Страница 10 из 12 Первая ... 6789101112 Последняя
Показано с 181 по 200 из 224.

Вышла новая версия антивирусной утилиты AVZ - 4.43

  1. #181
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3411
    Цитата Сообщение от regist Посмотреть сообщение
    А ещё лучше добавить обещанную ещё в 2012 году архивацию и разархивацию произвольных файлов.
    Делал я это когда то, не помню, почему на паблик не пошло. Добавил, полиморф обновлен. Команды:
    function ZIP_ExtractArchive(AArchiveFile, ADestDir, AMask : string; APWD : string = ''); - извлекает их архива с именем AArchiveFile файлы, соответствующие маске AMask в каталог ADestDir. Структура каталогов в архиве и ADestDir будут идентичны. Если архив с паролем, то необходимо задать необязательный 4-й параметр APWD и указать в нем пароль (если это не сделать, то защищенные паролем файлы не извлекутся или извлекутся с нулевым размером). Пример:
    Код:
    begin
     ZIP_ExtractArchive('d:\test.zip', 'e:\распаковка ZIP', '*.*');
    end.
    Создание архива ведется функцией function ZIP_CreateArchive(AArchiveFile : string; AFileList : TStrings; APWD : string = ''), где
    AArchiveFile - полное имя создаваемого архива
    AFileList - список добавляемых файлов
    APWD - необязательный параметр, пароль архива (если не задан - то создается архив без пароля).

    Список файлов содержит или полные имена файлов (они добавляются в корень архива), или <полное имя файла на диске>;<имя файла в архиве> - в этом случае можно добавлять файлы в различные каталоги в архиве и не обязательно под именами как на диске. Пример:

    Код:
    var
     FileList : TStrings;
    begin
     FileList := TStringList.Create;
     FileList.Add('d:\msdia80.dll');
     FileList.Add('d:\msdia80.dll;test.dll');
     FileList.Add('d:\avz_sysinfo.htm;LOG\avz_sysinfo.htm');
     FileList.Add('d:\avz_sysinfo.xml;LOG\avz_sysinfo.xml');
     ZIP_CreateArchive('d:\test.zip', FileList, 'infected');
    end.

  2. Это понравилось:


  3. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  4. #182
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Зайцев Олег, а какие-то коды возврата будут возвращаться об успешности/не успешности архивации/разархивации?

    - - - - -Добавлено - - - - -

    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Делал я это когда то, не помню, почему на паблик не пошло.
    а может тогда и это делали или можно сделать?
    Цитата Сообщение от Zaitsev Oleg
    плюс будет функция запроса информации о базах

  5. #183
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3411
    Цитата Сообщение от regist Посмотреть сообщение
    Зайцев Олег, а какие-то коды возврата будут возвращаться об успешности/не успешности архивации/разархивации?
    Это функции, возвращают boolean - true в случае успеха и false в случае ошибок. Не все конечно ошибки могут быть пойманы, но тем не менее. ZIP_CreateArchive кроме того когда идет по списку файлов, то проверяет, есть ли каждый из файлов и доступен ли он на чтение. Если нет - то файл пропускается и ошибка не возникает.

  6. #184
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Если нет - то файл пропускается и ошибка не возникает.
    то есть если удалось заархивировать только часть файлов (а к остальным допустим был блокирован доступ), то будет возвращено true - то есть успешная архивация?

  7. #185
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3411
    Цитата Сообщение от regist Посмотреть сообщение
    то есть если удалось заархивировать только часть файлов (а к остальным допустим был блокирован доступ), то будет возвращено true - то есть успешная архивация?
    Да, именно так и будет. Можно конечно сделать какой-то счетчик файлов, или например помечать файлы в списке (например удалять из списка те, что успешно добавлены в архив)

  8. #186
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    или например помечать файлы в списке (например удалять из списка те, что успешно добавлены в архив)
    Этот вариант предпочтительней. Иногда при архивирование используется удаление исходных файлов, тогда в таком случае используя этот список можно будет удалять только те которые успешно заархивировались.

    А по поводу функции вывода даты обновления баз можно сделать?
    И заодно напомню про просьбу добавить IsAdmin для проверки запущен ли AVZ с правами администратора.

    И ещё небольшое замечание: http://tnkscr.net/rCHAqq.jpg дату сборки полиморфа при следующей пересборке надо бы поправить.

  9. #187
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3411
    Цитата Сообщение от regist;1266285
    И заодно напомню про просьбу добавить [URL="http://virusinfo.info/showthread.php?t=155719&p=1256556&viewfull=1#post1 256556"
    IsAdmin[/URL] для проверки запущен ли AVZ с правами администратора.
    Добавил функцию IsAdmin:boolean, пример вызова:
    Код:
    begin
     if IsAdmin then
      AddToLog('У пользователя есть права администратора')
     else
      AddToLog('У пользователя НЕТ прав администратора');
    end.
    Следует только понимать, что эта функция вернет True при условии, что пользователь входит в группу "Администраторы" данного ПК, но при этом права могут быть подрезаны UAC, блокированы чем-то и т.п. - функция это не может учесть

    Добавлено через 7 минут

    Цитата Сообщение от regist Посмотреть сообщение
    И ещё небольшое замечание: http://tnkscr.net/rCHAqq.jpg дату сборки полиморфа при следующей пересборке надо бы поправить.
    Это учтено, дата сборки поправлена.
    Последний раз редактировалось Зайцев Олег; 29.04.2015 в 18:48. Причина: Добавлено

  10. Это понравилось:


  11. #188
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Зайцев Олег, AVZ до сих пор не проверяет AltStartup?
    Обсуждалось ещё в 2011 году здесь и здесь.

  12. #189
    Senior Member Репутация
    Регистрация
    12.08.2009
    Сообщений
    4
    Вес репутации
    54
    Я тут решил вспомнить молодость и просканировать комп АВЗ (Windows 7 64bit). И возникла у меня пара вопросов. Я понимаю что это, наверное, уже обсуждалось, но все же
    1. AVZPM, AVZGuard не работают в 64-bit версиях Windows. Может в этих версиях Windows стоит не показывать эти пункты меню или хотя бы сделать их неактивными?
    2. Вот эти ошибки:
    Код:
    1.2 Searching for kernel-mode API hooks
     Error loading driver - operation interrupted [C000036B]
    1.5 Checking IRP handlers
     Error loading driver - operation interrupted [C000036B]
    я так понимаю тоже связаны с тем что 64-bit. Может стоит указать это в логе, а не просто Error? Или даже не пытаться загружать эти драйверы в 64-bit версиях Windows?
    Особенно учитывая что 64-bit версии сейчас становятся стандартом.
    Прошу прощения за придирки, но я так понимаю что это не сложно сделать.
    3. Во время сбора подозрительных файлов получил много ошибок типа
    Код:
    Quarantine file: failed (error), attempt of direct disk reading (localspl.dll)
     Quarantine file (direct disk reading) "%S" - failed (error)
    Quarantine file: failed (error), attempt of direct disk reading (localspl.dll)
     Quarantine file (direct disk reading) "%S" - failed (error)
    Проверил пару файлов, они находятся в C:\Windows\System32
    Вроде раньше файлы без полного пути автоматом искались там?

  13. #190
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3411
    Цитата Сообщение от regist Посмотреть сообщение
    Зайцев Олег, AVZ до сих пор не проверяет AltStartup?
    Обсуждалось ещё в 2011 году здесь и здесь.
    А реальные зловреды с запуском через данный ключ попадаются ? (c 2011 мне лично не попадалось ...). Сделать то несложно - я добавил, полиморф обновлен (там теперь в папках автозапуска список разделен, чтобы было видно, что найдено в Startup, AltStartup и Common Startup)

    Добавлено через 7 минут

    Цитата Сообщение от Geser Посмотреть сообщение
    Я тут решил вспомнить молодость и просканировать комп АВЗ (Windows 7 64bit). И возникла у меня пара вопросов. Я понимаю что это, наверное, уже обсуждалось, но все же
    1,2. Исторически это не было отключено, добавить отключение в принципе несложно (драйвера x64 там нет, поскольку подписанный драйвер x64 с функционалом BootCleaner очень опасен)
    3. Там в системе две папки - для x32 и x64 приложений. Делается попытка карантина и там, и там - это может порождать подобные ошибки. Почему полное имя не сформировалось - это странно, в теории должно.
    Последний раз редактировалось Зайцев Олег; 07.05.2015 в 13:19. Причина: Добавлено

  14. #191
    Senior Member Репутация
    Регистрация
    12.08.2009
    Сообщений
    4
    Вес репутации
    54
    подписанный драйвер x64 с функционалом BootCleaner очень опасен
    А что, КАВ не имеет драйвера с подобным функционалом? Да и можно, наверное, сделать какой-то шифрованный протокол общения с АВЗ. Не странно ли что x64 системы остаются без возможности удаления зловредов.
    Почему полное имя не сформировалось - это странно, в теории должно.
    Если интересно готов произвести действия нужные для дибага

  15. #192
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.08.2013
    Адрес
    Ukraine
    Сообщений
    109
    Вес репутации
    67
    Здравствуйте, Зайцев Олег !

    1) Права. Возможно ли добавить проверку, запущен ли AVZ с повышенными привилегиями? (например, будет называться IsElevated())
    У Вас уже есть IsAdmin. Полагаю, код на Delphi Вы используете примерно такой,
    проверяя принадлежность SID текущего пользователя SID-у группы Администраторы через EqualSid.
    Чтобы проверить предоставлены ли пользователю все права, которыми обладает группа, нужно всего лишь заменить EqualSid на функцию CheckTokenMembership.
    Как вариант, результат можно выводить не в новой функции, а в той же IsAdmin() в виде числа, например:
    0 - не администратор
    1 - входит в группу "Администраторы"
    2 - входит в группу "Администраторы", запущен с повышенными привилегиями

    Скрытый текст


    P.S. На всякий... По приведенной ссылке выше в AllocateAndInitializeSid, как я вижу, ошибка: SECURITY_NT_AUTHORITY - вместо константы должен быть указатель на массив, представляющий из себя заполненный SID, где SID[4] = SECURITY_NT_AUTHORITY;
    Скрыть


    2) Базы. Поддержу на счет показа версий баз обновлений. Т.к. уже есть функция распаковки архивов,
    не трудно ли будет сделать функцию, которая выведет дату обновлений?

    С уважением, Алекс.

  16. #193
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    В этой http://virusinfo.info/showthread.php?t=183145 теме AVZ не показала, что имеются проблемы с настройками SPI/LSP. Из лога MiniToolBox:

    ========================= Настройки Winsock =====================================

    Catalog5 01 C:\WINDOWS\SysWOW64\mswsock.dll [286208] (Microsoft Corporation)
    Catalog5 02 C:\WINDOWS\SysWOW64\winrnr.dll [23040] (Microsoft Corporation)
    Catalog5 03 C:\WINDOWS\SysWOW64\mswsock.dll [286208] (Microsoft Corporation)
    ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"

    Catalog9 01 C:\WINDOWS\SysWOW64\mswsock.dll [286208] (Microsoft Corporation)
    Catalog9 02 C:\WINDOWS\SysWOW64\mswsock.dll [286208] (Microsoft Corporation)
    Catalog9 03 C:\WINDOWS\SysWOW64\mswsock.dll [286208] (Microsoft Corporation)
    Catalog9 04 C:\WINDOWS\SysWOW64\mswsock.dll [286208] (Microsoft Corporation)
    Catalog9 05 C:\WINDOWS\SysWOW64\mswsock.dll [286208] (Microsoft Corporation)
    Catalog9 06 C:\WINDOWS\SysWOW64\mswsock.dll [286208] (Microsoft Corporation)
    Catalog9 07 C:\WINDOWS\SysWOW64\mswsock.dll [286208] (Microsoft Corporation)
    Catalog9 08 C:\WINDOWS\SysWOW64\mswsock.dll [286208] (Microsoft Corporation)
    x64-Catalog5 01 C:\Windows\System32\mswsock.dll [339456] (Microsoft Corporation)
    x64-Catalog5 02 C:\Windows\System32\winrnr.dll [30720] (Microsoft Corporation)
    x64-Catalog5 03 C:\Windows\System32\mswsock.dll [339456] (Microsoft Corporation)
    ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"

    x64-Catalog9 01 C:\Windows\System32\mswsock.dll [339456] (Microsoft Corporation)
    x64-Catalog9 02 C:\Windows\System32\mswsock.dll [339456] (Microsoft Corporation)
    x64-Catalog9 03 C:\Windows\System32\mswsock.dll [339456] (Microsoft Corporation)
    x64-Catalog9 04 C:\Windows\System32\rsvpsp.dll [Файл не найден] ()
    x64-Catalog9 05 C:\Windows\System32\rsvpsp.dll [Файл не найден] ()
    x64-Catalog9 06 C:\Windows\System32\mswsock.dll [339456] (Microsoft Corporation)
    x64-Catalog9 07 C:\Windows\System32\mswsock.dll [339456] (Microsoft Corporation)
    x64-Catalog9 08 C:\Windows\System32\mswsock.dll [339456] (Microsoft Corporation)
    x64-Catalog9 09 C:\Windows\System32\mswsock.dll [339456] (Microsoft Corporation)
    x64-Catalog9 10 C:\Windows\System32\mswsock.dll [339456] (Microsoft Corporation)
    x64-Catalog9 11 C:\Windows\System32\mswsock.dll [339456] (Microsoft Corporation)
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  17. #194
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от mike 1 Посмотреть сообщение
    AVZ не показала, что имеются проблемы с настройками SPI/LSP. Из лога MiniToolBox:
    Vvvyg, вот здесь писал писал о подобной проблеме.

    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    драйвера x64 там нет, поскольку подписанный драйвер x64 с функционалом BootCleaner очень опасен
    раньше вы писали, что как только появятся такие вирусы под x64 сразу появится и драйвер для x64 систем. А драйвер с функционалом бутклинера для x64 врядли более опасен, чем драйвер с тем же функционалом под x32. Как понимаю проблема в том, что на данный момент у драйвера подписи нет.

  18. #195
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3411
    Цитата Сообщение от Dragokas Посмотреть сообщение
    Здравствуйте, Зайцев Олег !
    ...
    1. Менять функцию IsAdmin нельзя, так как потеряется совместимость. А сделать новую можно, если нужно ... Работа IsAdmin происходит по описанному алгоритму (в AVZ естественно правильный код, первым параметром передается массив, с значением 5=SECURITY_NT_AUTHORITY в нужном байте ...). Добавить такую проверку/функцию можно, скажем IsAdminElevated... Но только делать это нужно не через CheckTokenMembership. Дело в том, что CheckTokenMembership просто более качественно проверит, запущен ли текущий процесс из под учетки с правами админа, а для проверки повышенных привилегий правильнее сначала посредством CheckTokenMembership убедиться в наличие админких прав, а потом вызвать GetTokenInformation для процесса с TOKEN_INFORMATION_CLASS = TokenElevation для того, чтобы узнать, идет запуск с повышенными привилегиями или нет.
    2. Функцию получения сведений о базах сделаю в ближайшие дни, для этого все необходимое в движок добавлено.

  19. Это понравилось:


  20. #196
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Adware попало в базу безопасных.



    https://www.virustotal.com/ru/file/9...27f1/analysis/

    Тема: http://virusinfo.info/showthread.php?t=183437
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  21. #197
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Ещё файлы от Baidu похоже снова попали в базу безопасных, в частности проверьте MD5 3D8B42ECAF1F07A676FAABBB7B2024C1

  22. #198
    Full Member Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.06.2006
    Сообщений
    103
    Вес репутации
    69
    Службу Планировщик заданий наверное следует исключить из потенциально опасных.

  23. #199
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    4,201
    Вес репутации
    154
    Зайцев Олег, здравствуйте!

    В приложенных комплектах в каждом из xml-файлов ошибки с экранированием. Проверьте, пожалуйста.
    http://rghost.ru/7Q4FNk2Jh
    http://rghost.ru/8nW2FdX64
    http://rghost.ru/8KfJcz4S4

    Также напоминаю про Ваше обещание:
    плюс будет функция запроса информации о базах
    Спасибо!

  24. #200
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Adware опять попало в базу безопасных.

    Тема: http://forum.kasperskyclub.ru/index....46545&p=680879

    MD5: 918007C1311C833B58F50B59B454266D

    VT: https://www.virustotal.com/ru/file/d...db80/analysis/
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

Страница 10 из 12 Первая ... 6789101112 Последняя

Похожие темы

  1. Вышла новая версия антивирусной утилиты AVZ - 4.41
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 81
    Последнее сообщение: 23.02.2014, 15:01
  2. Вышла новая версия PostgreSQL
    От ALEX(XX) в разделе Софт - общий
    Ответов: 0
    Последнее сообщение: 01.07.2009, 21:08
  3. Вышла новая версия MHDD
    От ALEX(XX) в разделе Софт - общий
    Ответов: 4
    Последнее сообщение: 12.07.2006, 09:17
  4. Вышла новая версия NOD 32.
    От kvit в разделе Антивирусы
    Ответов: 5
    Последнее сообщение: 23.06.2005, 13:35
  5. Вышла новая версия FireFox
    От ALEX(XX) в разделе Софт - общий
    Ответов: 0
    Последнее сообщение: 14.05.2005, 13:11

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00116 seconds with 17 queries