети работать не будут, её надо локально запускать.
[QUOTE=pig]А смысл? По сети можно обычным антивирусом сканировать, с расширенными базами. Самые главные фишки именно AVZ - антируткит, исследование системы - по сети работать не будут, её надо локально запускать.[/QUOTE]
Хм... Ну в принципе можно сделать механизм когда АВЗ копирует себя на удалённый компьютер, запускается, создаёт отчёт и удаляет себя. Конечно если есть содтуп админа
[QUOTE=pig]А смысл? По сети можно обычным антивирусом сканировать, с расширенными базами. Самые главные фишки именно AVZ - антируткит, исследование системы - по сети работать не будут, её надо локально запускать.[/QUOTE]
Почему не будут ?
Для этого я и ввел скрипты - пишем скрипт, а затем AVZ помещаем в расшаренную папку, а юзерам в логон-скрипт - его запуск с соответствующими ключами. И все ...
Это уже локальный запуск (на сканируемой машине), хотя и инициированный дистанционно. Обычно если "по сети", то имеют в виду несколько другое.
Согласен с PIG. Хотелось бы интерактивной проверки удалённой машины,а не при загрузке системы. Обычные антивирусы с расширенными базами не подходят - слишком медлительны или не эффективны. В сети права админа есть.
[QUOTE=Tora-bora]Согласен с PIG. Хотелось бы интерактивной проверки удалённой машины,а не при загрузке системы. Обычные антивирусы с расширенными базами не подходят - слишком медлительны или не эффективны. В сети права админа есть.[/QUOTE]
Так в общем это можно сделать при помощи [URL=http://www.sysinternals.com/Utilities/PsExec.html]PsExec[/URL]
Может быть сделать "удаление по списку", с предварительной остановкой процессов, выгрузкой драйверов, и последующей эвристической зачисткой?
В "Отложенном удалении" выбор файла идет через проводник, скрытые файлы и папки не видит, приходится искать файл поиском . Можно реализовать выбор средствами AVZ?
[QUOTE=Geser]Так в общем это можно сделать при помощи [URL=http://www.sysinternals.com/Utilities/PsExec.html]PsExec[/URL][/QUOTE]
К сожалению psexec как-то некорректно отрабатывает ключи для avz :( Попробовал remoteexec 3.08, но с ним тоже проблема - почему-то не сохраняются логи.
[QUOTE=Tora-bora]К сожалению psexec как-то некорректно отрабатывает ключи для avz :( [/QUOTE]
Может где кавычек не хватает.
Олег, а в каком состоянии находится переделка программы под англоязычный интерфейс? А то уже довольно забавные альтернативы появляются в смысле детектирования/борьбы с руткитами (и, соответствующими технологиями у "зверей") - IceSword, к примеру, о котором много говорят в последнее время на импортных форумах... а про AVZ - ноль... абыдна, аднака! :) И, хотя в моем понимании AVZ не слишком хорош в смысле [I]борьбы[/I] с руткитами, тем не менее кое-какие наработки все же есть - по крайней мере для user mode руткитов зачастую можно сделать неплохой анализ, а дальше уже думать, как убивать... Кстати, читая форум hackdef-а, видел, что его автору, holy_father-у, кто-то предложил потестировать его руткит на AVZ, но тот тоже сослался на отсутствие английского языка в программе... так что, может пора бы уже, а? :)