-
Сообщение от
Maxim
3. AVZ - Файл - Стандартные скрипты - №4, добавить сбор не запущенных служб и драйверов. Иначе хелперы быстро устанут читать километровые логи.
А это будет реализовано или нет?
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Maxim
А это будет реализовано или нет?
А что, оно не работает сейчас ? Вроде как должно ... по крайней мере в логи исследования информация о них пишется, эжто проверено. Про скрипт сбора файлов вроде речь не шла, когда обсуждали доработки
-
-
Должно быть Вы просто не заметили моё сообщение. Сейчас скрипт собирает только запущенные драйвера.
-
-
Сообщение от
Зайцев Олег
Ну, трояны и outpost я немментировать не буду (так как не этично),
Этично - я и там бета-тестер.
Сообщение от
Зайцев Олег
но дам подсказку - запуск TFT/TFTP скорее всего следствие эксплоита, следовательно или outpost по непонятной причине пропускает пакеты с эксплоитом на компьютер (нарушена его работа, правила корявые и т.п.), или он вообще толком не работает (правила, повреждение трояном).
Это понятно, и я даже нашёл в чём дело. Как ни стрнно, в доверенных был FireFox. Дети, что-ли его туда загнали. У меня и впрямь половина функций на файрволе отключена.
Мне другое непонятно:
1) Через какую дырку входит эксплойт.
2) Почему AVZ не видит, что эксплойт работает.
3) И может ли AVZ выявлять зловреда на стадии его внедрения в систему.
4) Ну и главное. Нет ли спрособа заделать эту дырку.
Да, все последние патчи, что MS, что FireFox разумеется поставлены.
Последний раз редактировалось Jef239; 14.12.2007 в 00:09.
-
Junior Member
- Вес репутации
- 60
AVZ версии 4.29
Доброго времени суток !
Скачал новую AVZ 2.29 проверил и мне выдало :
9. Мастер поиска и устранения проблем
>> Таймаут завершения служб находится за пределами допустимых значений
Этот как понять? если это вредно/опасно то можно уменьшить его как то ? если да то где...
Заранее благодарен.
-
Сообщение от
tar
теперь ревизор совсем накрылся - не проверяет файлы по таблицам
Подтверждаю, ревизор накрылся, и у типа файлов для ревизора(frz) стоит странное название: "$avz1129" но это мелочи
-
Сообщение от
Jef239
Этично - я и там бета-тестер.
Это понятно, и я даже нашёл в чём дело. Как ни стрнно, в доверенных был FireFox. Дети, что-ли его туда загнали. У меня и впрямь половина функций на файрволе отключена.
Мне другое непонятно:
1) Через какую дырку входит эксплойт.
2) Почему AVZ не видит, что эксплойт работает.
3) И может ли AVZ выявлять зловреда на стадии его внедрения в систему.
4) Ну и главное. Нет ли спрособа заделать эту дырку.
Да, все последние патчи, что MS, что FireFox разумеется поставлены.
Могу угадать - система W2K, последние обновления стоят ? Знаю такое дело, это неизлечимо - нужно XP ставить. Дело в том, что в W2K есть уязвимости, до сих пор не закрытые обновлениями. И есть размножающийся по сети зловред - из семейства RBOT, который эти уязвимости эксплуатирует. Т.е. если он гуляет в локальной сети, то спасения от него нет (кроме как убрать протоколы MS (общий доступ к файлам и принтерам и клиент для сети MS), оставив в настройках сетевого соединения только TCP/IP).
1. См. выше
2. А он и не увидит. Эксплоит - это же 20-30 байт кода где-то в памяти легитимного процесса (подробно описывать долго - есть хорошая книжка Криса Касперски, там даже пример есть эксплоита и демонстрания его работы).
3. Нет. Это обязанность Firewall - прибить пакет с эксплоитом, выявив его по сигнатурам. Или проактивки - обнаружить ненормальное поведение системного процесса и вовремя блокировать
4. Установить XP или отключиться от сети MS. Есть конечно путь временной защиты - переименовать ftp.exe и tftp.exe в что-то там типа _ftp.exe и _tftp.exe
-
-
Junior Member
- Вес репутации
- 61
Скачал новую версию, обновился, но она на англ. языке. Как мне переключится на русский? Скажите пожалуйста, мне надо сделать лог virusinfo_syscure.zip для раздела "Помогите"
-
Сообщение от
Tarik
Скачал новую версию, обновился, но она на англ. языке. Как мне переключится на русский? Скажите пожалуйста, мне надо сделать лог virusinfo_syscure.zip для раздела "Помогите"
А операционка какая ? Русскоязычная или нет ? Если русский язык не включается, то в системе по умолчанию стоит локаль, отличная от русской. Можно попробовать запустить avz.exe lang=ru - это принудительно включит русский интерфейс, но не факт, что он будет читабельным.
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
Зайцев Олег
А операционка какая ? Русскоязычная или нет ? Если русский язык не включается, то в системе по умолчанию стоит локаль, отличная от русской. Можно попробовать запустить avz.exe lang=ru - это принудительно включит русский интерфейс, но не факт, что он будет читабельным.
ОС русскоязычная XP SP2 с последними заплатками
А как запустить avz.exe lang=ru? Просто переименовать екзешник?
Переименовал, все по-старому
Последний раз редактировалось Tarik; 14.12.2007 в 15:03.
Причина: дополнение
-
Сообщение от
Зайцев Олег
Могу угадать - система W2K, последние обновления стоят ?
Угу. W2K, и всё обновлено.
Сообщение от
Зайцев Олег
Знаю такое дело, это неизлечимо - нужно XP ставить. Дело в том, что в W2K есть уязвимости, до сих пор не закрытые обновлениями.
О!!!!! Спасибо за информацию. Первый разумный довод в пользу установки XP, кстати. Просто есть хорошее правило - не ставить новую ОС до выхода SP3. Потому и сижу на W2K.
Сообщение от
Зайцев Олег
3. Нет. Это обязанность Firewall - прибить пакет с эксплоитом, выявив его по сигнатурам. Или проактивки - обнаружить ненормальное поведение системного процесса и вовремя блокировать
И тем не менее, есть две вещи, которые были бы ОЧЕНЬ полезны в данной ситуации.
1) Просмотр родителя процесса. (смотрел утилитой pslist от Русиновича)
2) Просмотр командной строки, с которой запущен процесс.
При помощи первой я понял, через кого внедряется эксплойт и закрыл приложение от сети получше. А вторая полезна, чтобы отличить "зловредный" CMD.EXE от нормального.
Олег, если не трудно, впиши в список пожеланий?
Сообщение от
Зайцев Олег
4. Установить XP или отключиться от сети MS.
Сети MS у меня нет. Я же дома работаю. А внедрялся он похоже через SQLServer. По крайней мере дерево запуска было такое - SQLServer-CMD-FTP. Пока прикрыл его FireWallом получше. Не поможет - врублю проактивку и впрямь XP поставлю.
Добавлено через 3 минуты
Сообщение от
Tarik
А как запустить avz.exe lang=ru?
Создай командный файл CMEРТ_OT_CMEXA.CMD.
Впиши туда одну строчку - avz.exe lang=ru
Ну и запускай его вместо AVZ
Сообщение от
Tarik
Переименовал, все по-старому
Теперь обратно переименовывай.
Добавлено через 1 минуту
P.S. "Сети MS у меня нет" читать как давно отключен и доступ к файлам и доступ к принтерам. На уровне свойств сетейвой карты отключен.
Последний раз редактировалось Jef239; 14.12.2007 в 15:08.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 61
Сообщение от
Jef239
Создай командный файл CMEРТ_OT_CMEXA.CMD.
Впиши туда одну строчку -
avz.exe lang=ru
Ну и запускай его вместо AVZ
Как создать командный файл? Извини, что туплю, не шарю в этих вопросах
-
Сообщение от
Tarik
Как создать командный файл?
Например в NotePad (блокноте)
-
Junior Member
- Вес репутации
- 63
таймаут?
Здравствуйте, Олег!
AVZ выдал: "таймаут завершения служб находится за пределами допустимых значений" - что это такое и что с ним делать?
Во время работы в Pinnacle 10.8 (загрузка ЦП 100%) было падение напряжения в сети. ПК ушел на перезагрузку, после не видит драйвера сканера, принтера, не видит флешку, хотя драйвера на месте... Переинсталяция устройств не помогла...
Можно с этим справиться?
Спасибо! С уважением, Павел.
Последний раз редактировалось Tibet; 14.12.2007 в 16:14.
-
А почему тема переехала в "Сетевая безопасность для начинающих > Основы сетевой безопасности"?
Хотя модераторам виднее...
-
Сообщение от
Mad Scientist
А почему тема переехала в "Сетевая безопасность для начинающих > Основы сетевой безопасности"?
Хотя модераторам виднее...
Не знаю - я вроде не переносил ...
Добавлено через 4 минуты
Сообщение от
Tibet
Здравствуйте, Олег!
AVZ выдал: "таймаут завершения служб находится за пределами допустимых значений" - что это такое и что с ним делать?
Во время работы в Pinnacle 10.8 (загрузка ЦП 100%) было падение напряжения в сети. ПК ушел на перезагрузку, после не видит драйвера сканера, принтера, не видит флешку, хотя драйвера на месте... Переинсталяция устройств не помогла...
Можно с этим справиться?
Спасибо! С уважением, Павел.
Таймаут завершения служб находится за пределами допустимых значений - это нужно понимать буквально. Какой-то кривой твикер решил "ускорить" работу системы, предписав таймаут на завершение служб порядка 1 секунды. Многие службы за это время понятное дело завершиться не могут, и при завершении ПК система начинает их принудительно прибивать. Последствия понятное дело непредсказуемы. Лечится из меню "Файл/Мастер поиска и устранения проблем" в AVZ
Последний раз редактировалось Зайцев Олег; 14.12.2007 в 22:47.
Причина: Добавлено
-
-
Почему при выполнении скрипта №3 AVZ запрещено настройкой удалять руткиты?
-
-
Сообщение от
Tarik
Как создать командный файл? Извини, что туплю, не шарю в этих вопросах
В блокнот скопируйте:
И при сохранение документа выберете: Тип файлов: все файлы.
Укажите имя файла например avz.cmd или avz.bat
Тут главное чтоб расширение файла было cmd или bat
-
-
Сообщение от
Mad Scientist
А почему тема переехала в "Сетевая безопасность для начинающих > Основы сетевой безопасности"?
Хотя модераторам виднее...
Сообщение от
Зайцев Олег
Не знаю - я вроде не переносил ...
Видимо, я немножко коряво присоединил одно сообщение
-
-
Олег, с Geeks To Go пришел первый фичреквест. Хотят интерактивные элементы для генерации скриптов во всех логах (т.е. не только в исследовании системы, но и в логах, сохраняемых из отдельных диспетчеров).
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]