Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 56.

AVZ - доработки, пожелания и их реализация

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387

    AVZ - доработки, пожелания и их реализация

    Задача этой темы - собрать воедино все пожелания и предложения по AVZ, поскольку иначе они растворяются в темах по обсуждению версий.
    Фундаментальные доработки или новые функции:
    1. MUI - мультиязычный интерфейс.
    Статус - в разработке. Ожидается в версии 4.xx, пробные варианты будут раньше
    2. Скрипты для virusinfo.info
    Реализована в 4.00
    3. Переделка системы протоколирования (RichEdit, поддержка больших протоколов и выделение цветом)
    Статус - в разработке, ожидается в версии 4.+
    4. Автоматическое обновление баз через Инет
    Статус - реализовано в версии 4.00
    5. Менеджер Hosts + лечилка типовых вещей, типа блокировки обновления баз известных антивирусов
    Статус - анализатор реализован в 4.00, автолечение - появится в 4.+
    6. Проверка файлов по каталогу безопасности Microsoft
    Статус - реализовано в 4.00
    7. Поддержка 7-zip, rar, популярных криптеров
    Реализована поддержка RAR, на очереди RAR SFX, ZIP SFX
    8. Поддержка сканированяи памяти с применением нейросети для поиска новых разновидностей троянов
    Статус - Первая версия реализована в 4.10
    9. Внесение драйвера в ресурс с его копированием в Temp перед загрузкой, защита программных модулей ЭЦП
    Статус - в разработке, ожидается в версии 4.+
    10. Диспечер для заданий шедулера и показ заданий в логе и исследовании системы.
    Статус - реализован в 4.00
    Глюки, ошибки, недоработки
    1. Менеджер расширенний проводника - решить проблему с "черными дырами" - ссылками, которым не находятся соотв. файлы.
    Статус - частично исправлено, в разработке
    2. Поддержка правильного поиска файлов с именами типа "C:\WINDOWS\system32\dumprep 0 -k" в автозапуске и службах
    Статус - частично исправлено, в разработке
    3. Зачистка временных файлов AVZ при выходе из него
    Статус - введена функция удаления файлов при выходе
    4. В "Драйверах" не опознаются (AVZ не может найти, но они есть на диске) файлы без пути и расширений, хотя они есть в базе безопасных AVZ. Имена этих файлов совпадают с названиями драйверов (значениями в поле "Служба"), имеют расширения *.SYS, лежат в стандартных местах и благополучно запускаются системой.
    Статус - исправлено, версия 4.00
    5. В "Модулях расширений Internet Explorer" AVZ не находит плагины, запускаемые скриптами.
    Статус - доработано, версия 4.00
    Последний раз редактировалось Зайцев Олег; 14.12.2005 в 14:17.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Контроль целостности программных модулей AVZ (подсчет CRC и т.п.)
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    1. Диспечер для шедулера и показ заданий в логе.
    2. ? MUI в какой версии ожидается - 4.+ ?
    3. Предложение, уже обсуждалось, но в итоге завяло и похоже близко к скрепостижной кончине - создать на форуме раздел FAQ по AVZ с описанием, и поддержкой, потому как Олег фактически занимаеться разработкой один и я думаю не откажется спихнуть часть "рутины" в виде вопросов пользователей на форум, я думаю хелперы в состоянии ответить на 90% вопросов, соответственно этот раздел должен дыть тоже MUI или в виде отдельного форума с "англоязычным" фейсом.
    к примеру avz.virusinfo.info Скорее этот вопрос "в развитие" форума, а не AVZ.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от kps
    Контроль целостности программных модулей AVZ (подсчет CRC и т.п.)
    ASPACK ? + сплавить avz.sys в ресурс, или аналогичный пакер с контролем CRC? К примеру халявный ACProtect.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Цитата Сообщение от RiC
    ASPACK ? + сплавить avz.sys в ресурс, или аналогичный пакер с контролем CRC? К примеру халявный ACProtect.
    Думаю, Олег смог бы сам сделать контроль целостности понадежней или, по крайней мере, не менее надежный чем предлагает большинство протекторов, некоторые из которых, к тому же, стоят денег.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от kps
    Думаю, Олег смог бы сам сделать контроль целостности понадежней или, по крайней мере, не менее надежный чем предлагает большинство протекторов, некоторые из которых, к тому же, стоят денег.
    Возни много, можно просто подписать файл ЭЦП и запихать её в базу, защита от "дурака", выше смысла делать я Imho не вижу.

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от RiC
    1. Диспечер для шедулера и показ заданий в логе.
    2. ? MUI в какой версии ожидается - 4.+ ?
    3. Предложение, уже обсуждалось, но в итоге завяло и похоже близко к скрепостижной кончине - создать на форуме раздел FAQ по AVZ с описанием, и поддержкой, потому как Олег фактически занимаеться разработкой один и я думаю не откажется спихнуть часть "рутины" в виде вопросов пользователей на форум, я думаю хелперы в состоянии ответить на 90% вопросов, соответственно этот раздел должен дыть тоже MUI или в виде отдельного форума с "англоязычным" фейсом.
    к примеру avz.virusinfo.info Скорее этот вопрос "в развитие" форума, а не AVZ.
    Я за создание раздела техподдержки AVZ обеими руками - просто конференция то по вирусологии.... Хотя с другой стороны можно всобачить в лог и хелп рекомендацию с проблеми по вирусологии идти на virusinfo - я и так часто заворачиваю туда юзеров, которм явно нужен комплексный тест ПК.
    про MUI, ЭЦП и т.п. я внес в список

  9. #8
    Junior Member Репутация
    Регистрация
    03.03.2005
    Сообщений
    55
    Вес репутации
    47
    Вот это, пожалуйста, добавьте в шапку... Уже третий месяц напоминаю...

    1. В "Драйверах" не опознаются (AVZ не может найти, но они есть на диске) файлы без пути и расширений (см. лог), хотя они есть в базе безопасных AVZ. Имена этих файлов совпадают с названиями драйверов (значениями в поле "Служба"), имеют расширения *.SYS, лежат в стандартных местах и благополучно запускаются системой.

    2. В "Модулях расширений Internet Explorer" AVZ не находит плагины, запускаемые скриптами (подробное описание здесь).
    Вложения Вложения
    Последний раз редактировалось DenZ; 27.10.2005 в 06:46.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от Зайцев Олег
    1. Диспечер для шедулера и показ заданий в логе.
    про MUI, ЭЦП и т.п. я внес в список
    ???

  11. #10
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    08.05.2005
    Сообщений
    74
    Вес репутации
    59
    По п.6 - при этом необходимо также сравнивать хэши ЭЦП Майкрософта с эталонными, зашитыми в программу и защищёнными в ней. А то вдруг ещё может так получиться, что троян будет подписан фальшивой подписью, положенной им же в каталог вместе с фальшивыми подписями корневых центров.
    п.9 И проверять наличие права execute на temp. Точнее, устанавливать у своего драйвера принудительно.

    Дополнение: проверять в реестре команды, назначенные shell/folder/open и подобные. (Попался тут loadpe, а AVZ о нём ничего не знает).

    Контроль наличия левых DLL и потоков в своём адресном пространстве есть?

    Попался троянчик забавный. DLL, запускается у winlogon, цепляется всем процессам, похоже, стелсирует функцию FindFirst/next, так как copy a.dll c:\ сработал, а в новом месте файл не был виден, пока не прибил трояна. Надо добавить и вот такую проверку на стелс
    Последний раз редактировалось UFANych; 27.10.2005 в 15:59.

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от UFANych
    По п.6 - при этом необходимо также сравнивать хэши ЭЦП Майкрософта с эталонными, зашитыми в программу и защищёнными в ней. А то вдруг ещё может так получиться, что троян будет подписан фальшивой подписью, положенной им же в каталог вместе с фальшивыми подписями корневых центров.
    п.9 И проверять наличие права execute на temp. Точнее, устанавливать у своего драйвера принудительно.

    Дополнение: проверять в реестре команды, назначенные shell/folder/open и подобные. (Попался тут loadpe, а AVZ о нём ничего не знает).

    Контроль наличия левых DLL и потоков в своём адресном пространстве есть?

    Попался троянчик забавный. DLL, запускается у winlogon, цепляется всем процессам, похоже, стелсирует функцию FindFirst/next, так как copy a.dll c:\ сработал, а в новом месте файл не был виден, пока не прибил трояна. Надо добавить и вот такую проверку на стелс
    полная проверка файла и его зашитой ЭЦП достаточно тормозная, поэтому по дефолту AVZ только ищет хеш ЭЦП в каталоге - это идет очень быстро. Но есть оция, управляющая глубиной проверки (отключено/только по каталогу/каталог+проверка ЭЦП файла по полной программе). Последее конечно тормозное, но надежное.
    п. 9 - именно поэтому я и таскаю пока драйвер в папке AVZ Но проверку такую я сделаю
    Контроль левых DLL есть - они ловятся одной из подсистем антикейлоггера. Контроль левых потоко нужно будет ввести - все потоки AVZ создаются централизованно, и их немного (сейчас 2 шт - GUI и поиск файлов для сканирования)

  13. #12
    Junior Member Репутация
    Регистрация
    08.07.2005
    Сообщений
    105
    Вес репутации
    46
    Цитата Сообщение от Зайцев Олег
    3. Переделка системы протоколирования (RichEdit, поддержка больших протоколов и выделение цветом)
    Статус - в разработке, ожидается в версии 3.85+
    Нужная давно фича. Только вот выбор в сторону RichEdit не самый лучший. У данного контрола куча проблем, и не как у компонента, а проблемы именно у самого RichEdit-контрола. Особенно когда в него приходится писать большие объемы текста.
    Еще вопрос, Олег, вы как говорили что подумывали на тем что бы не весь лог выводить, а только часть, а при необходимости остальное подгружать из файла. Это особенно актуально при включенной опции писать в лог инфу о чистых объектах.

  14. #13
    AVZusher
    Guest
    А можно создать утилиту каторая устанавливалась в системе и
    заменяла скрипты управления????
    не мешала бы независемости AVZ
    но в тоже время при определюнной настройки управляла АВЗ

    Например

    имела бы проводник для поиска (упавляемой АВЗ) пути к avz.exe......


    запускалась бы с системой...

    сидела бы в трее...

    имела все настройки теже что и сама AVZ...

    + авто каманды (с выставлением обычных галочек) - для задания каманд например
    проверка определённых папок ..через каждых 2 чяса ... создание отчёта... и тд.

    Имела бы ввод пароля... от несанкционировоного изменения настроек утилиты.....
    а также от завершения процесса самой утилиты и для защиты процесса от завешения, самой AVZ

  15. #14
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    53
    Олег - прикрути к скриптам возможность работы с реестром и файлами чтоюы можно было писать полноченные cure-scripti
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  16. #15
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    08.05.2005
    Сообщений
    74
    Вес репутации
    59

    Exclamation

    [QUOTE=Зайцев Олег]полная проверка файла и его зашитой ЭЦП достаточно тормозная, поэтому по дефолту AVZ только ищет хеш ЭЦП в каталоге - это идет очень быстро. Но есть оция, управляющая глубиной проверки (отключено/только по каталогу/каталог+проверка ЭЦП файла по полной программе). Последее конечно тормозное, но надежное.
    /QUOTE]
    Я немного не о том - перед началом проверки по каталогу Microsoft надо проверить собственно соответствие между подписью под каталогом и эталонной подписью Microsoft, зашитой в АВЗ, ибо возможна подмена. Или я чего-то не понимаю?

  17. #16
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    08.05.2005
    Сообщений
    74
    Вес репутации
    59

    внедряйте поиск и лечение!

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Ещё пару пожеланий -
    1. Довольно примитивно, но весьма на мой взляд полезно "Отложенное удаление" списком.
    2. Ну это уже больше мечты - драйвер ядра с загрузкой в Boot mode для этих целей, позволит убивать гадость подобную L2M (которая прогрессирует последнее время всё активней), совсем мечта этот же драйвер принимающий список файлов с масками и сигнатурами, ну и поддержка этого безобразия "скриптом".
    Примерно так - DeleteFilesHex (%SystemRoot%\system32\*.dll,"02,A5,D8,C7,??,3A"), BootDeleteFilesHex (%SystemRoot%\system32\*.dll,"02,A5,D8,C7,??,3A")

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от RiC
    Ещё пару пожеланий -
    1. Довольно примитивно, но весьма на мой взляд полезно "Отложенное удаление" списком.
    2. Ну это уже больше мечты - драйвер ядра с загрузкой в Boot mode для этих целей, позволит убивать гадость подобную L2M (которая прогрессирует последнее время всё активней), совсем мечта этот же драйвер принимающий список файлов с масками и сигнатурами, ну и поддержка этого безобразия "скриптом".
    Примерно так - DeleteFilesHex (%SystemRoot%\system32\*.dll,"02,A5,D8,C7,??,3A"), BootDeleteFilesHex (%SystemRoot%\system32\*.dll,"02,A5,D8,C7,??,3A")
    Boot драйвер не панацея ... сейчас зловреды поступают так - в момент завершения работы создается новый файл со случайным именем и прописывается в авторан - в результате отложенное удаление и удаление Boot драйвером становится бесполезным.
    Драйвер с сигнатурным искателем - это несколько лучше, но он будет крайне опасен - ведь можно забить маску *.* и этот драйвер снесет систему. Но написать его не сложно ... хотя работать он конечно будет только в NT+ (или придутся писать два драйвера - второй под 9x)

  20. #19
    Geser
    Guest
    Boot драйвер не панацея ... сейчас зловреды поступают так - в момент завершения работы создается новый файл со случайным именем и прописывается в авторан - в результате отложенное удаление и удаление Boot драйвером становится бесполезным.
    В таком случае помогает завершение работы лнопкой ресет

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от Geser
    В таком случае помогает завершение работы лнопкой ресет
    Вот вот - и при этом с вероятностью 50/50 не сохранится реестр, в котором прописан Boot драйвер
    Т.е. лучшая панацея - это сигнатура в базе, с которой AVZ поубивает зловреда ... - в случае наличия сигнатуры того-же look2me сработает микропрограмма лечения, которая зачистит от него реестр

Страница 1 из 3 123 Последняя

Похожие темы

  1. Доработки и исправления
    От Geser в разделе Информационные сообщения
    Ответов: 16
    Последнее сообщение: 28.03.2010, 20:04

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00768 seconds with 17 queries