Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 39.

AVZ on LiveCD

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994

    AVZ on LiveCD

    Олег Зайцев, требуется сделать:
    -плагин для bartpe который сможет работать с реестром и переменными окружения зараженной машины .
    -думаю, удобнее будет сделать в самой avz- автовыбор реестра( если система поднялась с СД, а не с харда- автоматически подключалась бы к реестру заражённой системы а не к bartpe( со стороны пользователя не нужно телодвижений - меньше движений- меньше багов )-
    -в логах avz должна быть строчка в верху с указанием, к какому реестру было подключение
    - в гуи сделать выбор через окошко "Обзор"
    место сохранение логов и карантина. ( Через скрипт уже ведь есть, осталось через гуи воплотить )
    -возможность обновления баз локально через гуи (базы распакованы на диске, флешке итд)
    -Полная рабочая сборка с имиджем и отдельно плагин закинуть на рапиду или какой-нибудь обменник, далее я сам уже закину в битторент - разберут

    P.S. Надеюсь, так менее туманно
    Последний раз редактировалось drongo; 15.11.2008 в 18:19.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Что нужно мне:
    1. Откуда этот самый BartPE берется ? Чтобы мне не искать (готовых бут-дисков дисков с разными BartPE и т.п. у меня горсть лежит, но если брать все официально - то официально)
    2. Есть данные о том, как для него делать плагины ?

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    1.конечно с официального сайта:
    http://www.nu2.nu/pebuilder/
    http://www.nu2.nu/pebuilder/#download
    2. надо поискать подробную инструкцию. надеюсь, ребята читающие эту тему помогут. если найду раньше сообщу.

    Добавлено через 4 минуты

    http://www.homenetworkhelp.info/inde...ast-2007-03-19
    хорошая статейка, внизу линки на сайты с инструкциями для создания нового плагина

    Добавлено через 6 часов 48 минут

    Добавил про обновление- важная вещь, совсем не охота каждый раз мастерить livecd
    Последний раз редактировалось drongo; 15.11.2008 в 18:20. Причина: Добавлено

  5. #4
    Junior Member Репутация
    Регистрация
    18.07.2007
    Сообщений
    7
    Вес репутации
    61
    Цитата Сообщение от drongo Посмотреть сообщение
    Олег Зайцев, требуется сделать:
    -плагин для bartpe который сможет работать с реестром и переменными окружения зараженной машины .
    Да уж, LiveCd становится наиболее актуальным средством борьбы со зловредами. Может лучше сделать LiveCd на базе VistaPE (WinPE 2.0) (vistape.net/rus/index.html)? Там поменьше ограничений будет на работу программ...

    И подключаемый реестр зараженной машины - это очень нужно! (Правда, это я встречал только в LiveCd от SysInternals ERD Commander - видимо не очень просто это сделать.)

    P.S. Сканер Drweb можно запускать с VistaPE, переместив всю папку Drweb на LiveCd (проверено лично), Spybot вроде бы тоже можно переносить на LiveCd копированием папки, сканер AVZ пока не проверял.

    Актуальным для меня является вопрос о переносе сканера Kaspersky 2009 на LiveCD (родной Rescue диск на BartPE не очень устраивает - на одних системах запускается, на других - нет). Никто не встречался с ручными методами переноса Kaspersky 2009 на LiveCd?

  6. #5
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2174
    Цитата Сообщение от Vorland Посмотреть сообщение
    Актуальным для меня является вопрос о переносе сканера Kaspersky 2009 на LiveCD (родной Rescue диск на BartPE не очень устраивает - на одних системах запускается, на других - нет). Никто не встречался с ручными методами переноса Kaspersky 2009 на LiveCd?
    http://downloads.kaspersky-labs.com/...ds/RescueDisk/

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.10.2008
    Сообщений
    332
    Вес репутации
    73
    И подключаемый реестр зараженной машины - это очень нужно! (Правда, это я встречал только в LiveCd от SysInternals ERD Commander - видимо не очень просто это сделать.)
    как вариант - подключать и редактировать поломанный реестр с помощью "Загрузить куст" в стандартном "regedit". Это возможно в любой загружающейся сборке LiveXP.

  8. #7
    Junior Member Репутация
    Регистрация
    18.07.2007
    Сообщений
    7
    Вес репутации
    61
    Это на базе Linux. А хотелось бы на базу Win PE перенести Kaspersky.

    А если использовать LiveCd на базе Linux, то как обновлять базы на нём (без выхода в Инет для обновления или повторного скачивания всего образа) - ручками, имея только установленный под Windows Kaspersky. Интересует только какие какие папки/файлы и где заменять... (UltraIso пользоваться умеем ;-) ?

    Цитата Сообщение от Damien
    как вариант - подключать и редактировать поломанный реестр с помощью "Загрузить куст" в стандартном "regedit". Это возможно в любой загружающейся сборке LiveXP.
    Как заставить при этом AVZ (или другой антивирус) работать с загруженным кустом ?

  9. #8
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.10.2008
    Сообщений
    332
    Вес репутации
    73
    Как заставить при этом AVZ (или другой антивирус) работать с загруженным кустом ?
    даже не задавался этим вопросом т.к. всё приходилось делать вручную.
    Но, по идее работа с загруженным кустом ничем не отличается от обычного. Ну разве что некоторые утилиты не смогут найти разделы отвечающие за автозагрузку т.к. они будут лежать не по привычным путям, а с приставкой. Тогда это вопрос к разработчикам утилит...

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2174
    Цитата Сообщение от Vorland Посмотреть сообщение
    А хотелось бы на базу Win PE перенести Kaspersky
    WinPE небесплатен, поэтому Лаборатория Касперского его не использует.

  11. #10
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.01.2008
    Адрес
    Воронежская обл.
    Сообщений
    243
    Вес репутации
    243
    Зато BartPE бесплатен, поэтому многие сборщики LiveCD используют его. Проблема только в том, пользователь сам должен собрать LiveCD из своего (презюмируется - легального) дистрибутива Windows.
    Вот один из примеров плагина для работы АVZ с Live CD:
    ; AVZ.inf
    ; PE Builder v3 plug-in INF file for copy custom tools CD
    ; Created by VV2006
    ;
    [Version]
    Signature= "$Windows NT$"

    [PEBuilder]
    Name="AVZ"
    Enable=1
    Help=""

    [WinntDirectories]
    a="Programs\AVZ",2

    [SourceDisksFolders]
    files=a,,1

    [Software.AddReg]
    0x2,"Sherpya\XPEinit\Programs","AVZ","%SystemDrive %\programs\AVZ\avz4remoute.cmd||%SystemDrive%\Prog rams\AVZ\avz.exe" "
    0x2,"Sherpya\XPEinit\Desktop","AVZ","%SystemDrive% \programs\AVZ\avz4remoute.cmd||%SystemDrive%\Progr ams\AVZ\avz.exe,0"

    Содержимое командного файла avz4remoute.cmd, выполняющего копирование каталога AVZ во временный каталог (как правило, это корень виртуального диска B:\) и последующий запуск для удалённой системы:
    xcopy avz /S %temp%\avz\*.*
    start RunScanner.exe /y /t 0 %temp%\avz\avz.exe
    Редиректор-сканер, позволяющий переназначить работу программы на реестр другой системы, можно скачать здесь: http://www.paraglidernc.com/Files/RunScanner10022.cab

    Вот здесь можно скачать базовый конструктор от 7sh3 с полностью русифицированным Help'ом (детальное описание формата файла модуля см. в pebuilder_xpe/help/russian/pluginformat.htm) : http://forum.ru-board.com/topic.cgi?...026&start=1780

    Существуют некоторые неудобства при использования плагина, содержание которого приведено выше. Так, невозможно предотвратить обработку данных текущей (WinPE) системы, которая выполняется наряду с обработкой данных удалённого реестра (возможно, решение всё же есть, и оно в более внимательном изучении ключей работы рансканера ). При работе с дисками, где систем Windows больше одной, нужен запуск AVZ через рансканер с дополнительным ключом /w <windows directory> для указания конкретной системы (телодвижения всё-таки могут понадобиться).
    Конечно, было бы замечательно, если бы Олег попробовал реализовать в своей программе дополнительные возможности, предложенные drongo.
    Последний раз редактировалось VV2006; 24.12.2008 в 04:45. Причина: Дополнение

  12. #11
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.08.2007
    Сообщений
    241
    Вес репутации
    98
    Немного покопался, сделал загрузочный диск с минимумом функций, и вроде как нормально стартующим AVZ с подключением реестра (высвечивается окно для указания пути к виндовс, пока не проверял) пока не проверял. Багов ещё многовато, драйвера надо вшить на дисковые подсистемы и пр. Если кому интересно кину на сетевой FTP (для нас бесплатный, вым виден из нета) для тестов.

    Да, кстате может кто нибудь объяснит почему пуск в верху экрана появляется?
    Кстати можно сделать на базе ERD Commander, но это вроде как коммерческий продукт, но скачивается бесплатно.

    А вот что под вечер получилось.
    http://security.belgorod-net.ru/PAK/...rusKit_0.1.rar 97 mb
    Багов ещё хватает, например AVZ думает что система EN, драйверов нет, да и тестов почти не было. Короче пробуйте.
    В будущем надеюсь закинуть и подключить ещё парочку популярных утилит.
    Последний раз редактировалось Биомеханик; 24.12.2008 в 00:46.

  13. #12
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.01.2008
    Адрес
    Воронежская обл.
    Сообщений
    243
    Вес репутации
    243
    Биомеханик
    Скачал, загрузил образ в виртуальной машине. Возник вопрос: а выкладывать "для тестов" образ, загружаемый с паролем на входе в систему, это что, "шутка юмора"?
    Посмотрел файлы образа, отвечающие за работу AVZ. Ничего нового в создании плагина не обнаружил. Упаковка UPX'ом - не в счёт, считаю, лучше экономить оперативную память и время выполнения, чем дисковую память. Смысл предлагаемого тестирования образа? Помочь Вам устранить ошибки, сбросить пароль на вход в систему? См. мой пост выше, лучше конструктора, чем по приведенной в нём ссылке вряд ли найдёте...
    Последний раз редактировалось VV2006; 24.12.2008 в 09:40.

  14. #13
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.08.2007
    Сообщений
    241
    Вес репутации
    98
    Пароль virusinfo
    Какая паковка?

  15. #14
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.01.2008
    Адрес
    Воронежская обл.
    Сообщений
    243
    Вес репутации
    243
    Биомеханик, насчёт паковки всё нормально: просто как-то не обращал внимание на оригинальную упаковку AVZ (UPX v2.03). Дело в том, что иногда при сборке LiveCD многие модули жмут дополнительно, чтобы место сэкономить. Сорри, померещилось...

    Касательно Вашей сборки, Пуск обнаружился на привычном месте. Появление английского интерфейса AVZ, видимо, связано с недостатками плагина локализации. При использовании конструктора от 7sh3 такой проблемы нет - всё на великом и могучем.

    Особенность рансканера: при запуске с CD-диска (I386) командного файла avz4remoute.cmd (run.cmd в образе Биомеханик) следует запрос каталога установки Windows; если же запускаем эту же сборку с (флеш)диска (MININT, у себя обозвал пробный вариант MINI_Z c соответствующей корректировкой пути в setupldr.bin) запроса каталога установки Windows не происходит и сразу появляется диалоговое окно выбора профиля пользователя. Это связано с особенностью реализации режима умолчания для запуска рансканера.

    Проблема решаема, чтобы иметь возможность выбора инсталляции, следует запускать AVZ для удалённой системы так:
    start RunScanner.exe /y /sd /t 0 %temp%\avz\avz.exe

    Ключ /sd включает сканирование корневых каталогов на всех дисках с целью поиска Windows-инсталляций - можно выбрать из найденных (для Vista - ключ /sv, для "ручного" указания каталога Windows можно использовать ключ /s).

    По-прежнему остаётся нерешённым вопрос отграничения данных текущей системы от данных удалённой системы при запуске AVZ для удалённой системы.
    Последний раз редактировалось VV2006; 24.12.2008 в 20:06.

  16. #15
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.08.2007
    Сообщений
    241
    Вес репутации
    98
    Я убрал (уберу) все ненужные модули из конструктора для уменьшения веса и возможных багов. Также планирую добавить дрова на скази и рейд + video карты (что смогу найти) + некоторые проги типа Hijackthis и каперского.
    С локализацией вопрос почти решился в тестовых сборках получается запустить сразу русский гуй.
    RunScaner поправлю. Будет два ярлыка для обычной винды и висты.
    С последним пунктом не понял. Про какие конфликты идёт речь?

  17. #16
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.01.2008
    Адрес
    Воронежская обл.
    Сообщений
    243
    Вес репутации
    243
    Биомеханик, из Windows XPE запустите свой run.cmd. Ну, а далее, например, Сервис - Менеджер автозапуска. Теперь обратите внимание на значения данных в колонке "Файл" - видны элементы автозапуска как для удалённой системы, так и для текущей PE-системы (наиболее заметны строки с "ненужными" путями X:\....) Конфликтом или проблемой вряд ли стоит это называть, но неудобством -несомненно.

    Дано: среда преинсталляции (PE), позволяющая работать с удалённой Windows-системой.
    Задача: не пропустить на вход AVZ данные текущей PE-системы (о текущих процессах, значениях ключей PE-реестра, запущенных PE-службах, загруженных PE-драйверах и т.п.), чтобы AVZ обратывались только (исключительно) данные удалённой (неактивной, "лежащей" системы).

  18. #17
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.08.2007
    Сообщений
    241
    Вес репутации
    98
    Ну это уже к Олегу. Пути с X:\ можно легко отфильтровать. Короче нужна корректированная версия AVZ для PE систем.
    Последний раз редактировалось Биомеханик; 25.12.2008 в 20:50.

  19. #18
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.01.2008
    Адрес
    Воронежская обл.
    Сообщений
    243
    Вес репутации
    243
    Изменения, вносимые в удалённую систему (файлы, реестр) сохраняются в ней. Практически, возможно и восстановление настроек загрузки в SafeMode (10-ый скрипт). Поэтому, AVZ c LiveCD можно использовать, в частности, для решения проблемы с восстановлением варианта безопасной загрузки, упомянутой вот в этой теме: http://virusinfo.info/showthread.php?t=36275

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для antanta
    Регистрация
    27.12.2008
    Адрес
    Алматы
    Сообщений
    687
    Вес репутации
    530
    Меня тоже достало вручную подключать реестр (из PE). Не будучи кодером, все же взялся на написание утилитки, которая хотя бы "собирает" по диску файлы реестра, определяет какой ControlSet текущий, показывает авторран и драйверы(службы) с возможностью отключения. Теперь поймал ступор, из-за недостатка знаний. Проблема в том, что проверять файлы по каталогу безопасных, работая в "нормальной" винде достаточно просто. А в PE с криптопровайдером работать не получается. Наверное, можно сделать специальную сборку, только универсальность теряется. Хэши sha1 , рассчитанные для всего файла (могу), не совпадают с хэшами, хранящимися в *.cat файлах, поскольку MS исключает из подсчета некоторые части образа. Вот здесь описано: http://209.85.229.132/search?q=cache...lnk&cd=1&gl=ru
    Если кто-то поможет понять, как это должно быть реализовано, буду благодарен.
    А еще лучше, если в AVZ будет добален функционал для работы из PE. Никакой плагин там не требуется, просто возможность нажатием "кнопки" выбрать интереующую копию винды. Или, хотя бы, вручную указывать исследуемые ветки реестра(вместо software - AVZ_software и т.д.). Даже проблема проверки по каталогу MS особо не стоит, в AVZ своя база достаточно большая. Жаль, я не могу понять ее формат ;-)

    Если уж система не стартует, то один из "мягких" способов ее запустить - исследовать и подправить реестр, загрузившись со сторннего носителя. Возможно, иногда имеет смысл начисто переустановить погибшую систему(сам не люблю). В таком случае полезно было бы повытягивать максимум информации из старого реестра. Те же сетевые настройки, который пользователь "не знал, да еще и забыл".
    (Как один из вариантов направления развития для AVZ).

    Добавлено через 1 час 43 минуты

    Хорошо, задам вопрос, подразумевающий конкретный ответ:"Уважаемый Олег Зайцев(автор AVZ), предполагается ли выход в свет версии AVZ, которая бы работала с "удаленным" реестром, будь то через загрузку кустов в "локальный реестр" Windows PE или прямым разбором файлов реестра?
    На руборде в ветке AVZ народ о том же просил.
    Последний раз редактировалось antanta; 27.12.2008 в 16:00. Причина: Добавлено

  21. #20
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.01.2008
    Адрес
    Воронежская обл.
    Сообщений
    243
    Вес репутации
    243
    Цитата Сообщение от antanta Посмотреть сообщение
    На руборде в ветке AVZ народ о том же просил.
    ...и по-прежнему просит:
    http://forum.ru-board.com/topic.cgi?...6436&start=260

Страница 1 из 2 12 Последняя

Похожие темы

  1. LiveCd
    От Wesley Sneijder в разделе Microsoft Windows
    Ответов: 9
    Последнее сообщение: 03.04.2011, 19:48
  2. AVZ - LiveCD
    От razbeg в разделе Софт - общий
    Ответов: 15
    Последнее сообщение: 27.08.2010, 11:24
  3. Dr Web LiveCD повесился,почему?
    От Vagon в разделе Другие программы по безопасности
    Ответов: 15
    Последнее сообщение: 18.08.2010, 19:31
  4. Dr.Web LiveCD.
    От Dark_Blaze в разделе Антивирусы
    Ответов: 3
    Последнее сообщение: 13.10.2006, 23:00
  5. NhT LiveCD
    От Geser в разделе Другие программы по безопасности
    Ответов: 0
    Последнее сообщение: 02.01.2005, 10:45

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00819 seconds with 17 queries