AVZ 4.29

[evilone_]

пожелание к интерфейсу программы ну очень не удобно
если не сложно все менеджеры в одном окне со вкладками на каждый сервис а то пока найдешь забудешь что ищешь как например это сделано в autoruns от sysinternals

или например слева в виде списка ссылок или кнопок вынести весь перечень менеджеров и утилит, чтобы не залазить в меню каждый раз, было бы намного удобнее

п.с.
- подскажите можно ли программой заблокировать изменение автозагрузки(защита от записи)
- установка удаление служб (например выгрузка указанной службы - т.е. если что-то к примеру будет выгружать службу фаервола или антивируса будет либо отказ в доступе либо автоматический перезапуск)
- блокировка стартовой страницы и всех настроек броузера, хостс
- защита записи(удаление) на самые критические файлы по типу svchost.exe и ему
подобные?

нужно ли для этого работающая программа - т.е. блокирует ли пока работает или можно заблокировать и отключиться?
спс

[sam52]

попытался загрузить последнюю версию авз и не смог. то есть утилита вроде грузится, но при попытке распаковать из зип-архива в окне программы вместо кирилицы появляется вот такое безобразие: [?6345?]. причём, слова, набранные латинским шрифтом открываются нормально пробовал несколько раз-результат один. предыдущие версии авз грузились нормально. да и сейчас старые версии (есть даже на диске- купил вместе с книгой) грузятся нормально, но, разумеется, не обновляются. Да и другие проги грузятся нормально в т.ч. и антивирус нод32.ну вот. И что бы это могло означать?

[Зайцев Олег]

попытался загрузить последнюю версию авз и не смог. то есть утилита вроде грузится, но при попытке распаковать из зип-архива в окне программы вместо кирилицы появляется вот такое безобразие: [?6345?]. причём, слова, набранные латинским шрифтом открываются нормально пробовал несколько раз-результат один. предыдущие версии авз грузились нормально. да и сейчас старые версии (есть даже на диске- купил вместе с книгой) грузятся нормально, но, разумеется, не обновляются. Да и другие проги грузятся нормально в т.ч. и антивирус нод32.ну вот. И что бы это могло означать?

Скачав архив требуется его распаковать, а не запускать AVZ прямо из архива.

Добавлено через 2 минуты

пожелание к интерфейсу программы ну очень не удобно
если не сложно все менеджеры в одном окне со вкладками на каждый сервис а то пока найдешь забудешь что ищешь как например это сделано в autoruns от sysinternals

или например слева в виде списка ссылок или кнопок вынести весь перечень менеджеров и утилит, чтобы не залазить в меню каждый раз, было бы намного удобнее

п.с.
- подскажите можно ли программой заблокировать изменение автозагрузки(защита от записи)
- установка удаление служб (например выгрузка указанной службы - т.е. если что-то к примеру будет выгружать службу фаервола или антивируса будет либо отказ в доступе либо автоматический перезапуск)
- блокировка стартовой страницы и всех настроек броузера, хостс
- защита записи(удаление) на самые критические файлы по типу svchost.exe и ему
подобные?

нужно ли для этого работающая программа - т.е. блокирует ли пока работает или можно заблокировать и отключиться?
спс

Менеджеры не будут объединяться в одно окно, в этом нет надобности. Сводные данные о всем попадают в исследование системы, в нем есть интерактив для создания скрипта, в частности для карантина и удаления файлов
AVZ ничего блокировать и защищать не может, так как он расчитан на запуск и исследование, а не на защиту в реальнмо времени

Добавлено через 3 минуты

Вчера "нарвался" - в Custom Script подглюкивает форма загрузки скрипта из файла, выставь правильно расширения файлов по умолчанию (*.AVZ ?) и просмотр всех файлов, а то имя скрипта нужно вбивать руками полностью чтобы он загрузился. Ну и аналогично в "сохранить скрипт".

Добавлено через 18 минут

И ещё небольшой глючек в скриптовом "движке" - попытка вызова деструктора несуществующего обьекта приводит к ошибке, по которой невозможно понять что именно произошло или, в редких случаях, к синему экрану.

Глюк в форме загрузки уже пойман и исправлен. Насчет вызове деструктора - да, тут есть проблема - если объект не инициализирован, то возникнет исключение.

[NickGolovko]

Второй момент - где у нас лежит последний EN хелп ? Я хочу прикрутить его к сборке, так как отлов глюков завершен и релиз готов.

http://virusinfo.info/showthread.php...ewpost&t=14484

вот здесь. Но там нет раздела по скриптам, его нужно добавить из старого хелпа.

[leadbelly]

база создается нормально
пытаюсь проверить
выдает-
Запущено сравнение
База ревизора загружена, дата создания 18.12.2007 23:03:20
Сравнение ведется в стандартном режиме
Сравнение успешно завершено

причем сразу ничего не сравнивая
пытался файлы добавлять там всякие расширения указывать
то же самое

[zerocorporated]

база создается нормально
пытаюсь проверить
выдает-
Запущено сравнение
База ревизора загружена, дата создания 18.12.2007 23:03:20
Сравнение ведется в стандартном режиме
Сравнение успешно завершено

причем сразу ничего не сравнивая
пытался файлы добавлять там всякие расширения указывать
то же самое

Поставил создавать стандартным способом базу всего диска С и при сравнении Диск-> База за пол секунды сравнило. Удалил несколько exe файлов с диска - также... и изменений не показывает.

[leadbelly]

я и весь диск пробовал и по директориям и базу с другого компа результат всегда сразу и "ОК"

[tar]

ревизор не работает, тут и экспериментировать не стоит

[zerocorporated]

Может сделать, чтоб avz не отключала автозапуск с CD, а отключала автозапуск со ВСЕХ дисков? Очень часто заражаются со съемных носителей...

[Jef239]

Проблема появилась с последней версией Outpost'а.

С какой именно? Можешь точные данные дать? Могу в Agnitum багрепорт дать.

[NickGolovko]

Олег,

в комплексном решении Deckard's System Scanner, которое иногда используют зарубежные специалисты, есть вывод в лог списка файлов, созданных в течение последних Х дней (не знаю, чему равен Х). Быть может, стоит позаимствовать идею для исследования системы? В конце концов, это один из методов обнаружения malware без инструментов - поиск файлов потенциально опасных расширений, созданных в течение последних дней.

[RiC]

Олег, в комплексном решении Deckard's System Scanner, которое иногда используют зарубежные специалисты, есть вывод в лог списка файлов, созданных в течение последних Х дней .

X обычно равен месяцу, Winpfind, ComboFix тоже имеют подобные поисковики, из них можно "выловить" всякие не исполняемые напрямую файлы типа ini и прочего мусора.
Можно накатать подобный отчёт прямо на скрипте, возможностей в языке для этого хватит.

[Зайцев Олег]

Олег,

в комплексном решении Deckard's System Scanner, которое иногда используют зарубежные специалисты, есть вывод в лог списка файлов, созданных в течение последних Х дней (не знаю, чему равен Х). Быть может, стоит позаимствовать идею для исследования системы? В конце концов, это один из методов обнаружения malware без инструментов - поиск файлов потенциально опасных расширений, созданных в течение последних дней.

Это не сложно ... так как уже реализовано (поиск файла на диске - если там поставить птички на исключение известных файлов и задать дату создания как системную - N, то мы и получим это ...). Или в скрипте это можно сделать, в хелпе есть пример.
Но:
1. Как это запускать и когда (меню, отдельная команда скрипт-движка, стандартный скрипт) ?
2. Куда и как сохранять результат (исследование системы, отдельный лог)
3. Как быть, если таковых файлов обнаружится огромное количество ?

[Макcим]

С какой именно? Можешь точные данные дать? Могу в Agnitum багрепорт дать.

Agnitum Outpost Firewall PRO (32-bit) 6.0 Какой же баг, если это фича, не даёт AVZ снять перехваты даже после выгрузки из трея.

[Jef239]

Agnitum Outpost Firewall PRO (32-bit) 6.0 Какой же баг, если это фича, не даёт AVZ снять перехваты даже после выгрузки из трея.

Так не даёт снять перехваты (это фича) или комп падает при простом сканировании на руткиты?

Добавлено через 3 минуты

OPF 6.0 - трёхуровневый, драйвер-сервис-оболочка. Выгрузка из трея оболочки действительно ничего не даст. Как минимум, нужно остановить сервис и отключить драйвера в настройках сетевых карт.
А вообще-то по реакции на попытку отключения зловредом, аутпост считается самым надёжным. То есть либо не отключается, либо падает, но оставляя сеть закрытой.

[Макcим]

Вот в этой теме http://virusinfo.info/showthread.php?t=15997 создается впечатление, что руткит не даёт AVZ нормально работать, оказывается что этот руткит есть OPF...

[NickGolovko]

Но:
1. Как это запускать и когда (меню, отдельная команда скрипт-движка, стандартный скрипт) ?
2. Куда и как сохранять результат (исследование системы, отдельный лог)
3. Как быть, если таковых файлов обнаружится огромное количество ?

Наверное, мне стоило подчеркнуть слова "исследование системы" в моем предложении. Поиск файлов на диске я и сам для этой цели использовал. Я хотел предложить еще одну таблицу в результатах исследования системы (Стандартные скрипты 2 и 3, простое Исследование системы). Если Х невелик (7 дней, положим) и ищутся только опасные файлы (SYS, EXE, DLL), то количество файлов может быть равно нулю. А вот поиск всех созданных за это время файлов безотносительно к расширению действительно даст большой список в несколько сот строк: тут и базы антивируса, и временные файлы, и prefetch...

[Jef239]

Вот в этой теме http://virusinfo.info/showthread.php?t=15997 создается впечатление, что руткит не даёт AVZ нормально работать, оказывается что этот руткит есть OPF...

Ну в этой теме такой зоопарк, что может быть всё, что угодно.
А вообще в OPF есть антируткит. И много разногопротиводействия выгрузке. А может быть сделать вариант стандартного скрипта без выгрузки OPF? То есть выгружать все руткиты, кроме известных FireWall и антивирусных ядер?

[Pili]

Есть в DSS и в ComboFix,
в DSS выглядит так

- Files created between 2007-12-01 and 2008-01-01 -----------------------------

2008-01-01 20:38:50 218112 --a------ C:\Program\Annette.exe <Not Verified; Soeperman Enterprises Ltd.; HijackThis>
2008-01-01 19:43:40 0 d-------- C:\VundoFix Backups
2007-12-27 19:45:08 8643 --ahs---- C:\WINDOWS\System32\qpqss.ini2
2007-12-27 19:39:36 24288 --a------ C:\WINDOWS\System32\rqrqqnn.dll
2007-12-20 03:47:21 0 d-------- C:\Documents and Settings\Annette\Application Data\MailFrontier
2007-12-11 00:45:09 0 d-------- C:\Program\Common Files

в ComboFix выглядит так

((((((((((((((((((((((((( Files Created from 2007-12-02 to 2008-01-02 )))))))))))))))))))))))))))))))
.

2008-01-02 17:55 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-12-27 19:39 . 2007-12-27 19:39 24,288 --a------ C:\WINDOWS\system32\rqrqqnn.dll
2007-12-20 03:47 . 2007-12-20 03:47 <KAT> d-------- C:\Documents and Settings\Annette\Application Data\MailFrontier
2007-12-11 00:45 . 2007-12-11 00:45 <KAT> d-------- C:\Program\Common Files

Плюс есть ещё

-- Find3M Report ---------------------------------------------------------------

2008-01-01 20:46:15 3820 --a------ C:\Program\hijackthis.log <HIJACK~1.LOG>
2008-01-01 20:46:03 0 --a------ C:\WINDOWS\System32\scarjssp.dat
2008-01-01 20:46:03 5977 --a------ C:\WINDOWS\System32\nvwdmcpb.dat
2008-01-01 20:46:03 0 --a------ C:\WINDOWS\System32\dx8vsnhm.dat
2008-01-01 20:46:03 7167 --a------ C:\WINDOWS\System32\dpnhujnp.dat
2008-01-01 20:45:21 586 --a------ C:\WINDOWS\System32\fsuswp.dat
2008-01-01 20:45:20 5658 --a------ C:\WINDOWS\System32\shscraph.dat
2008-01-01 20:45:20 10155 --a------ C:\WINDOWS\System32\kbdjpmi.dat

+ есть отчеты по ошибкам из Event Log
имхо:
1. запускать отдельным стандартным скриптом
2. отдельный лог
3. фильтровать по датам, расширениям, базе безопасных, цифр. подписям.

[NickGolovko]

имхо:
1. запускать отдельным стандартным скриптом
2. отдельный лог

А тогда какой смысл? Проще сказать пользователю "поищите файлы на диске с такими-то параметрами". Такие данные, на мой взгляд, как раз и должны быть только в общем логе исследования системы. Или в DSS и ComboFix это тоже запускается отдельно от основного исследования?

Мне такая дополнительная таблица представляется преследующей примерно те же цели, что и список подозрительных файлов в конце исследования системы.