Выделение известных файлов в логах AVZ зелёным цветом 2.3

Выделение известных файлов в логах AVZ зелёным цветом

  1. beve
    Оффлайн

    beve Разработчик

    Сообщения:
    97
    Симпатии:
    410
    Выделение известных файлов в логах AVZ зеленым цветом - Выделение известных файлов в логах AVZ зеленым цветом

    Узнать больше об этом ресурсе...
     
    Archie_Goodwin, orderman, shestale и 38 другим нравится это.
  2. масяня@
    Оффлайн

    масяня@ Активный пользователь

    Сообщения:
    45
    Симпатии:
    20
    Интересная програмка. А можно сделать, чтобы она как-то учитывала размер файла.Т,е. выделяла системные файлы с не характерным для него размером.
     
  3. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.905
    Симпатии:
    8.222
    масяня@, цель программы исключение чистых\системных файлов, которые повторяются часто и почти в каждом логе и уделение студенческого внимания на тех файлах, которые не выделены зелёным цветом. :)
     
    9 пользователям это понравилось.
  4. beve
    Оффлайн

    beve Разработчик

    Сообщения:
    97
    Симпатии:
    410
    Это нужно было бы вести уже обработку файла *.xml, где есть более детальная информация по каждому файлу с логов. Но не забывайте, что файл в разных случаях может иметь разный размер, каждый из которого будет правильный, вот если бы был всегда только один размер или 2, то было бы другое дело, а так будет просто уморительно и долго, сначала прописывать кучу размеров для файла, а потом вести обработку... Не забывайте, что Avz имеет большую базу безопасных файлов, по которой ведется проверка в самой avz.
     
    6 пользователям это понравилось.
  5. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.905
    Симпатии:
    8.222
    О, хорошая мысль появилась.

    beve, Смотрите, в логе .htm уже есть выделение зелёным цветом файлов прошедших по базе безопасных. Значит их можно не проверять и немножко ускорить проверку лога можно если игнорировать файлы прошедшие по базе безопасных (выделены зелёным цветом)
    Различать строки прошедшие по базе безопасных можно по Нех-значению кода цвета, можно игнорировать строки относящиеся к зелёному оформлению и проверять только не прошедшие по базе безопасных (жёлтое выделение цветом):
    <TR bgColor="#00CC66">
    <TR bgColor="#FFC06D">
    <TR bgColor="#FF7C80"> - это красные строки (на всякий случай пишу.) Регистр цветовых констант бывает разным, но это не проблема если приводить к нижнему регистру.

    И ещё, такой нюанс вспомнился. Файловое заражение. Например мы проверяем лог AVZ и дошли до строки C:\Windows\explorer.exe, всё хорошо, в списке Files.txt - explorer.exe присутствует, но если заражение файловое, то сам C:\Windows\explorer.exe будет хоть и на том же самом месте, но будет заражён. Различить такое заражение можно только лишь по разнице в дате создания файла и дате изменения файла. И в целом это относится ко многим системным файлам. (к службам кажется это не относится, пока не выяснял, у них, даже у легальных, почти всегда дата и создание разные.)
     
    10 пользователям это понравилось.
  6. beve
    Оффлайн

    beve Разработчик

    Сообщения:
    97
    Симпатии:
    410
    Но опять же, если добавить проверку "по цвету" то это опять на это немножко, хотя наверное даже больше и продлит работу.
    Стосовно этой идеи исключать из обработки, если avz уже выделила файл, как безопасный. Я наблюдал, что бывает, что в списке процессов файл может быть выделен зеленым, а в других местах, например в секции прослушишивания портов - уже нет, хотя файл тот же, а запомнить что мы видели его уже в списке процессов помеченным как безопасный, тоже может быть затруднительно.
    Поэтому и нужно проверять еще визуально и по пути, и по размеру, и по дате изменения. Если бы дата изменения всегда говорила о заражении, то можно было бы наверное подсветить другим цветом, или не подсвечивать вобще такой файл, но это не всегда вирус может изменять файл ведь. Хотя многие системные файлы точно не должны иметь дату изменения больше чем дата создания.
    Еще была у меня идея усложнить программу и добавить проверку по пути, например добавлять в файле-где список файлов перед файлом какой-то значок, который указывал бы на директорию, где он должен быть рассположен. Например +explorer.exe - значит должен быть в папке Windows, и тогда весь путь бы подсвечивался зеленым: c:\windows\explorer.exe (конечно нужно будет определиться из какого места в логах брать букву системного диска), иначе нет. Но я не могу понять почему сам avz не всегда выделяет цветом заражения файл, например, explorer.exe, если он находится не в нужной папке. Но подумал, а стоит ли оно того, тогда будет в списке известных файлов - сплошная неразбериха...
     
    6 пользователям это понравилось.
  7. whop
    Оффлайн

    whop Разработчик

    Сообщения:
    177
    Симпатии:
    229
    Наверное потому, что в базе безопасных файлов AVZ есть только хэш MD5, а информации о легальном месте расположения данного файла отсутствует.
     
  8. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.905
    Симпатии:
    8.222
    Я бы хотел выразить отдельно особую благодарность автору утилиты (beve). Программа для студентов получилась на удивление удачной и те из студентов которые её используют, очень легко отвечают\составляют скрипты. Процент ошибок и время на решение задания уменьшились на порядок. :good2: Это здорово облегчило работу кураторам, хотя её хватает всегда. В общем, утилита полезная и толковая! :friends: :victory:
     
    4 пользователям это понравилось.
  9. SAE
    Оффлайн

    SAE Активный пользователь

    Сообщения:
    6
    Симпатии:
    16
    Присоединяюсь к этим словам и тоже выражаю свою благодарность! Полезная программа!
     
    2 пользователям это понравилось.
  10. qwer12
    Оффлайн

    qwer12 Активный пользователь

    Сообщения:
    10
    Симпатии:
    14
    Утилита полезная, спасибо автору утилиты (beve)!
    Замечание:
    В файле iexplorer.exe выделяется только iexplorer.exe, а i нет.
     
  11. beve
    Оффлайн

    beve Разработчик

    Сообщения:
    97
    Симпатии:
    410
    Исправленный файл заменен в описании на 1 странице данной теме.
     
    Последнее редактирование: 6 май 2010
    2 пользователям это понравилось.
  12. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.905
    Симпатии:
    8.222
    Начнём с того, что названный вами файл это - вирус iexplorer (iexplorer) и iexplorer
    Возможно имелся ввиду файл iexplore.exe, но он есть в базе.


    beve, Нужно добавить проверку целого имени файла, а не отдельного вхождения, потому что есть файлы, которые по вхождению части легального имени похожи на системные, но являются вирусами
    Обходится это таким путём, нужно в базу чистых, добавить в начало имени слеш \
    Тогда при вхождении в поиск подстроки - \explorer.exe уже не будет равна iexplorer.exe

    Правда для драйверов, файлов .sys не нужно этого добавлять, они чаще всего идут одним именем без слеша
     
    Последнее редактирование: 6 май 2010
    2 пользователям это понравилось.
  13. beve
    Оффлайн

    beve Разработчик

    Сообщения:
    97
    Симпатии:
    410
    Я ж это понял после хорошего замечания от qwer12 и исправил в том прикрепленном файле что выше. Файл теперь будет проверяться по целому имени файла, а не по отдельному вхождению.
    А стосовно добавления в базу чистых перед именем файла слеша \, то это не выход ибо в логах в некотором месте нужно выделять еще и чистый файл, есле перед ним идет и знак >, но вижу, что ты это знаеш.

    P.S. Обновил файл в новости (начале теме).
     
    Последнее редактирование: 6 май 2010
    6 пользователям это понравилось.
  14. qwer12
    Оффлайн

    qwer12 Активный пользователь

    Сообщения:
    10
    Симпатии:
    14
    Я и имел ввиду нелегальный файл iexplorer.exe. ;)
    Написал замечание не так, прошу прощения у beve:sorry:
     
    Последнее редактирование: 6 май 2010
  15. beve
    Оффлайн

    beve Разработчик

    Сообщения:
    97
    Симпатии:
    410
    Я это и понял, поэтому и переделал программу. А Drongo видимо просто сначала не понял вопроса поэтому и переспросил. :)
     
    Последнее редактирование: 6 май 2010
  16. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.905
    Симпатии:
    8.222
    Мммм... Сам бы придумал так, проверять ещё и длину файла, к примеру
    explorer.exe = 12 символов
    iexplorer.exe = 13 символов
    Несмотря на вхождение explorer.exe в iexplorer.exe по длине они разные, значит iexplorer.exe не выделяем зелёным.

    Если честно, интересен твой вариант.

    Добавлено через 2 минуты 2 секунды
    Ага, я подумал что qwer12 спутал с другим или просит выделять iexplorer.exe зелёным. Вот и уточнил что это вирь. :) Как видно, не всегда кратость - в пользу идёт. :)
     
    4 пользователям это понравилось.
  17. beve
    Оффлайн

    beve Разработчик

    Сообщения:
    97
    Симпатии:
    410
    В моем случае я все сделал проще, сначала было, что искал точное совпадение имени файла от извесного символа справа от файла, что как оказалось не правильно.
    Теперь же, учитывая тот факт, что в логах Avz текст имеет одну структуру, просто регулярным выражением ищется имя файла, слева и справа которого стоят известные символы, в данном случае справа от файла всегда стоит символ "<", а слева может быть или ">" или "\" - поэтому сдесь уже прокола не будет.
    Интересно, все равно сначала пришлось бы по-моему способу узнать все имя файла, чтобы потом уже сравнивать, но в этом случае уже сравнивать нету смысла если такого имени не числится в списке чистых файлов.
     
    Последнее редактирование: 6 май 2010
    2 пользователям это понравилось.
  18. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.905
    Симпатии:
    8.222
    Всё понял, верно, совсем выпало из головы что выделяются зелёным только легальные. Я ведь думал в контексте своего парсера не только о легальных, но и о проверке нелегальных. :( Запутался маленько. Там иногда попадаются файлы с путями и без путей, к примеру:
    Код (Text):
    C:\Windows\explorer.exe
    explorer.exe
    Если не делать проверку что системный файл находится не в своей директории, то можно обойтись простым поиском имени файла.

    А вот ты учитываешь что вирусный файл имеющий идентичное имя легального файла, но может быть в другой папке? Например тот же IEXPLORE.EXE
    Код (Text):
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    Может находиться в системной папке
    Код (Text):
    C:\Windows\IEXPLORE.EXE
    И если в первом случае выделится зелёным правильный файл, то во втором случае выделится зелёным вирусный файл.
     
    4 пользователям это понравилось.
  19. beve
    Оффлайн

    beve Разработчик

    Сообщения:
    97
    Симпатии:
    410
    Нет, как видно. И основная причина в том, что создать базу "чистых" файлов будет уморительно - ибо в файл с именами будет нужно прописывать не только имя файла, но и путь к нему, а путь может быть написан по крайней мере 2-мя способами - полный и краткий (но стосовно полного пути к файлу, то тут можно сделать типа переменные окружения, а системные папки вручную вводить что ли, но впринципе можно, файл с краткий же путем придется исключить из обработки). И еще данный файл может быть по-умолчанию на одном компе в одном месте, на ином- в другом месте (имеется ввиду не системные папки), и это не будет даже ошибкой.
    Но как бы это все сделать попроще и получше. Какие будут предложения в этом случае, разумеется с примерными словесными алгоритмами.

    Впринципе, если есть внимание, то можно отследить что зеленым выделен файл, который не "на своем месте", разве не так, правда, если базу чистых файлов составлять самому или же хорошо ознакомиться из этой (не большой) базой, что тоже на пользу.

    P.S. Если бы чистые файлы с путями сама Avz подсвечивала... :):):) имеется ввиду даже не прошедшие проверку, но не зловредные известные файлы (не вирусы).
     
    Последнее редактирование: 6 май 2010
    4 пользователям это понравилось.
  20. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.905
    Симпатии:
    8.222
    Не обязательно прописывать все подряд, а только десяток-другой, наиболее подвержённых подмене\маскировке.
    Если учесть что WinDir может быть разная в различном логе, то лучше записывать имена файлов после WinDir. Например так.
    Код (Text):
    ...
    soundman.exe
    system32\userinit.exe
    ...
    Потом к файлу подставлять значение WinDir. Допустим что WinDir = C:\Windows\. Для примера первый файл будет уже
    Код (Text):
    C:\Windows\soundman.exe
    а второй файл
    Код (Text):
    C:\Windows\system32\userinit.exe
    Я работаю с xml'кой, там есть значение переменной WinDir="C:\WINDOWS\", поэтому узнать проще. А в htm скорее всего придётся искать вхождение \system32\ и позицию начала файла, потом через SubString извлекать подстроку между началом пути файла и \system32\. Возможно есть способ проще, но мне он не известен. :unknw:

    Вот тут я не понял, можно привести наглядный пример?
     

Поделиться этой страницей