Страница 2 из 16 Первая 12345612 ... Последняя
Показано с 21 по 40 из 316.

AVZ 3.80 - тестирование, обсуждение, предложения по доработке

  1. #21
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Версия 3.80.02
    [-] Исправлена ошибка при вызове менеджера внедренных DLL
    [-] Копирование даты/времени файла при его помещении в карантин. Плюс в описывающий файл INI заносится информация не только о дате карантина, но и о дате/времени файла
    [-] Улучшена справка (индексация, немного расширены некоторые разделы)
    [+] Включено сканирование NTFS потоков по умолчанию
    [+] Доработан анализатор имени файла, отделающий имя от параметров и т.п.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #22
    Geser
    Guest
    Отлично. Остались только "черные дыры" в менеджере расширений проводника.

  4. #23
    Junior Member Репутация
    Регистрация
    08.07.2005
    Сообщений
    105
    Вес репутации
    69
    Олег
    Насчет менеджера внедренных DLL, проверяются ли эти объекты по базе безопастных?
    А то вот например та же MIPro.dll, которую я Вам высылал, в базы безоппастных включена, а в менеджере имеем подозрение на Keylogger или троянкую DLL с вероятностью 98,6%.

  5. #24
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Grey
    Олег
    Насчет менеджера внедренных DLL, проверяются ли эти объекты по базе безопастных?
    А то вот например та же MIPro.dll, которую я Вам высылал, в базы безоппастных включена, а в менеджере имеем подозрение на Keylogger или троянкую DLL с вероятностью 98,6%.
    Да, там подсветка идет по базе безопасных. Но все файлы отображаются, вместе с анализом нейросети - последний позволяет оценить, насколько DLL похожа на типовой перехватчик. Т.е. в данном случае MIPro.dll должен "гореть зеленым", а 98,6% - это его степень похожести на типовой перехватчик.

  6. #25
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Geser
    Отлично. Остались только "черные дыры" в менеджере расширений проводника.
    Да, я их сегодня постараюсь закрыть. В новом апдейте будет это + скриптик для автопроверки ПК

  7. #26
    Geser
    Guest
    Цитата Сообщение от Зайцев Олег
    Да, я их сегодня постараюсь закрыть. В новом апдейте будет это + скриптик для автопроверки ПК
    Я подумал, наверное нужен еще бетч который будет запускать АВЗ с этим скриптом, что бы не объяснять как запускать из коммандной строки с ключами. Что-то типа virusinfo.bat

    P.S. Нужно бы выводить в лог версию Вин, и если лог сделан в защищённом режиме писать об этом тоже

  8. #27
    Junior Member Репутация
    Регистрация
    08.07.2005
    Сообщений
    105
    Вес репутации
    69
    Цитата Сообщение от Зайцев Олег
    Да, там подсветка идет по базе безопасных. Но все файлы отображаются, вместе с анализом нейросети - последний позволяет оценить, насколько DLL похожа на типовой перехватчик. Т.е. в данном случае MIPro.dll должен "гореть зеленым", а 98,6% - это его степень похожести на типовой перехватчик.
    Ну с этим ясно, спасибо.

    А теперь обращаюь ща помощью:
    на одной машине юзер устанавливал прогу Directory Opus. Потом прога сия была удалена. Но теперь при клике на иконке "Мой компьтер" вываливается диалог "Выбор программы для открытия файла".
    Лог менеджера расширений проводника в аттаче.

    Да, кстати, только обратил внимание, в заголовоке окна "Менеджер расширений проводника" написано "Менеджер расширений IE".
    Вложения Вложения

  9. #28
    Geser
    Guest
    Цитата Сообщение от Grey
    Ну с этим ясно, спасибо.

    А теперь обращаюь ща помощью:
    на одной машине юзер устанавливал прогу Directory Opus. Потом прога сия была удалена. Но теперь при клике на иконке "Мой компьтер" вываливается диалог "Выбор программы для открытия файла".
    Лог менеджера расширений проводника в аттаче.

    Да, кстати, только обратил внимание, в заголовоке окна "Менеджер расширений проводника" написано "Менеджер расширений IE".
    Логично предположить что все расширения отсюда D:\Grey\Trash\Soft\Shell\DirOpus\8.xx\wrtg\ нужно отключить

  10. #29
    Junior Member Репутация
    Регистрация
    08.07.2005
    Сообщений
    105
    Вес репутации
    69
    Отключил все.
    Но проблема не решена.
    Может конечно еще и перегрузиться нужно ...

  11. #30
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    317
    Цитата Сообщение от WakenUp
    Круто
    ...
    Не запустился поиск внедренных DLL access violation address такой-то модуль AVZ.EXE Read address FFFFFFFF
    Да, Олег, у меня тоже не работает (Windows XP SP2), Выдает "Access violation... Read of address... " хотя та "внутренняя" версия, что ты мне присылал, работала без проблем. Странно, однако...

  12. #31
    Junior Member Репутация
    Регистрация
    08.07.2005
    Сообщений
    105
    Вес репутации
    69
    Олег
    Проблема "съедания" памяти при включении "Отчет о чистых объектах" пока осталась (т.к. весь лог пишется в Мемо).
    Помню, Вы говорили что временно отказались от кеширования лога в файл для возможности запуска AVZ под WinPE. Но при загрузке WinPE создается RAM-drive, может на него сразу и писать? Или уж указывать имя лог-файла? Для лога чистых объектов сие не очень то критично, но тем не менее... Кроме того получается что "теоретически" может возникнуть подобная ситуация и при отключенном "Отчет о чистых объектах", в случае когда будет оооочень много зараженных и подозрительных объектов. Понимаю что такое маловероятно, поэтому то и пишу "теоретически"

  13. #32
    WakenUp
    Guest
    Менеджер ДЛЛ заработал
    Программа класс, объединить бы ее с APS... то и в трее не зря бы висела.
    Когда там МакАфи устраняет прорехи не так впечатляет, тысячи сотрудников, бешенные бабки, а здесь на лету.
    Догоните и обгоните буржуев.

  14. #33
    Junior Member Репутация
    Регистрация
    03.03.2005
    Сообщений
    55
    Вес репутации
    70
    В версии 3.80.02 по-прежнему осталось несколько проблем с проверкой по базе безопасных:

    1. В "Драйверах" не опознаются файлы без пути и расширений (см. лог), хотя они есть в базе безопасных AVZ. Имена этих файлов совпадают с названиями драйверов (значениями в поле "Служба"), имеют расширения *.SYS, лежат в стандартных местах и благополучно запускаются системой.

    2. Строка в "Автозапуске" вида: C:\WINDOWS\system32\dumprep 0 -k не понята AVZ.
    Вложения Вложения
    Последний раз редактировалось DenZ; 06.09.2005 в 20:28.

  15. #34
    Junior Member Репутация
    Регистрация
    03.03.2005
    Сообщений
    55
    Вес репутации
    70
    Затестил ради интереса работу AVZ на компе с Win NT 4 SP6 Server. Вот такой раритет, но все же в хелпе AVZ написано, что должна работать на Windows NT.
    Привожу результаты (см. лог):

    1. Кусок лога:
    Код:
    Не найдена библиотека rasapi32.dll
    ...
    1.2 Поиск перехватчиков API, работающих в KernelMode
     Ошибка загрузки драйвера - проверка прервана
    Т.е. поиск перехватчиков API, работающих в KernelMode, не производится. Выдается ошибка загрузки драйвера avz.sys.

    2. Проверка памяти:
    Код:
     Количество найденных процессов: 0
     Количество загруженных модулей: 0
    Проверка памяти завершена
    Т.е. память не проверяется, хотя в "Исследовании системы" видны запущенные процессы.

    3. В логе "Исследование системы" и "Диспетчере процессов" нет ни одной DLL, используемой процессами, что странно.

    4. В "Настройки SPI/LSP" - Поставщики пространства имен (NSP):
    Код:
    Обнаружено - 2, опознано как безопасные - 2
    Это не соответствует действительности, т.к. эти файлы неизвестны AVZ и должны быть закрашены в темный цвет.

    P.S. Обратил внимание, что почти все системные файлы Win NT 4 SP6 Server неизвестны AVZ. Похоже, кроме меня ей уже никто не пользуется.

    Олег, есть смысл высылать Вам эти файлы для включения в базу безопасных или работа AVZ в этой системе не будет поддерживаться?
    Вложения Вложения

  16. #35
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Наверное, не имеет смысла. NT4 по внутренностям довольно сильно отличается от 2K и более поздних. Драйвер, скорее всего, придётся писать заново.

    Лично я свои раритеты намерен к Новому году проводить на пенсию. Их осталось всего два - контроллеры домена, однако, так просто не заменить.

  17. #36
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Под NT 4 у AVZ не работают новые разновидности драйвер - в принципе я могу прислать приватную версию, которая там функционирует - там в драйвере нет некоторых "наворотов", которые приводят к несовместимости с NT4. А вот процессы он обязан показывать, тут нужно разбираться.

  18. #37
    Junior Member Репутация
    Регистрация
    03.03.2005
    Сообщений
    55
    Вес репутации
    70
    Как я понял из ветки: http://virusinfo.info/showthread.php?t=2395 сообщения AVZ вида:
    Код:
    Функция kernel32.dll:CreateProcessA (198) перехвачена, метод ProcAddressHijack.GetProcAddress ->C008129A<>BFF77741
    Функция kernel32.dll:WinExec (812) перехвачена, метод ProcAddressHijack.GetProcAddress ->C0081292<>BFFA0DA8
    это нормально. Подобные сообщения я наблюдал на нескольких "чистых" ПК с Win 98 SE 4.10.2222 A.

    Так может убрать эти сообщения из лога, чтобы не смущать неподготовленного пользователя. Или хотя бы пояснять, что и зачем перехватывает функции kernel32.dll и почему это не опасно!
    Последний раз редактировалось DenZ; 07.09.2005 в 16:35.

  19. #38
    Geser
    Guest
    Цитата Сообщение от DenZ
    Как мне удалось понять из ветки: http://virusinfo.info/showthread.php?t=2395 сообщения AVZ вида:
    Код:
    Функция kernel32.dll:CreateProcessA (198) перехвачена, метод ProcAddressHijack.GetProcAddress ->C008129A<>BFF77741
    Функция kernel32.dll:WinExec (812) перехвачена, метод ProcAddressHijack.GetProcAddress ->C0081292<>BFFA0DA8
    это нормально. Подобные сообщения я наблюдал на нескольких "чистых" ПК с Win 98 SE 4.10.2222 A.

    Так может убрать эти сообщения из лога, чтобы не смущать неподготовленного пользователя. Или хотя бы пояснять, что и зачем перехватывает функции kernel32.dll и почему это не опасно!
    Перехват функций может быть опасным а может и не быть. Решить опасный он или нет может только человек имеющий определённый опыт и знания, и то с некоторой долей уверенности. Для того существует данный форум, что бы неподхотовленным пользователям было где спросить совета в сомнительных ситуациях.

  20. #39
    Visiting Helper Репутация
    Регистрация
    20.09.2004
    Сообщений
    187
    Вес репутации
    73
    Цитата Сообщение от DenZ
    Как я понял сообщения AVZ вида:

    Функция kernel32.dll:CreateProcessA (19 перехвачена, метод ProcAddressHijack.GetProcAddress ->C008129A<>BFF77741
    Функция kernel32.dll:WinExec (812) перехвачена, метод ProcAddressHijack.GetProcAddress ->C0081292<>BFFA0DA8
    это нормально. Подобные сообщения я наблюдал на нескольких "чистых" ПК с Win 98 SE 4.10.2222 A.

    Так может убрать эти сообщения из лога, чтобы не смущать неподготовленного пользователя. Или хотя бы пояснять, что и зачем перехватывает функции kernel32.dll и почему это не опасно!
    Помнится, у меня подобные две строки исчезли после сноса Нортоновских утилит.

  21. #40
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Geser
    Перехват функций может быть опасным а может и не быть. Решить опасный он или нет может только человек имеющий определённый опыт и знания, и то с некоторой долей уверенности. Для того существует данный форум, что бы неподхотовленным пользователям было где спросить совета в сомнительных ситуациях.
    В данном случае Geser прав - решение должен принимать человек, в хелпе и FAQ я это прописал ...

Страница 2 из 16 Первая 12345612 ... Последняя

Похожие темы

  1. AVZ 3.75 - тестирование, обсуждение, предложения по доработке
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 53
    Последнее сообщение: 28.02.2007, 03:18
  2. AVZ 4.19 - 4.21 + AVZGuard - тестирование, обсуждение, предложения по доработке
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 520
    Последнее сообщение: 12.12.2006, 16:07
  3. AVZ 4.18 + AVZGuard - тестирование, обсуждение, предложения по доработке
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 55
    Последнее сообщение: 19.07.2006, 17:36
  4. AVZ 4.16 + AVZGuard - тестирование, обсуждение, предложения по доработке
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 108
    Последнее сообщение: 14.06.2006, 09:40
  5. AVZ 4.00 - тестирование, обсуждение, предложения по доработке
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 406
    Последнее сообщение: 22.02.2006, 11:37

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00540 seconds with 18 queries