Часто задаваемые вопросы по парсеру
Какие логи умеет обрабатывать парсер ?
Парсер умеет работать только с логом XML или парой логов XML + HTM созданных AVZ версией не ниже 4.32, а также с логами AVPTool.
Как загрузить логи в парсер ?
Это можно сделать тремя разными способами:
1) Перетащить zip архив с логами на окно парсера.
2) Перетащить файлы логов на окно парсера.
3) Перетащить .zip архив с логом на значок/ярлык парсера.
4) Открыть файлы логов через меню Файл -> Загрузить логи.
Как узнать, что логи уже загружены или какой лог не загрузился ?
1) Перетащить zip архив с логами на окно парсера.
2) Перетащить файлы логов на окно парсера.
3) Перетащить .zip архив с логом на значок/ярлык парсера.
4) Открыть файлы логов через меню Файл -> Загрузить логи.
В нижнем левом углу на панели подсказок загруженные логи подсвечиваются красным, не загруженные - чёрным.
Что это за папки рядом с парсером ?
Папка Base - содержит базы, по которым определяется\исключается какой-либо файл
Папка Script - содержит набор скриптов, которые при определённом заражении подставляются в основное тело скрипта. В эту папку также можно добавить свой набор скриптов и потом вызывать их через меню парсера "Пользовательские скрипты". Файлы скриптов могут иметь любое расширение, например .txt, .pas, .avz. При вызове из этого меню скрипт будет открыт в редакторе назначенным по умолчанию для этого типа расширения.
Папка Template - содержит файлы стандартных форм ответов для различных форумов Ассоциации.
Папка Help - содержит файлы readme.html и logo.png. Используется при вызове справки через кнопку Справка в меню парсера.
Папка LogAVZ - используется как временная папка для распаковки логов из архива. При исправлении ошибок появится исправленный файл fix.xml
Как исправить номер актуальной версии AVZ ?
Папка Script - содержит набор скриптов, которые при определённом заражении подставляются в основное тело скрипта. В эту папку также можно добавить свой набор скриптов и потом вызывать их через меню парсера "Пользовательские скрипты". Файлы скриптов могут иметь любое расширение, например .txt, .pas, .avz. При вызове из этого меню скрипт будет открыт в редакторе назначенным по умолчанию для этого типа расширения.
Папка Template - содержит файлы стандартных форм ответов для различных форумов Ассоциации.
Папка Help - содержит файлы readme.html и logo.png. Используется при вызове справки через кнопку Справка в меню парсера.
Папка LogAVZ - используется как временная папка для распаковки логов из архива. При исправлении ошибок появится исправленный файл fix.xml
Открыть файл Recommendations.ini из папки Base и исправить номер версии в параметре CurrentAVZVer в подразделе [AVZVERSION].
Это нужно для того, чтобы парсер мог проверить сделаны логи актуальной версией AVZ или нет. Если версия устарела, будет рекомендация скачать актуальную версию.
Что за адреса выводятся в сеции [Информация о DNS]?
Это нужно для того, чтобы парсер мог проверить сделаны логи актуальной версией AVZ или нет. Если версия устарела, будет рекомендация скачать актуальную версию.
В этой секции выводятся адреса, которые не прошли сверку с эталоном. Для того, чтобы пополнить список эталонных IP сайта, надо: Открыть файл Recommendations.ini из папки Base и вписать в нужную секцию соответствующий IP. Перед тем как пополнять список эталонов, обязательно убедитесь, что данный IP действительно принадлежит этому сайту.
Можно ли узнать, почему парсер считает файл вредным и удаляет его ?
Да, можно. Для этого нажмите кнопку "анализ лога", для возврата в окно рекомендаций нажмите её снова.
Что означают пометки в анализе лога ?
По какой базе или пункту определился зловредный файл. Если файл определился по одной из баз (Malware, HashBase, BlackService, Heuristic, Common MD5), то соответствующий признак будет указан в квадратных скобках после имени базы [имя базы] [имя файла из базы].
[Malware] - имя файла было найдено в базе Malware.
[HashBase] - имя файла было найдено в базе HashBase.
[Heuristic] - эти файлы были удалены эвристикой.
[Common MD5] - MD5 этих файлов совпали с хешем зловредов удалённых по другим признакам.
[List of remote] - работает для удаления служб и драйверов. В эту категорию попадают службы, исполняемый файл которых ранее попал по другим признакам под удаление.
[PID Control] [25] - эвристический поиск dll через PID процесса, который их использует. Также зависит от кол-ва процессов, которые используют эту dll. [25] - кол-во процессов использующих эту dll. Кол-во процессов указывается не всегда (зависит от способа, которым эвристика задетектила этот файл). В случае ложного срабатывания надо увеличить Количество используемых PID = (по умолчанию =3).
[Shell Control Key], [System Control Key] - автозапуск вируса через стандартные ключи реестра, таких как Shell, System, Userinit.
NationalName=Y - в имени файла или в пути до файла содержатся интернациональные символы.
[http://] - запуск сайта через командную строку.
[wmic.exe] - удаление из планировщика задач соответствующего задания.
В анализе лога видны записи о подозрительных файлах, а в скрипте их не видно.
[Malware] - имя файла было найдено в базе Malware.
[HashBase] - имя файла было найдено в базе HashBase.
[Heuristic] - эти файлы были удалены эвристикой.
[Common MD5] - MD5 этих файлов совпали с хешем зловредов удалённых по другим признакам.
[List of remote] - работает для удаления служб и драйверов. В эту категорию попадают службы, исполняемый файл которых ранее попал по другим признакам под удаление.
[PID Control] [25] - эвристический поиск dll через PID процесса, который их использует. Также зависит от кол-ва процессов, которые используют эту dll. [25] - кол-во процессов использующих эту dll. Кол-во процессов указывается не всегда (зависит от способа, которым эвристика задетектила этот файл). В случае ложного срабатывания надо увеличить Количество используемых PID = (по умолчанию =3).
[Shell Control Key], [System Control Key] - автозапуск вируса через стандартные ключи реестра, таких как Shell, System, Userinit.
NationalName=Y - в имени файла или в пути до файла содержатся интернациональные символы.
[http://] - запуск сайта через командную строку.
[wmic.exe] - удаление из планировщика задач соответствующего задания.
В анализе лога вы можете увидеть записи, наподобие:
[Malware]-[\temp\] - C:\WINDOWS\Temp\97B8057A-5EF88BA2-C66C0F5A-323B8F24\5h9h8yyv.exe
[Malware]-[\temp\] - C:\WINDOWS\Temp\97B8057A-5EF88BA2-C66C0F5A-323B8F24\rgrwbo64.exe
Эти записи попали под удаление по базе малвари, но были исключены из скрипта, т.к. эвристика определила, что это файлы от CureIt.
Почему в скрипт добавилась команда: RegKeyParamDel однако справа в секции автозагрузки всё равно выводится [Run] iexplore.exe
[Malware]-[\temp\] - C:\WINDOWS\Temp\97B8057A-5EF88BA2-C66C0F5A-323B8F24\5h9h8yyv.exe
[Malware]-[\temp\] - C:\WINDOWS\Temp\97B8057A-5EF88BA2-C66C0F5A-323B8F24\rgrwbo64.exe
Эти записи попали под удаление по базе малвари, но были исключены из скрипта, т.к. эвристика определила, что это файлы от CureIt.
Это сделано специально, чтобы можно было понять откуда в скрипте взялась эта команда. В скрипте она выглядит так RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','3d4f8ce4150375f2ff93203811178f37');
справа в секции автозагрузки всё равно выводится [Run] iexplore.exe >>> [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 3d4f8ce4150375f2ff93203811178f37
При запуске анализа логов парсер выдаёт ошибку ...
справа в секции автозагрузки всё равно выводится [Run] iexplore.exe >>> [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 3d4f8ce4150375f2ff93203811178f37
В столбике справа:
ID Error: -1072896755 - в логе XML ошибка из-за неправильного вывода символа & его следует заменить на &.
ID Error: -1072896759 - в логе XML отсутствует пробел между атрибутом CheckResult и предшествующему ему.
ID Error: -1072896760 - лог XML содержит строку с символом NULL. Иногда это юникодный специальный символ, который AVZ отображает как NULL или в системе не установлен использовавшийся шрифт.
ID Error: -1072896764 - в логе XML неэкранирования двойная кавычка в параметре "CmdLine" секции <PROCESS>. Нужно заменить " (эту кавычку) на ".
ID Error: -1072896684 - в логе XML ошибка из-за двух одинаковых атрибутов в одной строке. Ошибка появилась с версии AVZ 4.41. Для исправления ошибки нужно открыть XML лог в любом текстовом редакторе и удалить параметры Is64="1". Удобно делать через поиск и замена. Находим Is64="1" заменяем везде на ничего не указываем, либо можно заменить на пробел, сохраняем XML лог, перезапускаем парсер и обрабатываем исправленный лог.
Для автоматического исправления этих ошибок можете воспользоваться утилитой AVZ Logs Fixer, скачать можно по ссылке http://safezone.cc/resources/75/
Для автоматического открытия лога в парсере после фикса в настройка AVZ Logs Fixer укажите путь к парсеру AVZ.
Cannot open file "C:\ParseAVZ\ParseAVZ\Script\CleanMonitorProvider.txt". Системе не удаётся найти указанный путь. - убедитесь, что поэтому пути у вас лежит указанный файл.
* имя файла указанного в ошибке может быть другим.
Как использовать шаблон консультанта?
ID Error: -1072896755 - в логе XML ошибка из-за неправильного вывода символа & его следует заменить на &.
ID Error: -1072896759 - в логе XML отсутствует пробел между атрибутом CheckResult и предшествующему ему.
ID Error: -1072896760 - лог XML содержит строку с символом NULL. Иногда это юникодный специальный символ, который AVZ отображает как NULL или в системе не установлен использовавшийся шрифт.
ID Error: -1072896764 - в логе XML неэкранирования двойная кавычка в параметре "CmdLine" секции <PROCESS>. Нужно заменить " (эту кавычку) на ".
ID Error: -1072896684 - в логе XML ошибка из-за двух одинаковых атрибутов в одной строке. Ошибка появилась с версии AVZ 4.41. Для исправления ошибки нужно открыть XML лог в любом текстовом редакторе и удалить параметры Is64="1". Удобно делать через поиск и замена. Находим Is64="1" заменяем везде на ничего не указываем, либо можно заменить на пробел, сохраняем XML лог, перезапускаем парсер и обрабатываем исправленный лог.
Для автоматического исправления этих ошибок можете воспользоваться утилитой AVZ Logs Fixer, скачать можно по ссылке http://safezone.cc/resources/75/
Для автоматического открытия лога в парсере после фикса в настройка AVZ Logs Fixer укажите путь к парсеру AVZ.
Cannot open file "C:\ParseAVZ\ParseAVZ\Script\CleanMonitorProvider.txt". Системе не удаётся найти указанный путь. - убедитесь, что поэтому пути у вас лежит указанный файл.
* имя файла указанного в ошибке может быть другим.
Выбрать нужный для нужного форума и скопировать в ответ.
Как правильно добавить зловредный файл (папку) в базу ?
Надо открыть меню "Менеджер баз", в выпадающем списке выбрать "список Malware", добавить файлы в столбик слева. После этого нажать кнопку "Сортировать и сохранить", если будут найдены дубли (имена таких зловредов уже присутствуют в базе), то они будут выведены в столбике справа. Перед тем как добавлять имена зловредов, пожалуйста, учтите: Бессмысленно вносить в список имена вирусов созданных рандомно, так как в 99,9% эти имена никогда не будут использованы в поиске, а время, необходимое программе на их обработку и проверку, будет использоваться "вхолостую".
Внимание: перед тем как пополнять базу "Malware.txt", пожалуйста убедитесь, что нет легальных файлов с таким именем и что это имя часто встречается в логах. В противном случае проку от этой записи будет ноль, а время анализа скрипта увеличится.
Как добавить в базу Malware папку создаваемую злоредом ?
Точно также, как и обычный зловредный файл или папку из которой запускаются зловреды, только перед названием папки надо написать d# и название папки надо указывать от слеша до слеша, то есть запись должна выглядеть так: d#\trojan folder\
Как добавить в базу Malware расширения файлов характерное для зловредов?
Аналогично добавлению папки, только перед расширением надо добавить e#. Например: e#.bat и т.д.
Начиная с версии парсера 2.72, в базе Malware есть поддержка регулярных выражений. Для этого перед выражением надо указать REGEXP# Например: regexp#\\acpi24\.(dll|exe|ocx|sys) и т.д.
Как правильно добавить в базу зловредную службу?
Внимание: перед тем как пополнять базу "Malware.txt", пожалуйста убедитесь, что нет легальных файлов с таким именем и что это имя часто встречается в логах. В противном случае проку от этой записи будет ноль, а время анализа скрипта увеличится.
Как добавить в базу Malware папку создаваемую злоредом ?
Точно также, как и обычный зловредный файл или папку из которой запускаются зловреды, только перед названием папки надо написать d# и название папки надо указывать от слеша до слеша, то есть запись должна выглядеть так: d#\trojan folder\
Как добавить в базу Malware расширения файлов характерное для зловредов?
Аналогично добавлению папки, только перед расширением надо добавить e#. Например: e#.bat и т.д.
Начиная с версии парсера 2.72, в базе Malware есть поддержка регулярных выражений. Для этого перед выражением надо указать REGEXP# Например: regexp#\\acpi24\.(dll|exe|ocx|sys) и т.д.
Надо открыть меню "Менеджер баз" в выпадающем списке выбрать "BlackService" убедиться, что переключатель стоит на позиции "Обычные вредные службы" и добавить службы в столбик слева. Также если файл или драйвер службы не рандомный, то добавить имя драйвера в список Malware. Не забываем после добавления нажать кнопку Сортировать и сохранить.
Рекомендую также прочитать: Как правильно добавить зловредный файл в базу ?
Как правильно добавить чистый файл в список игнорирования?
Рекомендую также прочитать: Как правильно добавить зловредный файл в базу ?
Добавить уникальное вхождение, которое будет оригинально для исключаемой строки в файл IgnoreFiles.txt. Например: \test\, все файлы, содержащие папку \test в своём пути, будут игнорироваться. На практике для более точного исключения только чистых желательно указывать более длинный путь. Например, в список игнора добавлять не \aston2\ а \aston2\aston2.exe, а так как на х64 системах этот файл находится тоже в \aston2\aston2.exe, то правильней добавить program files\aston2\aston2.exe.
Если необходимо добавить в исключения службу, то нужно добавить ещё имя службы в LegalService.txt.
Можно ли добавить проверку MD5 файлов по базе данных VT?
Если необходимо добавить в исключения службу, то нужно добавить ещё имя службы в LegalService.txt.
Можно, но эта проверка работает очень медленно, всего четыре запроса в минуту и анализ среднего лога будет занимать более десяти минут. Так что попробовав её в деле, решили временно отказаться от неё.
Какие горячие клавиши поддерживаются?
Для упрощения работы с парсером в нем предусмотрена поддержка типовых "горячих" клавиш:
CTRL + Z - отмена последней правки.
CTRL + C, CTRL + Insert - копировать в буфер.
CTRL + X - вырезать в буфер.
CTRL + V, SHIFT+Insert - вставить из буфера.
CTRL + A - выделить все.
SHIFT + Delete - очистить все.
CTRL + Y - удаление текущей строки
Для быстрой вставки команд:
CTRL + P - вставить TerminateProcessByName(' ');
CTRL + T - вставить "пару" QuarantineFile('',''); и DeleteFile('');
CTRL + Q - вставить QuarantineFile('','');
CTRL + W - вставить QuarantineFileF('','*', true,'',0 ,0);
CTRL + F - вставить DeleteFile(''); (если курсор находится в левой части парсера).
CTRL + F - оформить файл командами (если курсор находится в правой части парсера).
CTRL + B - вставить DelBHO('');
CTRL + L - вставить DelCLSID('');
CTRL + M - вставить DeleteFileMask('', '*.*', true);
CTRL + D - вставить DeleteDirectory('');
CTRL + Del - Карантин и удаление папки
CTRL + R - вставить ExecuteRepair();
Для того, чтобы автоматически вставить в команду путь к файлу/папке/BHO/CLSID, содержащийся в буфере обмена, дополнительно удерживайте нажатой кнопку Shift. Например, для удаления файла скопируйте полный путь к этому файлу, а потом в парсере нажмите Shift + Ctrl + T.
Как быстро добавить в скрипт файл из правой части парсера ?
CTRL + Z - отмена последней правки.
CTRL + C, CTRL + Insert - копировать в буфер.
CTRL + X - вырезать в буфер.
CTRL + V, SHIFT+Insert - вставить из буфера.
CTRL + A - выделить все.
SHIFT + Delete - очистить все.
CTRL + Y - удаление текущей строки
Для быстрой вставки команд:
CTRL + P - вставить TerminateProcessByName(' ');
CTRL + T - вставить "пару" QuarantineFile('',''); и DeleteFile('');
CTRL + Q - вставить QuarantineFile('','');
CTRL + W - вставить QuarantineFileF('','*', true,'',0 ,0);
CTRL + F - вставить DeleteFile(''); (если курсор находится в левой части парсера).
CTRL + F - оформить файл командами (если курсор находится в правой части парсера).
CTRL + B - вставить DelBHO('');
CTRL + L - вставить DelCLSID('');
CTRL + M - вставить DeleteFileMask('', '*.*', true);
CTRL + D - вставить DeleteDirectory('');
CTRL + Del - Карантин и удаление папки
CTRL + R - вставить ExecuteRepair();
Для того, чтобы автоматически вставить в команду путь к файлу/папке/BHO/CLSID, содержащийся в буфере обмена, дополнительно удерживайте нажатой кнопку Shift. Например, для удаления файла скопируйте полный путь к этому файлу, а потом в парсере нажмите Shift + Ctrl + T.
Выделите полный путь к файлу. Нажмите комбинацию клавиш "Ctrl + F" или ПКМ - Оформить файл командами.
Если это .exe файл, он обрамится тремя командами: остановка процесса, карантин и удаление файла. Для всех остальных просто карантин и удаление.
Если указан ключ/параметр реестра, то для удаления вместе с ним выделите всю строку целиком. Это удобно сделать щёлкнув три раза левой кнопкой мыши на строке. А затем нажимаем Ctrl + F. Скопируйте команды в скрипт в левой части парсера.
Как отменить последнее действие?
Если это .exe файл, он обрамится тремя командами: остановка процесса, карантин и удаление файла. Для всех остальных просто карантин и удаление.
Если указан ключ/параметр реестра, то для удаления вместе с ним выделите всю строку целиком. Это удобно сделать щёлкнув три раза левой кнопкой мыши на строке. А затем нажимаем Ctrl + F. Скопируйте команды в скрипт в левой части парсера.
Нажмите ПКМ -> Отменить или комбинацию клавиш "Ctrl + Z".
Что делать если полное название версии Windows отображается неправильно?
Начиная с версии 4.43, AVZ считывает и добавляет в лог полное название версии ОС из параметра ProductName. В логах сделанных более ранними версиями AVZ есть только номер версии ОС и возможны ошибки, так как:
Если в логе Windows XP x64 (5.2.3790), то парсером она будет определяться, как Windows Server 2003, если Windows Vista (6.0.6002) то парсером она будет определяться, как Windows Server 2008 R2 - это не ошибка, просто у этих систем одинаковые номера билдов и по логу AVZ их отличить не возможно, подробней читайте здесь: http://safezone.cc/posts/138848/
В остальных случаях, пожалуйста, сообщите разработчику (или укажите в теме обсуждения парсера) название системы и номер билда Windows. Последний можно посмотреть в начале XML лога например:
Как изменить маску в команде QuarantineFileF?
Если в логе Windows XP x64 (5.2.3790), то парсером она будет определяться, как Windows Server 2003, если Windows Vista (6.0.6002) то парсером она будет определяться, как Windows Server 2008 R2 - это не ошибка, просто у этих систем одинаковые номера билдов и по логу AVZ их отличить не возможно, подробней читайте здесь: http://safezone.cc/posts/138848/
В остальных случаях, пожалуйста, сообщите разработчику (или укажите в теме обсуждения парсера) название системы и номер билда Windows. Последний можно посмотреть в начале XML лога например:
OS_MjVer="5" OS_MiVer="1" OS_Build="2600" BootMode="0" OS_CSDV="Service Pack 3"
Откройте файл Recommendations.ini. В секции [ActionDefault] измените значение параметра MASKQuarantinFileF на нужное.
вопрос
ответ