-
Зайцев Олег, если будете обновлять полиморф, то хотелось бы потестировать при использование команды ZIP_CreateArchive
Сообщение от
Зайцев Олег
например помечать файлы в списке (например удалять из списка те, что успешно добавлены в архив)
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте, Зайцев Олег!
Есть такая особенность в x64 ОС с раскрытием цели ярлыков, которая проходит через специальную папку %ProgramFiles% (%CommonProgramFiles).
В лог AVZ попадет путь: C:\Program Files (x86)\..., вместо x64 битной.
Отключение файл. редиректа здесь не поможет. Пример темы, где пытались решить такую проблему.
В подобных LNK в дополнительную секцию дублируется при создании ярлыка идентификатор специальной папки,
по номеру которого можно определить ее битность.
Если Вас заинтересует, я могу отписать в личку, как добраться до нужного оффсета и о соответствии ID-шек.
-
Зайцев Олег, заметил, что утром 2015-06-04 был обновлён полиморф. В нём просто обновлены базы AVZ или какие-то изменения функционала тоже есть?
-
-
Сообщение от
regist
Зайцев Олег, заметил, что утром 2015-06-04 был обновлён полиморф. В нём просто обновлены базы AVZ или какие-то изменения функционала тоже есть?
Там улучшения для совместимости с Win10, всякие мелкие доработки, но в общем ничего значимого не поменялось
-
-
Просто ошеломительный лог в теме http://virusinfo.info/showthread.php...35#post1288935 - смотреть разделы "Модули пространства ядра", "Службы", "Драйверы". C:\cygwin64\bin\CC в карантине и выглядит так:
-
-
Сообщение от
Зайцев Олег
Там улучшения для совместимости с Win10
пока видно ещё не до конца совместимость. Вот лог свежего полиморфа.
-
-
RegKeyCreate реагирует на отключение редиректора, а RegKeyDel - нет.
В итоге ветвь не удаляется:
Код:
var
AName : string = 'SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps';
begin
if IsWOW64 then SetupAVZ('X64R=NY');
RegKeyCreate('HKEY_LOCAL_MACHINE',AName);
RegKeyDel('HKEY_LOCAL_MACHINE',AName);
if IsWOW64 then SetupAVZ('X64R=YY');
end.
Вот моя небольшая шпаргалка о том, какие функции поддерживают ключ KEY_WOW64_64KEY
(не знаю, как тут рисовать таблицы)
'''''''''''''''''''''''''''''''''''''''''''''''''' :'''''''''''''''''''''''''''''''''''''''''''
''': Function:'':::::::::::: Can recursively ::''::::: Support flag ::'':::::: Must close ::''::: Minimum ::''
'''::::name::''::::::::::: delete all subkeys ''::: KEY_WOW64_64KEY :'': all handles ''::: OS support '
'''''''''''''''''''''''''''''''''''''''''''''''''' '''''''''''''''''''''''''''''''''''''''''''
::::':SHDeleteKey::::::::::::: Yes :::::::::::: Partially (Win7+)::::::::::: ? :::::::::::Win2000
::::':RegDeleteKey:::::::::::: No ::::::::::::::::: No ::::::::::::::::::::Yes !:::::::Win 2000
::::':RegDeleteKeyEx:::::::::: No ::::::::::::::::: Yes :::::::::::::::::::Yes !:::::::Win XP x64+
::::':RegDeleteTree::::::::::: Yes :::::::::::::::: Yes ::::::::::::::::::::: ? :::::::::Win Vista !
'''''''''''''''''''''''''''''''''''''''''''''''''' '''''''''''''''''''''''''''''''''''''''''''
Последний раз редактировалось Dragokas; 05.07.2015 в 18:59.
-
Зайцев Олег,
1) можете пояснить в чём разница между командами FileExists и FileExistsMask ?
Проверил вроде бы обе команды поддерживают указание маски.
2) Заметил, что в новый полиморф стал проверять разрядность заданий в планировщике заданий. Только в логе это указывается is64="Y" и is64="N", а во всей остальной части лога это указывается Is64="0" и Is64="1". Это так и будет в планировщике так, а в остальной части по другому или потом и в остальной части лога измените на новый вариант?
-
-
Сообщение от
regist
Зайцев Олег,
1) можете пояснить в чём разница между командами
FileExists и
FileExistsMask ?
Проверил вроде бы обе команды поддерживают указание маски.
2) Заметил, что в новый полиморф стал проверять разрядность заданий в планировщике заданий. Только в логе это указывается is64="Y" и is64="N", а во всей остальной части лога это указывается Is64="0" и Is64="1". Это так и будет в планировщике так, а в остальной части по другому или потом и в остальной части лога измените на новый вариант?
1. В текущей реализации принципиальной разницы между этими функциями нет никакой (за исключением того, что FileExists не гарантирует поиск по маске, а FileExistsMask - гарантирует - в будущих версиях что-то может поменяться, и не факт, что поиск по маске в FileExists будет работать).
2. Нет, это глюк, поправил для однообразия (с точки зрения анализатора "кибера" 1 и Y идентичны по сути)
Добавлено через 3 минуты
Сообщение от
Dragokas
RegKeyCreate реагирует на отключение редиректора, а RegKeyDel - нет.
В итоге ветвь не удаляется.
Я знаю эту тонкость, потому скажем в визардах, где часто используется SetupAVZ('X64R=xx') нигде RegKeyDel не применяется. В скриптах хелперов есть риски нарваться на проблемы с этим, пока не знаю, что лучше - изменить логику работы функции или документировать эту тонкость
Последний раз редактировалось Зайцев Олег; 09.07.2015 в 23:53.
Причина: Добавлено
-
-
1) Спасибо за пояснение. Надеюсь, что вторая команда тогда также будет документирована в справка. Пока её нет http://z-oleg.com/secur/avz_doc/inde...existsmask.htm
2)
Сообщение от
Зайцев Олег
что лучше - изменить логику работы функции или документировать эту тонкость
Лучше изменить логику работы. Потому что понадобилось удалить ключ реестра, так пришлось извращаться через
Код:
ExecuteFile('reg.exe','delete "HKLM\'+AName+'" /f /reg:64',1,15000,true);
-
-
-
-
1)
Сообщение от
Зайцев Олег
По ".dll" все просто - когда идет поиск файла, там задается ожидаемое расширение, которое используется в качестве дефолтного. При пустом пути они не должно применяться, проверю
В последней версии полиморфа эта бага до сих пор актуальна.
лог.
2) До этого вы как-то писали, что тестовые версии будут иметь три группы цифр, в частности был AVZ версии 4.42.129 private build и т.д..
Может лучше вернуться к такой нумерации версий? Отличать их проще и удобней, чем по дате обновления баз.
3)
Сообщение от
Зайцев Олег
2. Функцию получения сведений о базах сделаю в ближайшие дни, для этого все необходимое в движок добавлено.
А это пока не делали?
-
-
Зайцев Олег, в HTML логе свежей версии полиморфа есть
AVZ работает с правами администратора
(+)
В логе обычной версии этого плюса нет. Это какая-то дополнительная проверка или для чего он?
-
-
Junior Member
- Вес репутации
- 34
На полиморфе снова ошибка
Безымянный.jpg
Будет ли исправлена в ближайшей версии? Готов тестировать и предоставить дополнительную информацию.
-
Явно ругань на картридер. Как по мне, не критично
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Сообщение от
thyrex
Как по мне, не критично
Я тоже несколько раз встречался с таким глюком, в том числе и на предыдущих версиях AVZ и из-за него просто невозможно собрать логи! Нажимать отмена в сообщение об ошибке бесполезно, так как сообщение вылезет снова. Так что критично.
Сообщение от
thyrex
Явно ругань на картридер.
Можете пояснить, как это явно по скрину видно? А также, когда встречалось мне картридера там в помине не было. А в данном случае про кардридер знаете, только из-за того, что уже неделю выясняли на другом форуме из-за чего нельзя собрать логи.
-
-
У меня иногда при использовании 3G-модема, где есть возможность и карточки вставлять, выскакивает такая ошибка. Жал Продолжить, если не изменяет память.
На скрине явно устройства J, K, L относятся к картридеру.
Сообщение от
regist
А в данном случае про кардридер знаете, только из-за того, что уже неделю выясняли на другом форуме из-за чего нельзя собрать логи.
Это Вы о чем сейчас?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Сообщение от
thyrex
На скрине явно устройства J, K, L относятся к картридеру.
И как же это явно видно если не из предыдущих постов chinaski?
На скрине это может быть и флешка, юсб винчестер, телефон и или другие варианты.
Сообщение от
regist
встречался с таким глюком, в том числе и на предыдущих версиях AVZ
поискал у себя в переписке, в тот раз это была какая-то фигня для клавиатуры и мыши, чтобы делить их между десктопом и лэптопом. В списке дисков компьютера она как диск не отображалась.
Сообщение от
thyrex
Жал Продолжить, если не изменяет память.
http://virusinfo.info/showthread.php...=1#post1253438
Сообщение от
chinaski
Кстати, если на ошибке нажимать Отмена Повторить или Продолжить то ошибка появляется снова.
Когда я это наблюдал тоже выполнить сканирование никак нельзя было, ни один из стандартных скриптов для сборка логов также не работал.
- - - - -Добавлено - - - - -
А если проблема в картридере, то есть ноуты со встроенным картридером. Получается на таком ноуте на текущий момент логи AVZ вообще никак не сможет юзер собрать если обратиться к нам.
-
-
Сообщение от
regist
http://virusinfo.info/showthread.php?t=155719&p=1253438&viewfull=1#post1 253438
Я не мониторю всю тему в отличие от Вас. Высказался из личного опыта. Потому язвить не нужно.
Ноут со встроенным картридером ведет себя вполне добропорядочно.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Сообщение от
thyrex
Ноут со встроенным картридером ведет себя вполне добропорядочно.
Ноуты разные бывают . Начало истории было на соседнем форуме, если мне не подводит память, то chinaski, писал, что картридер как раз встроенный.
-