Задача этой темы - собрать воедино все пожелания и предложения по AVZ, поскольку иначе они растворяются в темах по обсуждению версий. Фундаментальные доработки или новые функции:
1. MUI - мультиязычный интерфейс.
Статус - в разработке. Ожидается в версии 4.xx, пробные варианты будут раньше
2. Скрипты для virusinfo.info
Реализована в 4.00
3. Переделка системы протоколирования (RichEdit, поддержка больших протоколов и выделение цветом)
Статус - в разработке, ожидается в версии 4.+
4. Автоматическое обновление баз через Инет
Статус - реализовано в версии 4.00
5. Менеджер Hosts + лечилка типовых вещей, типа блокировки обновления баз известных антивирусов
Статус - анализатор реализован в 4.00, автолечение - появится в 4.+
6. Проверка файлов по каталогу безопасности Microsoft
Статус - реализовано в 4.00
7. Поддержка 7-zip, rar, популярных криптеров
Реализована поддержка RAR, на очереди RAR SFX, ZIP SFX
8. Поддержка сканированяи памяти с применением нейросети для поиска новых разновидностей троянов
Статус - Первая версия реализована в 4.10
9. Внесение драйвера в ресурс с его копированием в Temp перед загрузкой, защита программных модулей ЭЦП
Статус - в разработке, ожидается в версии 4.+
10. Диспечер для заданий шедулера и показ заданий в логе и исследовании системы.
Статус - реализован в 4.00 Глюки, ошибки, недоработки
1. Менеджер расширенний проводника - решить проблему с "черными дырами" - ссылками, которым не находятся соотв. файлы.
Статус - частично исправлено, в разработке
2. Поддержка правильного поиска файлов с именами типа "C:\WINDOWS\system32\dumprep 0 -k" в автозапуске и службах
Статус - частично исправлено, в разработке
3. Зачистка временных файлов AVZ при выходе из него
Статус - введена функция удаления файлов при выходе
4. В "Драйверах" не опознаются (AVZ не может найти, но они есть на диске) файлы без пути и расширений, хотя они есть в базе безопасных AVZ. Имена этих файлов совпадают с названиями драйверов (значениями в поле "Служба"), имеют расширения *.SYS, лежат в стандартных местах и благополучно запускаются системой.
Статус - исправлено, версия 4.00
5. В "Модулях расширений Internet Explorer" AVZ не находит плагины, запускаемые скриптами.
Статус - доработано, версия 4.00
Последний раз редактировалось Зайцев Олег; 14.12.2005 в 14:17.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Диспечер для шедулера и показ заданий в логе.
2. ? MUI в какой версии ожидается - 4.+ ?
3. Предложение, уже обсуждалось, но в итоге завяло и похоже близко к скрепостижной кончине - создать на форуме раздел FAQ по AVZ с описанием, и поддержкой, потому как Олег фактически занимаеться разработкой один и я думаю не откажется спихнуть часть "рутины" в виде вопросов пользователей на форум, я думаю хелперы в состоянии ответить на 90% вопросов, соответственно этот раздел должен дыть тоже MUI или в виде отдельного форума с "англоязычным" фейсом.
к примеру avz.virusinfo.info Скорее этот вопрос "в развитие" форума, а не AVZ.
ASPACK ? + сплавить avz.sys в ресурс, или аналогичный пакер с контролем CRC? К примеру халявный ACProtect.
Думаю, Олег смог бы сам сделать контроль целостности понадежней или, по крайней мере, не менее надежный чем предлагает большинство протекторов, некоторые из которых, к тому же, стоят денег.
Думаю, Олег смог бы сам сделать контроль целостности понадежней или, по крайней мере, не менее надежный чем предлагает большинство протекторов, некоторые из которых, к тому же, стоят денег.
Возни много, можно просто подписать файл ЭЦП и запихать её в базу, защита от "дурака", выше смысла делать я Imho не вижу.
1. Диспечер для шедулера и показ заданий в логе.
2. ? MUI в какой версии ожидается - 4.+ ?
3. Предложение, уже обсуждалось, но в итоге завяло и похоже близко к скрепостижной кончине - создать на форуме раздел FAQ по AVZ с описанием, и поддержкой, потому как Олег фактически занимаеться разработкой один и я думаю не откажется спихнуть часть "рутины" в виде вопросов пользователей на форум, я думаю хелперы в состоянии ответить на 90% вопросов, соответственно этот раздел должен дыть тоже MUI или в виде отдельного форума с "англоязычным" фейсом.
к примеру avz.virusinfo.info Скорее этот вопрос "в развитие" форума, а не AVZ.
Я за создание раздела техподдержки AVZ обеими руками - просто конференция то по вирусологии.... Хотя с другой стороны можно всобачить в лог и хелп рекомендацию с проблеми по вирусологии идти на virusinfo - я и так часто заворачиваю туда юзеров, которм явно нужен комплексный тест ПК.
про MUI, ЭЦП и т.п. я внес в список
Вот это, пожалуйста, добавьте в шапку... Уже третий месяц напоминаю...
1. В "Драйверах" не опознаются (AVZ не может найти, но они есть на диске) файлы без пути и расширений (см. лог), хотя они есть в базе безопасных AVZ. Имена этих файлов совпадают с названиями драйверов (значениями в поле "Служба"), имеют расширения *.SYS, лежат в стандартных местах и благополучно запускаются системой.
2. В "Модулях расширений Internet Explorer" AVZ не находит плагины, запускаемые скриптами (подробное описание здесь).
Последний раз редактировалось DenZ; 27.10.2005 в 07:46.
По п.6 - при этом необходимо также сравнивать хэши ЭЦП Майкрософта с эталонными, зашитыми в программу и защищёнными в ней. А то вдруг ещё может так получиться, что троян будет подписан фальшивой подписью, положенной им же в каталог вместе с фальшивыми подписями корневых центров.
п.9 И проверять наличие права execute на temp. Точнее, устанавливать у своего драйвера принудительно.
Дополнение: проверять в реестре команды, назначенные shell/folder/open и подобные. (Попался тут loadpe, а AVZ о нём ничего не знает).
Контроль наличия левых DLL и потоков в своём адресном пространстве есть?
Попался троянчик забавный. DLL, запускается у winlogon, цепляется всем процессам, похоже, стелсирует функцию FindFirst/next, так как copy a.dll c:\ сработал, а в новом месте файл не был виден, пока не прибил трояна. Надо добавить и вот такую проверку на стелс
Последний раз редактировалось UFANych; 27.10.2005 в 16:59.
По п.6 - при этом необходимо также сравнивать хэши ЭЦП Майкрософта с эталонными, зашитыми в программу и защищёнными в ней. А то вдруг ещё может так получиться, что троян будет подписан фальшивой подписью, положенной им же в каталог вместе с фальшивыми подписями корневых центров.
п.9 И проверять наличие права execute на temp. Точнее, устанавливать у своего драйвера принудительно.
Дополнение: проверять в реестре команды, назначенные shell/folder/open и подобные. (Попался тут loadpe, а AVZ о нём ничего не знает).
Контроль наличия левых DLL и потоков в своём адресном пространстве есть?
Попался троянчик забавный. DLL, запускается у winlogon, цепляется всем процессам, похоже, стелсирует функцию FindFirst/next, так как copy a.dll c:\ сработал, а в новом месте файл не был виден, пока не прибил трояна. Надо добавить и вот такую проверку на стелс
полная проверка файла и его зашитой ЭЦП достаточно тормозная, поэтому по дефолту AVZ только ищет хеш ЭЦП в каталоге - это идет очень быстро. Но есть оция, управляющая глубиной проверки (отключено/только по каталогу/каталог+проверка ЭЦП файла по полной программе). Последее конечно тормозное, но надежное.
п. 9 - именно поэтому я и таскаю пока драйвер в папке AVZ Но проверку такую я сделаю
Контроль левых DLL есть - они ловятся одной из подсистем антикейлоггера. Контроль левых потоко нужно будет ввести - все потоки AVZ создаются централизованно, и их немного (сейчас 2 шт - GUI и поиск файлов для сканирования)
3. Переделка системы протоколирования (RichEdit, поддержка больших протоколов и выделение цветом)
Статус - в разработке, ожидается в версии 3.85+
Нужная давно фича. Только вот выбор в сторону RichEdit не самый лучший. У данного контрола куча проблем, и не как у компонента, а проблемы именно у самого RichEdit-контрола. Особенно когда в него приходится писать большие объемы текста.
Еще вопрос, Олег, вы как говорили что подумывали на тем что бы не весь лог выводить, а только часть, а при необходимости остальное подгружать из файла. Это особенно актуально при включенной опции писать в лог инфу о чистых объектах.
А можно создать утилиту каторая устанавливалась в системе и
заменяла скрипты управления????
не мешала бы независемости AVZ
но в тоже время при определюнной настройки управляла АВЗ
Например
имела бы проводник для поиска (упавляемой АВЗ) пути к avz.exe......
запускалась бы с системой...
сидела бы в трее...
имела все настройки теже что и сама AVZ...
+ авто каманды (с выставлением обычных галочек) - для задания каманд например
проверка определённых папок ..через каждых 2 чяса ... создание отчёта... и тд.
Имела бы ввод пароля... от несанкционировоного изменения настроек утилиты.....
а также от завершения процесса самой утилиты и для защиты процесса от завешения, самой AVZ
[QUOTE=Зайцев Олег]полная проверка файла и его зашитой ЭЦП достаточно тормозная, поэтому по дефолту AVZ только ищет хеш ЭЦП в каталоге - это идет очень быстро. Но есть оция, управляющая глубиной проверки (отключено/только по каталогу/каталог+проверка ЭЦП файла по полной программе). Последее конечно тормозное, но надежное.
/QUOTE]
Я немного не о том - перед началом проверки по каталогу Microsoft надо проверить собственно соответствие между подписью под каталогом и эталонной подписью Microsoft, зашитой в АВЗ, ибо возможна подмена. Или я чего-то не понимаю?
Ещё пару пожеланий -
1. Довольно примитивно, но весьма на мой взляд полезно "Отложенное удаление" списком.
2. Ну это уже больше мечты - драйвер ядра с загрузкой в Boot mode для этих целей, позволит убивать гадость подобную L2M (которая прогрессирует последнее время всё активней), совсем мечта этот же драйвер принимающий список файлов с масками и сигнатурами, ну и поддержка этого безобразия "скриптом".
Примерно так - DeleteFilesHex (%SystemRoot%\system32\*.dll,"02,A5,D8,C7,??,3A"), BootDeleteFilesHex (%SystemRoot%\system32\*.dll,"02,A5,D8,C7,??,3A")
Ещё пару пожеланий -
1. Довольно примитивно, но весьма на мой взляд полезно "Отложенное удаление" списком.
2. Ну это уже больше мечты - драйвер ядра с загрузкой в Boot mode для этих целей, позволит убивать гадость подобную L2M (которая прогрессирует последнее время всё активней), совсем мечта этот же драйвер принимающий список файлов с масками и сигнатурами, ну и поддержка этого безобразия "скриптом".
Примерно так - DeleteFilesHex (%SystemRoot%\system32\*.dll,"02,A5,D8,C7,??,3A"), BootDeleteFilesHex (%SystemRoot%\system32\*.dll,"02,A5,D8,C7,??,3A")
Boot драйвер не панацея ... сейчас зловреды поступают так - в момент завершения работы создается новый файл со случайным именем и прописывается в авторан - в результате отложенное удаление и удаление Boot драйвером становится бесполезным.
Драйвер с сигнатурным искателем - это несколько лучше, но он будет крайне опасен - ведь можно забить маску *.* и этот драйвер снесет систему. Но написать его не сложно ... хотя работать он конечно будет только в NT+ (или придутся писать два драйвера - второй под 9x)
Boot драйвер не панацея ... сейчас зловреды поступают так - в момент завершения работы создается новый файл со случайным именем и прописывается в авторан - в результате отложенное удаление и удаление Boot драйвером становится бесполезным.
В таком случае помогает завершение работы лнопкой ресет
В таком случае помогает завершение работы лнопкой ресет
Вот вот - и при этом с вероятностью 50/50 не сохранится реестр, в котором прописан Boot драйвер
Т.е. лучшая панацея - это сигнатура в базе, с которой AVZ поубивает зловреда ... - в случае наличия сигнатуры того-же look2me сработает микропрограмма лечения, которая зачистит от него реестр
Ответить с цитированием
?
Сообщение от kps
