Зайцев Олег, если будете обновлять полиморф, то хотелось бы потестировать при использование команды ZIP_CreateArchive
Сообщение от Зайцев Олег
Зайцев Олег, если будете обновлять полиморф, то хотелось бы потестировать при использование команды ZIP_CreateArchive
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Здравствуйте, Зайцев Олег!
Есть такая особенность в x64 ОС с раскрытием цели ярлыков, которая проходит через специальную папку %ProgramFiles% (%CommonProgramFiles).
В лог AVZ попадет путь: C:\Program Files (x86)\..., вместо x64 битной.
Отключение файл. редиректа здесь не поможет. Пример темы, где пытались решить такую проблему.
В подобных LNK в дополнительную секцию дублируется при создании ярлыка идентификатор специальной папки,
по номеру которого можно определить ее битность.
Если Вас заинтересует, я могу отписать в личку, как добраться до нужного оффсета и о соответствии ID-шек.
Зайцев Олег, заметил, что утром 2015-06-04 был обновлён полиморф. В нём просто обновлены базы AVZ или какие-то изменения функционала тоже есть?
Там улучшения для совместимости с Win10, всякие мелкие доработки, но в общем ничего значимого не поменялось
Просто ошеломительный лог в теме http://virusinfo.info/showthread.php...35#post1288935 - смотреть разделы "Модули пространства ядра", "Службы", "Драйверы". C:\cygwin64\bin\CC в карантине и выглядит так:Код:!<symlink>gcc.exe
WBR,
Vadim
пока видно ещё не до конца совместимость. Вот лог свежего полиморфа.
RegKeyCreate реагирует на отключение редиректора, а RegKeyDel - нет.
В итоге ветвь не удаляется:
Вот моя небольшая шпаргалка о том, какие функции поддерживают ключ KEY_WOW64_64KEYКод:var AName : string = 'SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps'; begin if IsWOW64 then SetupAVZ('X64R=NY'); RegKeyCreate('HKEY_LOCAL_MACHINE',AName); RegKeyDel('HKEY_LOCAL_MACHINE',AName); if IsWOW64 then SetupAVZ('X64R=YY'); end.
(не знаю, как тут рисовать таблицы)
'''''''''''''''''''''''''''''''''''''''''''''''''' :'''''''''''''''''''''''''''''''''''''''''''
''': Function:'':::::::::::: Can recursively ::''::::: Support flag ::'':::::: Must close ::''::: Minimum ::''
'''::::name::''::::::::::: delete all subkeys ''::: KEY_WOW64_64KEY :'': all handles ''::: OS support '
'''''''''''''''''''''''''''''''''''''''''''''''''' '''''''''''''''''''''''''''''''''''''''''''
::::':SHDeleteKey::::::::::::: Yes :::::::::::: Partially (Win7+)::::::::::: ? :::::::::::Win2000
::::':RegDeleteKey:::::::::::: No ::::::::::::::::: No ::::::::::::::::::::Yes !:::::::Win 2000
::::':RegDeleteKeyEx:::::::::: No ::::::::::::::::: Yes :::::::::::::::::::Yes !:::::::Win XP x64+
::::':RegDeleteTree::::::::::: Yes :::::::::::::::: Yes ::::::::::::::::::::: ? :::::::::Win Vista !
'''''''''''''''''''''''''''''''''''''''''''''''''' '''''''''''''''''''''''''''''''''''''''''''
Последний раз редактировалось Dragokas; 05.07.2015 в 18:59.
Зайцев Олег,
1) можете пояснить в чём разница между командами FileExists и FileExistsMask ?
Проверил вроде бы обе команды поддерживают указание маски.
2) Заметил, что в новый полиморф стал проверять разрядность заданий в планировщике заданий. Только в логе это указывается is64="Y" и is64="N", а во всей остальной части лога это указывается Is64="0" и Is64="1". Это так и будет в планировщике так, а в остальной части по другому или потом и в остальной части лога измените на новый вариант?
1. В текущей реализации принципиальной разницы между этими функциями нет никакой (за исключением того, что FileExists не гарантирует поиск по маске, а FileExistsMask - гарантирует - в будущих версиях что-то может поменяться, и не факт, что поиск по маске в FileExists будет работать).
2. Нет, это глюк, поправил для однообразия (с точки зрения анализатора "кибера" 1 и Y идентичны по сути)
Добавлено через 3 минуты
Я знаю эту тонкость, потому скажем в визардах, где часто используется SetupAVZ('X64R=xx') нигде RegKeyDel не применяется. В скриптах хелперов есть риски нарваться на проблемы с этим, пока не знаю, что лучше - изменить логику работы функции или документировать эту тонкость
Последний раз редактировалось Зайцев Олег; 09.07.2015 в 23:53. Причина: Добавлено
1) Спасибо за пояснение. Надеюсь, что вторая команда тогда также будет документирована в справка. Пока её нет http://z-oleg.com/secur/avz_doc/inde...existsmask.htm
2)Лучше изменить логику работы. Потому что понадобилось удалить ключ реестра, так пришлось извращаться через
Код:ExecuteFile('reg.exe','delete "HKLM\'+AName+'" /f /reg:64',1,15000,true);
Время идет, а бага http://forum.kaspersky.com/index.php?showtopic=326018 как была так и осталась.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
1)В последней версии полиморфа эта бага до сих пор актуальна.
лог.
2) До этого вы как-то писали, что тестовые версии будут иметь три группы цифр, в частности был AVZ версии 4.42.129 private build и т.д..
Может лучше вернуться к такой нумерации версий? Отличать их проще и удобней, чем по дате обновления баз.
3)А это пока не делали?
Зайцев Олег, в HTML логе свежей версии полиморфа есть
В логе обычной версии этого плюса нет. Это какая-то дополнительная проверка или для чего он?AVZ работает с правами администратора (+)
На полиморфе снова ошибка
Безымянный.jpg
Будет ли исправлена в ближайшей версии? Готов тестировать и предоставить дополнительную информацию.
Явно ругань на картридер. Как по мне, не критично
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Я тоже несколько раз встречался с таким глюком, в том числе и на предыдущих версиях AVZ и из-за него просто невозможно собрать логи! Нажимать отмена в сообщение об ошибке бесполезно, так как сообщение вылезет снова. Так что критично.
Можете пояснить, как это явно по скрину видно? А также, когда встречалось мне картридера там в помине не было. А в данном случае про кардридер знаете, только из-за того, что уже неделю выясняли на другом форуме из-за чего нельзя собрать логи.
У меня иногда при использовании 3G-модема, где есть возможность и карточки вставлять, выскакивает такая ошибка. Жал Продолжить, если не изменяет память.
На скрине явно устройства J, K, L относятся к картридеру.
Это Вы о чем сейчас?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
И как же это явно видно если не из предыдущих постов chinaski?
На скрине это может быть и флешка, юсб винчестер, телефон и или другие варианты.
поискал у себя в переписке, в тот раз это была какая-то фигня для клавиатуры и мыши, чтобы делить их между десктопом и лэптопом. В списке дисков компьютера она как диск не отображалась.
http://virusinfo.info/showthread.php...=1#post1253438
Когда я это наблюдал тоже выполнить сканирование никак нельзя было, ни один из стандартных скриптов для сборка логов также не работал.
- - - - -Добавлено - - - - -
А если проблема в картридере, то есть ноуты со встроенным картридером. Получается на таком ноуте на текущий момент логи AVZ вообще никак не сможет юзер собрать если обратиться к нам.
Я не мониторю всю тему в отличие от Вас. Высказался из личного опыта. Потому язвить не нужно.
Ноут со встроенным картридером ведет себя вполне добропорядочно.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Ноуты разные бывают. Начало истории было на соседнем форуме, если мне не подводит память, то chinaski, писал, что картридер как раз встроенный.
Ваши права в разделе
