Про стрингс в хелпе сказано, про массивы - нет, надо дописать. Движок там покупной - я взял готовый от создателя FastReports, здраво полагая, что если возьму свой - буду больше движком заниматься, чем его функционаломСообщение от Jef239
Но применил я движок больше как парсер скрипта ... со временем может и свой воткну.
Редактор скрипта может по инерции шалить с драйверами - он сделан из урезанной версии ядра AVZ, скрипт то выполнить он не может но некоторые остаточные эффекты могут быть
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Хорошо бы полное описание движка включить. Например, я просто не понимаю, есть ли там Try Except. И можно ли описывать свои классы.
Ещё. Олег, ну пожалуйста, преобразуй выдачу сообщений в выставление Selected в окне редактора скриптов. То есть разобраться, где именно он говорит про ошибку и что не умеет - КРАЙНЕ сложно. Похоже, что не умеет начальные значения переменных делать, но об этом опять-таки нигде ненаписано.
Правильно рассудил. Offtopic: У нас была задача - сделать генерацию кода и под 80186 (16-битный код, промышленный контроллер) и под win32. Потому о покупном движке даже не думали. Зато там только выражения, If и for. Но зато - именно генерация бинарного кода.Движок там покупной - я взял готовый от создателя FastReports, здраво полагая, что если возьму свой - буду больше движком заниматься, чем его функционалом
Народ объясните, после запуска утилиты AVZ, в графе потенциальных уязвимостей есть такое место: >> Безопасность: разрешен автозапуск программ с CDROM, что это значит если я отключил автозагрузку со всех носителей.
Есть такой особый параметр у драйвера CD-ROM
По ходу своего обучения появилось несколько предложений:
1. После исследования системы создаются два архива virusinfo_syscure.zip и virusinfo_syscheck.zip. В них содержатся файлы с одинаковыми именами - avz_sysinfo.htm. При распаковке архивов возникает конфликт имён. Предлагаю делать разные имена.
Да, я понимаю, что можно открывать протоколы и непосредственно из архива. Но это дело принципа.
2. Было бы очень удобно, если в протоколе рядом с Карантин, Удалить и т.п. была бы кнопка Google, после нажатия на которую открывалась бы новая вкладка в браузере с результатами поиска по полному пути файла либо только по его имено (тут надо подумать, как лучше).
А то надоедает каждый раз копировать имя (или путь), открывать Google и нажимать Поиск.
Не разу ещё не копировал
http://virusinfo.info/attachment.php...0&d=1218357629
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
1. Статичные имена файлов позволяют автоматизировать автоанализ протолоколов, обычно лог открывается прямо из архива и проблем никаких нет
2. А какой смысл хелперу искать в Google что-то ?! В большинстве случаев подобный поиск ничего вразумительного не дает - он дает кучу мусора, ссылок на разные противоречивые логи и описания. Крайне просто сделать выводы без привлечения поисковиков - на основании местоположения файла, его имени, размера, атрибутов, даты создания и характерных сообщений эвристики в логе - всеравно по сути все подозрительное и неопознаное нужно карантинить для изучения и вынесения точного вердикта.
Мусор, между прочим сегодня- очень прибыльный товар. А искать в Гугле очень даже имеет смысл. Например имеется файл: %system%\adadfafas.dll , Гугл о нем не знает ничего, и это уже повод его заподозрить, и даже с высокой вероятностью утверждать. что это зловред. Если же Гугл дает ссылки на
имеет смысл просмотреть некоторые из них, т.к. они очень часто находятся в ВИ или в форуме Касперского.разные противоречивые логи и описания.
Хорошая база поиска по CLSID есть напр. на www.castlecops.com.
Нужно ли включать поисковики в лог, как предлагает MiStr - не уверен. Не потому что оно бесполезно, а просто страница будет только в мониторах 16:9 полностью видна
edit: а вот еще интересная информация от уважаемого drongo: http://virusinfo.info/showthread.php?t=27836
Последний раз редактировалось Rene-gad; 10.08.2008 в 14:56.
Действительно, я почему-то не заметил соответствующей функции.Не разу ещё не копировал
Да, протокол открывается без проблем прямо из архива. Но я все архивы, содержащие протоколы, разархивирую, поскольку не люблю при открытии лишний раз нажимать мышкой в открывшемся окне программы-архиватора.
Есть много причин. Надеюсь, их не нужно все перечислять. Необходимость в функции, которую я предложил, частично отпала (см. начало моего сообщения).
И проводник и FAR и ещё много кто умеют входить в архивы как в папки.
У меня проводник не может входить в архивы, как в папки. У меня архиватор 7-Zip и Windows Vista.
Откройте Проводник, щелкните правым мышем по архиву, Открыть как... ZIP-компримированную папку (за точность перевода не ручаюсь, поэтом у даю картинку в аттаче)
Последний раз редактировалось Rene-gad; 18.07.2009 в 19:21.
По-русски это будет "Открыть с помощью."-"Сжатые ZIP-папки".
Но можно проще - правая кнопка мыши и пункт "Проводник" (второй сверху).
Например в опере: выделяем текст -> правой кнопкой мыши -> "Поиск" или "Поиск с помощью"Действительно, я почему-то не заметил соответствующей функции.
И в Лисе похоже
Есть оператор DeleteFileMask. А почему нет QuarantineFileMask? Получается, что файлы по маске можно только удалять, а закарантинить нельзя. Неужели не было прецедентов?
Почему нельзя - оператор помещения файла в карантин QuarantineFile поддерживает поиск по маскам, см. доку: http://www.z-oleg.com/secur/avz_doc/...antinefile.htm
Просто в случае с удалением файлов для удаления по маске вводился особый оператор ввиду опасности данного удаления, с карантином такой опасности нет.
если пробовать что-то искать в гугле из лога авз, то скорее всего мы попадем сюдаже - на ВИ.
то Олег:
Олегу Вас очень хорошая и серьезная тулза, но в бочку меда хорошую ложку дегтя добавляет большое кол-во опечаток в файле version.txt в архиве с прогой. Опечаток очень много - режут глаза. На новенького произведут впечатление, что автору "пофиг" на тулзу, да и сама тулза не стоит внимания. Сам знаю, что это не так. Но лучше будет все-таки без опечаток в описаниях версий.*
*имеются в виду опечатки в обычных словах, а не в терминах - в них орфография гуляет - слова т.к новые и заимствованные.
Последний раз редактировалось priv8v; 13.08.2008 в 10:24. Причина: исправил
Возможно, где-то эти вопросы уже поднимались, но я не нашел. Поэтому спрошу. Если подобное обсуждалось, то дайте ссылку и не пинайте ногами.
При чтении справки про АВЗгуард увидел следующее:
(это запрещяется недоверенным приложениям)Создание файлов с расширениями *.exe, *.dll, *.sys, *.ocx, *.scr, *.cpl, *.pif, *.bat, *.cmd на любом диске
Возникает ряд вопросов:
1). Почему заданы конкретные расширения (ведь практически любое расширение может "прятать" за собой исполняемый файл? Почему так их немного и нету, например, расширений *.com, *.inf
2). А как насчет записи в файл или модификация других файлов? (например модификация pe-файлов, *.ini-файлов и т.д - не суть важно каких именно)
...и еще:
если из справки копировать текст (выделить мышкой текст, вызвать контекстное меню и в нем выбрать соответствующий пункт) и затем вставлять в какой-либо, допустим, текстовый редактор, то вместе с текстом вставляется еще и следующее:
...почему нету url-адреса?..AVZ, (C) Зайцев О.В., http:
с ним было-бы лучше
Последний раз редактировалось priv8v; 13.08.2008 в 10:40.
1. Список минимизирован - так как если закрыть на запись/создание что-то лишнее, то недолго и систему угробить. Текущий список блокировки несколько отличается от описанного в справке:
*.exe, *.scr, *.dll, *.sys, *.ocx, *.pif, *.cmd, *.cpl, *.bat, *.nls, *.drv, *.lnk, autorun.*
2. Файлы из списка 1 невозможно открыть - следовательно, невозможно и модифицировать
Последний раз редактировалось Зайцев Олег; 13.08.2008 в 10:47. Причина: Добавлено
Ваши права в разделе
