Автоматическое получение логов AVZ, RSIT, SITLog, HiJack This

Тема в разделе "Пакетные файлы CMD, BAT", создана пользователем Kиpилл, 17 сен 2013.

  1. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.202
    Симпатии:
    4.970
    Буду первым топикстартером в новом разделе)))

    Давно обсуждаемая тема:
    Автоматическое получение логов.

    Как это возможно реализовать?

    В авз такой функционал будет доступен даже консольно,а вот с rsit уже сложнее.

    Примерно вижу это так:
    Диалоговое окно,в котором имеется чекбокс напротив нужных утилит в списке,предварительно упакованных в cab например.

    Пользователь выбирает пункты,жмет и начинается сбор логов данными утилитами.
    Создается папка например на рабочем столе,где в раздельных папках будут лежать нужные логи.
    Стартовая тема сбора логов:
    http://safezone.cc/forum/showthread.php?t=15

    По поводу того,что бы утилиты всегда были свежими-можно указать адрес скачивания на зеркало.

    Думаю такой набор будет востребован среди пользователей.


    Комментарий от Dragokas:

    //TODO: 0.1.9.6 (обновлен) +
    //TODO
    Окно прерывания работы зависшей утилиты из набора.

    //TODO 0.1.9.7 +
    Обойти фильтр SmartScreen в Win8, чтобы заработал SecurityCheck.
    Проверка сборщиком обновлений самого себя.
    Дописывать к финальному архиву сразу - дату/время в формате dd.mm.yyyy-hh.mm


    0.1.9.6.
    Добавлен RSIT. Обновления не проверяются, т.к. в ближайшее время не планируются.
    В ver.0.1.9.5 система не перезагружалась после удаления драйвера AVZPM. Исправлено.

    0.1.9.5
    Programs\avz\avz4: убрана вложенность папок.
    Удален _Start_ViruLogs.ErrorEXE, заменен на CMD.ErrorEXE, который запускается из папки Windows
    7z-версия архива более не создается (неактуально).

    0.1.9.4.
    Вырезан RSIT
    Убрал проверку наличия подключения к сети Интернет (т.к. пользователь и сам должен знать это, отвечая на вопрос "Обновить ли комплект?")
    Убрал сообщение "Попытаться скачать снова?", если не удалось обновиться ни с одного из зеркал.
    Убрал файл русскоязычной справки AVZ.
    HiJack This копируется в отдельную папку "Programs\HiJack This", чтобы пользователь ее сразу увидел.
    Подкорректировал проверку спецсимволов в путях к сборщику (нельзя использовать символы ^, %, &).
    Упростил функцию скачивания в режиме обновления.
    Неправильно определялась актульность баз AVZ (в днях). Исправлено.
    Архивы virusinfo_syscure.zip и virusinfo_syscheck.zip в конце сканирования не удалялись. Исправлено.
    Браузер по-умолчанию: неверно передавалась версия системы (для XP).
    Протокол отладочной информации расширен:
    • содержит время запуска/завершения и длительность выполнения каждой утилиты;
    • длительность перезагрузки;
    • протокол работы стандартных скриптов AVZ и ошибки обновления баз;
    • такие различия, как незапуск AVZ либо его зависание уже в процессе сканирования.
    • Протокол называется v~Debug.log (папка LOGs); в финальный архив он включается только в случае, когда не было создано одного из логов (поможет понять причину).

    0.1.9.3.
    Дублирование финального архива в формат 7z (временное решение проблем с загрузкой на сервер CyberForum)
    Протоколирование этапов запуска утилит и работы AVZ в файл LOGs\ViruLogs.log
    Автозагрузка: _Start.ErrorEXE (reg: RunOnce) переименован в _ViruLogs_Start.ErrorEXE (чтобы "не бросаться на глаза").
    Удален файл англоязычной справки AVZ.
    В заголовке окна отображается версия утилиты.
    Более быстрый старт сборщика после перезагрузки и в процессе обновления баз.
    Проверка подключения к Интернет через простую отправку ping (для сетей без прокси).
    Win8: запуск без альтернативной ассоциации ErrorEXE (не прогружался рабочий стол).

    0.1.9.2
    Исправлена ошибка бекапа настроек интерфейса (XP): "Попытка записи в несуществующий поток".
    Убрано машинное озвучивание завершения сканирования. Добавлено проигрывание стандартных WAV системы (Звуки *ShutDown*.wav и *notify*.wav).
    Служебная Папка "bin" перенесена в папку "Programs". _Start.cpp также перекомпилирована.
    Поправлено сообщение версии баз после обновления.

    0.1.9.1
    Запуск SecurityCheck в тихом режиме (без отображения результатов).

    0.1.9.0
    Обновления утилит:
    Добавлено зеркало avz.safezone.cc
    Наличие обновлений для AVZ (ядро + базы) теперь проверяется не через интерфейс AVZ, а через парсинг 3 Кб-файла avzupd.zip на сайте z-oleg.com (спасибо Гимаев Наиль)

    Файлы:
    Финальный лог теперь создается в главной папке.
    Удалена утилита nircmd.exe

    Интерфейс
    Добавлено сообщение "Выгрузить защитное ПО" после перезагрузки.
    Показ имени установленного антивируса (чтобы обратить внимание)
    Профессиональный перевод от Anna Khatser.
    Правки грамматических ошибок.

    Сеть:
    Увеличено кол-во попыток для установки связи до 4 (для плохих линий Интернета).

    Функции:
    Добавлен лог утилитой SecurityCheck by glax24.
    Отключение драйвера AVZPM путем запуска стандартного скрипта № 6 с перезагрузкой.
    Регистрация нового расширения ErrorEXE: если ассоциация EXE повреждена, утилита нормально стартует после перезагрузки.
    Контрольная точка: поправлена проверка кода ошибки; для систем >= Vista, включается создание точек, если было отключено.
    Ключ автозагрузки изменен на HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\33
    Голосовое сообщение при завершении проверки.
    Копирование пути к архиву в буфер обмена (вернул на родину :)
    Перезагрузку компьютера можно отменить в течении 10 сек. (на экстренный случай :)

    Ошибки и безопасность:
    Баг со скобкой ) в пути исправлен, восклицательные знаки (!) и другие спецсимволы также доступны.
    Множество других правок мелких ошибок.

    Чистка следов:
    Чистка и удаление папок с логами от каждой из утилит.
    Удаление драйвера AVZ по заврешению скрипта № 2
    Удаление ветки реестра TrendMicro, если ее не было.
    Удаление драйверов и других следов AVZ после его отработки (скрипт № 6 сразу после скрипта № 2)

    0.1.8.
    1. При обновлении автоматически выкачивать обе x64, x32 версии утилит RSIT.
    2. Проверка подключения к сети - забыл о прокси.
    4. Вырезать EICAR
    6. Неплохо бы приделать кнопку : Обновить VirusLog
    6.5. Сразу полная версия сборщика со всеми утилитами. Это для того что бы можно было скачать на одном компе и запустить на другом с обновленными базами.
    8. Вырезать SetClip, как ложный детект некоторых антивирусов.
    11. Поправить зеркала
    21. Убрать проверку MD5 (иначе не запустится при файловом червяке).
    22. Серверная версия: без всплывающих WGET окон.
    23. Серверная версия: silent-режим (без msgbox-ов).
    25. Временно: Запрет запуска из архива.
    ??? Отлючение повышенных привилегий для серверной части (при этом базы будут обновляться только через кумулятивный архив)
     
    Последнее редактирование модератором: 20 ноя 2013
    Phoenix, Mistik, machito и 3 другим нравится это.
  2. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    Можно использовать аналоги RSIT.
    Тут интереснее, обновление баз AVZ, проверка обновления версий?
     
    2 пользователям это понравилось.
  3. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Какие? Если только DDS.

    Вредоносы её не блокируют, на всякий пожарный можно и переименовать или запустить чьим-нибудь хвостом.
     
    2 пользователям это понравилось.
  4. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    Да не только DDS, разработок много... даже банальный HJT зашить можно.
     
    2 пользователям это понравилось.
  5. Сашка
    Оффлайн

    Сашка Активный пользователь

    Сообщения:
    4.670
    Симпатии:
    2.650
    а почему RSIT незя зашить? и вообще зачем зашивать, если мона выкачивать.
     
    2 пользователям это понравилось.
  6. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.202
    Симпатии:
    4.970
    Упаковка в cab нужна потому что не будет возникать вопросов по поводу того чем распаковать-можно простой командой EXPAND в код(системными средствами).
    Проверка обновления баз-три варианта.
    Первый автоскрипт авз,условие.
    Если error то скачиваем базы с зеркала.
    Тут тоже два варианта-либо мы сами поддерживаем актуальную ссылку либо на сайте Зайцева.
    Почему тема в этом разделе?
    Возможность прочитать открытый код (тут надо обсудить его целесообразность)

    Добавлено через 1 минуту 17 секунд
    Можно вшить в архив,можно скачивать с зеркала - но на тот случай если нет доступа к ссылке по какой то причине нужен запасной вариант.
    Верно?

    Добавлено через 38 секунд
    Суть в том что это не сложно сверить)))
     
  7. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    пользователю нужна одна большая кнопка, сделать всё хорошо и чтобы при нажатие на эту кнопку сразу писался и выполнялся авто-скрипт для лечения его системы. А все эти галочки и выбор нужных утилит это очень сложно.

    По сабжу надо ещё, чтобы перед созданием лога запускало браузер - и пользователь этого не испугался приняв за очередную рекламную вкладку, а также приостановить защиту антивируса... что в скрипты уже не зашьёшь. Потом по окончанию сбора логов пользователи ещё часто прикрепляют не те логи, то есть было бы ещё отдельно упаковать, что нужно назвав вот это надо к ответу прикрепить. Правда потом всё равно надо в картинках ему объяснять как выполнить скрипт ...
     
    1 человеку нравится это.
  8. Сашка
    Оффлайн

    Сашка Активный пользователь

    Сообщения:
    4.670
    Симпатии:
    2.650
    ты нашел тему на форуме, где пару лет назад обсуждалось автоматическое получение логов скриптом авз?
     
  9. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Сашка, я же ещё тогда дал ссылку на неё...
     
  10. Сашка
    Оффлайн

    Сашка Активный пользователь

    Сообщения:
    4.670
    Симпатии:
    2.650
    тогда это когда? я не могу найти. Но помню что там то все заглохло изза того, что сделать автоматическую логовыжималку с соблюдением всех требований и условностей очень непросто будет
     
  11. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.202
    Симпатии:
    4.970
    А,точно.
    Щас найду ее.

    Да никто кроме человека не сделает нормальный скрипт-сами понимаете.

    А если потребуется дополнительный лог например дополнительной утилиты?
    Тут требуется единогласие.
    Щас обсуждение найду.
     
  12. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    дополнительно может потребоваться лог десятка утилит... перечислять их не вижу смысла. Понадобится он или нет это ещё вопрос, а размер комбайна из-за этого вырастет, так что не вижу смысла их туда засовывать да перед их применением юзер обычно должен читать отдельную инструкцию по использованию.
     
    1 человеку нравится это.
  13. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.202
    Симпатии:
    4.970
    Тогда остается связка:
    авз,рсит и хиджак если рсит не сработал?
     
  14. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.476
    Симпатии:
    4.305
    regist, если в состав "комбайна" с одной кнопкой: согласен - нет смысла.

    Поддержу вариант автоматизации, взяв за основу Правила сбора логов: http://safezone.cc/forum/showthread.php?t=15

    Также предлагаю, для разнообразия для всех возможных инструментов сбора логов также сделать отдельные скрипты с целью упрощения телодвижений юзера (или для особо ленивых, которым тяжело даются инструкции). Отложим на после.
    Уже в процессе обсудим, какие из них целесообразно включать в "комбайн".
    А это будет зависеть от времени на сбор + средней частоты затребованности таких логов при лечении.

    Дальше, думаю, стоит обсудить саму реализацию:
    1) Выбор языка реализации
    2) Упаковка в Cab (это чтобы комбайн хранился в одном файле).
    3) Обновление утилит (если устарели) и баз.
    4) Ключи запуска, команды для AVZ, подсказки для юзера,
    общий алгоритм сбора делаем идентичным Правилам сбора логов?
     
    Последнее редактирование: 17 сен 2013
  15. Сашка
    Оффлайн

    Сашка Активный пользователь

    Сообщения:
    4.670
    Симпатии:
    2.650
    это должен быть скрипт для авз, ибо для чего юзверю качать дополнительный вес? быстрый и дешевый интернет пока далеко не у всех.

    потом, приколюха должна уметь запускать экзешники браузеров, закрывать все работающие проги, выгружать антивирь, снимать препятствия для запуска авз, проверять обновления и актуальность версии, и автоматически стартовать после перезагрузки (т к ст скрипт 3 или 7 перезагружает комп).
     
    Последнее редактирование: 17 сен 2013
    1 человеку нравится это.
  16. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.476
    Симпатии:
    4.305
    Все указанное, кроме:

    1. выгружать антивирь
    2. проверять актуальность версии

    легко реализуемо через Batch + реестр.
    1. По понятным причинам - можно вывести сообщение юзеру - отключить антивирь, нажать Enter.
    2. Не знаю как проверить актуальность версии AVZ, не скачивая (только через стороннюю утилиту wget могу).

    Кстати, Сашка, железный IQ, привет :)
     
  17. Сашка
    Оффлайн

    Сашка Активный пользователь

    Сообщения:
    4.670
    Симпатии:
    2.650
    привет
    реализуемо также и через авз, что удобнее для пользователя
    тока вот без этого как раз не обойтись, т к это и есть самое важное.
     
  18. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.476
    Симпатии:
    4.305
    1. Так это будет называться - вирус :)
    Да-да. Покурив с 10 минут доков по AVZ увидел, что это тот же Batch, только на много круче ))). Перевести на AVZ-Delphi Style, там уже не проблема.
    2. Может, в AVZ есть встроенная команда на это...
     
  19. Сашка
    Оффлайн

    Сашка Активный пользователь

    Сообщения:
    4.670
    Симпатии:
    2.650
    ну пусть будет вирус, только полезный))

    я вот, кстати не представляю, как реализовать это
    средствами Batch (но может как то и можно, просто я об этом не знаю)
     
  20. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    имхо достачно сделать запуск ярлыка для открытия к примеру safezone.cc
    имхо не стоит и даже опасно всё вот так глушить скриптами, лучше вывести сообщение, что надо всё закрыть.
    разумеется мы не сможем, так как для этого надо в первую очередь обойти самозащиту антивируса.
    если я правильно помню есть скриптовая команда для получения даты обновления баз. Если базы старые - сильно отличаются от текущей даты, то надо обновить. Если версия устарела, то будет сбой обновления.
     

Поделиться этой страницей