Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нём некорректно. Вам необходимо обновить браузер или попробовать использовать другой.
Вот так бы и написал бы с самого начала, а также напиши какую службу он не остановил и каким образом воспроизвести это у себя.
Уже разобрался, при удаление по хешу службы не останавливает, при удаление по остальным признакам штатно вставляет команду остановки службы.
Думаю в следующей версии @Drongo это поправит.
Да, всё верно. Добавляя новые методы детекта, совсем выпало из головы за остановку служб. Конечно исправлю.
На счёт удаления папок, я не могу научить парсер определять легальная ли папка или нет, например вирус в системной\програмной папке, удалять вирь и автоматом папку будет не верно ведь. Можно конечно подумать и прикрутить дополнительную проверку на имя папки равно имени файлу без расширения. Будет ли это актуально и эффективно, без фолсов?
Из "косяков" можно условно отнести не раскрутку цепочки по определившемуся несистемному
Но я умышленно не ставил сохранение MD5 от найденых в этом детекте опасаясь фолсов на системные и прочие. Сейчас вот добавил всего одну строку, перекомпилировал, проверил лог - результат как если в базу хешей добавили ту контрольную сумму.
Ещё раз повторюсь, парсер творение коллективное, в нём аккумулирован опыт многих консультантов. Вместо критики какой он такой-сякой, просто предлагайте варианты как улучшить, чего не хватает - имею ввиду варианты поиска\детекты.
Саша, хочу предложить тебе добавить базу для папок, которые можно будет добавлять туда в ручную, тем самым облегчая анализ логов, вот сейчас например байду, сегодня смотрел логи, он создает свои файлы в нескольких папках, вот пример, если бы была возможность добавить их в базу самостоятельно:
справку по прежнему читать никто не хочет, даже просмотреть название пунктов лень . Другое дело, что с Байду нет смысла этого делать, но для этой темы это оффтоп.
В этой версии парсера внесены довольно серьёзные обновления.
1. Оптимизация и ускорение анализа примерно в два раза. Тоесть, если раньше лог анализировался 10 секунд, то теперь время анализа сократилось почти в двое. 2. Улучшена эвристика поиска(включая случай лога, который предоставил майк) 3. Список игнорирования IgnoreFiles.txt отныне также имеет поддержку регулярных выражений. Принцип записи такой же как и в базе имён малвари. (В справке описаны способы...
при этом укажите ссылку на сервис whois для доказательства легальности IP, а также желательно прикрепить и сам лог AVZ (или указать ссылку на него / тему с ним).
Вот еще один лог, в котором запаришься службы в базы парсера вносить. 3 процесса я внес по md5 в базы парсера, но те службы, которые не работают на горячую их так просто по md5 не внесешь в базы. Хотелось чтобы парсер сразу предлагал к удалению файлы и службы если соблюдается следующее условие:
Имя папки и службы из %AppData%\Local\ совпадает с именем файла. Например: %AppData%\Local\codecocrx64\codecocrx64.exe
Пока ничего не могу сказать. По мд5 бесполезно добавлять, в службах их нет, раскрутить эту цепочку через хитрую эвристику никак. Разве что добавить детектирование по условиям как и написал майк: профильная папка и имя папки равно имени файла. Надо обдумать всесторонне как лучше сделать и не будет ли фолсов с легалом. Для служб можно ещё контрольно проверять и имя службы, а вот в секции процессы на откуп остаётся только один файл. Буду думать.
mike 1, а ты уверен, что эти настройки прокси не сам юзер прописал? Drongo, наверное может парсер научить определять, но тогда нужно будет добавить еще базу малварьных портов.