AVPTool 7.0.0.195 - теперь совместим с KAV/KIS любой версии.

[ALEX(XX)]

Вы напрасно думаете, что CureIt не имеет инсталлятора. CureIt представляет из себя самораспаковывающийся RAR-архив, который инсталлирует сканер DrWeb во временную папку и автоматически запускает его на выполнение. Т.е. это поведение, на мой взгляд, ничем не отличается от инсталлятора. Причем привязка к RAR потребовала от разработчиков CureIt иметь в этом дистрибутиве файлы со статическими именами, поэтому активному зловреду гораздо легче защищаться от CureIt.

Ну, собственно про это я в курсе, но для меня такой режим работы более прозрачен. Есть ли возможность проделать такое в AVPTool? Или может стоит попробовать 2 версии AVPTool, которая устанавливается и которая работает аналогично CureIt

[DVi]

ALEX(XX), я отказался от RAR именно из-за необходимости распаковывать в активную среду зараженного компьютера беззащитные файлы. В InnoSetup у меня есть возможность выкладывать файлы под случайными именами и запускать драйвер до распаковки.

И еще одно: я не знаю, умеет ли CureIt лечить активное заражение, требующее перезагрузки. Если да, то как его разработчики решили вопрос перезагрузки? Ведь непосредственно после окончания работы процесса cureit.exe RAR удаляет все файлы утилиты из временной папки.

[ALEX(XX)]

И еще одно: я не знаю, умеет ли CureIt лечить активное заражение, требующее перезагрузки. Если да, то как его разработчики решили вопрос перезагрузки? Ведь непосредственно после окончания работы процесса cureit.exe RAR удаляет все файлы утилиты из временной папки.

Я не знаю как они это решили, но в процессе лечения предлагается перезапуск компьютера и зараза прибивается насколько я помню

[DVi]

Если это действительно так, то я посмотрю повнимательнее. Спасибо.

[borka]

[*]Вы напрасно думаете, что CureIt не имеет инсталлятора. CureIt представляет из себя самораспаковывающийся RAR-архив, который инсталлирует сканер DrWeb во временную папку и автоматически запускает его на выполнение. Т.е. это поведение, на мой взгляд, ничем не отличается от инсталлятора. Причем привязка к RAR потребовала от разработчиков CureIt иметь в этом дистрибутиве файлы со статическими именами, поэтому активному зловреду гораздо легче защищаться от CureIt.

КуреИт это sfx zip-архив.

>pkunzip -t cureit.exe
PKUNZIP (R) FAST! Extract Utility Version 2.04g 02-01-93
Copr. 1989-1993 PKWARE Inc. All Rights Reserved. Shareware Version
PKUNZIP Reg. U.S. Pat. and Tm. Off.

■ 80486 CPU detected.
■ EMS version 4.00 detected.
■ XMS version 2.00 detected.
■ DPMI version 0.90 detected.

Searching ZIP: CUREIT.EXE - TempMode
Silent=1
Setup=_start.exe

Testing: be-cureit.dwl OK
Testing: bg-cureit.dwl OK
Testing: crw44400.cdb OK
Testing: crw44401.cdb OK
Testing: crw44402.cdb OK
...

И еще одно: я не знаю, умеет ли CureIt лечить активное заражение, требующее перезагрузки. Если да, то как его разработчики решили вопрос перезагрузки? Ведь непосредственно после окончания работы процесса cureit.exe RAR удаляет все файлы утилиты из временной папки.

КуреИт умеет все то же самое, что и GUI-сканер Доктора. То есть активное заражение, требующее перезагрузки компьютера, осуществляется. И никакие файлы для этого не нужны, как в темповой папке, так и где-либо еще. Ну, почти не нужны.

но в процессе лечения предлагается перезапуск компьютера и зараза прибивается насколько я помню

Вы правильно помните. Именно так и происходит.

[DVi]

То есть активное заражение, требующее перезагрузки компьютера, осуществляется. И никакие файлы для этого не нужны, как в темповой папке, так и где-либо еще.

Чем же тогда на перезагрузке выносится активный руткит, если не драйвером антивируса?
И откуда возьмется этот драйвер, если RAR потрет все файлы Доктора?
А если не потрет драйвер - то кто файл этого драйвера будет удалять после перезагрузки и окончания лечения?

[borka]

Чем же тогда на перезагрузке выносится активный руткит, если не драйвером антивируса?
И откуда возьмется этот драйвер, если RAR потрет все файлы Доктора?
А если не потрет драйвер - то кто файл этого драйвера будет удалять после перезагрузки и окончания лечения?

Ключевое слово - Шилд.

Вы не отквотили последнее предложение: "Ну, почти не нужны."

Добавлено через 10 минут

Самым сложным было обеспечить совместимость с собственным антивирусным монитором Лаборатории Касперского.

Можно вопрос - а почему так? Почему нельзя было взять тот же, что и в KAV/KIS? Чисто из любопытства...

Парадокс получается: первое, чего добились в Шилде - это совместимости с klif'ом...

[DVi]

Ключевое слово - Шилд.

Т.е. этот драйвер остается в системе после удаления временных файлов CureIt?

Можно вопрос - а почему так? Почему нельзя было взять тот же, что и в KAV/KIS? Чисто из любопытства...

Два драйвера, одновременно занимающихся одним и тем же по одному и тому же протоколу, могут привести систему в неработоспособное состояние. В AVPTool сделано изящное решение, не нарушающее работу остальных драйверов.

Парадокс получается: первое, чего добились в Шилде - это совместимости с klif'ом...

Новый Клиф в теории не мешает никакому защитному софту, в то же время полноценно контролируя систему.

[borka]

Т.е. этот драйвер остается в системе после удаления временных файлов CureIt?

У КуреИта нет временных файлов. Я так понимаю, что Вы имели в виду "после завершения работы КуреИта и удаления его из временного каталога"? Да, разумеется. Шилд остается в системе. Кто ж вынесет зловреда при перезагрузке?

Два драйвера, одновременно занимающихся одним и тем же по одному и тому же протоколу, могут привести систему в неработоспособное состояние. В AVPTool сделано изящное решение, не нарушающее работу остальных драйверов.

Я имел в виду, почему не используется тот же драйвер, который ужЕ сидит в системе? Конечно, если он там есть.

Новый Клиф в теории не мешает никакому защитному софту, в то же время полноценно контролируя систему.

Ну, это понятно.

[vaber]

Чем же тогда на перезагрузке выносится активный руткит, если не драйвером антивируса?
И откуда возьмется этот драйвер, если RAR потрет все файлы Доктора?
А если не потрет драйвер - то кто файл этого драйвера будет удалять после перезагрузки и окончания лечения?

Все просто Только стоит внимательно посмотреть.
При запуске сканера в темп дропается драйвер, загружается и удаляется. Думаю, тоже самое и в кюрите. Если обнаруживается вирус,которого нельзя тут же удалить (например используется в данный момент системным процессом и открыт с монопольным доступом) - остается один вариант - удалить его в процессе загрузки системы . Файл ведь можно создать в любом месте на диске - не только в темпе . этот файл загружается на раннем этапе загрузки системы (подобно BC от AVZ), удаляет файл и себя . Я это писал в тесте с руткитами айти-спец.

[DVi]

вoт oнo чтo... знaчит дpaйвep caмoyдaляeтcя. cпacибo за информацию.

Добавлено через 6 минут

bopka, пpиcyтcтвyющий в cиcтeмe klif мoжeт быть любoй cтapoй вepcии. oбecпeчить coвмecтимocть c любым клифoм пoчти нepeaльнo.

[HEKTO]

вoт oнo чтo... знaчит дpaйвep caмoyдaляeтcя. cпacибo

Ведь это единственное разумное объяснение. "Спасибо" улыбнуло

[borka]

При запуске сканера в темп дропается драйвер, загружается и удаляется. Думаю, тоже самое и в кюрите.

КуреИт реализован на базе GUI-сканера. Поэтому в данном контексте это одно и то же.

этот файл загружается на раннем этапе загрузки системы (подобно BC от AVZ), удаляет файл и себя .

Скажем так, драйвер выполняет предписанные действия.

bopka, пpиcyтcтвyющий в cиcтeмe klif мoжeт быть любoй cтapoй вepcии. oбecпeчить coвмecтимocть c любым клифoм пoчти нepeaльнo.

Ясно.

"Спасибо" улыбнуло

Может, это было "Спасибо за идею"?

[vaber]

Скажем так, драйвер выполняет предписанные действия.

Именно поэтому я и привел аналогию с бутклиннером AVZ - он тоже выполняет предписанные действия .

[santy]

...AVPTool предназначена "для домохозяек" (избитый термин, как нельзя точнее характеризующий утилиту), ее задача - обеспечить максимально понятный неподготовленному пользователю интерфейс для выполнения главной задачи - лечения зараженной машины. Само лечение будет произведено автоматически (антивирусным движком) либо "вручную" (консультацией хелперов).

Мое мнение: домохозяйкам нужны хорошая микроволновка, антивирусный монитор с настроенным обновлением баз, плюс телефон.номер опытного пользователя... опытному пользователю необходимы хорошая визард-система с возможностью "визуально рассмотреть внутренности системы" (то, что есть в АВЗ), с исследованием, анализом и автоматическим генератором скриптов лечения_удаления (которые возможно интерактивно поправить), полноценные антивирусные сканеры (CurIt, KAV и т.д.) плюс url форумов и помощь экспертов по безопасности.

[DVi]

Мое мнение: домохозяйкам нужны ... антивирусный монитор с настроенным обновлением баз, плюс телефон.номер опытного пользователя...

В идеале именно так. Сервис скорой антивирусной помощи (а это и есть Вирусинфо) сключается в работу, когда не выполняется одно из этих условий. Согласитесь, что "лечение по телефону" проще производить, если интерфейс запущенной утилиты будет максимально прост, и Хелперу не придется объяснять домохозяйке предназначение большого количества кнопок и функций.

[Alvares]

Alvares, скорость сканирования зараженного компьютера не является приоритетом в разработке ни у одного производителя.

А я лично считал, что нагрузка на систему и скорость движка играют не последнюю роль.

[borka]

А я лично считал, что нагрузка на систему и скорость движка играют не последнюю роль.

Безусловно. Но что важнее - пролечить качественно или пролечить быстро? Приоритет, ИМХО, у качества. Если одновременно и качественно, и быстро, то это только плюс для антивируса.

[DVi]

Я согласен с borka.

[DVi]

Смотрите, какие у меня получились инструкции:
http://avptool.virusinfo.info/ru - на русском языке
http://avptool.virusinfo.info/en - на английском языке

P.S. Почему-то иногда вместо страниц в IE отображается какой-то мусор. Однажды IE даже умудрился упасть. NickGolovko, проверьте, пожалуйста, в чем там может быть дело?