[++] Внешние скрипты для управления AVZ (для его автоматического запуска на множестве ПК и управления действиями без участия пользователя). Описание языка в справке, подключение скрипта - при помощи ключа Script=<имя файла скрипта>
[++] Новый менеджер - менеджер внедренных DLL. По идее это аналог антикейлоггера, только детализированный.
[++] Новый менеджер - менеджер расширений системы печати. Отображает мониторы печати и провайдеры. Подключен к исследованию системы и автокарантину. Позволяет отключать любое расширение системы печати - несколько новейших видов троянов прописываются как монитор принтера, что делает их практически необнаружимыми для пользователя
[+] Сохранение даты/времени файла при помещении файла в карантин
[+/-] Переделки в области проверки CAB архивов - частично устранен сбой, возникающий на одном из CAB файлов из Office XP.
----
В новой версии существенно расширена базы вирусов - добавлено около 300 новых "зверей" и, что самое существенное, около 6000 безопасных файлов - я собрал их с большого кол-ва ПК, в сумме проанализировав около 4 ТБ файлов.
У версии 3.80 в базе 1 нейропрофиль, 55 микропрограмм лечения, 355 микропрограмы эвристики, 5 микропрограмм восстановления настроек системы, 40004 подписей безопасных файлов
----
Примечание:
Описание скриптововго языка - в хелпе или в документации на моем сайте http://z-oleg.com/secur/avz_doc/index.html, раздел "8. Скрипты управления". По воводу скриптового языка - его можно расширять до бесконечности, жду пожелания по командам ...
----
Завтра я сделаю еще одну тему - с полным перечнем всех пожеланий и предложений, которые прозвучали в разделе по 3.75 - чтобы все пожелания собирать единым списком, как предлагал aintrust
Последний раз редактировалось Зайцев Олег; 05.09.2005 в 17:37.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
ПО поводу скриптов. Нужнен для форума скриптик который запускает сканирование всех дисков с копированием в карантин всего подозрительного, после чего создаёт лог исследования системы и архив с содержимым карантина.
В принципе не плохо бы его положить прямо в архив с АВЗ.
Круто
Кроме поиска вредоносных она еще может проводить общую диагностику?
(Жалуется что не нашла библиотеки rsapi32)
Не запустился поиск внедренных DLL access violation address такой-то модуль AVZ.EXE Read address FFFFFFFF
А что, собственно, смущает?
Если какие-то вопросы или субъективно что-то не так, то необходимо выполнить телодвижения, согласно правилам: http://virusinfo.info/showthread.php?t=1235
И лог АВЗ - неполный. Необходимо сделать следующее "файл"-> "Исследование системы". Полученные данные сохранить в лог и выложить.
Если строки:
"E:\Back_Linux_2\gas\MyDownload\OOo_1.1.1_russian_ LinuxIntel_install.tar Spanning not supported by this Archive type
E:\Distrib\Microsoft Office XP Pro Rus\FILES\OSP\1049\IE5\RU\VMX86_01.CAB/wfcclean.exe Ошибка распаковки
E:\Distrib\Microsoft Office XP Pro Rus\FILES\OSP\1049\IE5\RU\VMX86_02.CAB/javabase.cab Ошибка распаковки"" - То эти образцы необходимо Олегу предоставить. (Мэйл в меню "О программе")
Если эти строки:
". Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\nview.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\nview.dll>>> Нейросеть: файл с вероятностью 0.22% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\NVWRSRU.DLL --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\NVWRSRU.DLL>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\nvwddi.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\nvwddi.dll>>> Нейросеть: файл с вероятностью 0.70% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами"
То сделать тоже самое (отправить для внесения в базу безопасных файлов). Это, вроде, драйвера от Нвидиа?
Последний раз редактировалось Iceman; 05.09.2005 в 20:50.
А что, собственно, смущает?
Если какие-то вопросы или субъективно что-то не так, то необходимо выполнить телодвижения, согласно правилам: http://virusinfo.info/showthread.php?t=1235
И лог АВЗ - неполный. Необходимо сделать следующее "файл"-> "Исследование системы". Полученные данные сохранить в лог и выложить.
Да ничего не смущает. Сказали типа тестировать, вот и тестирую...А каким нибудь дельным советом я помочь не могу...уж извините.
А по поводу лога исправляюсь...
Если строки:
"E:\Back_Linux_2\gas\MyDownload\OOo_1.1.1_russian_ LinuxIntel_install.tar Spanning not supported by this Archive type
Если эти строки:
". Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\nview.dll --> Подозрение на Keylogger или троянскую DLL
Это, вроде, драйвера от Нвидиа?
Ну то, что он архивы tar не понимает это естественно, он же под Виндовс...А второе действительно дрова Нвидии, тоже не парюсь.
Да ничего не смущает. Сказали типа тестировать, вот и тестирую...А каким нибудь дельным советом я помочь не могу...уж извините.
А по поводу лога исправляюсь...
Да всё нормально! ;-))). Просто чуточку уточнений, что Вы хотите показать в данном случае.
Несколько проблем с проверкой по базе безопасных в "Исследовании системы":
1. В "Службах" не опознаются безопасными файлы (хотя они есть в базе): C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\DrWeb\SpiderNT.exe
Видимо, AVZ их не находит (см. лог) из-за пробела в пути...
2. Строку: \??\C:\Program Files\DrWeb\spider.sys AVZ благополучно относит к безопасным в "Модулях пространства ядра", но не понимает в "Драйверах".
3. Строка в "Автозапуске" вида: C:\WINDOWS\system32\dumprep 0 -k по-прежнему не понята AVZ.
4. В "Драйверах" не опознаются файлы без четкого пути и расширений (см. лог), хотя они есть в базе безопасных AVZ. Имена этих файлов совпадают со значениями в поле "Служба", имеют расширения *.SYS, лежат в стандартных местах и благополучно запускаются системой.
5. "Черные дыры" в "Модуле расширений проводника".
P.S. Исправление этих багов упростит работу Helper-ам при обнаружении новой заразы...
P.P.S. "Менеджер внедренных DLL" вываливается с ошибкой (Win XP), как и у всех...
Последний раз редактировалось DenZ; 06.09.2005 в 07:51.
Скорее всего виноват прокси - файл вязлся из кеша. Именно поэтому год назад я выкладывал апдейты, включая в их имена дату - чтобы бороться с кеширующим прокси.