Парсер логов AVZ 3.00

Автоматический анализатор логов AVZ

  1. Drongo
    Парсер AVZ

    Парсер AVZ - предназначен для автоматического анализа логов на основе имеющихся баз и эвристик. Описание баз можно найти в справке. Использование программы раcсчитано на пользователя имеющего представления о системных процессах, файлах и имеющих опыт в анализе логов и написании скриптов AVZ.

    Перед тем как запустить скрипт обязательно просмотрите его и убедитесь в отсутствии фолсов если таковые будут, а также при необходимости дополните ответ. Важно помнить, что парсер AVZ не панацея, а скорее помощник в рутинном анализе лога, он не обязан находить всё и безошибочно. За возможные неправильные удаления вследствие применения непроверенного скрипта, автор парсера отвественности не несёт.

    Использование:
    Открыть или перетащить логи в окно программы, нажать кнопку Анализировать, после окончания анализа будут сформированы рекомендации и скрипт если будут обнаружены зловреды.
    Примечание: В некоторых случаях можно встретить ошибку загрузки лога, это не является ошибкой парсера, скорее всего такой лог "битый", чаще всего это лог .xml. Коды популярных ошибок и способы исправления указаны в справке. Для автоматического исправления таких логов рекомендуется использовать утилиту AVZ Logs Fixer написаную Dragokas.
    _____________________________________________________________
    Интерфейс парсера AVZ разделён на два окна:
    Левое окно - составляется и выводится итоговый скрипт если были найдены зловреды.
    Правое окно - выводится различная вспомогательная информация. Наиболее частые секции:
    • [Файлы использующие механизм автозагрузки: Run, Load, Win.ini] - Показывает список всех файлов использующих для своей загрузки эти механизмы.
    • [Файлы созданые в течение 30 дней со дня сканирования] - Выводит список файлов созданных в определённый отрезок времени 30, 60, 90 дней.
    • [Дата создания и изменения системных файлов - разная!] - Здесь выводятся файлы, у которых дата создания и изменения не совпадает, полезно при обнаружении файловых вирусов, но также подобное может быть у патченых системных файлов, например, пользователь ставил различные украшалки системы, которые патчат системные файлы, добавляя иконки.
    • [Подозрительные объекты] - Вывод файлов из секции Подозрительные из лога AVZ.
    • [Файлы без подписи авторского права (Copyright)] - Содержит файлы с отсутствующими копирайтами, чаще всего это может быть вредоносная .dll'ка с рандомным именем.
    • [Информация о DNS] - Список IP адресов на которые следует обратить внимание. Возможно подмена запросов (DNS) при обращение к этому сайту.

    Галочки и кнопки:
    • Поиск служб и драйверов в Temp - при установленной галке, парсер будет искать службы и драйвера во временной папке Temp. Важно, некоторые легальные программы могут запускаться из этой папки. В этом случае достаточно снять галку и заново нажать Анализировать.
    • Использовать поиск по MD5 - при установленной галке поиск зловредов будет также происходить по базе HashBase.txt.
      Поиск файлов созданных за ХХ дней - при установленной галке происходит выборка файлов за выбранный период времени.
    • Количество контрольных PID - позволяет выбрать количество используемых зловредом PID, при которых файл будет считаться вирусным. Важно: легальные dll также могут использовать 3 и более процесса в своей работе, в этом случае укажите максимально допустимое значение. Механизм определения описан здесь.
    • Кнопка "Показать лог анализа" - отладочная информация, можно посмотреть по какому критерию был удалён тот или иной файл. Для более подробной информации, смотрите справку - "Что означают пометки в анализе лога".
    _____________________________________________________________
    Благодарности:
    Хочу выразить благодарность всем, кто помогал в создании парсера, кто давал ценные и конструктивные советы по реализации различных нюансов в поиске и определении вредоносов, кто помогал наполнять базы парсера, тестировать, выявлять и исправлять различные ошибки. Ребята, akoK, regist, thyrex, iskander-k, iolka, mirso, Nitan, Alex1983, edde, MotherBoard, ТроПа, без вас бы его не было(вроде никого не забыл...). Спасибо вам! Вместе мы сила! :Friends:
    ivan1111122222, Soft, GIgAleks и 3 другим нравится это.

Пoследние рецензии

  1. Анонимный пользователь
    Анонимный пользователь
    5/5,
    Версия: 3.00
    Поистине гигантская работа!
  2. Анонимный пользователь
    Анонимный пользователь ()
    5/5,
    Версия: 2.74
    Замечательная полезняшка, крайне облегчающая анализ
  3. Анонимный пользователь
    Анонимный пользователь
    5/5,
    Версия: 2.71
    Отлично!