-
Бета-тестирование AVZ 3.60
Вышла новая новая версия AVZ - 3.60. Версия доступна для загрузки тут: http://z-oleg.com/secur/avz-dwn.htm (http://z-oleg.com/avz-betta3.zip)
Радикальные новшества:
1. Доработано сохранение протоколов во всех окнах;
2. Исследование системы - теперь полный вариант, полностью переработанный;
3. Заработал менеджер расширений IE, он показывает BHO, панели, модули расширения IE;
4. Появился менеджер автоматического копирования файлов в карантин - он вызывается из окна просмотра карантина и позволяет автоматом занести в карантин объекты, которые не значатся в базе безопансых AVZ (в настройке задаются категории - процессы, DLL, автозапуск и т.п.)
5. Из диспетчера процессов вызывается поиск по реестру (меню по правой кнопке) для поиска по полному илисокращенному имени файла
6. Доработана таблица найденных объектов - добавлена сортировка, отображение категории объекта, отметка объектов по категории
7. Расширен диспетчер автозапуск - добавлены новые источники автозапуска
8. Новый режим действий, доступный для всех категорий зловредных программ - "спросить пользователя" (до этого было только "удалить" и "только отчет)". Если его выбрать, то AVZ для каждого объекта выводит окно с полным именем объекта и названием обнаруженного зверя.
----
Кроме того, расширена база - добавлено около 400 новых "зверей", усовершенствован эвристик. У версии 3.60 в базе 14656 сигнатур, 1 нейропрофиль, 55 микропрограмм лечения, 290 микропрограммы эвристики, 5 микропрограммы восстановления настроек системы, 30169 подписей безопасных файлов
----
Для фиксации багов по адресу http://avz.virusinfo.info/ Geser разместил сервис BugTracker, за что ему огромное спасибо. Сервис позволяет автоматизировать фиксацию багов в программе.
Последний раз редактировалось Зайцев Олег; 25.06.2005 в 20:04.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Не работает приложение "модули пространства ядра"
Код:
Access volation at address 004060A8 in module 'AVZ.exe'. Read of address 00000330
W XP sp2 enu
-
-
Сообщение от
shu_b
Не работает приложение "модули пространства ядра"
Код:
Access volation at address 004060A8 in module 'AVZ.exe'. Read of address 00000330
W XP sp2 enu
Исправлено ... это глюк возник при окончательной сборке 3.60 ... я исправил и обновил архив
-
-
Сообщение от
Зайцев Олег
Исправлено ... это глюк возник при окончательной сборке 3.60 ... я исправил и обновил архив
Да, теперь работает
ps На страничке загрузки не обновлён номер версии.
-
-
Ага, есть такой глюк - на стартовой номер нормальный, а на загрузке - старый ... - подправлено.
-
-
Visiting Helper
- Вес репутации
- 75
Зашёл на virusinfo и получил
>>> Опасно: Порт 1034 TCP - I-Worm.Mydoom.m backdoor ()
-
-
В BHO наблюдаются "дырки от бублика".
Последний раз редактировалось RiC; 27.06.2005 в 18:48.
-
-
Junior Member
- Вес репутации
- 72
Олег, я уже описывал следующий баг в прошлой ветке: в отчете "Исследование системы" не выводятся небезопасные библиотеки безопасных процессов, хотя все галки стоят по умолчанию. Например, безопасный IE загружает несколько небезопасных DLL, но в отчете "Исследовании системы" о них ни слова, хотя в "Диспетчере процессов" они есть!
И еще, а нельзя ли в отчете "Исследование системы" цветом фона отделить процессы от библиотек?
-
Это черные дыры Я тоже такое видел и не знаю, как с этм бороться. Причина - был какой-то BHO и он некорретно удален. Т.е. в настройках IE они зарегистрированы, а файла/класса и т.п. - нет. Как в таком случае быть - я не знаю ...
-
-
Junior Member
- Вес репутации
- 72
При Автодобавлении через Карантин появляется окошко с ошибкой:
-
Так, архив обновлен ... исправлнено:
1. Глюк, который нашел DenZ в автокарантине- да, там имел место баг, я его выправил
2. Глюк, который нашел DenZ в Исследовании системы - я исправил обсужденный ранее баг, но как-то не совсем ... сейчас вроде все пошло нормально. Цветовое выделение - это необходимо (или столбец с типом "процесс/библиотека"), но цвета я различаю плохо - поэтому жду предложения по оформлению
3. Пустые строки в менеджере BHO- я сделaл вывод сообщения об ошибке в строке + CLSID класса
4. Глюк, который нашел azza - поддержка портов будет переделана, я выкину из базы "неявные" порты, тогда ткие срабатывания исчезнут - на порыт в зоне 1000-2000 срабатывания идет часто и не по делу...
-
-
Если Олег не против, то можно начинать пользоваться багтрекером http://avz.virusinfo.info
Олег, только новые версии там прописыавть нужно.
-
-
Ещё мысль, сейчас выудил файл безвредный от мелкософта, оказалось что он имеет цифровую подпись, а AVZ на него ругается, может есть смысл проверять наличие цифровой подписи от мышиного короля ? Потому как они последнее время стали активно подписывать "свои" файлы, а так-же сертифицированные дрова и т.д... ? Количество "непонятного" уменьшится раза в 2.
Последний раз редактировалось RiC; 24.06.2005 в 13:19.
-
-
Кстати, это наверное прикол такой, но сама утилита avz.exe не помечена в диспетчере процессов как известная. Тоже самое относится к драйверу avz.sys в "модулях пространства ядра". Олег, это очень-очень нелогично- утилита не узнаёт саму себя как доверенную.
-
-
Сообщение от
rav
Кстати, это наверное прикол такой, но сама утилита avz.exe не помечена в диспетчере процессов как известная. Тоже самое относится к драйверу avz.sys в "модулях пространства ядра". Олег, это очень-очень нелогично- утилита не узнаёт саму себя как доверенную.
Да, есть такое дело ... сдалано это умышленно и только на время бата тестов - версии постоянно меняются и вводить их в базу просто бессмыссленно ... - после стабилизации версии я конечно всесу ее в базы. В карантин эти файлы кстати не копируются.
-
-
Сообщение от
RiC
Ещё мысль, сейчас выудил файл безвредный от мелкософта, оказалось что он имеет цифровую подпись, а AVZ на него ругается, может есть смысл проверять наличие цифровой подписи от мышиного короля ? Потому как они последнее время стали активно подписывать "свои" файлы, а так-же сертифицированные дрова и т.д... ? Количество "непонятного" уменьшится раза в 2.
Я думал о проверке подписи - но имеет смысл приверять только цифровую подпись MS ... поскольку на "уважающих себя" SpyWare тоже есть цифровые подписи ...
-
-
Сообщение от
Зайцев Олег
Я думал о проверке подписи - но имеет смысл приверять только цифровую подпись MS ... поскольку на "уважающих себя" SpyWare тоже есть цифровые подписи ...
Что я собственно и имел в виду
На "уважающей себя" цифровая подпись явно не мышиного короля, а какого нибудь "папуа - новая гвинея" центра сертификации, или вообще не существующего в природе.
Майкрософт кстати поставляет список "доверенных" центров сертификации, который можно выкопать на windowsupdate, если подпись не одного из доверенных, и не самого "мышиного короля", тогда файл Imho автоматом попадает в категорию подозрительных и может с чистой совестью идти прямой дорогой на сдачу анализов.
-
-
Сообщение от
Geser
Если Олег не против, то можно начинать пользоваться багтрекером
http://avz.virusinfo.info
Олег, только новые версии там прописыавть нужно.
Да, я сейчас пропишу туда новую версию ... т.е. конечно, баги лучше писать туда, а здесь обсуждать пожелания по усовершенствованию, новым возможностям и т.п.
Вот актуальные вопросы для обсуждения:
1. Сейчас готова "подсистема долечивания", если обзывать ее термином ЛК. Идея подсистемы в том, что удаляемый файл может автоматом отписаться из реестра, убраться из автозапуска всех видов ...). Вопрос - насколько это актуально, полезно и т.п.
2. Чего еще не хватает в исследовании системы ?
-
-
Ну да, чогласен на все 100% ... я именно поэтому и не проверяю ЦП, поскольку раздающих подписи развелось как собак неразанных. Если проверять только подпись MSб то польза будет - беру на заметку
-
-
Сообщение от
Зайцев Олег
1. Сейчас готова "подсистема долечивания", если обзывать ее термином ЛК. Идея подсистемы в том, что удаляемый файл может автоматом отписаться из реестра, убраться из автозапуска всех видов ...). Вопрос - насколько это актуально, полезно и т.п.
Нужно. Иначе после удаления могут появляться всевозможные сообщения об ошибках, а это нервирует людей. Кстати, это реализовано в КАВ2006.
-