-
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Что нужно мне:
1. Откуда этот самый BartPE берется ? Чтобы мне не искать (готовых бут-дисков дисков с разными BartPE и т.п. у меня горсть лежит, но если брать все официально - то официально)
2. Есть данные о том, как для него делать плагины ?
-
-
1.конечно с официального сайта:
http://www.nu2.nu/pebuilder/
http://www.nu2.nu/pebuilder/#download
2. надо поискать подробную инструкцию. надеюсь, ребята читающие эту тему помогут. если найду раньше сообщу.
Добавлено через 4 минуты
http://www.homenetworkhelp.info/inde...ast-2007-03-19
хорошая статейка, внизу линки на сайты с инструкциями для создания нового плагина
Добавлено через 6 часов 48 минут
Добавил про обновление- важная вещь, совсем не охота каждый раз мастерить livecd
Последний раз редактировалось drongo; 15.11.2008 в 18:20.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
drongo
Олег Зайцев, требуется сделать:
-плагин для bartpe который сможет работать с реестром и переменными окружения зараженной машины .
Да уж, LiveCd становится наиболее актуальным средством борьбы со зловредами. Может лучше сделать LiveCd на базе VistaPE (WinPE 2.0) (vistape.net/rus/index.html)? Там поменьше ограничений будет на работу программ...
И подключаемый реестр зараженной машины - это очень нужно! (Правда, это я встречал только в LiveCd от SysInternals ERD Commander - видимо не очень просто это сделать.)
P.S. Сканер Drweb можно запускать с VistaPE, переместив всю папку Drweb на LiveCd (проверено лично), Spybot вроде бы тоже можно переносить на LiveCd копированием папки, сканер AVZ пока не проверял.
Актуальным для меня является вопрос о переносе сканера Kaspersky 2009 на LiveCD (родной Rescue диск на BartPE не очень устраивает - на одних системах запускается, на других - нет). Никто не встречался с ручными методами переноса Kaspersky 2009 на LiveCd?
-
Сообщение от
Vorland
Актуальным для меня является вопрос о переносе сканера Kaspersky 2009 на LiveCD (родной Rescue диск на BartPE не очень устраивает - на одних системах запускается, на других - нет). Никто не встречался с ручными методами переноса Kaspersky 2009 на LiveCd?
http://downloads.kaspersky-labs.com/...ds/RescueDisk/
-
-
И подключаемый реестр зараженной машины - это очень нужно! (Правда, это я встречал только в LiveCd от SysInternals ERD Commander - видимо не очень просто это сделать.)
как вариант - подключать и редактировать поломанный реестр с помощью "Загрузить куст" в стандартном "regedit". Это возможно в любой загружающейся сборке LiveXP.
-
Junior Member
- Вес репутации
- 58
Сообщение от
DVi
Это на базе Linux. А хотелось бы на базу Win PE перенести Kaspersky.
А если использовать LiveCd на базе Linux, то как обновлять базы на нём (без выхода в Инет для обновления или повторного скачивания всего образа) - ручками, имея только установленный под Windows Kaspersky. Интересует только какие какие папки/файлы и где заменять... (UltraIso пользоваться умеем ;-) ?
Сообщение от
Damien
как вариант - подключать и редактировать поломанный реестр с помощью "Загрузить куст" в стандартном "regedit". Это возможно в любой загружающейся сборке LiveXP.
Как заставить при этом AVZ (или другой антивирус) работать с загруженным кустом ?
-
Как заставить при этом AVZ (или другой антивирус) работать с загруженным кустом ?
даже не задавался этим вопросом т.к. всё приходилось делать вручную.
Но, по идее работа с загруженным кустом ничем не отличается от обычного. Ну разве что некоторые утилиты не смогут найти разделы отвечающие за автозагрузку т.к. они будут лежать не по привычным путям, а с приставкой. Тогда это вопрос к разработчикам утилит...
-
Сообщение от
Vorland
А хотелось бы на базу Win PE перенести Kaspersky
WinPE небесплатен, поэтому Лаборатория Касперского его не использует.
-
-
Зато BartPE бесплатен, поэтому многие сборщики LiveCD используют его. Проблема только в том, пользователь сам должен собрать LiveCD из своего (презюмируется - легального) дистрибутива Windows.
Вот один из примеров плагина для работы АVZ с Live CD:
; AVZ.inf
; PE Builder v3 plug-in INF file for copy custom tools CD
; Created by VV2006
;
[Version]
Signature= "$Windows NT$"
[PEBuilder]
Name="AVZ"
Enable=1
Help=""
[WinntDirectories]
a="Programs\AVZ",2
[SourceDisksFolders]
files=a,,1
[Software.AddReg]
0x2,"Sherpya\XPEinit\Programs","AVZ","%SystemDrive %\programs\AVZ\avz4remoute.cmd||%SystemDrive%\Prog rams\AVZ\avz.exe" "
0x2,"Sherpya\XPEinit\Desktop","AVZ","%SystemDrive% \programs\AVZ\avz4remoute.cmd||%SystemDrive%\Progr ams\AVZ\avz.exe,0"
Содержимое командного файла avz4remoute.cmd, выполняющего копирование каталога AVZ во временный каталог (как правило, это корень виртуального диска B:\) и последующий запуск для удалённой системы:
xcopy avz /S %temp%\avz\*.*
start RunScanner.exe /y /t 0 %temp%\avz\avz.exe
Редиректор-сканер, позволяющий переназначить работу программы на реестр другой системы, можно скачать здесь: http://www.paraglidernc.com/Files/RunScanner10022.cab
Вот здесь можно скачать базовый конструктор от 7sh3 с полностью русифицированным Help'ом (детальное описание формата файла модуля см. в pebuilder_xpe/help/russian/pluginformat.htm) : http://forum.ru-board.com/topic.cgi?...026&start=1780
Существуют некоторые неудобства при использования плагина, содержание которого приведено выше. Так, невозможно предотвратить обработку данных текущей (WinPE) системы, которая выполняется наряду с обработкой данных удалённого реестра (возможно, решение всё же есть, и оно в более внимательном изучении ключей работы рансканера 
). При работе с дисками, где систем Windows больше одной, нужен запуск AVZ через рансканер с дополнительным ключом /w <windows directory> для указания конкретной системы (телодвижения всё-таки могут понадобиться).
Конечно, было бы замечательно, если бы Олег попробовал реализовать в своей программе дополнительные возможности, предложенные drongo.
Последний раз редактировалось VV2006; 24.12.2008 в 04:45.
Причина: Дополнение
-
Немного покопался, сделал загрузочный диск с минимумом функций, и вроде как нормально стартующим AVZ с подключением реестра (высвечивается окно для указания пути к виндовс, пока не проверял) пока не проверял. Багов ещё многовато, драйвера надо вшить на дисковые подсистемы и пр. Если кому интересно кину на сетевой FTP (для нас бесплатный, вым виден из нета) для тестов.
Да, кстате может кто нибудь объяснит почему пуск в верху экрана появляется?
Кстати можно сделать на базе ERD Commander, но это вроде как коммерческий продукт, но скачивается бесплатно.
А вот что под вечер получилось.
http://security.belgorod-net.ru/PAK/...rusKit_0.1.rar 97 mb
Багов ещё хватает, например AVZ думает что система EN, драйверов нет, да и тестов почти не было. Короче пробуйте.
В будущем надеюсь закинуть и подключить ещё парочку популярных утилит.
Последний раз редактировалось Биомеханик; 24.12.2008 в 00:46.
-
Биомеханик
Скачал, загрузил образ в виртуальной машине. Возник вопрос: а выкладывать "для тестов" образ, загружаемый с паролем на входе в систему, это что, "шутка юмора"?
Посмотрел файлы образа, отвечающие за работу AVZ. Ничего нового в создании плагина не обнаружил. Упаковка UPX'ом - не в счёт, считаю, лучше экономить оперативную память и время выполнения, чем дисковую память. Смысл предлагаемого тестирования образа? Помочь Вам устранить ошибки, сбросить пароль на вход в систему? См. мой пост выше, лучше конструктора, чем по приведенной в нём ссылке вряд ли найдёте...
Последний раз редактировалось VV2006; 24.12.2008 в 09:40.
-
Пароль virusinfo
Какая паковка?
-
Биомеханик, насчёт паковки всё нормально: просто как-то не обращал внимание на оригинальную упаковку AVZ (UPX v2.03). Дело в том, что иногда при сборке LiveCD многие модули жмут дополнительно, чтобы место сэкономить. Сорри, померещилось...
Касательно Вашей сборки, Пуск обнаружился на привычном месте. Появление английского интерфейса AVZ, видимо, связано с недостатками плагина локализации. При использовании конструктора от 7sh3 такой проблемы нет - всё на великом и могучем.
Особенность рансканера: при запуске с CD-диска (I386) командного файла avz4remoute.cmd (run.cmd в образе Биомеханик) следует запрос каталога установки Windows; если же запускаем эту же сборку с (флеш)диска (MININT, у себя обозвал пробный вариант MINI_Z c соответствующей корректировкой пути в setupldr.bin) запроса каталога установки Windows не происходит и сразу появляется диалоговое окно выбора профиля пользователя. Это связано с особенностью реализации режима умолчания для запуска рансканера.
Проблема решаема, чтобы иметь возможность выбора инсталляции, следует запускать AVZ для удалённой системы так:
start RunScanner.exe /y /sd /t 0 %temp%\avz\avz.exe
Ключ /sd включает сканирование корневых каталогов на всех дисках с целью поиска Windows-инсталляций - можно выбрать из найденных (для Vista - ключ /sv, для "ручного" указания каталога Windows можно использовать ключ /s).
По-прежнему остаётся нерешённым вопрос отграничения данных текущей системы от данных удалённой системы при запуске AVZ для удалённой системы.
Последний раз редактировалось VV2006; 24.12.2008 в 20:06.
-
Я убрал (уберу) все ненужные модули из конструктора для уменьшения веса и возможных багов. Также планирую добавить дрова на скази и рейд + video карты (что смогу найти) + некоторые проги типа Hijackthis и каперского.
С локализацией вопрос почти решился в тестовых сборках получается запустить сразу русский гуй.
RunScaner поправлю. Будет два ярлыка для обычной винды и висты.
С последним пунктом не понял. Про какие конфликты идёт речь?
-
Биомеханик, из Windows XPE запустите свой run.cmd. Ну, а далее, например, Сервис - Менеджер автозапуска. Теперь обратите внимание на значения данных в колонке "Файл" - видны элементы автозапуска как для удалённой системы, так и для текущей PE-системы (наиболее заметны строки с "ненужными" путями X:\....) Конфликтом или проблемой вряд ли стоит это называть, но неудобством -несомненно.
Дано: среда преинсталляции (PE), позволяющая работать с удалённой Windows-системой.
Задача: не пропустить на вход AVZ данные текущей PE-системы (о текущих процессах, значениях ключей PE-реестра, запущенных PE-службах, загруженных PE-драйверах и т.п.), чтобы AVZ обратывались только (исключительно) данные удалённой (неактивной, "лежащей" системы).
-
Ну это уже к Олегу. Пути с X:\ можно легко отфильтровать. Короче нужна корректированная версия AVZ для PE систем.
Последний раз редактировалось Биомеханик; 25.12.2008 в 20:50.
-
Изменения, вносимые в удалённую систему (файлы, реестр) сохраняются в ней. Практически, возможно и восстановление настроек загрузки в SafeMode (10-ый скрипт). Поэтому, AVZ c LiveCD можно использовать, в частности, для решения проблемы с восстановлением варианта безопасной загрузки, упомянутой вот в этой теме: http://virusinfo.info/showthread.php?t=36275
-
Меня тоже достало вручную подключать реестр (из PE). Не будучи кодером, все же взялся на написание утилитки, которая хотя бы "собирает" по диску файлы реестра, определяет какой ControlSet текущий, показывает авторран и драйверы(службы) с возможностью отключения. Теперь поймал ступор, из-за недостатка знаний. Проблема в том, что проверять файлы по каталогу безопасных, работая в "нормальной" винде достаточно просто. А в PE с криптопровайдером работать не получается. Наверное, можно сделать специальную сборку, только универсальность теряется. Хэши sha1 , рассчитанные для всего файла (могу), не совпадают с хэшами, хранящимися в *.cat файлах, поскольку MS исключает из подсчета некоторые части образа. Вот здесь описано: http://209.85.229.132/search?q=cache...lnk&cd=1&gl=ru
Если кто-то поможет понять, как это должно быть реализовано, буду благодарен.
А еще лучше, если в AVZ будет добален функционал для работы из PE. Никакой плагин там не требуется, просто возможность нажатием "кнопки" выбрать интереующую копию винды. Или, хотя бы, вручную указывать исследуемые ветки реестра(вместо software - AVZ_software и т.д.). Даже проблема проверки по каталогу MS особо не стоит, в AVZ своя база достаточно большая. Жаль, я не могу понять ее формат ;-)
Если уж система не стартует, то один из "мягких" способов ее запустить - исследовать и подправить реестр, загрузившись со сторннего носителя. Возможно, иногда имеет смысл начисто переустановить погибшую систему(сам не люблю). В таком случае полезно было бы повытягивать максимум информации из старого реестра. Те же сетевые настройки, который пользователь "не знал, да еще и забыл".
(Как один из вариантов направления развития для AVZ).
Добавлено через 1 час 43 минуты
Хорошо, задам вопрос, подразумевающий конкретный ответ:"Уважаемый Олег Зайцев(автор AVZ), предполагается ли выход в свет версии AVZ, которая бы работала с "удаленным" реестром, будь то через загрузку кустов в "локальный реестр" Windows PE или прямым разбором файлов реестра?
На руборде в ветке AVZ народ о том же просил.
Последний раз редактировалось antanta; 27.12.2008 в 16:00.
Причина: Добавлено
-
-
Сообщение от
antanta
На руборде в ветке AVZ народ о том же просил.
...и по-прежнему просит:
http://forum.ru-board.com/topic.cgi?...6436&start=260 
Ответить с цитированием
