Присоединяюсь к просьбе, даже наверное лучше двойным щелчком по строчке открывать окошко со свойствами, из которого (окошка) можно было бы копировать в буфер обмена имя файла, полный путь, имя раздела или папки автозапуска и пр.Сообщение от santy
Присоединяюсь к просьбе, даже наверное лучше двойным щелчком по строчке открывать окошко со свойствами, из которого (окошка) можно было бы копировать в буфер обмена имя файла, полный путь, имя раздела или папки автозапуска и пр.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Такая идея давно витает, раз нужно - реализую. Это будет единообразное окно с данными о файле - атрибуты, имя, копирайты, размер и т.п. - с копированием всех полей в буфер обмена. Плюс может оперативный анализ файла (является ли он EXE файлом например, данные из заголовка и т.п).
+инфо о CRC-32, MD5, SHA-1, атрибуты файла, даты создания, изменения... примерно как на General- главной вкладке FileAlizer.
В последнее время часто на флэшках распространяются опасные VBS-файлы. Такой файл содержит шестнадцатеричные коды в текстовом виде, которые vbs-операторами преобразуются в другой набор vbs-команд и запускаются на исполнение. Также есть двоичные куски, являются ли они исполняемым exe-кодом, не знаю, но они явно нацелены на работу с реестром - попадаются символы HKLM.
Предлагаю дополнение к эвристическому анализатору - если в vbs-файле есть слово execute, причем не .execute , то давать предупреждение - "возможен самомодифицирующийся исполняемый код". Строка execute (без точки впереди) - команда запуска vbs-кода, содержащегося в строковом параметре, а строка .execute - вызов метода для запуска внешних программ.
P.S. Для отделения самой команды execute от идентификаторов, которые могут оканчиваться на такое слово, можно искать в файле такие строки:
1. " execute" - с пробелом впереди
2. :execute - с двоеточием впереди
3. execute в самом начале строки или после знаков перехода на новую строку
Последний раз редактировалось Oyster; 11.09.2008 в 17:29. Причина: Уточнение подозрительной команды
Спасибо Олегу Зайцеву за его утилиту.
На работе у меня на моём компьютере нет прав администратора, стоит Каспер 5, который не обновлялся 2 года, по интернету файлы в виде *.ехе не скачиваются, сайты типа *.сом не открываются, бесплатные антивирусные онлайн-сканнеры не могут запуститься. Это единственная бесплатная антивирусная программа, которая может работать без установки и с обновлением баз на таком компьютере. Хотя отсутствие прав администратора не даёт возможности запустить AVZGuard и AVZPM, но сканирование получается.
У меня вопросы:
1 может ли AVZ заменить обычный антивирус?
2 на AVZ стоит отметка (с) Лаборатория Касперского что это означает? Означает ли это что базы AVZ и антивируса Касперского одинаковы?
0. Если KAV5 не обновлялся 2 года, то есть он, нет его ... - не важно, так как во первых версия древняя (уже KIS 2009 вышла больше месяца как, а в каждой новой версии продуктов ЛК появляется ного новых фич), современные вирусы он не поймает из-за старых баз
1. AVZ не может заменить антивирус, функции у него другие. AVZ конечно может ловить известных ему зловредов и опознавать известные ему файлы, но делается это в первую очередь для упрощения и автоматизации лечения ПК
2. Это значит, что права на утилиту и все имеющиеся там технологии принадлежат ЛК (я сотрудник ЛК со всеми вытекающими). Базы там резко различны, равно как сканирующий движок. Базы идентичны у другой подобной утилиты производства ЛК - AVPTool, там сканирующий движок от ЛК, а анализ системы и срипты - от AVZ.
Однако толку от AVZ/AVPtool и т.п. будет немного, без прав администратора тот-же AVZ запустится, но не сможет практически ничего сделать в системе, потеряв 90% функционала - он сможет только сканировать файлы, доступные ему по правам на чтение
Сегодня Менеджер расширений проводника вдруг стал выдавать окошко:
Invalid data type for "
Что случилось?
(WinXP)
Это специально сделано или бага?:
Если у AVZ нет прав писать в папку баз то он в пункте "О программе" не выводит "Дату сборки файлов"
1) У меня работает (XP/SP3)
2) Случилось скорее всего очередное обновление баз. Там же не только сигнатуры, но и скрипты.
1. Вроде никто не жалуется массово на такую проблему, возможно глюка какой-то ...
2. Менеджер расширения проводника не использует программный код из баз, только базу чистых (а косяк с ней сказался бы на всем AVZ)
Добавлено через 1 минуту
Скорее всего файлы при анализе открываются с полным доступом, а не в режиме "только чтение" - это приводит к ошибке, и соответственно дата не определяется
Последний раз редактировалось Зайцев Олег; 30.09.2008 в 10:26. Причина: Добавлено
Бага (4.30)
Создаем профиль и отменяем ограничение на размер проверяемых архивов (не проверять архивы более...).
Сохраняем.
Выходим из программы
Загружаем этот новый профиль.
Отметка о ограничении вновь активна.
PS разработка программы продолжается? или программа больше не будет развиваться?
Это известный баг, будет закрыт в 4.31.
Развивается ли ? ну кто его знает ... судя по счетчикам баз - даВ идеале вообще вся логика должна быть в базах (как сейчас в разных визардах, восстановлении системы, эвристических проверках и т.п.), чтобы обновления версий были только при радикальных изменениях, скажем раз в год. Такого пока нет, поэтому версии обновляются чаще, в среднем раз в квартал - раз в полгода, когда набирается список новых фич, недостижимых через базы
Хотелось чтобы avz мог отображать кол-во записей в базах и список обнаруживаемых угроз.
Количество записей отображается в логе, в начале + на моем сайте в виде вставочки справа главной страницы. Список угроз в теории отобразить можно, но он будет километровый по длинне.
Есть предложение, для реализации которого судя по всему изменений в базах недостаточно:
А что если при сканировании файлов применять такие "эвристические записи" как короткие сигнатуры.
Например цепочка команд, сбрасывающих WP бит в CR0 (что делают многие руткитоподобные), или имена файлов, в которых программы хранят пароли..
Эти "сигнатуры" не прерывают сканирование файла,
но при их срабатывании в лог сканирования добавляется запись о наличии кода,
характерного для вредоносов.
The worst foe lies within the self...
Не выйдет ... так как:
1. руткитоподобное трудно увидеть и прибить, а уже увидев обычно классифицировать можно без проблем
2. Для поиска подобных сигратур сканер должен уметь "раскручивать" все пакеры и криптеры, применяемые в зверях - а это крайне сложная задача.
Кроме того, что сказал Олег, есть ещё одно замечание- увеличение количества ложных срабатываний на вполне легитимных драйверах, использующих такие техники в своей работе.
http://www.softsphere.com - DefenseWall, DefencePlus
Вот именно. Но хуже другое - если берется короткая сигнатура и ищется не по статично заданному смещению (скажем от начала/конца файла, точки входа и т.п.), то количество фолсов может быть огромным.
Предложение: выносить результаты (backup, reg файлы) выполнения небезопасных операций восстановления для некоторых ОС, таких как ExecuteRepair 6, 10, 14, 15, 18, в отдельные подкаталоги (напр. в каталоге backup\gg-mm-dd\repair6\) или добавить функционал восстановления после таких операций (как в мастере поиска и удаления проблем). Не первый раз встречаю случаи, когда на win2k3 у пользователей (невнимательно читают док. или не читают совсем) появляются проблемы после выполнения одной или нескольких таких операций. Второй способ - проверять ОС (всё равно это делается) и блокировать выполнение таких операций для некоторых ОС, в т.ч. если операции делаются из терминальной сессии (имхо 1-ый способ предпочтительнее)
Блокировку операций сделать не сложно - скрипт "знает" версию ОС. Бекап описанным методом в ExecuteRepair невозможно сделать по той причине, что он там уже есть. Бекапит он в папку Backup, раскладывая бекапы по датам, времени и типу, например для восстановления номер 18 создается файл типа
C:\avz4\Backup\2008-10-03\LSP_Restore_20081003-150506.reg
где имя каталога = дате, а в имени файла присутствует дата и время, т.е. при повторных запусках в пределах дня бекапы не затирают друг друга
Ваши права в разделе
