Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Sys_Scan - маленький помощник

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.12.2007
    Адрес
    Питер
    Сообщений
    170
    Вес репутации
    83

    Sys_Scan - маленький помощник

    Sys_Scan - маленький помощник



    Sys_Scan 1.2 - мало распространенный небольшой сканер, собирающий информацию об опасных местах в системе:
    Собирает информацию о системе и записывает ее в лог в html формате.

    Изначально утилита создавалась для личного использования, автор включил в утилиту функции, которые посчитал особо нужными, также включил некоторые необычные функции (считывание списка файлов, считывание недавно запущенных исполняемых файлов и т.д).

    А если перейти на технические подробности, то ситуация такая:
    "Джентельменский набор" собираемой информации:
    1. Версия OS
    2. Версия IE
    3. Запущенные в данный момент процессы, их PID, загрузка ЦП, заголовок окна (если он есть), информация от чьего имени запущен процесс.
    4. Информация об установленных в системе драйверах: тип, состояние, путь до файла и по возможности описание драйвера.
    5. Снимки мест в реестре, из которых можно автозапускаться
    (CurrentVersion\Run, CurrentVersion\RunOnce, CurrentVersion\RunOnceEx, CurrentVersion\Winlogon, CurrentVersion\Winlogon\Notify и т.д)
    6. Вывод подробной конфигурации браузера IE: стартовая страница, страница поиска, пустая страница, BHO, заголовок браузера и т.д
    7. Активные службы, выполняющиеся в собственном процессе.
    8. Версии браузеров Opera и Mozilla/Mozilla Firefox (если они установлены)
    9. Текст файла hosts
    10. Текст файла boot.ini
    Эксперимент автора:

    1. Файлы, добавленные в "исключения" системного (встроенного в систему) фаервола.
    2. Недавно запущенные программы и путь до них.
    3. Перечень файлов, находящихся в следующих папках (без учета каталогов): системная папка, system32, system, temp и Local Settings/temp.
    4. Перечень файлов, находящиеся в корне дисков (если они существуют): A, C, D, E, F, G, H.
    5. Установленные программы.


    FAQ по использованию, возможные проблемы и некоторые разъяснения:

    1). Запускаем сканер
    2). Ждем секунд 15 (в это время висит консольное окно - его не трогаем)
    *при сканировании программа может писать в консоль сообщения об ошибках и о не найденных путях - это вполне нормально.
    3). Программа запрашивает следующее:
    Read the installed Program? [Y\N]
    И в зависимости от того, хотим мы или нет, что бы программа производила считывание и логирование, установленных в системе программ, вводим Y или N и нажимаем Enter.
    (лучше ввести N - тогда сканирование тут же закончиться)
    4). В текущей папке появиться файл filelog.htm - это лог, созданный программой.*
    5). Если в одном блоке вы видите нормальный русский язык, а в другом язык цивилизации Инков, то смените кодировку в браузере (866 (DOS) - > 1251 или 1251 -> 866) и все будет наоборот - где был русский язык вы обнаружите древние писмена, а где были нечитаемые символы - нормальный русский язык.

    Автор программы просит прощения у Олега Зайцева за кражу вот этого: "#ffdfb7" и вот этого: "#00CC66". Сделано сие действие только для того, что бы было привычнее.... (если данное действие недопустимо, символы будут поменяны).


    Тема опубликована и сканер выложен с разрешения автора.
    Просьба от автора: хотелось бы услышать пожеланий и советов от профессионалов - чего внести, что убрать, чего не хватает, что не понравилось/понравилось...

    Файл в аттаче
    Вложения Вложения
    forum.kasperskyclub.ru

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    Запустил. Некоторые вопросы и замечания:

    1) В разделах Running processes и Installed drivers у меня НИЧЕГО не видно. См. скриншот. Чем это связано? Защиты как таковой не стоит - препятствий нет никаких эту инфу читать из системы (XP Home SP2)



    2) Проблемы с кодировкой НАДО как-нибудь решать, иначе это не серьёзно. Ещё для тех, которые пользуются Firefox'ом с NoScript: Надо разрешить скрипты для домена file://
    3) Надо бы делать ползунок в окнах отчёта, чтобы можно было быстро крутить вверх и вниз (особенно там, где перечисляется содержание System32). Неудобно маневрировать в окнах отчёта - только курсором (клавиша стрелка вниз удержать) туда-сюда (придётся достаточно долго ждать до того, как крутить до конца).
    4) Потом сканнер организует содержимое системных папок по дате. Жаль, что нельзя по алфавиту (мне лично более удобно искать - там же огромная куча инфы)

    Paul
    Последний раз редактировалось XP user; 31.03.2008 в 22:49.

  4. #3
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    2) Проблемы с кодировкой НАДО как-нибудь решать, иначе это не серьёзно.
    +1 Согласен с Паулем, как-то не совсем удобно менять кодировку, что бы прочитать или верхнюю или нижнюю часть лога. Тут нужно что-то решать.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.12.2007
    Адрес
    Питер
    Сообщений
    170
    Вес репутации
    83
    1) В разделах Running processes и Installed drivers у меня НИЧЕГО не видно. См. скриншот. Чем это связано?
    забыл упомянуть в первом топике - сканер только для ХР SP2 - т.е для ХР, работоспособность на других ОСях не гарантируется в силу следующих причин:
    *разная структура реестра
    *система может не поддерживать используемые "операторы"

    2) Проблемы с кодировкой НАДО как-нибудь решать
    +1 Согласен с Паулем, как-то не совсем удобно менять кодировку, что бы прочитать или верхнюю или нижнюю часть лога. Тут нужно что-то решать.
    Согласен. Думать, думать и еще раз думать...
    "Стратегический план в разработке"


    Ещё для тех, которые пользуются Firefox'ом с NoScript: Надо разрешить скрипты для домена file://
    Можно заюзать осла в этом случае - у меня например с логом авз в лисе работать не выходит вообще, также можно все-таки включить этот скрипт.
    Со яваскриптом удобнее - без него в предыдущей версии было хуже.
    + к этому вывод с помощью яваскрипта инфы на экран прямо в лог, а не в текстовую область частично решает проблему кодировки...

    3) Надо бы делать ползунок в окнах отчёта, чтобы можно было быстро крутить вверх и вниз (особенно там, где перечисляется содержание System32). Неудобно маневрировать в окнах отчёта - только курсором (клавиша стрелка вниз удержать) туда-сюда (придётся достаточно долго ждать до того, как крутить до конца).
    я ничего не понял(((
    поэтому на всякий случай сделал скрин:

    у вас монитор ЖК "пятнашка", кстати?


    4) Потом сканнер организует содержимое системных папок по дате. Жаль, что нельзя по алфавиту (мне лично более удобно искать - там же огромная куча инфы)
    Раньше был вывод по алфавиту, но по дате вроде как удобнее - сверху последние файлы - так проще искать зловреда - скорее всего он будет в числе последних.
    Вывод можно изменить самому по вкусу - код без "обфускации" можно модифицировать для себя по вкусу...
    forum.kasperskyclub.ru

  6. #5
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    Цитата Сообщение от vidocq89 Посмотреть сообщение
    у вас монитор ЖК "пятнашка", кстати?
    Мда... Эта критика про неудобство отпадает. У меня действительно временно стоит другой монитор (HP75) так как плазменный накрылся. Не поместился просто ползунок в экран. И мышь тоже временная и старинная...

    Paul

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Олег Акопян
    Регистрация
    11.01.2008
    Адрес
    Далеко
    Сообщений
    59
    Вес репутации
    53
    Интересно, а как быть с руткитами? Если вирус изменил некоторые ветки реестра, такие например как запуск диспетчера задач, редактор реестра, показ скрытых и системных файлов это как-то отражается или нет?

    Вывод можно изменить самому по вкусу - код без "обфускации" можно модифицировать для себя по вкусу...
    Т.е. Вы предлагаете пользователю изучить батник и внести самостоятельно в него измения? А как по-Вашему, многие пользователи самостоятельно это смогут сделать?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.12.2007
    Адрес
    Питер
    Сообщений
    170
    Вес репутации
    83
    Интересно, а как быть с руткитами?
    только методами СИ - путем просматривания всех разделов лога в поисках подозрительного)) )
    + к этому:
    отдельно от АВЗ любые подобные утилиты использовать не рационально


    Если вирус изменил некоторые ветки реестра, такие например как запуск диспетчера задач, редактор реестра, показ скрытых и системных файлов
    хм, ну по-моему это не отразиться на работе тулзы...
    попробуйте залочьте в реестре запуск диспетчера задач и проверьте будет ли пахать тулза...
    я не особо уверен, тут главное способ, если просто в ключе
    HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System параметру disabletaskmgr выставить значение единица, то сканеру от этого ни жарко ни холодно не будет...
    Вы про это?


    Т.е. Вы предлагаете пользователю изучить батник и внести самостоятельно в него измения? А как по-Вашему, многие пользователи самостоятельно это смогут сделать?
    А сколько пользователей обычных вообще могут утилитой воспользоваться и самостоятельно провести анализ дров и сервисов в логе (надо же знать какие системные, а какие лишние), и реестр при анализе знать не помешало бы...
    Утилита все-таки не для домохозяек, также как и все другие программы подобного типа (троянфайндинфо, гетсусинфо, хжт, авз и т.д)

    Кстати, это я предложил не всем, это был мой ответ p2u, на вот это:
    мне лично более удобно искать - там же огромная куча инфы
    т.е я предложил лично p2u решить проблему таким способом.
    (там всего пару буковок поменять)
    ...


    PS: Спасибо за проявленный интерес к тулзе...
    Мысли правда интересные...надо поэкспериментировать ...
    Последний раз редактировалось vidocq89; 01.04.2008 в 01:23.
    forum.kasperskyclub.ru

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Олег Акопян
    Регистрация
    11.01.2008
    Адрес
    Далеко
    Сообщений
    59
    Вес репутации
    53
    Вы про это?
    Нет я про то, что если эта тулза анализирует реестр, то неплохо было бы отображать такие вещи. Если человек заметил, что заблокирован реестр например или не показывает скрытые файлы то такая информация не была бы лишней. Насколько я помню АВЗ не показывает заблокирован ли показ скрытых файлов (о реесте и диспетчер задач АВЗ информирует).

    т.е я предложил лично p2u решить проблему таким способом.
    Это понятно, просто ещё кому-то по примеру p2u захочется в алфавитном порядке отображать, так нужно просматривать весь батник, что бы внести изменения.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.12.2007
    Адрес
    Питер
    Сообщений
    170
    Вес репутации
    83
    заблокирован реестр например или не показывает скрытые файлы
    каким способом?
    приведите конкретный пример.
    А то не совсем понятно о чем вообще идет речь.

    Об этом? :


    почти все подобные идиотские, вандальские "приколы" делаются путем внесения/изменения записей в реестре...
    Вы имеете в виду включить мониторинг этого?
    (так это уже другая тулза получиться)

    Это понятно, просто ещё кому-то по примеру p2u захочется в алфавитном порядке отображать, так нужно просматривать весь батник, что бы внести изменения.
    в таком случае так будет - если много людей станет говорить о том, что в алфавитном порядке удобнее, то сделано будет отображение в алфавитном порядке...
    (предыдущая версия была как раз в алфавитном порядке ... именно по просьбам трудящихся был сделан вывод по дате - сильно упрощает анализ лога - не надо скроллить и искать файлы - просто смотрим на названия последних)
    forum.kasperskyclub.ru

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Олег Акопян
    Регистрация
    11.01.2008
    Адрес
    Далеко
    Сообщений
    59
    Вес репутации
    53
    Простите, если несовсем понятно выразился. Да я спрашивал именно о мониторинге. Теперь после Ваших объяснений стало понятнее. Увлекаетесь генераторами вирусов?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.12.2007
    Адрес
    Питер
    Сообщений
    170
    Вес репутации
    83
    Да я спрашивал именно о мониторинге
    Насколько я помню АВЗ не показывает заблокирован ли показ скрытых файлов (о реесте и диспетчер задач АВЗ информирует).
    ну нечто подобное в АВЗ все-таки есть..
    подобные проблемы авз вроде палит? я там видел нечто похожее...
    "Файл - Мастер поиска и устранения проблем"

    Увлекаетесь генераторами вирусов?
    что вы вкладываете в этот вопрос? меня интересует сфера вирусологии со всех сторон, а если говорить про генераторы - то про них я писал кой-какие статьи, писал сами генераторы (для ознакомления только у себя на компе...потом в ЛК отсылал), ковырял их, чистил, изучал, но в своем большинстве эти генераторы вирусов представляют из себя программы, которые в зависимости от проставленных галочек пишут в файл список "команд" (dos or vbs) - ничего интересного, все примитивно и тупо. Если же выходит в итоге ехе_шник, то в большинстве случаев этот тот же самый дос или вбс перегнанный в ехе (т.е скрипт извлекается во временную папку и там запускаеться).
    По моим тестам, антивирус от ЛК знает больше всех этих генераторов и их "продукты жизнедеятельности" и палит такие создания достаточно хорошо.

    Но самое интересное в генераторах - это самописные алгоритмы шифрования и криптовки скриптов - автор их придумывает по ходу дела сам и проводить обратный процесс и изучать алгоритм - достаточно интересно бывает...

    Но IMHO создателям таких генераторов надо руки и ноги вырывать - вандализм - зло.
    forum.kasperskyclub.ru

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2151
    Интересный батничек

  14. #13
    Junior Member Репутация
    Регистрация
    16.01.2008
    Сообщений
    10
    Вес репутации
    37
    ап
    за старания автору респ
    Последний раз редактировалось asterrX; 04.04.2008 в 23:41.

  15. #14
    Junior Member Репутация
    Регистрация
    16.03.2008
    Адрес
    СССР, Москва
    Сообщений
    27
    Вес репутации
    37
    Э.... А что за файлики ныкаются в ...StandardProfile\AuthorizedApplications\List,мне кажется что это на автозагрузку не смахивает, да и на пончики со сгущёнкой она то же не похожа т.к эти программы не загружаються. На кой это там есть и что оно делает, если делает = )
    Proud to be Russian.
    [SIGPIC]http://img297.imageshack.us/img297/379/jiabpme4.gif[/SIGPIC]

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.12.2007
    Адрес
    Питер
    Сообщений
    170
    Вес репутации
    83
    А что за файлики ныкаются в ...StandardProfile\AuthorizedApplications\List
    это сканер считывает список программ добавленных в список исключений системного фаервола, тут могут быть как ваши программы, так и различные псв-трои, бекдоры и т.д (те, кто ломиться в сеть), т.к многие из них обходят системный фаервол простой записью в эти ветки реестра...
    К примеру вот небезызвестный всем пинч:
    http://www.viruslist.com/ru/viruses/...virusid=147349

    Как видите, функция достаточно интересная...
    Неизвестные вам файлы советую по пути найти и проверить что это такое

    Но изначально эта функция была против пинчей и им подобных - узнать были они или нет и где именно были... (пинчей трущих за собой эти хвосты я пока не встречал...)


    PS: что интересно - пинч вносит себя в список исключений системного фаера независимо о того включен фаер или нет... у многих (если не сказать что у большинства) фаервол отключен системный и поэтому в этом списке находятся в основном только зловреды (за исключением какого-нибудь месенджера). )
    forum.kasperskyclub.ru

  17. #16
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    Цитата Сообщение от vidocq89 Посмотреть сообщение
    PS: что интересно - пинч вносит себя в список исключений системного фаера независимо о того включен фаер или нет...
    ..., и даже если вы задали 'Не разрешать исключения'. Типичный пример Майкрософтских способов 'защиты'...

    Paul

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.12.2007
    Адрес
    Питер
    Сообщений
    170
    Вес репутации
    83

    sys_scan v1.3 beta_1

    утилита немного доработана до следующей версии

    sys_scan v1.3 beta_1

    стала собираться следующая информация и появились следующие добавления/нововведения:

    1). включено/отключено восстановление системы
    2). включен/отключен системный фаервол
    3). стартовая страница в Опере
    4). стартовая страница в Мозилла/Лиса
    5). программа поумнела - стала знать больше мест автозагрузки
    6). в паре мест исправлены неудобства с кодировкой
    7). пути до папок автозагрузки стали считываться из реестра (теперь нету зависимости от языка системы и пути).

    Просьба потестировать, рассказать о найденных багах. Предложить новые функции или/и доработку/изменение старых.

    Заранее спасибо
    Вложения Вложения
    forum.kasperskyclub.ru

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Посмотри RegRun & Reanimator. Они показывают очень много точек откуда могут стартовать программы. По логам с моей машины они примерно на 20% показывают больше чем HijackThis.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.12.2007
    Адрес
    Питер
    Сообщений
    170
    Вес репутации
    83
    Посмотри RegRun & Reanimator. Они показывают очень много точек откуда могут стартовать программы. По логам с моей машины они примерно на 20% показывают больше чем HijackThis.
    спасибо за совет...
    Если у вас есть список таких мест с описашками (в двух словах и если можно с примерами) , а не просто перечисление ключей (этот список можно выдрать из любой проги ... даже из либ того же самого ОСАМ), буду благодарен если пришлете в ЛС...
    forum.kasperskyclub.ru

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    По Хиджаку есть описание на сайте у Сауле.
    Других не видел.

    Кстати из программ есть еще RunScanner. Тоже много чего показывает.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

Страница 1 из 2 12 Последняя

Похожие темы

  1. Ответов: 7
    Последнее сообщение: 13.10.2011, 17:48
  2. маленький зоопарк
    От Чижъ в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 08.12.2009, 23:11
  3. Ноутбук: мобильный помощник или источник утечек?
    От SDA в разделе Другие программы по безопасности
    Ответов: 0
    Последнее сообщение: 18.04.2009, 12:47
  4. Ответов: 12
    Последнее сообщение: 17.07.2005, 02:04
  5. Ещё маленький перенос
    От Geser в разделе Технические и иные вопросы
    Ответов: 2
    Последнее сообщение: 13.05.2005, 19:46

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00872 seconds with 17 queries