А если сделать так, разбить строку на части используя пробел как разделитель, удалить все кавычки и каждую часть попытаться найти на диске, в том числе используя все директории указанные в PATH а так же %systemroot%\system, %systemroot%\system32Сообщение от Зайцев Олег
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
..."Program Files"... ?
Вообще способы запуститься через Ж. Imho не так много -
- cmd.exe /c c:\i`m.exe
- explorer.exe c:\i`m.exe
- rundll32.exe c:\i`m.dll (i`m.exe?)
- command.com /с c:\i`m.exe
- mmc.exe c:\i`m.msc
- explorer.exe c:\i`m.exe
не уверен, но может тоже прокатит -- hh.exe i`m.chm ???
- runonce.exe c:\i`m.exe ???
- iexplore.exe ???
Можно и по шаблонам разобрать.
Все хорошо, только в именах файлов и пути часто встречаются пробелы и поиск по частям может ничего не дать. Вот если откидывать от конца пути часть до пробела (запятой) и пытаться найти то, что откинули, и то, что осталось - так может что-то получиться...
Примеры:
C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe /k
RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
Как будем анализировать?
Поиск обязательно производить в тех местах, откуда система может сама запускать файлы без конкретного пути (PATH, %systemroot%, %systemroot%\system, %systemroot%\system32, %userprofile%\Мои документы, Program Files, корни дисков и т.д.).
Последний раз редактировалось DenZ; 11.08.2005 в 11:44.
Мда, не подумал
А если так, сначала выбрасываем из строки всё вида
/\w+ что отбросит все ключи. Потом ищем всё что имеет вид ".*" это должны быть файлы. Вырезаем всё найденное из строки. Оставшееся пытаемся найти как файл постепенно отбрасывая справа части отделённые пробеламии запятыми.
А как быть с этим (реальный пример, так система в автозапуск написала):
C:\WINDOWS\system32\dumprep 0 -k
Без подстановки расширений не обойтись...
А если в исполняемом файле несколько точек?
Тогда лучше анализировать переменные окружения (+ определенные фиксированные пути, такие как корневые каталоги и т.п)
О службах и автозапуске.
Я понимаю. Я говорил о продвижении AVZ в массы.Поясню на примере. Полупродвинутый юзер только-только включил комп, проверился на вирусы - все хорошо. Запустил taskmanager, а там болтается процесс "abcd.exe". Юзер запускает рекомендованный ему AVZ, идет в автозапуск - а там "abcd.exe" нет. "AVZ - отстой!!"
ИМХО прямо в менеджере автозапуска надо сказать о том, что для полной информации надо смотреть еще и службы. Помощь ведь никто не читает. Если на панель поставить кнопку для вызова "Диспетчер служб и драйверов" это отъест много ресурсов?
Будет версия англицкая, будет ... не замечаю, потому что работаю над нейВсецело поддерживаю.
Олег, эту тему ты в последнее время не ''замечаешь'' специально?
Или это в более дальних планах и не входит в приоритетные задачи?
Если все будет хорошо, через неделю выпущу ее
Ура!!!Будет версия англицкая, будет ... не замечаю, потому что работаю над ней
Если все будет хорошо, через неделю выпущу ее
Это интересный глюк, спасибо за лог, сейчас будеу разбираться
Пара глючков:
1. Если включить "Отчет о чистых объектах", то независимо от "Проверять чистые объекты по базе безопасных" в лог пишется "чист, найден в базе безопасных (в базе безопасных НЕ значится)"
2. Если убрать птичку "Не проверять архивы более N мб", архивы > N mb все равно не проверяются
Обрадовал!!!Будет версия англицкая, будет ... не замечаю, потому что работаю над ней
Если все будет хорошо, через неделю выпущу ее
Спасибо!
Тогда не будем мешать...
1. Глюк - исправлен
2. Глюк - исправлен
Спасибо !
Спасибо будет, когда english версия выйдетОбрадовал!!!
Спасибо!
Тогда не будем мешать...
Думаю неправильные склонения все переживутСпасибо будет, когда english версия выйдет
Да ну. Выносите все строки в дефайны, а дефайны определяете для каждого интернационального билда свои... Я с самого начала так делаю обычно
Глюк - не глюк, но фича нарылась интересная. Проверял компьютер с блокировкой руткитов (только User Mode; драйвер, правда, для проверки всё равно загружался). Нашёл ноль зверей, обрадовался и решил музыку завести. Не заработало. Полез в панель управления, в настройку звуков. Выбираю, жму "Воспроизвести" - делает вид, что воспроизводит... молча... в течение минуты... стандартный ding... в общем, я не стал дожидаться окончания этого "воспроизведения". После перезагрузки всё заработало.
Windows XP SP2 с хотфикcами по июль. AVZ 3.70
Короче, Олег, в новом мега-парсере файлнеймов не забудьте про НТФС потоки. Мне щас один мегаБХО прописался прямиком в System32:tjaa.dll =))
по процедуре исследования системы:
на мой взгляд, несколько нестандартный подход к формированию отчета.
предлагаю: имя выходного файла назначить по умолчанию avz_sysinfo;
использовать кнопки start/stop(пуск/стоп) запуск/прерывание исследования системы;
по окончанию исследования выдавать сообщение, типа "исследование системы завершено"-ок;
и открывать в окне исследования кнопку просмотра отчета (как в главном окне программы, где просмотр протокола сканирования) браузером по умолчанию.
может быть, еще изготовить режим "ведение-просмотр истории исследования системы"?
типа, имя лога формировать с датой исследования.
Да, потоки не плохо бы проверять
Ваши права в разделе
