-
AVZ 4.00 - тестирование, обсуждение, предложения по доработке
Вышла новая новая версия AVZ - 4.00. Версия доступна для загрузки тут: http://z-oleg.com/secur/avz-dwn.htm (http://z-oleg.com/avz4.zip)
Радикальные новшества и пределки:
[++] Поддержка проверки цифровых подписей файлов по каталогу безопасности Microsoft. Работает естественно на Windows 2000, XP, W2K3 ... Поддерживается всеми подсистемами AVZ, может включаться/выключаться ключами командной строки или скриптом. Управляющий этим ключ WinTrustLevel=[0|1|2] описан в справке
[++] В AVZ встроена система обновления баз. Обновление идет с двух сайтов (истоник выбирается случайнум образом, но можно задать вручную)
и является "разумным", т.е. работает на основании сравнения текущих баз с эталонными. Это позволяет
проводить обновление вручную (обновлением файлов в папке Base) и автоматически через Интернет
[++] Менеджер планировщика заданий (Task Scheduler). Подключен к автокарантину и исследованию системы, показывает
задания, поставленные через графическую оболочку диспетчера и командой AT.
[++] Антируткит - добавлено детектирование FU Rootkit и его производных - производится в ходе поиска Kernel Mode руткитов, детектор подключен к диспетчеру процессов. Кроме FU руткита
отлавливается подмена PID процесса без его маскировки
[++] Антируткит - отслеживание маскировки файлов запущенных процессов
[++] Менеджер файла HOSTS. Добавлен к исследованию системы, позволяет удалять из Hosts записи.
[++] Диспетчер процессов - встроенный дампер образа любого загруженного exe или dll файла для последующего изучения. Дампы памяти создаются на диске в папке DMP
[+] Запуск автокарантина из меню "Файл"
[+] В исследовании системы проверяются драйвера, для которых не задано имя исполняемого файла (имя драйвера совпадает с
именем файла *.sys, такое допустимо)
[+] Доработан менеджер расширение IE - корректная поддержка записей типа "скрипт"
[+] К автоматическому анализу и автокарантину добавлены прогресс-индикаторы
[+] Пункт меню для выборочного контроля подлинности файла по каталогу Microsoft
[+] Доработаны проверки, проводимые в ходе расширенной эвристики - не выдаются сообщения на файлы нулевого размера, часть проверок маскировки имени оставлена только для исполняемых файлов
[+] Контроль целостности исполняемого файла avz.exe с выводом в протокол информации в случае его модификации
----------
В одной из версий 4.xx появится локализация - движек переработан для возможности перевода
----------
В новой версии база: 17598 сигнатур, 1 нейропрофиль, 55 микропрограмм лечения, 357 микропрограмм эвристики, 8 микропрограмм восстановления настроек системы, 45167 подписей безопасных файлов
Последний раз редактировалось Зайцев Олег; 03.11.2005 в 23:14.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Зайцев Олег
http://z-oleg.com/avz4.zip Архив или битый, или у меня бьётся (маловероятно), второй раз уже кривой скачал.
Поздравляю с новой версией !!!
Последний раз редактировалось RiC; 03.11.2005 в 22:38.
-
-
Сообщение от
RiC
Да, какой-то сбой у меня на FTP-загрузчике - я перезалил архив, теперь все должно загружаться
-
-
Сообщение от
RiC
у меня тоже битый
-
-
Сообщение от
MOCT
у меня тоже битый
Да, там кусочек архива был выбит - какой-то сбой в ходе заливки ... сейчас все исправлено, я проверил - качается нормальный архив.
-
-
А почему архив называется AVZ4 а внутри архива каталог - AVZ3 Или структура каталогов ещё не прошла Upgrade ?
1-й "баг" - "снять дамп" без подсказки, не нажмёшь - не догадаешься.
2 - Доработка - "в менеджере HOST" сделать кнопку - заменить на "стандартный" с удалением из Hosts всего лишнего кроме 127.0.0.1 localhost
3 - Ещё доработка - отложенное удаление по списку (не срочно, но Imho полезно чтобы не просить удалять по одному файлу, а сразу Copy/Pastle пачкой к примеру с форума).
Апдейтер проверил, работает, порадовал тем, что пошёл через прокси от эксплорера.
Последний раз редактировалось RiC; 03.11.2005 в 23:32.
-
-
Сообщение от
RiC
А почему архив называется AVZ4 а внутри архива каталог - AVZ3
Или структура каталогов ещё не прошла Upgrade ?
1-й "баг" - "снять дамп" без подсказки, не нажмёшь - не догадаешься.
Структура каталогов действительно еще не поменялась - я перезалил архив, в котором папка именуется уже AVZ4. Кстати, для тестирования автоапдейтера уже есть оперативное обновление (там правда всего 4 зверя добавлено)
1. Hint у кнопки снятия дампа есть, но его отображение я забыл включить
2. Да, это логично - сделаю. Кстати, при удалении строк из менеджера Hosts AVZ автоматом навешивает ему атрибуты Read Only
Последний раз редактировалось Зайцев Олег; 03.11.2005 в 23:21.
-
-
Непонятно
Олег подскажи что нибуть на счёт...
У меня на этапе
1.2 Поиск перехватчиков API, работающих в KernelMode
проявляются
a347bus.sys
windrvNT.sys
Нужно ли с ними боротся или они не вреданосные?
Отступление:
С windrvNT.sys у меня связана очень печяльная картина,,, при работе с
программой Spybot Search & Destroy (S&D) v1.4, при сканировании системы на вредоносные обьекты
выскакивает экран смерти с нечетабельныим текстом единственое что можно разобрать это надпись "windrvNT" (после чего только жёсткая перезагруска ПК)
Что это?
Где то слыхал что "windrvNT" sys связан с работой венчестеров - но что то тут не то!
-
-
1. Окошко автообновлялки выглядит страшно.
2. Нажал обновить, чего-то там происошло но не понятно обновилось или нет. Нужно лог писать куда-то и результат обновления выводить.
Последний раз редактировалось Geser; 24.01.2007 в 23:08.
-
-
Сообщение от
Cool Cat
С windrvNT.sys у меня связана очень печяльная картина,,, при работе с
программой Spybot Search & Destroy (S&D) v1.4, при сканировании системы на вредоносные обьекты
выскакивает экран смерти с нечетабельныим текстом единственое что можно разобрать это надпись "windrvNT" (после чего только жёсткая перезагруска ПК)
Что это?
Где то слыхал что "windrvNT" sys связан с работой венчестеров - но что то тут не то!
программа "Folder Lock" установлена? деинсталлируйте ее, или просто удалите файл windrvNT.sys, и никаких синих экранов не будет.
-
-
Ну а a347bus.sys - это кусок от alcohol 120% с бортовым Rootkit`om, вроде не сильно глюкавая, если последняя версия.
-
-
Эврика!!!
БОЛЬШОЕ СПАСИБО ТЕБЕ MOCT!!!!
Ну на конец то хоть кто то подсказал?
Канечно же стаяла!!! такая "зараза" я право снёс её похоже "коряво" (она меня хотела зоблакировать из-за неправельно введённого пароля)
А вот windrvNT сидит по адресу:
"Диспетчер устройств" > сверху кнопка "вид" > скрытые устройства > windrvNT
Теперь я с ним поквитаюсь!
PS. Извеняюсь что пост немного не в тему... но подозреваю что из за этой "твари" у меня иногда слетает AVZ при сканировании, это было на
версиях с v 3.81 и новая версия тоже сейчяс слетела......
(При сканировании C:/Windows/temp/.... - программа мгновенно закрывается)
-
-
Ага!!!
RiC ты Экстосенс!
Такая тоже имеет место у меня быть
PS. Спасибо.
-
-
При архивировании файлов в карантине, было бы полезно какую-нибудь индикацию процесса архивирования сделать.
Left home for a few days and look what happens...
-
-
Окно выбора файла в отложенном удалении не видит скрытые папки.
-
-
Что-то апдейт не работает. Хотя, это скорее всего прокся.
-
-
Junior Member
- Вес репутации
- 69
Скачал 4-ку, поставил на полное сканирование всех локальных дисков.
Вот что получил
Код:
Ошибка при сканировании каталога D:\Grey\- = Comp140 = -\Disk E\Grey\Trash\Doca\Delphi\Html\Type\1.files\ (Access violation at address 00402161 in module 'avz.exe'. Read of address 4643534D --> 11)
Ошибка при сканировании каталога D:\Grey\- = Comp140 = -\Disk E\Grey\Trash\Doca\Delphi\Html\Type\ (Access violation at address 00401E86 in module 'avz.exe'. Write of address 4C4D5448 --> 8)
Ошибка при сканировании каталога D:\Grey\- = Comp140 = -\Disk E\Grey\Trash\Doca\Delphi\Html\ (Access violation at address 0040253C in module 'avz.exe'. Write of address 4C4D5454 --> 8)
Ошибка при сканировании каталога D:\Grey\- = Comp140 = -\Disk E\Grey\Trash\Doca\Delphi\ (Access violation at address 0040253C in module 'avz.exe'. Write of address 4C4D5454 --> 8)
Ошибка при сканировании каталога D:\Grey\- = Comp140 = -\Disk E\Grey\Trash\Doca\ (Access violation at address 0040253C in module 'avz.exe'. Write of address 4C4D5454 --> 8)
Ошибка при сканировании каталога D:\Grey\- = Comp140 = -\Disk E\Grey\Trash\ (Access violation at address 0040253C in module 'avz.exe'. Write of address 4C4D5454 --> 8)
Ошибка при сканировании каталога D:\Grey\- = Comp140 = -\Disk E\Grey\ (Access violation at address 0040253C in module 'avz.exe'. Write of address 4C4D5454 --> 8)
Ошибка при сканировании каталога D:\Grey\- = Comp140 = -\Disk E\ (Access violation at address 0040253C in module 'avz.exe'. Write of address 4C4D5454 --> 8)
Ошибка при сканировании каталога D:\Grey\- = Comp140 = -\ (Access violation at address 0040253C in module 'avz.exe'. Write of address 4C4D5454 --> 8)
Ошибка при сканировании каталога D:\Grey\ (Access violation at address 0040253C in module 'avz.exe'. Write of address 4C4D5454 --> 8)
Ошибка при сканировании каталога D:\ (Access violation at address 0040253C in module 'avz.exe'. Write of address 4C4D5454 --> 8
И еще вопрос, точнее наверное предложение, может не стоит по симлинкам проверять, т.к. получиться что одно и то же файло по нескольку раз будет проверено?
-
Full Member
- Вес репутации
- 69
Сообщение от
Geser
1. Окошко автообновлялки выглядит страшно.
2. Нажал обновить, чего-то там происошло но не понятно обновилось или нет. Нужно лог писать куда-то и результат обновления выводить.
А у меня сработало вполне нормально...
-
Full Member
- Вес репутации
- 69
В одной из версий 4.xx появится локализация - движек переработан для возможности перевода
Xoрошо что не забываешь...
А где в меню ты собираешься её ''втыкнуть''?
-
Для kav.exe и kavsvc.exe "ошибка получения информации о файле" и не выводится список используемых библиотек.
При запуске скриптом AVZ создал пустой архив virusinfo_files.zip
-