Олег, хочешь я под дельфийским отладчиком посмотрю в чём там дело?Сообщение от Зайцев Олег
Олег, хочешь я под дельфийским отладчиком посмотрю в чём там дело?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Олег, у тебя наверное л.с. забит, поэтому пишу тут :
Насчёт ближайшего релиза -
Не забудь пожалуйста обновить исправления в английской части программы и хепл английский включить в зип, тзкже чтобы автоматом выбирался английский хелп , когда в английском интерфейсе запускаеться программа
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Отладчик даст место (я его и так знаю), но не причну - поэтому не стоит терять времени. Гораздо интереснее другое - тест на чистом W2K, чтобы понять, это проблема AVZ + W2K или AVZ + W2K + Outpost
+1Олег, у тебя наверное л.с. забит, поэтому пишу тут :
Насчёт ближайшего релиза -
Не забудь пожалуйста обновить исправления в английской части программы и хепл английский включить в зип, тзкже чтобы автоматом выбирался английский хелп , когда в английском интерфейсе запускаеться программа
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
А принципиально нового в AVZ не планируеться?
Так как смотрю что вредоносные программы часто помешают себя в некоторые каталоги, может в отчете avz показывать список потенциально опасных файлов в директориях в которых они по идее не должны находится например(Все без подкаталогов):
Правда размер лога может вырасти...Код:Тут искать *.exe *.dll *.sys *.com *.pif *.bat *.cmd *.vbs *.js *.ocx C:\WINDOWS\Temp C:\Documents and Settings\%username%\Local Settings\Temp C:\WINDOWS\Downloaded Program Files C:\Documents and Settings\%username%\Local Settings\Temporary Internet Files C:\Program Files C:\Documents and Settings\All Users\Application Data Исключить *.sys C:\WINDOWS\system32\drivers Исключить *.dll C:\WINDOWS\system Искать только *.sys C:\WINDOWS\system32 C:\WINDOWS Искать только *.exe *.dll *.vbs *.js *.ocx C:\
При остановленном Outpost (и EXE и сервис) эффект тот же. Выгрузить ещё и драйвера?
В теме http://virusinfo.info/showthread.php?t=15556
странные пути у файлов в секции "Модули пространства ядра". С переменной
%SystemRoot% все в прорядке. Может ли это быть вызвано нестандартным именем папки для установки Windows (C:\WINDOWS.1)?
Обязательно. Драйвера как раз самые подозреваемые и есть.
Анинсталировал Outpost вообще. Запустил AVZ - баг на месте. То есть это вообще не OutPost виноват. А именно SP4. Какие дальше эксперименты делать?
Олег, может быть ты скажешь, где взять текст стандартного скрипта номер 2, а я посмотрю, на какой команде (группе команд) этого скрипта лажает? Да, почти наверняка оно валится на VarClear. Возможно потому, что в вариантной переменной юникодная строка (или мусор). Если ОЧЕНЬ надо - могу под отладчиком посмотреть, где оно всё-таки падает. Но мне будет легче смотреть, если будет известна одна операция скрипта, а не ждать пока весь скрипт пройдёт.
Ещё вариант - можешь обвещшать все вариантные операции отладочной инофрмацией, а я запущу у себя и пришлю трассу.
P.S. У меня фактически preSP5 стоит. То есть все последние патчи + выходивший где-то год назад preSP5.
Да, и еще мои 5 рублей по поводу нововведений в 4.29
Есть основания говорить, что в подозрительные объекты в отчете исследования системы попадает не все. Например, драйверы с цифровой подписью, которые ничего не перехватывают, но при этом загружены в память и являются явными зловредами:
Хотя, если подумать, то автоматику тут использовать почти невозможно. Если только она сама гуглить не станет по именам файлов...C:\WINDOWS\System32\Drivers\ndisrd.sys NDISRD helper driver Copyright NT Kernel Resources© 2002-2003
Прикрепил архив с отчетом, который иллюстрирует ситуацию.
Очевидно, как раз для таких случаев и потребуется helpdesk...
Если что-то непонятное плывет к Вам прямо в руки, то не спешите обладать им! Приглядитесь, возможно, оно просто не тонет...
У меня 2 предложения по АВЗ.
1. Иногда трояны подменяют собой системные файлы, и при их удалении система не поднимается. Думаю стоит добавить в АВЗ базу данных имён системных файлов (включая полный путь, конечно) и помечать такие файлы в логе. Так хелперы смогут понять что нельзя просто удалять файл, а нужно его заменить на чистый.
Если это проблемно с точки зрения объёма базы, то хотя бы писать в неё файлы которые наиболее часто подменяются троянами.
2. Иногда системные файлы не изменяются, а просто в реестре изменяется ссылка, на файл трояна. Опять же, в случае удаления система не поднимится. Предлагаю так же добавить базу данных ключей изменяемых троянами, и выдавать предупреждения в случае если они ссылаются на файлы отличные от стандартных.
Принимается. Это уже реализовано, и первое, и второе ... в версии 4.29. Осталось только базы набить ..
Я еще не копался в новой версии. Я так понял что это сейчас в визардах. Но нужно что бы пометки были в соответствующих разделах HTML отчета. Т.е. если это процесс, то в списке процессов и т.д.
Лучше также убрать для таких файлов в HTML отчете ссылки на автогенерацию комманд удаления. Так меньше шансов что хелпер по ошибке их все же удалит.
Есть ли новый, исправленный релиз (> 4.29.0.9)?
Только что скачал - на сайте по-прежнему 4.29.0.9
Посмотрел лог новой версии. Очень понравилось что теперь для драйверов есть как опция удалить файл, так и опция остановить/удалить... службу.
Предлагаю для всех остальных объектов автозапуска добавить опцию удаления ключа из реестра.
Думаю так же будет полезно хинтом прописывать полный путь к этому ключу и его значение
В версии 4.29 при использовании ревизора: база создается,но при сравнении диск<>база,при выборе файла базы, в строке тип файлов стоит:$AVZ1129. Соответственно не запускается проверка. Скачал еще раз архив с АВЗ. Все тоже самое. В версии 4.27 все как надо в этой строке:Файлы ревизора(*.frz)
Это не только с файлами ревизора, но и со всеми прочими диалогами.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Это баг - исправлено
Ваши права в разделе
