Парсер логов AVZ

Парсер логов AVZ 3.04 [2020.01.01]

Базы теперь хранятся в кодировке UTF8.
В связи с изменениями кодировки слегка изменился формат записи в Recommendations.ini
Добавлена возможность выбора шрифта. Для выбора шрифта кликнуть ПКМ в левой части главного окна парсера. Не забываем, что скрипт должен поддерживать кирилицу.
Доработан и переработан алгоритм обработки кода возврата от внешней утилиты для проверки синтаксиса скрипта.
В меню консультанта добавлена вставка команд Begin и end. Комбинация горячих клавиш для их вставки Ctrl + G.
Другие небольшие доработки.
  • Like
Реакции: shestale, akok и Sandor
Уже традиционное новогоднее обновление парсера.
Список изменений (часть изменений касается только логов созданных AVZ 5):
  • Для новых логов вставляется удаление заданий новым способом.
  • Доработана, точней переработана эвристика.
  • Для ключей MSConfig теперь удаляется не только параметр, а целиком ключ.
  • Для ключей SYSTEM\CurrentControlSet\Services\Eventlog\... теперь удаляется не только параметр, а целиком ключ.
  • Оптимизация кода (за счёт этого и размер .exe уменьшился).
  • Указание редиректа при удаление ключей/параметров реестра по новым логам.
  • Доработка менеджера шаблона на случай такой ситуации.
  • Справка и шаблоны ответов обновлены.
  • Диапазоны DNS 192.168.x.x теперь не будут выводиться в парсере для проверки.
  • И ряд других изменений и улучшений.
  • Like
Реакции: AlexZir и Sandor
1) Добавлена возможность проверки синтаксиса скрипта через сторонние утилиты. По умолчанию отключено. Утилиту надо скачивать отдельно. Подробности читайте в справке.
2) Уменьшено кол-во ложных срабатываний.
3) Доработан костыль по удалению заданий.
4) Список игнорирования теперь работает и для секции планировщика задач.
5) Улучшено центрирование окон парсера, для случаев когда подключено два монитора.
6) Некоторые другие доработки и изменения.
Мелкие косметические правки внешнего вида.
1) Переделан менеджер баз, добавление записей теперь стало более интуитивным.
2) Улучшена эвристика, добавлены новые правила.
3) Информация о состоянии восстановления системы теперь читается из XML. Если в XML есть информация собран ли лог полиморфным AVZ, то это также берётся из XML (если нет, то по старому из HTML).
4) Добавлена проверка и, в случае наличия, вывод уведомления в правой части главного окна о статических маршрутах.
5) Улучшен алгоритм поиска по регулярным выражениям.
6) Доработано удаление заданий, если файл задания находился в подпапке.
7) Переделана/улучшена проверка настроек Active X, для случаев подобных этому Парсер логов AVZ
8) Горячие клавиши указаны теперь и в меню консультанта, которое вызывается из меню наверху.
9) Обновлены базы.
10) А также другие доработки и улучшения.
  • Like
Реакции: akok и Dragokas
Файл заменен, т.к. архив был поврежден при переезде.
1. Изменена структура и формат баз для малвари и служб. Теперь базы хранятся в формате .xml. Это позволяет хранить кроме имени зловреда\службы рекомендацию по заражению, которая будет выводиться в парсере, дату добавления записи в базу и заметки.
2. С переходом на формат .xml переработан менеджер баз. Для добавления папок, регулярок и т.д. теперь не надо впереди дописывать префикс.
3. В секции с папками и регулярками отдельно для каждой записи можно настроить маску карантину\удаления файла, рекурсию при удаление папок и прочие действия (например только взять в карантин файлы из папки и ничего не удалять).
4. В секции [ActionDefault] добавлена настройка для указания маски по умолчанию для удаления файлов по маске.
5. Была произведена большая работа по чистке баз. Были удалены рандомные, редкие и старые запись старше 5 лет. В частности кол-во записей баз в базе Malware уменьшилось более чем в четыре раза.
6. Обновлены базы малвари и легальных DNS.
7. Улучшена эвристика для планировщика задач, добавлены мелкие улучшения в секцию Автозапуск.
8. Добавлен вывод уведомления хелперу если обнаружена автонастройка прокси.
9. Улучшена последовательность проверки, теперь записи из базы малваре проверяются не "в куче", а поочерёдно по секциям: регулярки, расширения, папки, маска папки, файлы. С наиболее частых случаев, либо охватывающих бОльший диапазон проверки к единичным записям. Что в принципе позволило немного ускорить проверку больших логов.
10. Добавлена комбинация горячих клавиш для удаления задания (с помощью schtasks.exe).
11. При добавление или редактирование регулярного выражения проверка синтаксиса и вывод уведомления об ошибке если она есть.
12. В отчёт об удаление файла при удаление регуляркой в конце строки выводится часть строки, которую захватило регулярное выражение.
13. Прочие мелкие изменения.
Немного улучшений.

1. Горячие клавиши, при нажатии CTRL + SHIFT + HotKey в команду вставится путь из буфера. Также, улучшена команда Ctrl + F для быстрого оформления команды, теперь также, добавляется удаление ключа/параметра. Подробнее в справке.
2. Пользовательская (настраиваемая) маска для карантина (Recommendation.ini)
3. Ввиду того, что AVZ при удаление заданий не чистит реестр, то удаление заданий планировщика командами AVZ заменено на удаление через schtasks.exe.
4. Улучшение эвристики.
5. Мелкие фиксы.
6. Обновлены базы парсера.
7. Файл Recommendations.txt переименован в Recommendations.ini
8. Добавлена новая секция [ActionDefault] в которой указывается маска для карантина файлов по маске.

Это подарок к новому году :)
В этой версии парсера внесены довольно серьёзные обновления.

1. Оптимизация и ускорение анализа примерно в два раза. Тоесть, если раньше лог анализировался 10 секунд, то теперь время анализа сократилось почти в двое.
2. Улучшена эвристика поиска(включая случай лога, который предоставил майк)
3. Список игнорирования IgnoreFiles.txt отныне также имеет поддержку регулярных выражений. Принцип записи такой же как и в базе имён малвари. (В справке описаны способы добавления.)
4. Для проверки IP сайтов введена новая база LegalDNS.txt, все IP и диапазоны легальных IP записаны ввиде регулярных выражений (RegExp). Отдельное спасибо regist за титаническую работу над ними. (При обнаружении неточностей и\или новом легальном DNS просьба написать в теме, будет добавлен в базу).
5. Другие незначительные изменения.
В основном затрагивает обработку секции планировщика задач. Удаление заданий если вирус был обнаружен в предыдущих секциях.
Исключение удаления CureIt замеченого в секциях процессы. До этого он детектировался по маске \temp\ и соответственно удалялся.
Сверху Снизу