Так оно и делается - только не во время сканирования, а в менеджере TCP/UDP.Сообщение от Sanja
угу.. имхо намного лучше просто писать статистику по соединениям ака нетстат... полезней
to Xen
Привязка к процессу идет в XP и W3K. В 2K можно извратится и привязаться к процессам, но я это не делал ...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
>В 2K можно извратится и привязаться к процессам, но я это не делал ...
Попробуй через обращение к Device/Tcp ; Device/Udp - В 2к тоже будет работать..
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
В WinPCap'e вроде сделано что-то типа того...
Планируется ли в AVZ запуск с ключами из командной строки? Или они и сейчас существуют?
Есть и сейчас
Описание в документации. Хотя вроде там не все существующие ключики описаны.
Да, тем процентов 80% ключей - я как раз описываю их сейчас. И есть уже корпоративный AVZ - у него управление идет внешней микропрограммой (ее пишет и тестирует админ, в микропрограмме оговорены действия, которые AVZ должен сделать на автомате). Тесты уже пректически завершены, на этой неделе я публикую версию с этой фичей (она, кстати, есть и в текущем AVZ - но не документирована)Есть и сейчас
Описание в документации. Хотя вроде там не все существующие ключики описаны.
Вах!
AVZ растет не по дням, а по часам, что не может не радовать.
Люди, объясните все-таки парню с рабочей окраины
есть ли смысл оставлять AVZ висеть в трее, или это только для удобства вызова.
Вообще я много пользуюсь ей и не по назначению (порты, реестр, поиск).
На одном из форумов ссылку на AVZ скрыли за пятью постами, варез.
Пока нет смысла. Может скоро будет.
С технической точки зрения всящий в трее AVZ текущей версии ничего полезного не делает - просто висит ... так что пользы от его висения действительно никакой нет
Есть предложения по доработке -
Вот я открыл список процессов, обозреваю список DLL-ек у explorer.exe - там присутствует vbsys2.dll, впоследствии опознанная как некая гадость. Но она не выделена красным, а могла бы! Это трудно сделать? (блин, пропустил, надо было MD5 посчитать, а вдруг там сразу отмечает...)
И второе - была зверюга, спрятавшаяся под user mode rootkit, выделена красным. Но AVZ её не знает. Руткитность убрал, а процесс остался. Может, всё же такие процессы сразу в крантин и эвристическую чистку системы?
Вот ещё: Поиск файлов на диске. Отмеяаю, удаляю - список не изменился. Ага, понял, "Для удаления файла необходима перезагрузка". Жму Обновить - файла больше нет. Ну уж или перезагрузка, но он ещё есть, или совсем нет. Непонятно.
1. А на основании чего считать vbsys2.dll годастью ? Если ее сигнатур нет в базе, то в принципе оснований для этого нет ... Теоретически можно сделать проверку файлов по базе зверей, но это приведет к еще большим тормозам диспетчера процессов
2. Если включено "Копировать подозрительные в карантин", то процессы руткита теоретически туда попадут ... а вот процесс на автомате не убивается - мало ли что это - есть неопасных ряд программ, маскирующих свои процессы
3. Удаление файлов включает их переименование (чтобы файл не смог запуститься) и отложенное удаление. Раз поиск не нашел файлы при втором заходе, то это означает, что AVZ не смог их удалить, но смог переименовать и переименованные файлы были записаны на отложенное удаление. Сообщение я прикручу отдельно ...
Вышла новая версия - 3.80 - или перевая корпоративная, как ститать - поэтому для ее обсуждения я делаю отдельную ветку.
Тема закрыта, как не актуальная по версии AVZ и времени размещения последнего поста.
Пост NO-REG скопирован в актуальную тему.
Наше дело правое--победа будет за нами!!!
Ваши права в разделе
