-
Сообщение от
aintrust
Различают. См. "Options" / "Configure Highlighting..." в меню Process Explorer - там указано, что означает каждый из цветов фона. Фон можно выбрать как по цвету, так и просто отменить вообще.
Спасибо, посмотрю.
Сообщение от
aintrust
Нет, этого делать нельзя по вполне понятным соображениям: тогда хелперы не разберутся, что означает каждый из цветов в логе. Цвета д.б. заранее оговоренными, чтобы не возникало вопросов.
сами цвета оставить так как было уже выбрано: единственно: способ обозначения выбирать: либо маркером в первом столбце, либо подкраской фона. Как вариант.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Shu_b
а если ещё побледнее (первые две колоночки...)
Оно побледнее, но как-то "агрессивнее" что ли. Хотя это только мое "ИМХО" Текст на нем хуже читается. Опять же, ИМХО.
-
-
Я бы тоже согласился с первым вариантом, где цвета немного поярче/насыщеннее. Моим глазам так "более удобно"...
-
-
Сообщение от
santy
единственно: способ обозначения выбирать: либо маркером в первом столбце, либо подкраской фона. Как вариант.
Я знаю, что на это скажет Олег: "это же анти-вирусный инструмент, а не графический редактор!" По мне так, если честно, все равно, какой вариант будет выбран, лишь бы все было более-менее однозначно.
-
-
Сообщение от
aintrust
Я знаю, что на это скажет Олег: "это же анти-вирусный инструмент, а не графический редактор!"
По мне так, если честно, все равно, какой вариант будет выбран, лишь бы все было более-менее однозначно.
Главное, чтобы первый ком (вариант) оказался блином. . Угадать с цветами с первого раза всегда бывает трудно. Глаза должны привыкнуть к цвету. На восприятие программы это очень сильно влияет. Если неудачной бывает цветовая схема - не вполне приятно работать с программой.
-------
на virusinfo отличная цветовая схема. Это добавляет ему популярности. .
Последний раз редактировалось santy; 11.01.2007 в 14:06.
-
-
Олег а можно что бы у драйвера немного более осмысленное название было, а то иной раз не поймёшь руткит затисался или драйвер от AVZ=))
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Ego1st, полагаю, тебя устроит название "eto_drajver_AVZ.sys"?
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
нет зачем-же просто что-то типа AtrwV544Z.sys хотябы что бы пресутствовали буквы avz и сразу понятно становиться..
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Сообщение от
Ego1st
нет зачем-же просто что-то типа AtrwV544Z.sys хотябы что бы пресутствовали буквы avz и сразу понятно становиться..
На мой взгляд, "проблема" с этими псевдо-случайными именами файлов драйверов AVZ - несколько надуманная, т.к. они во всех окнах и отчетах показываются зеленым (безопасным) цветом, так что с руткитом их никак не перепутаешь! Для большинства пользователей этой цветовой индикации вполне достаточно для того, чтобы не обращать на эти драйверы никакого внимания.
Другое дело - идентификация этих драйверов как принадлежащих AVZ. Тут, пожалуй, есть рациональное зерно в вашем предложении насчет "прошивки" хаотично разбросанных символов A, V и Z в именах этих файлов. В общем, поддерживаю!
-
-
На мой взгляд, "проблема" с этими псевдо-случайными именами файлов драйверов AVZ - несколько надуманная, т.к. они во всех окнах и отчетах показываются зеленым (безопасным) цветом, так что с руткитом их никак не перепутаешь! Для большинства пользователей этой цветовой индикации вполне достаточно для того, чтобы не обращать на эти драйверы никакого внимания.
так я не для себя, это я говорю о логах (что-то я в них зеленого цвета вообще не видел), когда смотришь по ним, непонятно к кому относиться драйвер..
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Сообщение от
aintrust
Другое дело - идентификация этих драйверов как принадлежащих AVZ. Тут, пожалуй, есть рациональное зерно в вашем предложении насчет "прошивки" хаотично разбросанных символов A, V и Z в именах этих файлов. В общем, поддерживаю!
Когда зловреды будут знать, что когда в имени драйвера обязательно есть эти буквы, это будет не совсем хорошо.
-
-
Олег, предложение из разряда "для ленивых" =) Можно через скрипт реализовать отключение System Restore? =))
-
-
Сообщение от
Ego1st
так я не для себя, это я говорю о логах (что-то я в них зеленого цвета вообще не видел), когда смотришь по ним, непонятно к кому относиться драйвер..
Если речь идет о логе в главном окне AVZ, то, действительно, там сейчас нет цветовой индикации безопасных модулей (хотя я сильно ратую за то, чтобы она там была!), однако ничто не мешает заглянуть в окно "Модулей пространства ядра" и увидеть там зеленый цвет этих драйверов. Если же мы говорим о протоколах "Исследования системы", то там цветовая индикация присутствует, и все "безопасные" драйверы показываются более светлым оттенком фона.
Так что, в принципе, никаких проблем, кроме относительного неудобства в первом случае...
Сообщение от
anton_dr
Когда зловреды будут знать, что когда в имени драйвера обязательно есть эти буквы, это будет не совсем хорошо.
А ничего страшного в этом нет. Ну, будут там эти буквы, разбросанные по имени в беспорядке, и что? Зловред станет искать их по файловой маске, чтобы сделать атаку на этот драйвер или сам AVZ? Вряд ли, да и ненадежно это (можно перепутать с любым другим драйвером, в имени которого случайно встретятся эти буквы)... =)
Построить реальную атаку против самого AVZ и/или его драйверов сейчас можно гораздо более простыми методами, например:
- делая поллинг CreateFile с именем симлинка на драйвер AVZ (см., кстати, примеры в моем блоге, посвященные "убиению" AVZ - там использован этот метод контроля запуска AVZ);
- отслеживая создание ключей в ветви HKLM\System\CurrentControlSet;
- отслеживая вызов NtLoadDriver и т.д.
Вариантов на самом деле очень много, от простых до сложных, в зависимости от поставленной задачи - было бы желание, как говорится.
Как я уже многократно писал ранее, основная проблема всех "детекторов", что запускаются на уже зараженной машине (типа AVZ или любого детектора руткитов) состоит именно в том, что зловред/руткит к моменту такого запуска полностью контролирует систему и может как разрешить, так и запретить все, что угодно. "Запоздалые" попытки загрузки более серьезных средств борьбы (типа модулей AVZGuard, AVZPM или AVZBC) могут легко быть блокированы - и, увы, ничего с этим не поделаешь, c'est la vie. Тут как в старой поговорке: "Кто первый встал, того и тапки...". =)
-
-
Junior Member
- Вес репутации
- 64
драйвер мониторинга AVZPM...?
Здравствуйте!
не нашёл подходящеё темы для размещения своего вопроса т.к. тема "Чаво" закрыта, посему, если разместил не там, прошу извинить.
Подскажите, вот скачал с сайта AVZ 23 версии, запустил но мне пишет что не установлен драйвер мониторинга AVZPM и проверка не будет производиться"...что сие значит и как тогда установить этот драйвер?..
Заранее спасибо.
-
Сообщение от
ORG-IT
Здравствуйте!
не нашёл подходящеё темы для размещения своего вопроса т.к. тема "Чаво" закрыта, посему, если разместил не там, прошу извинить.
Подскажите, вот скачал с сайта AVZ 23 версии, запустил но мне пишет что не установлен драйвер мониторинга AVZPM и проверка не будет производиться"...что сие значит и как тогда установить этот драйвер?..
Заранее спасибо.
Меню "AVZPM", там пункт "Установить драйвер расширенного мониторинга процессов". После установки драйвера этот пункт заблокируется и разблокируются два других - "Удалить драйвер расширенного мониторинга процессов" и "Удалить и выгрузить драйвер расширенного мониторинга процессов". Для полноты картины после установки драйвера рекомендуется перезагрузиться
-
-
Junior Member
- Вес репутации
- 64
-
Олег, скажыте пожалуйста, как узнать почему файл не добавился в карантин?
-
-
Сообщение от
Muffler
Олег, скажыте пожалуйста, как узнать почему файл не добавился в карантин?
Если файл опознается как безопасный - то его добавление в карантин блокируется.
-
-
Менеджер внедренных DLL показал:winspool.drv- подозрение на keylogger или троянскую DLL.Winspool.drv работает в сервисе Spoolsv.exe.В system32 есть Winspool.exe , в свойствах которого указано:Windows 16-bit WoW Psuedo printer Driver(loaded as winspool.drv) производитель-Microsoft Corp.Winspool.exe, Winspool.drv прошли контроль подлинности по AVZ но в справочнике по процессам CompoWiki winspool.exe-Spyware от CWS.Помогите разобраться-чему верить!
-
Сообщение от
barsukRed
Менеджер внедренных DLL показал:winspool.drv- подозрение на keylogger или троянскую DLL.Winspool.drv работает в сервисе Spoolsv.exe.В system32 есть Winspool.exe , в свойствах которого указано:Windows 16-bit WoW Psuedo printer Driver(loaded as winspool.drv) производитель-Microsoft Corp.Winspool.exe, Winspool.drv прошли контроль подлинности по AVZ но в справочнике по процессам CompoWiki winspool.exe-Spyware от CWS.Помогите разобраться-чему верить!
"справочник по процессам" можно выкинуть - толку от него нуль, так как судить о вредоносности процесса по имени исполняемого файла и копирайтам нельзя. А они каким цветом его показывает AVZ ? Если зеленым, то файл безопасен.
-