AVZ 4.19 - 4.21 + AVZGuard - тестирование, обсуждение, предложения по доработке

[aintrust]

Можно ведь сделать, что бы скрипт архивы по 10мб делил. И потом их по одному загружать.
Насчёт обратной связи: можно попросить оставить майл, обосновав это возможностью контакта с ним, в случае надобности. Я думаю у всех, у кого есть интернет, есть майл...

Само собой, что пересылать файлы (архивы) на анализ
- логичнее всего по http/ftp, а не почтой (как минимум, трафик меньше);
- предупреждая пользователя об объемах пересылаемой информации (а вдруг объем окажется 1-2 Гигабайта? );
- разбивая архив на необходимые кусочки (можно даже сделать так, чтобы был некий минимальный размер кусочка, скажем 1 Мбайт, но пользователь мог выбрать этот размер в зависимости от скорости своего соединения с интернет, вплоть до полного размера архива);
- запрашивая e-mail пользователя для обратной связи (и затем автоматически высылать подтверждение пользователю о приходе файлов на сервер).
Какие-то еще детали можно обдумать прямо тут, на форуме.

[Jolly Rojer]

Само собой, что пересылать файлы (архивы) на анализ
- логичнее всего по http/ftp, а не почтой (как минимум, трафик меньше);
- предупреждая пользователя об объемах пересылаемой информации (а вдруг объем окажется 1-2 Гигабайта? );
- разбивая архив на необходимые кусочки (можно даже сделать так, чтобы был некий минимальный размер кусочка, скажем 1 Мбайт, но пользователь мог выбрать этот размер в зависимости от скорости своего соединения с интернет, вплоть до полного размера архива);
- запрашивая e-mail пользователя для обратной связи (и затем автоматически высылать подтверждение пользователю о приходе файлов на сервер).
Какие-то еще детали можно обдумать прямо тут, на форуме.

Да я тоже так считаю пользователя обязательно надо предупреждать об объеме отсылаемых файлов и дать возможность выбрать отсылать файлы или нет, вполне возможно стоит наверное даже ограничить объем присылаемых файлов скажем до 10мб. Если объем большой то в архив должны попадать файлы которые показались эвристику наиболее опасными

[Alex_Goodwin]

Внимание !!! База поcледний раз обновлялась 30.12.1899 - необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Ошибка при инициализации -

Такое выдает если нет папки с базами

[Зайцев Олег]

Внимание !!! База поcледний раз обновлялась 30.12.1899 - необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Ошибка при инициализации -

Такое выдает если нет папки с базами

Ага - есть такое дело - я в новой версии сделал нормальное сообщение об ошибке.

[Белиал]

в справке в разделе "восстановление системы" расписаны не все функции. Например, "Отчистка списка игнорирования утилиты HijakThis" и многие другие. Очень интересно, что это означает.
И еще...
Можно (желательно) ревизор добавить функцией циклической проверки через указанное время. Т.е. сворачиваем AVZ в трей, и он, допустим, каждые 15 минут автоматически проверяет файлы по заранее указанной таблице. И если будут изменения, то авз сам разворачивается из трея и информирует.
Хотя тут очень будет желательна кнопка "обновить таблицу", которой в настоящей версии нет .

[drongo]

в справке в разделе "восстановление системы" расписаны не все функции. Например, "Отчистка списка игнорирования утилиты HijakThis" и многие другие. Очень интересно, что это означает.

.

Другими словами , очищает записи , которые прячут ключи от утилиты Hijack This . Некоторые зловреды научились прятаться от этой утилиты , вот Олег и прикрутил возможность очистки , чтоб не прятались

[oleg_lysva]

Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [F724216D] C:\WINNT\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [F7241FC2] C:\WINNT\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
Проверка IDT и SYSENTER завершена

[Зайцев Олег]

Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [F724216D] C:\WINNT\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [F7241FC2] C:\WINNT\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
Проверка IDT и SYSENTER завершена

Haspnt.sys - это драйвер для HASP ключей, он перехватывает именно эти вектора прерываний.

[vano666]

версия 4.20 почему то не проходит автообновление через парольную проксю, кричит про битый файл ...что можно сделать????
про обновление руками я знаю, просто интересна суть проблеммы
Нужную инфу с удоволствием предоставлю

[Зайцев Олег]

версия 4.20 почему то не проходит автообновление через парольную проксю, кричит про битый файл ...что можно сделать????
про обновление руками я знаю, просто интересна суть проблеммы
Нужную инфу с удоволствием предоставлю

Это известный баг ... Если есть желание - я могу дать попробовать версию 4.21 (предрелиз), в ней переделано обновление - может быть, оно заработает.

[anton_dr]

Это известный баг ... Если есть желание - я могу дать попробовать версию 4.21 (предрелиз), в ней переделано обновление - может быть, оно заработает.

Есть

[Зайцев Олег]

Есть

hттp:\\z-oleg.com\avz.zip - это промежуточный вариант v4.21 (ссылка не для распространения !!), в его работе могут быть разные глюки и баги. В ходе обновления он выдает коды, которые позволяют установить место и причину сбоя в обновлении. Заодно можно потестировать конпку Пауза (тормозит сканирование файлов), и проверку файлов заданного каталога (через меню дерева каталогов)

[vano666]

Это известный баг ... Если есть желание - я могу дать попробовать версию 4.21 (предрелиз), в ней переделано обновление - может быть, оно заработает.

Конечно давай
я так понял ссылка в предидущем посте

есть еше вопрос по типовым скриптам управления ....в доках все норм описано ...только .... нет более сложних примеров для ознакомления.. хотелось бы поиметь мона ?????

P.S.Попробовал не обновляет ругается на туже ошибку....
никаких кодов не выдает или нужно с каким то ключем запускать ....
кнопка паузы вроде работает

Да и почему бы не реализовать сохранение настроек обновления и вообше всего ???? Это так к слову ???
P.P.S Да проблема в авторизациии при прямом пробросе ИП через проксик все ок..... обновляется как посмотреть коды ....и отослать?????

[Зайцев Олег]

Конечно давай
я так понял ссылка в предидущем посте

есть еше вопрос по типовым скриптам управления ....в доках все норм описано ...только .... нет более сложних примеров для ознакомления.. хотелось бы поиметь мона ?????

P.S.Попробовал не обновляет ругается на туже ошибку....
никаких кодов не выдает или нужно с каким то ключем запускать ....
кнопка паузы вроде работает

Да и почему бы не реализовать сохранение настроек обновления и вообше всего ???? Это так к слову ???
P.P.S Да проблема в авторизациии при прямом пробросе ИП через проксик все ок..... обновляется как посмотреть коды ....и отослать?????

Да, ссылка в посте 252. Если в сообщении об ошибке обновления нет кода в квадратных скобках, то это значит,AVZ не смог определить код ошибки ...
Насчет скриптов - данный раздел в настоящий момент активно расширяется, появляется штку 20-30 новых команд и соответственно новые примеры.

[vano666]

Да, ссылка в посте 252. Если в сообщении об ошибке обновления нет кода в квадратных скобках, то это значит,AVZ не смог определить код ошибки ...
Насчет скриптов - данный раздел в настоящий момент активно расширяется, появляется штку 20-30 новых команд и соответственно новые примеры.

так вот как поиметь бы примеры скриптов ...надо просто проверить сетку компов в триста .....хочу перенять опыт ну и местами не совсем понятно....как например складывать отчеты в одно место (но я пока конечно курю доки)

а по поводу авторизации .... у нас авторизация на проксе ncsa (squid)....так вот при включении авторизации со вводом в соответствующие поля пары (логин пароль ) и соответственно прокси с портом ...вываливается в ошибку что файло битое.....при пробросе мимо прокси....обновляет нормально!!!!

[Зайцев Олег]

так вот как поиметь бы примеры скриптов ...надо просто проверить сетку компов в триста .....хочу перенять опыт ну и местами не совсем понятно....как например складывать отчеты в одно место (но я пока конечно курю доки)

а по поводу авторизации .... у нас авторизация на проксе ncsa (squid)....так вот при включении авторизации со вводом в соответствующие поля пары (логин пароль ) и соответственно прокси с портом ...вываливается в ошибку что файло битое.....при пробросе мимо прокси....обновляет нормально!!!!

Проблема с прокси понятна, попробую ее имитировать и изучить ...
По поводу скана сетки - вот пример скрипта:

begin
// Проверка - блокировки запуска
if pos('первые буквы имени', GetComputerName) = 1 then ExitAVZ;
if GetComputerName = 'имя1' then ExitAVZ;
if GetComputerName = 'имя2' then ExitAVZ;
// Пауза на 50 сек, чтобы не мешать автозагрузке
Sleep(50);
// Настройка AVZ
SetupAVZ('UseQuarantine=Y'); // Включить карантин
SetupAVZ('nw=Y'); // Сетевой режим карантина
SetupAVZ('Priority=-1'); // Пониженный приоритет
SetupAVZ('EvLevel=3'); // Эвристика на максимум
SetupAVZ('ExtEvCheck=Y'); // Расширенный анализ включен
SetupAVZ('DelVir=Y'); // Включить лечение
// Активирование сторожевого таймера на 15 минут
ActivateWatchDog(60 * 15);
// Запуск сканирования
RunScan;
// Добавление данных о имени ПК
AddToLog('---------------');
AddToLog('Протокол с компьютера '+GetComputerName);
AddToLog('Путь к AVZ = ' + GetAVZDirectory);
// Автокарантин
ExecuteAutoQuarantine;
// Сохранение протокола
SaveLog(GetAVZDirectory+'\LOG\'+GetComputerName+'_ log.txt');
// Завершение работы AVZ
ExitAVZ;
end.

запуск самого AVZ будет иметь вид
\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\netscan.avz

[vano666]

Олег спасибо

// Проверка - блокировки запуска
if pos('первые буквы имени', GetComputerName) = 1 then ExitAVZ;
if GetComputerName = 'имя1' then ExitAVZ;
if GetComputerName = 'имя2' then ExitAVZ;

Что это он делает ...просто логика немного не понятна ?????

тупо запустил жду лог ......просто это место не совсем понял

я так понял это на автозапуск на все компы ....или в шедулер ...так ?

[Зайцев Олег]

Олег спасибо

// Проверка - блокировки запуска
if pos('первые буквы имени', GetComputerName) = 1 then ExitAVZ;
if GetComputerName = 'имя1' then ExitAVZ;
if GetComputerName = 'имя2' then ExitAVZ;

Что это он делает ...просто логика немного не понятна ?????

Это блокировки по имени ПК или началу имени ПК. Пример - допустим есть компьютеры АСУ-шников, которые не надо сканировать, или это ПК админов, или AVZ там с чем-то конфликтует. Т.е. прописать старт AVZ можно на всех ПК в автозапуске, но исключать из скана любые ПК по той или иной причине уже в самом скрипте.

[Shu_b]

У меня (21a) по прежнему через прокси не идет err(21, 00002eff)

[Зайцев Олег]

У меня (21a) по прежнему через прокси не идет err(21, 00002eff)

Спасибо ... местоположение и причина сбоя теперь ясны, сейчас посмотрю, как можно бороться.