-
Junior Member
- Вес репутации
- 59
AVZ и заблокированые файлы
не секрет AVZ умеет копировать почти все файлы(включая заблокированные) в карантин с помощью прямого чтения. Как можно использовать прямое чтение из скриптов?
Ситуация такая: вирус заблокировал доступ к файлам. через avz я могу поместить их в карантин, а из карантина переименовать и просмотреть. самое не приятное что приходится делать все это руками.
Вопрос: какая функция в скриптах включает прямое чтение?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
DmT
не секрет AVZ умеет копировать почти все файлы(включая заблокированные) в карантин с помощью прямого чтения. Как можно использовать прямое чтение из скриптов?
Ситуация такая: вирус заблокировал доступ к файлам. через avz я могу поместить их в карантин, а из карантина переименовать и просмотреть. самое не приятное что приходится делать все это руками.
Вопрос: какая функция в скриптах включает прямое чтение?
Прямое чтение помогает не всегда, так как AVZ читает посектор файл, но цепочку секторов узнает у драйвер файловой системы (но не производит полный разбор файловой системы, что в некоторых случаях критично). Эта функция включается автоматически во всех ситуациях - т.е. AVZ пытается закарантинить файл обычными средствами - если не выходит, то пробует альтернативные методы. Какрантин из скрипта функциональнее - там можно подключить к карантину BootCleaner - он пробует закарантинить файлы в ходе перезагрузки системы из ядреного драйвера.
-
-
Junior Member
- Вес репутации
- 59
А как восстановить файл из карантина, в произвольную директорию?
-
Сообщение от
DmT
А как восстановить файл из карантина, в произвольную директорию?
А зачем ?! В карантине хранится копия файла, а сам файл остается на месте. С точки зрения анализа это просто переименованный файл (одноименный с ним INI описывает, почему и откуда закарантинен образец, и как он назывался в реальной системе).
-
-
Да, самый надежный карантин через BootCleaner.
Т.е. если Вы например хотите закарантинить файл drvigra.sys, путь к которому к примеру такой C:\WINDOWS\system32\drvigra.sys, то хорошо использовать такой скрипт:
Код:
begin
// Карантин файла
QuarantineFile('C:\WINDOWS\system32\drvigra.sys','');
// Импорт списка файлов для карантина в BootCleaner
BC_ImportQuarantineList;
// Активация BootCleaner
BC_Activate;
// Перезагрузка
RebootWindows(true);
end.
-
-
Сообщение от
DmT
А как восстановить файл из карантина, в произвольную директорию?
В папке с AVZ есть подпапка Quarantine. В ней лежит карантин. Может расскажите подробнее что за вирус и какие файлы заблокированы?
-
-
Junior Member
- Вес репутации
- 59
Уже не помню что за вирус, давно было.
А файлы в основном мультимедийные(jpg, mp3, ppt и др)
При попытке открытия появляется ошибка о невозможности чтения(открытия) файла(не хватает прав, хотя админ).
Зайцев Олег, затем что это нужные файлы, а восстановить к ним доступ у меня получилось только через отправку их в карантин и копирыванию их(уже не заблокированных файлов) из карантина с изменением расширения в нужную мне папку.
-
DmT, А оригинальные файлы то остаются в таком случае, только место занимают. По моему не удачное решение проблемы.
Я бы сделал сначала:
Код:
begin
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
Потом уже если всё равно допуска нет, вернуть права файлам как обычно делают.
А на будущее, чтобы права админа не забирали, нужно использовать учётку ограниченного пользователя.
-
-
Junior Member
- Вес репутации
- 59
drongo, почему же не удачное? Файлы потом можно удалить опять же AVZ. Я бы назвал это решение просто неудобным. Собственно по этому я и создал тему...
-
Junior Member
- Вес репутации
- 53
Здравствуйте! Помогите пожалуйста восстановить мультимедийные файлы!!! У меня такая же проблема как описано у вас выше. Я пробовал через AVZ но не получается восстановить файлы из карантина. Посоветуйте что делать!