-
Сообщение от
DoSTR
Можно ли где нибудь в AVZ меню/Справка/О Программе разместить информацию о "свежести" установленных баз.(Суммарное количество сигнатур + дата последнего обновления)
Например, как у Вас на сайте:
Это можно, но сложно - для получения подобных цифр нужно перезагрузить все базы. AVZ исходно этого не делает - базы грузятся по мере необходимости. А данные на страничке статичные - апдейт генерируется по центральной базе данных, поэтому собирающий его демон на сервере автоматом генерит базы, выкладывает их по FTP и обновляет страничку статистики. Как вариант, я нечто подобное могу воткнуть в базу - типа описания базы в текстовом виде.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Зайцев Олег
Как вариант, я нечто подобное могу воткнуть в базу - типа описания базы в текстовом виде.
Может сделать отдельный каждый раз обновляемый файл - содержащий информацию, которая и будет отображаться в программе.
-
Сообщение от
DoSTR
Может сделать отдельный каждый раз обновляемый файл - содержащий информацию, которая и будет отображаться в программе.
Вот об этом и речь ... причем файл можно сделать текстовым, чтобы можно было просмотреть его без помощи AVZ. Я продумаю данный вопрос ...
-
-
Олег, добрый день. "Замечает" ли АВЗ удаление одной или нескольких антивирусных баз? Имеет ли смысл в каком-то виде выполнять контроль целостности АВ -баз (возможно, ранее об этом уже говорилось)?
----
Кстати, АВЗ запускается эмулятором Wine в Linux (ubuntu), но не работает нормально.
-
-
Сообщение от
santy
Олег, добрый день. "Замечает" ли АВЗ удаление одной или нескольких антивирусных баз? Имеет ли смысл в каком-то виде выполнять контроль целостности АВ -баз (возможно, ранее об этом уже говорилось)?
----
Кстати, АВЗ запускается эмулятором Wine в Linux (ubuntu), но не работает нормально.
Нет, удаление одной из баз типа main* он не замечает. Это было сделано специально, чтобы можно было оперативно поменять любой из файлов (добавить, удалить, обновить) вручную. Ввиду появления автоапдейта подобный контроль можно ввести.
По поводу запуска на эмуляторе - да, он запустится - но работать по идее не должен. Есть кстати разновидность версия AVZ под Linux, ее со временем можно довести до ума - там конечно только сканер ...
-
-
Сообщение от
Зайцев Олег
Нет, удаление одной из баз типа main* он не замечает. Это было сделано специально, чтобы можно было оперативно поменять любой из файлов (добавить, удалить, обновить) вручную. Ввиду появления автоапдейта подобный контроль можно ввести.
По поводу запуска на эмуляторе - да, он запустится - но работать по идее не должен. Есть кстати разновидность версия AVZ под Linux, ее со временем можно довести до ума - там конечно только сканер ...
Может быть, имеет смысл формировать контрольную сумму либо по авторским базам при автоапдейте, и соответственно проверять какой-то функцией из менеджера АВЗ, исключая из суммы базы, созданные пользователем... А версия АВЗ под Линукс работает с теми же базами?
Интересно было бы посмотреть.
Nod32, Drweb под Linux при сканировании детектирует вирусняк под Win. Как работает мониторинг пока не разобрался.
-
-
Сообщение от
santy
Может быть, имеет смысл формировать контрольную сумму либо по авторским базам при автоапдейте, и соответственно проверять какой-то функцией из менеджера АВЗ, исключая из суммы базы, созданные пользователем... А версия АВЗ под Линукс работает с теми же базами?
Интересно было бы посмотреть.
Nod32, Drweb под Linux при сканировании детектирует вирусняк под Win. Как работает мониторинг пока не разобрался.
Линуксовый AVZ основан на тех-же базах. Мне просто было любопытно, как он будет работать, если портировать его на линкус - оказалось, это не сложно и работает неплохо. Я это делал в свое время для прикручивания AVZ к прокси/почтарю, но до ума так и не довел.
-
-
Олег! При отложенном удалении файлов как правильно сделать чистку реестра?
В скрипте идет сначала deletefile, bc_importDeletedList, executesysclean, rebootwindows. извини, если ошибся в названиях функций.
Последний раз редактировалось Зайцев Олег; 02.03.2007 в 15:40.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
PavelA
Олег! При отложенном удалении файлов как правильно сделать чистку реестра?
В скрипте идет сначала deletefile, bcimportdeletefiles, executeregclean, rebootwindows. извини, если ошибся в названиях функций.
Именно так, т.е. :
1. Удаление файлов - DeleteFile
2. Импорт списка удаленных объектов в BootCleaner - BC_ImportDeletedList
3. Чистка реестра - ExecuteSysClean
4. Активация BootCleaner - BC_Activate
5. Перезагрузка - RebootWindows(true);
-
-
Junior Member
- Вес репутации
- 69
Олег, неплохо бы сделать в AVZ выбор временного каталога, куда AVZ извлекает архивы. А то у меня антивирус рубит файлы с вирусами, которые AVZ пытается вытащить из архива.
Я, конечно, понимаю что надо отрубать антивирус, на время работы AVZ . Но это не всегда удобно, когда хочешь проверить 1-2 файла, на предмет детектирования их AVZ, когда антивирус его уже поймал...
А так, антивиру прописал этот каталог в исключения, и ни какой возни с отключениями...
-
Сообщение от
Arhimed
Олег, неплохо бы сделать в AVZ выбор временного каталога, куда AVZ извлекает архивы. А то у меня антивирус рубит файлы с вирусами, которые AVZ пытается вытащить из архива.
Я, конечно, понимаю что надо отрубать антивирус, на время работы AVZ
. Но это не всегда удобно, когда хочешь проверить 1-2 файла, на предмет детектирования их AVZ, когда антивирус его уже поймал...
А так, антивиру прописал этот каталог в исключения, и ни какой возни с отключениями...
ОК, сделаю такой ключ командной строки и опцию в скрипте.
-
-
Предлагаю включать в лог исследования системы (2 и 3 стандартный скрипт) список установленных программ.
-
-
Здесь тестили 100 вирусов. Говорят, что AVZ находит 71.
У самого был zonebac. Всё сделал, что ему полагалось. Симантек заметил его только после восстановления инсталляции. AVZ пост-фактум: последняя база, максимальная эвристика, все файлы, включено лечение с копированием удаляемых, указана папка, где зловреды - не детектирует...
Есть прога "File Lock v4.2.11", она для закрытия доступа к файлам, папкам, дискам.
Но почему-то AVZ не показывает ее часть (в памяти), которая отвечает за закрытие доступа и ее способ автозапуска.
http://www.toplang.com/filelock.htm -
Kernel mode protection, uses low level driver to protect your files/folders
Последний раз редактировалось Erekle; 05.03.2007 в 06:34.
-
Сообщение от
Зайцев Олег
Линуксовый AVZ основан на тех-же базах. Мне просто было любопытно, как он будет работать, если портировать его на линкус - оказалось, это не сложно и работает неплохо. Я это делал в свое время для прикручивания AVZ к прокси/почтарю, но до ума так и не довел.
Для нас это скоро станет актуально в связи с возможной миграцией на Linux. Проверка файловых серверов+почты, при том, что часть машин будет работать под Win.
Олег, а можно потестировать сканер АВЗ(Linux) в том виде, в котором он сейчас есть? Может быть, и для других это будет интересно - по крайней мере, на форуме ubuntu читал сообщения, типа "не могу жить без антивируса..."
-
-
Сообщение от
santy
Для нас это скоро станет актуально в связи с возможной миграцией на Linux. Проверка файловых серверов+почты, при том, что часть машин будет работать под Win.
Олег, а можно потестировать сканер АВЗ(Linux) в том виде, в котором он сейчас есть? Может быть, и для других это будет интересно - по крайней мере, на форуме ubuntu читал сообщения, типа "не могу жить без антивируса..."
Текущая версия кривая, но я возьму вопрос на контроль и постараюсь довести его до ума
-
-
Сообщение от
Erekle
Здесь тестили 100 вирусов. Говорят, что AVZ находит 71.
У самого был
zonebac. Всё сделал, что ему полагалось.
Симантек заметил его только после восстановления инсталляции. AVZ пост-фактум: последняя база, максимальная эвристика, все файлы, включено лечение с копированием удаляемых, указана папка, где зловреды - не детектирует...
http://www.toplang.com/filelock.htm -
Оффтоп - при всем уважении это не тест ... во первых как я не пробовал, AVZ ловит 93 зверей из этих 100 (надо включить опцию сканировать все файлы - иначе файлы с расширением типа .#xe не проверяются), из остального не ловится FireDLL.dll - это DLL от теста Firewall (а не троян !), VirTools - это не вирус, и 5 вирусов - AVZ их не ловит. Но это так, детали ... главное то тут совершенно в другом - это не ITW зловреды ! а на 80% нечто весьма древнее. Примеры:
Backdoor.Win32.IRCBot.ex = 28.10.2005
Trojan-Spy.Win32.KGSpy.d = 17.03.2005
Trojan-Downloader.Win32.VB.eu = 05.01.2005
Trojan-PSW.Win32.LdPinch.yp = 25.11.2005
Email-Worm.Win32.NetSky.d = 02.03.2004
Virus.DOS.Lapiddan.454 - что-то похожее я видел лет 15 назад
Даты - это дата внесения дефиниции указанного зверя в базу AVZ. Поэтому дальнейшие рассуждения о эффективности антивирусов и сравнения по данной коллекции мягко говоря некорректны - в коллекции почти нет свежих ITW образцов.
------
Теперь по делу - "File Lock v4.2.11" AVZ видит - у него есть немаскируемый процесс FileLock.exe, плагины для Explorer - DisguiseFolder.tlp, EncryptFile.tlp, Trusts.tlp и драйвер - FLOCKXP.SYS - все это не маскируется и AVZ это отображает в исследовании системы и списке модулей ядра. Некоторые версии File Lock есть в базе безопасных, поэтому в исследовании они могут отсутствовать
Последний раз редактировалось Зайцев Олег; 05.03.2007 в 09:50.
-
-
Да, я тоже увидел, что отображает, но опасался, что чего-то пропустил (скачал эту программу, но в автозагрузку не прописывал).
Не по делу - извиняюсь... знаю, что тема не о том. Просто к моему недавнему случаю (кстати, и антивирус во время проверки AVZ был отключен, чтобы не мешать) добавился тот кустарный тест (с Вашего позволения скопирую Ваш ответ туда).
Только один вопрос: есть ли отличия в механизме сканирования и выявления - проведенных по скриптам и с главного окна? Они одинаково эффективны?
Последний раз редактировалось Erekle; 05.03.2007 в 10:53.
-
Сообщение от
Erekle
Да, я тоже увидел, что отображает, но опасался, что чего-то пропустил.
Не по делу
- извиняюсь... я тоже знаю, что тема не о том. Просто к моему недавнему случаю (кстати, и антивирус во время проверки AVZ был отключен, чтобы не мешать) добавился тот кустарный тест (с Вашего позволения скопирую Ваш ответ туда).
Только один вопрос: есть ли отличия в механизме сканирования и выявления - проведенных по скриптам и с главного окна? Они одинаково эффективны?
По поводу теста - ответ мой можно скопировать, я не против ... это главная беда таких тестов - в Инет гуляют коллекции "вирусов", из которых почти нет ITW - либо древние DOS вирусы, либо древние современные. Причем коллекция явно отобрана по детекту какого-то антивируса X. так нельзя - для объективного теста нужно 3-5 тыс. свежих распространенных ITW образцов, тогда это интересно.
------
По поводу эффективности сканирования - имеется в виду есть ли разница между зхапуском скана AVZ вручную или аналогичное из скрипта ? Если да, то разницы совершенно никакой - используется тот-же алгоритм, все полностью идентично. С исследованием системы немного не так - в скрипте всегда выполняется полное исследование, а в случае ручного запуска исследования в диалоге можно отключить ряд проверок.
-
-
1.Процесс, который был запущен до включения AVZGuard, после включения оного все равно может писать в любые файлы и в "exe" в том числе.
2.Поставить ловушку на WH_GETMESSAGE.
SysHook := SetWindowsHookEx(WH_GETMESSAGE,@SysMsgProc, HInstance, 0);
в main begin dll'и
if UpperCase(ExtractFileName(Application.ExeName))= 'AVZ.EXE' then
begin
Application.Terminate;
// или while true do i:=i+1; что веселее
end;
Такая фича не пройдет с AVZ AG=Y, но напоминаю что начиная с 4.20
AVZ AG=Y приводит к Access Violaton
А сделать проверку, какие модули используются самим AVZ на предмет их безопасности
вроде того, как он реагирует на изменение своего CRC?
-
Сообщение от
Mad Scientist
1.Процесс, который был запущен до включения AVZGuard, после включения оного все равно может писать в любые файлы и в "exe" в том числе.
2.Поставить ловушку на WH_GETMESSAGE.
SysHook := SetWindowsHookEx(WH_GETMESSAGE,@SysMsgProc, HInstance, 0);
в main begin dll'и
if UpperCase(ExtractFileName(Application.ExeName))= 'AVZ.EXE' then
begin
Application.Terminate;
// или while true do i:=i+1; что веселее
end;
Такая фича не пройдет с AVZ AG=Y, но напоминаю что начиная с 4.20
AVZ AG=Y приводит к Access Violaton
А сделать проверку, какие модули используются самим AVZ на предмет их безопасности
вроде того, как он реагирует на изменение своего CRC?
1. Писать Guard не запрещает - блокируется только создание новых объектов.
2. Я исправил баг, AG=Y должен теперь работать - он для этого и был сделан ... Проверку модулей AVZ делает, он "знает", что грузил сам, а что внедрилось без его ведома.
----------
Вышла новая версия - 4.24, эту ветку закрываю, ветка для новой версии - http://virusinfo.info/showthread.php?t=8284
Последний раз редактировалось Зайцев Олег; 06.03.2007 в 12:42.
-