• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
Парсер логов AVZ

Парсер логов AVZ 3.02 [2017.12.25]

Парсер AVZ

Парсер AVZ - предназначен для автоматического анализа логов на основе имеющихся баз и эвристик. Описание баз можно найти в справке. Использование программы раcсчитано на пользователя имеющего представления о системных процессах, файлах и имеющих опыт в анализе логов и написании скриптов AVZ.

Перед тем как запустить скрипт обязательно просмотрите его и убедитесь в отсутствии фолсов если таковые будут, а также при необходимости дополните ответ. Важно помнить, что парсер AVZ не панацея, а скорее помощник в рутинном анализе лога, он не обязан находить всё и безошибочно. За возможные неправильные удаления вследствие применения непроверенного скрипта, автор парсера отвественности не несёт.

Использование:
Открыть или перетащить логи в окно программы, нажать кнопку Анализировать, после окончания анализа будут сформированы рекомендации и скрипт если будут обнаружены зловреды.
Примечание: В некоторых случаях можно встретить ошибку загрузки лога, это не является ошибкой парсера, скорее всего такой лог "битый", чаще всего это лог .xml. Коды популярных ошибок и способы исправления указаны в справке. Для автоматического исправления таких логов рекомендуется использовать утилиту AVZ Logs Fixer написаную Dragokas.
_____________________________________________________________
Интерфейс парсера AVZ разделён на два окна:
Левое окно - составляется и выводится итоговый скрипт если были найдены зловреды.
Правое окно - выводится различная вспомогательная информация. Наиболее частые секции:
  • [Файлы использующие механизм автозагрузки: Run, Load, Win.ini] - Показывает список всех файлов использующих для своей загрузки эти механизмы.
  • [Файлы созданые в течение 30 дней со дня сканирования] - Выводит список файлов созданных в определённый отрезок времени 30, 60, 90 дней.
  • [Дата создания и изменения системных файлов - разная!] - Здесь выводятся файлы, у которых дата создания и изменения не совпадает, полезно при обнаружении файловых вирусов, но также подобное может быть у патченых системных файлов, например, пользователь ставил различные украшалки системы, которые патчат системные файлы, добавляя иконки.
  • [Подозрительные объекты] - Вывод файлов из секции Подозрительные из лога AVZ.
  • [Файлы без подписи авторского права (Copyright)] - Содержит файлы с отсутствующими копирайтами, чаще всего это может быть вредоносная .dll'ка с рандомным именем.
  • [Информация о DNS] - Список IP адресов на которые следует обратить внимание. Возможно подмена запросов (DNS) при обращение к этому сайту.

Галочки и кнопки:
  • Поиск служб и драйверов в Temp - при установленной галке, парсер будет искать службы и драйвера во временной папке Temp. Важно, некоторые легальные программы могут запускаться из этой папки. В этом случае достаточно снять галку и заново нажать Анализировать.
  • Использовать поиск по MD5 - при установленной галке поиск зловредов будет также происходить по базе HashBase.txt.
    Поиск файлов созданных за ХХ дней - при установленной галке происходит выборка файлов за выбранный период времени.
  • Количество контрольных PID - позволяет выбрать количество используемых зловредом PID, при которых файл будет считаться вирусным. Важно: легальные dll также могут использовать 3 и более процесса в своей работе, в этом случае укажите максимально допустимое значение. Механизм определения описан здесь.
  • Кнопка "Показать лог анализа" - отладочная информация, можно посмотреть по какому критерию был удалён тот или иной файл. Для более подробной информации, смотрите справку - "Что означают пометки в анализе лога".
_____________________________________________________________
Благодарности:
Хочу выразить благодарность всем, кто помогал в создании парсера, кто давал ценные и конструктивные советы по реализации различных нюансов в поиске и определении вредоносов, кто помогал наполнять базы парсера, тестировать, выявлять и исправлять различные ошибки. Ребята, akoK, regist, thyrex, iskander-k, iolka, mirso, Nitan, Alex1983, edde, MotherBoard, ТроПа, Dragokas, без вас бы его не было(вроде никого не забыл...). Спасибо вам! Вместе мы сила! :Friends:
Автор
regist
Скачивания
189
Первый выпуск
Обновление
Оценка
5.00 звёзд 5 оценок

Другие ресурсы пользователя regist

  • Malwarebytes AdwCleaner
    Malwarebytes AdwCleaner
    Утилита для удаления Adware, нежелательных тулбаров и прочего мусора.
  • Universal Virus Sniffer (uVS)
    Universal Virus Sniffer (uVS)
    Программа предназначена для облегчения процесса обнаружения и уничтожения неизвестных вирусов, рутки
  • GetSystemInfo
    GetSystemInfo
    Утилита для сбора информации о системе

Поделиться ресурсом

Последние обновления

  1. Новогоднее обновление парсера.

    1) Добавлена возможность проверки синтаксиса скрипта через сторонние утилиты. По умолчанию...
  2. Мелкие правки в GUI

    Мелкие косметические правки внешнего вида.
  3. Обновление

    1) Переделан менеджер баз, добавление записей теперь стало более интуитивным. 2) Улучшена...

Последние рецензии

Один из моих главных инструментов. Спасибо!
Отлично
Поистине гигантская работа!
Замечательная полезняшка, крайне облегчающая анализ
Отлично!
Сверху Снизу