От себя добавлю сделать возможным систему голосования для посетителей сайта (зарегистрированных )Для каждого бага/предложения десятибалльная оценка , тем самым узнаем что народу важнее .
От себя добавлю сделать возможным систему голосования для посетителей сайта (зарегистрированных )Для каждого бага/предложения десятибалльная оценка , тем самым узнаем что народу важнее .
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Значит такая мысль. Работать с присылаемыми файлами из карантина неудобно. Нужно проверить файл, потом залезть в инишник посмотреть оригинальное имя, и так с несколькими файлами...
Предложение такое. Файл и его ини должны иметь имя близкое к оригинальному. Например, оригинальное имя с оригинальным расширением, а после этого уже случайное число.
P.S. Даже лучше не случайное число, а время добавления, включая миллисекунды, что бы избежать дублей.
В такой ситуации лучше применить QR - переименовывалку карантина. Он обрабатывает пары файлов ini+dat, переименовывая файлы в нормальные имена. Если эта утилита потерялась, я могу положить ее у меня на сайте и скинуть ссылку.Сообщение от Geser
Было бы неплохо.
Left home for a few days and look what happens...
1. Неудобно запускать дополнительную утилиту.
2. Может удастся наладить какое-то взаимодействие с АВ компаниями по проверке файлов. Им тоже утилиту качать?
Тогда не плохо добавить этот шаблон в лог исследования системы. Так же как и комманды работы с бут драйвером
Обязательно добавлю.
Кстати, о командах - я доделываю редактор скриптов, так вот, его базы будут обновляться через Инет, но будут в открытом формате, что позволит редактировать их или дополнять в случае необходимости (реально баз будет две - официальная + cобственная локальная). До сих пор открытым остается вопрос о формате базы - есть два варианта: текстовый файл (по одному файлу на команду) и XML документ. Примеры - в аттаче, прошу высказать мнение - что лучше (с точки зрения перевода, правки и редактирования и т.п.).
Последний раз редактировалось Зайцев Олег; 19.10.2008 в 22:03.
У меня возникли 2 идеи.
1. Нужна команда которая проходится по реестру и вычищает все ссылки на определённый файл. Желательно что бы при этом создавался рег файл которым можно вернуть на место всё удалённое.
2. Поскольку уже есть бут драйвер который мониторит все запускаемые при старте программы, не плохо бы сделать его лог доступным для просмотра.
Идеи - это хорошо.
1. Это можно сделать, но
1.1 Это по определению будет медленно.
1.2 Есть опасность убить что-то лишнее или наоборот, что-то недобить. Пример - я убиваю файл c:\program files\trojan.exe. В реестре он может быть прописан как trojan.exe, c:\program files\trojan.exe, c:\progra~1\trojan.exe. Если убивать только по имени файлы, то можно пришибить что-то лишнее
Альтернатива - сканировать не весь реестр, а список ветвей, которые будут описаны в базе AVZ и обновляться по мере необходимости
2. Драйвер может писать лог, но
2.1 Куда его писать ? По идее можно прямо в корень диска
2.2 Как его смотреть и чистить? Опять-же, можно открыть этот файл вручную, равно как можно его стереть. А можно сделать что-то типа Filemon\RegMon - т.е. в AVZ будет окно для просмотра событий в реальном времени. Но тогда потеряется история событий
Мне понравился пример в txt-формате. Опять же размер меньше у файла. Но на перспективу xml, конечно, предпочтительнее.
Опыт — это слово, которым люди называют свои ошибки.
1.1 Это не страшно
1.2 Я думаю так, искать по полному пути и по ДОС пути и убивать автоматом, плюс выводить список ключей найденных только по имени файла что бы можно было потом уже ручками добить.
2.1 Да куда угодно, хоть и в корень
2.2 Чистить, автоматом удалять старый при прегрузке. В реальном времени это менее интересно. Более интересно вот что. При создании логов исследования системы добавить такой алгоритм. АВЗ берёт этот файл, проверяет все упоминающиеся там файлы по базе безопасных, и все небезопасные добавляет в лог.
По базе - и так, и так неплохо
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
А с точки зрения перевода как лучше ? Фокус в том, что первичная генерация базы будет автоматической, а вот правка вручную.По базе - и так, и так неплохо
Ну редактировать-то текстовик в любом случае проще
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Согласен с NickGolovko, тогда лучше txt. Особенно в "военное" время.
Опыт — это слово, которым люди называют свои ошибки.
к тому же хмлник с точки зрения хмл-дизайна получился не фонтан. Видно, что ты за него в первый раз взялся.
Вот подобное решение от мелкософта.
Как раз наоборот
да, свой парсер на асме – это да…
Но по скорости ини-подобное решение уж побыстрее, наверно, будет.
1) Всё говорит о том, что копирование в карантин при помощи прямого чтения с диска не работает. Нужно бы поправить.
2) Очень нужен лог выполнения скриптов, в котором будет указываться успешность выполнения действий, и в случаенеудачи - причина.
1. Проверю
2. Да, такая фича будет к новой версии - протоколирование результата выполнения всех важных команд с отметкой о их успешности.
Ваши права в разделе
