Парсер логов AVZ

Парсер логов AVZ 3.03 [2019.01.01]

Уже традиционное новогоднее обновление парсера.
Список изменений (часть изменений касается только логов созданных AVZ 5):
  • Для новых логов вставляется удаление заданий новым способом.
  • Доработана, точней переработана эвристика.
  • Для ключей MSConfig теперь удаляется не только параметр, а целиком ключ.
  • Для ключей SYSTEM\CurrentControlSet\Services\Eventlog\... теперь удаляется не только параметр, а целиком ключ.
  • Оптимизация кода (за счёт этого и размер .exe уменьшился).
  • Указание редиректа при удаление ключей/параметров реестра по новым логам.
  • Доработка менеджера шаблона на случай такой ситуации.
  • Справка и шаблоны ответов обновлены.
  • Диапазоны DNS 192.168.x.x теперь не будут выводиться в парсере для проверки.
  • И ряд других изменений и улучшений.
  • Like
Реакции: AlexZir и Sandor
1) Добавлена возможность проверки синтаксиса скрипта через сторонние утилиты. По умолчанию отключено. Утилиту надо скачивать отдельно. Подробности читайте в справке.
2) Уменьшено кол-во ложных срабатываний.
3) Доработан костыль по удалению заданий.
4) Список игнорирования теперь работает и для секции планировщика задач.
5) Улучшено центрирование окон парсера, для случаев когда подключено два монитора.
6) Некоторые другие доработки и изменения.
Мелкие косметические правки внешнего вида.
1) Переделан менеджер баз, добавление записей теперь стало более интуитивным.
2) Улучшена эвристика, добавлены новые правила.
3) Информация о состоянии восстановления системы теперь читается из XML. Если в XML есть информация собран ли лог полиморфным AVZ, то это также берётся из XML (если нет, то по старому из HTML).
4) Добавлена проверка и, в случае наличия, вывод уведомления в правой части главного окна о статических маршрутах.
5) Улучшен алгоритм поиска по регулярным выражениям.
6) Доработано удаление заданий, если файл задания находился в подпапке.
7) Переделана/улучшена проверка настроек Active X, для случаев подобных этому Парсер логов AVZ
8) Горячие клавиши указаны теперь и в меню консультанта, которое вызывается из меню наверху.
9) Обновлены базы.
10) А также другие доработки и улучшения.
  • Like
Реакции: akok и Dragokas
Файл заменен, т.к. архив был поврежден при переезде.
1. Изменена структура и формат баз для малвари и служб. Теперь базы хранятся в формате .xml. Это позволяет хранить кроме имени зловреда\службы рекомендацию по заражению, которая будет выводиться в парсере, дату добавления записи в базу и заметки.
2. С переходом на формат .xml переработан менеджер баз. Для добавления папок, регулярок и т.д. теперь не надо впереди дописывать префикс.
3. В секции с папками и регулярками отдельно для каждой записи можно настроить маску карантину\удаления файла, рекурсию при удаление папок и прочие действия (например только взять в карантин файлы из папки и ничего не удалять).
4. В секции [ActionDefault] добавлена настройка для указания маски по умолчанию для удаления файлов по маске.
5. Была произведена большая работа по чистке баз. Были удалены рандомные, редкие и старые запись старше 5 лет. В частности кол-во записей баз в базе Malware уменьшилось более чем в четыре раза.
6. Обновлены базы малвари и легальных DNS.
7. Улучшена эвристика для планировщика задач, добавлены мелкие улучшения в секцию Автозапуск.
8. Добавлен вывод уведомления хелперу если обнаружена автонастройка прокси.
9. Улучшена последовательность проверки, теперь записи из базы малваре проверяются не "в куче", а поочерёдно по секциям: регулярки, расширения, папки, маска папки, файлы. С наиболее частых случаев, либо охватывающих бОльший диапазон проверки к единичным записям. Что в принципе позволило немного ускорить проверку больших логов.
10. Добавлена комбинация горячих клавиш для удаления задания (с помощью schtasks.exe).
11. При добавление или редактирование регулярного выражения проверка синтаксиса и вывод уведомления об ошибке если она есть.
12. В отчёт об удаление файла при удаление регуляркой в конце строки выводится часть строки, которую захватило регулярное выражение.
13. Прочие мелкие изменения.
Немного улучшений.

1. Горячие клавиши, при нажатии CTRL + SHIFT + HotKey в команду вставится путь из буфера. Также, улучшена команда Ctrl + F для быстрого оформления команды, теперь также, добавляется удаление ключа/параметра. Подробнее в справке.
2. Пользовательская (настраиваемая) маска для карантина (Recommendation.ini)
3. Ввиду того, что AVZ при удаление заданий не чистит реестр, то удаление заданий планировщика командами AVZ заменено на удаление через schtasks.exe.
4. Улучшение эвристики.
5. Мелкие фиксы.
6. Обновлены базы парсера.
7. Файл Recommendations.txt переименован в Recommendations.ini
8. Добавлена новая секция [ActionDefault] в которой указывается маска для карантина файлов по маске.

Это подарок к новому году :)
В этой версии парсера внесены довольно серьёзные обновления.

1. Оптимизация и ускорение анализа примерно в два раза. Тоесть, если раньше лог анализировался 10 секунд, то теперь время анализа сократилось почти в двое.
2. Улучшена эвристика поиска(включая случай лога, который предоставил майк)
3. Список игнорирования IgnoreFiles.txt отныне также имеет поддержку регулярных выражений. Принцип записи такой же как и в базе имён малвари. (В справке описаны способы добавления.)
4. Для проверки IP сайтов введена новая база LegalDNS.txt, все IP и диапазоны легальных IP записаны ввиде регулярных выражений (RegExp). Отдельное спасибо regist за титаническую работу над ними. (При обнаружении неточностей и\или новом легальном DNS просьба написать в теме, будет добавлен в базу).
5. Другие незначительные изменения.
В основном затрагивает обработку секции планировщика задач. Удаление заданий если вирус был обнаружен в предыдущих секциях.
Исключение удаления CureIt замеченого в секциях процессы. До этого он детектировался по маске \temp\ и соответственно удалялся.
Мы с regist сделали небольшие усовершенствования:

  • Детектирование строк CheckResult=3 - светло-жёлтенькие строки. Детектирование в секциях Автозапуск и Планировщик задач. В зависимости, оттого что было, найдено выведется маркер детекта [http://] или рекомендация "<<< LNK содержат приписки, проверьте компьютер утилитой: Check Browsers' LNK by Dragokas & regist - http://safezone.cc/threads/24439"
  • Оптимизирована база Malware.
  • Удалены все старые хеши из базы HashBase.
  • Пополнение базы легальных ДНС.
  • Улучшено определение детекта вирусов маскирующихся под системные, по сути с нуля переписаны условия определения: определяет пути для х64\х32 (syswow64\Program Files(x86))
  • Улучшены эвристики.
  • Поддержка регулярных выражений для базы Malware.txt. Формат записи regexp#РЕГУЛЯРНОЕ ВЫРАЖЕНИЕ. Примечание: Для опытных пользователей. (Это не так страшно как кажется )) )
  • Like
Реакции: dzu
Сверху Снизу