Часто задаваемые вопросы по парсеру
Какие логи умеет обрабатывать парсер ?Парсер умеет работать только с логом XML или парой логов XML + HTM созданных AVZ версией не ниже 4.32, а также с логами AVPTool.
Как загрузить логи в парсер ?
Это можно сделать тремя разными способами:
1) Перетащить zip архив с логами на окно парсера.
2) Перетащить файлы логов на окно парсера.
3) Перетащить .zip архив с логом на значок/ярлык парсера.
4) Открыть файлы логов через меню Файл -> Загрузить логи.
Как узнать, что логи уже загружены или какой лог не загрузился ?
1) Перетащить zip архив с логами на окно парсера.
2) Перетащить файлы логов на окно парсера.
3) Перетащить .zip архив с логом на значок/ярлык парсера.
4) Открыть файлы логов через меню Файл -> Загрузить логи.
В нижнем левом углу на панели подсказок загруженные логи подсвечиваются красным, не загруженные - чёрным.
Что это за папки рядом с парсером ?
Папка Base - содержит базы, по которым определяется\исключается какой-либо файл
Папка Script - содержит набор скриптов, которые при определённом заражении подставляются в основное тело скрипта. В эту папку также можно добавить свой набор скриптов и потом вызывать их через меню парсера "Пользовательские скрипты". Файлы скриптов могут иметь любое расширение, например .txt, .pas, .avz. При вызове из этого меню скрипт будет открыт в редакторе назначенным по умолчанию для этого типа расширения.
Папка Template - содержит файлы стандартных форм ответов для различных форумов Ассоциации.
Папка Help - содержит файлы readme.html и logo.png. Используется при вызове справки через кнопку Справка в меню парсера.
Папка LogAVZ - используется как временная папка для распаковки логов из архива. При исправлении ошибок появится исправленый файл fix.xml
Как исправить номер актуальной версии AVZ ?
Папка Script - содержит набор скриптов, которые при определённом заражении подставляются в основное тело скрипта. В эту папку также можно добавить свой набор скриптов и потом вызывать их через меню парсера "Пользовательские скрипты". Файлы скриптов могут иметь любое расширение, например .txt, .pas, .avz. При вызове из этого меню скрипт будет открыт в редакторе назначенным по умолчанию для этого типа расширения.
Папка Template - содержит файлы стандартных форм ответов для различных форумов Ассоциации.
Папка Help - содержит файлы readme.html и logo.png. Используется при вызове справки через кнопку Справка в меню парсера.
Папка LogAVZ - используется как временная папка для распаковки логов из архива. При исправлении ошибок появится исправленый файл fix.xml
Открыть файл Recommendations.txt из папки Base и исправить номер версии в параметре CurrentAVZVer в подразделе [AVZVERSION].
Это нужно для того, чтобы парсер мог проверить сделаны логи актуальной версией AVZ или нет. Если версия устарела, будет рекомендация скачать актуальную версию.
Можно ли узнать, почему парсер считает файл вредным и удаляет его ?
Это нужно для того, чтобы парсер мог проверить сделаны логи актуальной версией AVZ или нет. Если версия устарела, будет рекомендация скачать актуальную версию.
Да, можно. Для этого нажмите кнопку "анализ лога", для возврата в окно рекомендаций нажмите её снова.
Что за адреса выводятся в сеции [Информация о DNS]?
В этой секции выводятся адреса, которые не прошли сверку с эталоном. Для того чтобы пополнить список эталонных IP сайта надо: Открыть файл Recommendations.txt из папки Base и вписать в нужную секцию соответствующий IP. Перед тем как пополнять список эталонов обязательно убедитесь, что данный IP действительно принадлежит этому сайту.
Можно ли узнать, почему парсер считает файл вредным и удаляет его ?
Да, можно. Для этого нажмите кнопку "анализ лога", для возврата в окно рекомендаций нажмите её снова.
Что означают пометки в анализе лога ?
По какой базе или пункту определился зловредный файл. Если файл определился по одной из баз (Malware, HashBase, BlackService, Heuristic, Common MD5), то соотвествующий признак будет указан в квадратных скобках после имени базы [имя базы] [имя файла из базы].
[Malware] - имя файла было найдено в базе Malware.
[HashBase] - имя файла было найдено в базе HashBase.
[Heuristic] - эти файлы были удалены эвристикой.
[Common MD5] - MD5 этих файлов совпали с хешем зловредов удалённых по другим признакам.
[List of remote] - работает для удаления служб и драйверов. В эту категорию попадают службы исполняемый файл которых ранее попал по другим признакам под удаление.
[PID Control] [25] - эвристический поиск dll через PID процесса, который их использует. Также зависит от кол-ва процессов, которые используют эту dll. [25] - кол-во процессов использующих эту dll. Кол-во процессов указывается не всегда (зависит от способа, которым эвристика задетектила этот файл). В случае ложного срабатывания надо увеличить Количество используемых PID = (по умолчанию =3).
[Shell Control Key], [System Control Key] - автозапуск вируса через стандартные ключи реестра, таких как Shell, System, Userinit.
NationalName=Y - в имени файла или в пути до файла содержатся интернациональные символы.
В анализе лога видны записи о подозрительных файлах, а в скрипте их не видно.
[Malware] - имя файла было найдено в базе Malware.
[HashBase] - имя файла было найдено в базе HashBase.
[Heuristic] - эти файлы были удалены эвристикой.
[Common MD5] - MD5 этих файлов совпали с хешем зловредов удалённых по другим признакам.
[List of remote] - работает для удаления служб и драйверов. В эту категорию попадают службы исполняемый файл которых ранее попал по другим признакам под удаление.
[PID Control] [25] - эвристический поиск dll через PID процесса, который их использует. Также зависит от кол-ва процессов, которые используют эту dll. [25] - кол-во процессов использующих эту dll. Кол-во процессов указывается не всегда (зависит от способа, которым эвристика задетектила этот файл). В случае ложного срабатывания надо увеличить Количество используемых PID = (по умолчанию =3).
[Shell Control Key], [System Control Key] - автозапуск вируса через стандартные ключи реестра, таких как Shell, System, Userinit.
NationalName=Y - в имени файла или в пути до файла содержатся интернациональные символы.
В анализе лога вы можете увидеть записи, наподобие:
[Malware]-[\temp\] - C:\WINDOWS\Temp\97B8057A-5EF88BA2-C66C0F5A-323B8F24\5h9h8yyv.exe
[Malware]-[\temp\] - C:\WINDOWS\Temp\97B8057A-5EF88BA2-C66C0F5A-323B8F24\rgrwbo64.exe
Эти записи попали под удаление по базе малвари, но были исключены из скрипта, т.к. эвристика определила, что это файлы от CureIt.
Почему в скрипт добавилась команда: RegKeyParamDel однако справа в секции автозагрузки всё равно выводится [Run] iexplore.exe
[Malware]-[\temp\] - C:\WINDOWS\Temp\97B8057A-5EF88BA2-C66C0F5A-323B8F24\5h9h8yyv.exe
[Malware]-[\temp\] - C:\WINDOWS\Temp\97B8057A-5EF88BA2-C66C0F5A-323B8F24\rgrwbo64.exe
Эти записи попали под удаление по базе малвари, но были исключены из скрипта, т.к. эвристика определила, что это файлы от CureIt.
Это сделано специально, чтобы можно было понять откуда в скрипте взялась эта команда. В скрипте она выглядит так RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','3d4f8ce4150375f2ff93203811178f37');
справа в секции автозагрузки всё равно выводится [Run] iexplore.exe >>> [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 3d4f8ce4150375f2ff93203811178f37
При запуске анализа логов парсер выдаёт ошибку ...
справа в секции автозагрузки всё равно выводится [Run] iexplore.exe >>> [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 3d4f8ce4150375f2ff93203811178f37
В столбике справа:
ID Error: -1072896755 - в логе XML ошибка из-за неправильного вывода символа & его следует заменить на &.
ID Error: -1072896759 - в логе XML отсутствует пробел между атрибутом CheckResult и предшествующему ему.
ID Error: -1072896760 - лог XML содержит строку с символом NULL. Иногда это юникодный специальный символ, который авз отображает как NULL или в системе не установлен использовавшийся шрифт.
ID Error: -1072896684 - в логе XML ошибка из-за двух одинаковых атрибутов в одной строке. Ошибка появилась с версии AVZ 4.41. Для исправления ошибки нужно открыть XML лог в любом текстовом редакторе и удалить параметры Is64="1". Удобно делать через поиск и замена. Находим Is64="1" заменяем везде на ничего не указываем, либо можно заменить на пробел, сохраняем XML лог, перезапускаем парсер и обрабатываем исправленный лог.
Для автоматического исправления этих ошибок можете воспользоваться утилитой AVZ Logs Fixer, скачать можно по ссылке http://safezone.cc/resources/75/
Для автоматического открытия лога в парсере после фикса в настройка AVZ Logs Fixer укажите путь к парсеру AVZ.
Cannot open file "C:\ParseAVZ\ParseAVZ\Script\CleanMonitorProvider.txt". Системе не удаётся найти указанный путь. - убедитесь, что поэтому пути у вас лежит указанный файл.
* имя файла указанного в ошибке может быть другим.
Как использовать шаблон консультанта ?
ID Error: -1072896755 - в логе XML ошибка из-за неправильного вывода символа & его следует заменить на &.
ID Error: -1072896759 - в логе XML отсутствует пробел между атрибутом CheckResult и предшествующему ему.
ID Error: -1072896760 - лог XML содержит строку с символом NULL. Иногда это юникодный специальный символ, который авз отображает как NULL или в системе не установлен использовавшийся шрифт.
ID Error: -1072896684 - в логе XML ошибка из-за двух одинаковых атрибутов в одной строке. Ошибка появилась с версии AVZ 4.41. Для исправления ошибки нужно открыть XML лог в любом текстовом редакторе и удалить параметры Is64="1". Удобно делать через поиск и замена. Находим Is64="1" заменяем везде на ничего не указываем, либо можно заменить на пробел, сохраняем XML лог, перезапускаем парсер и обрабатываем исправленный лог.
Для автоматического исправления этих ошибок можете воспользоваться утилитой AVZ Logs Fixer, скачать можно по ссылке http://safezone.cc/resources/75/
Для автоматического открытия лога в парсере после фикса в настройка AVZ Logs Fixer укажите путь к парсеру AVZ.
Cannot open file "C:\ParseAVZ\ParseAVZ\Script\CleanMonitorProvider.txt". Системе не удаётся найти указанный путь. - убедитесь, что поэтому пути у вас лежит указанный файл.
* имя файла указанного в ошибке может быть другим.
Выбрать нужный для нужного форума и скопировать в ответ.
Как правильно добавить зловредный файл (папку) в базу ?
Надо открыть меню "Менеджер баз" в выпадающем списке выбрать "список Malware" добавить файлы в столбик слева. После этого нажать кнопку "Сортировать и сохранить", если будут найдены дубли (имена таких зловредов уже присутсвуют в базе), то они будут выведены в столбике справа. Перед тем как добавлять имена зловредов пожалуйста учтите: Бессмысленно вносить в список имена вирусов созданных рандомно, так как в 99,9% эти имена никогда не будут использованы в поиске, а время, необходимое программе на их обработку и проверку, будет использоваться "вхолостую".
Внимание: перед тем как пополнять базу "Malware.txt", пожалуйста убедитесь, что нет легальных файлов с таким именем и что это имя часто встречается в логах. В противном случае проку от этой записи будет ноль, а время анализа скрипта увеличится.
Как добавить в базу Malware папку создаваемую злоредом ?
Точно также как и обычный зловредный файл или папку из которой запускаются зловреды, только перед названием папки надо написать d# и название папки надо указывать от слеша до слеша, то есть запись должна выглядеть так: d#\trojan folder\
Как добавить в базу Malware расширения файлов характерное для зловредов?
Аналогично добавлению папки, только перед расширением надо добавить e#. Например: e#.bat и т.д.
Как правильно добавить в базу зловредную службу ?
Внимание: перед тем как пополнять базу "Malware.txt", пожалуйста убедитесь, что нет легальных файлов с таким именем и что это имя часто встречается в логах. В противном случае проку от этой записи будет ноль, а время анализа скрипта увеличится.
Как добавить в базу Malware папку создаваемую злоредом ?
Точно также как и обычный зловредный файл или папку из которой запускаются зловреды, только перед названием папки надо написать d# и название папки надо указывать от слеша до слеша, то есть запись должна выглядеть так: d#\trojan folder\
Как добавить в базу Malware расширения файлов характерное для зловредов?
Аналогично добавлению папки, только перед расширением надо добавить e#. Например: e#.bat и т.д.
Надо открыть меню "Менеджер баз" в выпадающем списке выбрать "BlackService" убедиться, что переключатель стоит на позиции "Обычные вредные службы" и добавить службы в столбик слева. Также если файл или драйвер службы не рандомный, то добавить имя драйвера в список Malware. Не забываем после добавления нажать нажать кнопку Сортировать и сохранить.
Рекомендую также прочитать: Как правильно добавить зловредный файл в базу ?
Как правильно добавить чистый файл в список игнорирования ?
Рекомендую также прочитать: Как правильно добавить зловредный файл в базу ?
Добавить уникальное вхождение, которое будет оригинально для исключаемой строки в файл IgnoreFiles.txt. Например \test\ все файлы содержащие папку \test в своём пути будут игнорироваться. На практике для более точного исключения только чистых желательно указывать более длинный путь. Например в список игнора добавлять не \aston2\ а \aston2\aston2.exe, а так как на х64 системах этот файл находится тоже в \aston2\aston2.exe, то правильней добавить program files\aston2\aston2.exe.
Если необходимо добавить в исключения службу, то нужно добавить ещё имя службы в LegalService.txt.
Можно ли добавить проверку MD5 файлов по базе данных VT ?
Если необходимо добавить в исключения службу, то нужно добавить ещё имя службы в LegalService.txt.
Можно, но эта проверка работает очень медленно, всего четыре запроса в минуту и анализ среднего лога будет занимать более десяти минут. Так что попробовав её в деле, решили временно отказаться от неё.
Какие горячие клавиши поддерживаются ?
Для упрощения работы с парсером в нем предусмотрена поддержка типовых "горячих" клавиш:
CTRL + Z - отмена последней правки.
CTRL + C, CTRL + Insert - копировать в буфер.
CTRL + X - вырезать в буфер.
CTRL + V, SHIFT+Insert - вставить из буфера.
CTRL + A - выделить все.
SHIFT + Delete - очистить все.
CTRL + Y - удаление текущей строки
Для быстрой вставки команд:
CTRL + P - вставить TerminateProcessByName(' ');
CTRL + T - вставить "пару" QuarantineFile('',''); и DeleteFile('');
CTRL + Q - вставить QuarantineFile('','');
CTRL + W - вставить QuarantineFileF('','*', true,'',0 ,0);
CTRL + F - вставить DeleteFile(''); (если курсор находится в левой части парсера).
CTRL + F - оформить файл командами (если курсор находится в правой части парсера).
CTRL + B - вставить DelBHO('');
CTRL + L - вставить DelCLSID('');
CTRL + M - вставить DeleteFileMask('', '*.*', true);
CTRL + D - вставить DeleteDirectory('');
CTRL + Del - Карантин и удаление папки
CTRL + R - вставить ExecuteRepair();
Как быстро добавить в скрипт файл из правой части парсера ?
CTRL + Z - отмена последней правки.
CTRL + C, CTRL + Insert - копировать в буфер.
CTRL + X - вырезать в буфер.
CTRL + V, SHIFT+Insert - вставить из буфера.
CTRL + A - выделить все.
SHIFT + Delete - очистить все.
CTRL + Y - удаление текущей строки
Для быстрой вставки команд:
CTRL + P - вставить TerminateProcessByName(' ');
CTRL + T - вставить "пару" QuarantineFile('',''); и DeleteFile('');
CTRL + Q - вставить QuarantineFile('','');
CTRL + W - вставить QuarantineFileF('','*', true,'',0 ,0);
CTRL + F - вставить DeleteFile(''); (если курсор находится в левой части парсера).
CTRL + F - оформить файл командами (если курсор находится в правой части парсера).
CTRL + B - вставить DelBHO('');
CTRL + L - вставить DelCLSID('');
CTRL + M - вставить DeleteFileMask('', '*.*', true);
CTRL + D - вставить DeleteDirectory('');
CTRL + Del - Карантин и удаление папки
CTRL + R - вставить ExecuteRepair();
Выделите полный путь к файлу. Нажмите комбинацию клавиш "Ctrl + F" или ПКМ - Оформить файл командами. Если файл исполняемый, он обрамится тремя командами: остановка процесса, карантин и удаление файла. Если файл не исполняемый, тогда просто карантин и удаление. Скопируйте команды в скрипт в левой части парсера.
Как отменить последнее действие ?
Нажмите ПКМ -> Отменить или комбинацию клавиш "Ctrl + Z".
Что делать если полное название версии Windows отображается неправильно ?
Начиная с версии 4.43 AVZ считывает и добавляет в лог полное название версии ОС из параметра ProductName. В логах сделанных более ранними версиями AVZ есть только номер версии ОС и возможны ошибки, так как:
Если в логе Windows XP x64 (5.2.3790), то парсером она будет определяться, как Windows Server 2003, если Windows Vista (6.0.6002) то парсером она будет определяться, как Windows Server 2008 R2 - это не ошибка, просто у этих систем одинаковые номера билдов и по логу AVZ их отличить не возможно, подробней читайте здесь: http://safezone.cc/posts/138848/
В остальных случаях, пожалуйста, сообщите разработчику (или укажите в теме обсуждения парсера) название системы и номер билда Windows. Последний можно посмотреть в начале XML лога например:
вопрос
Если в логе Windows XP x64 (5.2.3790), то парсером она будет определяться, как Windows Server 2003, если Windows Vista (6.0.6002) то парсером она будет определяться, как Windows Server 2008 R2 - это не ошибка, просто у этих систем одинаковые номера билдов и по логу AVZ их отличить не возможно, подробней читайте здесь: http://safezone.cc/posts/138848/
В остальных случаях, пожалуйста, сообщите разработчику (или укажите в теме обсуждения парсера) название системы и номер билда Windows. Последний можно посмотреть в начале XML лога например:
OS_MjVer="5" OS_MiVer="1" OS_Build="2600" BootMode="0" OS_CSDV="Service Pack 3"
ответ