Спасибо, посмотрю.Сообщение от aintrust
сами цвета оставить так как было уже выбрано: единственно: способ обозначения выбирать: либо маркером в первом столбце, либо подкраской фона. Как вариант.
Спасибо, посмотрю.
сами цвета оставить так как было уже выбрано: единственно: способ обозначения выбирать: либо маркером в первом столбце, либо подкраской фона. Как вариант.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Оно побледнее, но как-то "агрессивнее" что ли. Хотя это только мое "ИМХО"Текст на нем хуже читается. Опять же, ИМХО.
Я бы тоже согласился с первым вариантом, где цвета немного поярче/насыщеннее. Моим глазам так "более удобно"...
Я знаю, что на это скажет Олег: "это же анти-вирусный инструмент, а не графический редактор!"
Главное, чтобы первый ком (вариант) оказался блином.Я знаю, что на это скажет Олег: "это же анти-вирусный инструмент, а не графический редактор!"
-------
на virusinfo отличная цветовая схема. Это добавляет ему популярности.
Последний раз редактировалось santy; 11.01.2007 в 14:06.
Олег а можно что бы у драйвера немного более осмысленное название было, а то иной раз не поймёшь руткит затисался или драйвер от AVZ=))
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
Ego1st, полагаю, тебя устроит название "eto_drajver_AVZ.sys"?
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
нет зачем-же просто что-то типа AtrwV544Z.sys хотябы что бы пресутствовали буквы avz и сразу понятно становиться..
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
На мой взгляд, "проблема" с этими псевдо-случайными именами файлов драйверов AVZ - несколько надуманная, т.к. они во всех окнах и отчетах показываются зеленым (безопасным) цветом, так что с руткитом их никак не перепутаешь! Для большинства пользователей этой цветовой индикации вполне достаточно для того, чтобы не обращать на эти драйверы никакого внимания.
Другое дело - идентификация этих драйверов как принадлежащих AVZ. Тут, пожалуй, есть рациональное зерно в вашем предложении насчет "прошивки" хаотично разбросанных символов A, V и Z в именах этих файлов. В общем, поддерживаю!
так я не для себя, это я говорю о логах (что-то я в них зеленого цвета вообще не видел), когда смотришь по ним, непонятно к кому относиться драйвер..На мой взгляд, "проблема" с этими псевдо-случайными именами файлов драйверов AVZ - несколько надуманная, т.к. они во всех окнах и отчетах показываются зеленым (безопасным) цветом, так что с руткитом их никак не перепутаешь! Для большинства пользователей этой цветовой индикации вполне достаточно для того, чтобы не обращать на эти драйверы никакого внимания.
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
Когда зловреды будут знать, что когда в имени драйвера обязательно есть эти буквы, это будет не совсем хорошо.
Олег, предложение из разряда "для ленивых" =) Можно через скрипт реализовать отключение System Restore? =))
Если речь идет о логе в главном окне AVZ, то, действительно, там сейчас нет цветовой индикации безопасных модулей (хотя я сильно ратую за то, чтобы она там была!), однако ничто не мешает заглянуть в окно "Модулей пространства ядра" и увидеть там зеленый цвет этих драйверов. Если же мы говорим о протоколах "Исследования системы", то там цветовая индикация присутствует, и все "безопасные" драйверы показываются более светлым оттенком фона.
Так что, в принципе, никаких проблем, кроме относительного неудобства в первом случае...
А ничего страшного в этом нет. Ну, будут там эти буквы, разбросанные по имени в беспорядке, и что? Зловред станет искать их по файловой маске, чтобы сделать атаку на этот драйвер или сам AVZ? Вряд ли, да и ненадежно это (можно перепутать с любым другим драйвером, в имени которого случайно встретятся эти буквы)... =)
Построить реальную атаку против самого AVZ и/или его драйверов сейчас можно гораздо более простыми методами, например:
- делая поллинг CreateFile с именем симлинка на драйвер AVZ (см., кстати, примеры в моем блоге, посвященные "убиению" AVZ - там использован этот метод контроля запуска AVZ);
- отслеживая создание ключей в ветви HKLM\System\CurrentControlSet;
- отслеживая вызов NtLoadDriver и т.д.
Вариантов на самом деле очень много, от простых до сложных, в зависимости от поставленной задачи - было бы желание, как говорится.
Как я уже многократно писал ранее, основная проблема всех "детекторов", что запускаются на уже зараженной машине (типа AVZ или любого детектора руткитов) состоит именно в том, что зловред/руткит к моменту такого запуска полностью контролирует систему и может как разрешить, так и запретить все, что угодно. "Запоздалые" попытки загрузки более серьезных средств борьбы (типа модулей AVZGuard, AVZPM или AVZBC) могут легко быть блокированы - и, увы, ничего с этим не поделаешь, c'est la vie. Тут как в старой поговорке: "Кто первый встал, того и тапки...". =)
Здравствуйте!
не нашёл подходящеё темы для размещения своего вопроса т.к. тема "Чаво" закрыта, посему, если разместил не там, прошу извинить.
Подскажите, вот скачал с сайта AVZ 23 версии, запустил но мне пишет что не установлен драйвер мониторинга AVZPM и проверка не будет производиться"...что сие значит и как тогда установить этот драйвер?..
Заранее спасибо.
Меню "AVZPM", там пункт "Установить драйвер расширенного мониторинга процессов". После установки драйвера этот пункт заблокируется и разблокируются два других - "Удалить драйвер расширенного мониторинга процессов" и "Удалить и выгрузить драйвер расширенного мониторинга процессов". Для полноты картины после установки драйвера рекомендуется перезагрузитьсяЗдравствуйте!
не нашёл подходящеё темы для размещения своего вопроса т.к. тема "Чаво" закрыта, посему, если разместил не там, прошу извинить.
Подскажите, вот скачал с сайта AVZ 23 версии, запустил но мне пишет что не установлен драйвер мониторинга AVZPM и проверка не будет производиться"...что сие значит и как тогда установить этот драйвер?..
Заранее спасибо.
Спасибо!
Олег, скажыте пожалуйста, как узнать почему файл не добавился в карантин?
Если файл опознается как безопасный - то его добавление в карантин блокируется.
Менеджер внедренных DLL показал:winspool.drv- подозрение на keylogger или троянскую DLL.Winspool.drv работает в сервисе Spoolsv.exe.В system32 есть Winspool.exe , в свойствах которого указано:Windows 16-bit WoW Psuedo printer Driver(loaded as winspool.drv) производитель-Microsoft Corp.Winspool.exe, Winspool.drv прошли контроль подлинности по AVZ но в справочнике по процессам CompoWiki winspool.exe-Spyware от CWS.Помогите разобраться-чему верить!
"справочник по процессам" можно выкинуть - толку от него нуль, так как судить о вредоносности процесса по имени исполняемого файла и копирайтам нельзя. А они каким цветом его показывает AVZ ? Если зеленым, то файл безопасен.
Ваши права в разделе
