- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
только исправленная версия полиморфа не работает
. Отписал ему на VI.
![AutoLogger [regist & Drongo]](/data/resource_icons/0/59.jpg?1725277373){kind=icon}
- Автор темы regist
- Дата начала
-
- Теги
- autologger avz
. Отписал ему на VI.
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
- Улучшено логирование. Теперь в отчёт заносятся коды возвращаемые при запуске внешних программ.
- Сделано на основе полиморфного AVZ, как следствие обладает большой "живучестью" при вирусах блокирующих его запуск.
- Исправлен баг с наложением кнопок.
- Прочие исправления/улучшения сделанные в полиморфной версии AVZ.
- Отключена проверка актуальности баз AVZ.
- Можно задать произвольный пароль для архивации карантина
Последнее редактирование:
- Сообщения
- 9,327
- Реакции
- 3,980
Юзеры будут именно эту версию скачивать?
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
Нет, юзеры будут качать тоже что и раньше, в ресурсе я ничего не перезаливал. А это тестовая версия и доступна только по прямой ссылке. То есть если ты сам её дашь или юзер набредёт на этот пост и сам по ссылке из этого поста скачает.
mike 1
Ветеран
- Сообщения
- 2,331
- Реакции
- 753
Во это хорошо, а то есть зловред, который ставит отладчик на avz.exe, regedit и ccleaner.
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
там блокировка просто по имени файла, так что и обычная PIF версия прекрасно отработает.
Главное назначение этой версии:
1) Как видно из название это тестирование. То есть тестирование и отлов багов в полиморфе, потому что если они перейдут в релиз, то скорей всего потом пару лет придётся их терпеть, пока их исправят.
В частности на днях благодаря этой тестовой версии был обнаружен баг при создание XML лога всегда добавлялась лишняя кавычка. В итоге логи были настолько невалидные, что даже AVZ Logs Fixer не мог их исправить. Олег уже исправил эту ошибку собрав новую версию полиморфа. Тестовая сборка AutoLogger-а тоже обновлена.
2) Это улучшенное логирование. К примеру, если при запуске RSIT или Check Browsers' LNK вылетят с ошибкой (и как следствие в AutoLogger-е не будет их логов), то в отчёт будет записан код ошибки с которой они завершились.
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
обновлено, теперь в ней можно задавать произвольный пароль для архивации карантина.
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
опять обновлено. Изменена функция проверки запущен ли AutoLogger с правами админа.
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
AutoLogger похоже, уже, получил признание и среди вирмейкеров. Мне попалось несколько тем, где была целенаправленная блокировка на запуск AutoLogger-а. Пример лога AVZ во вложение.
В логе FRST подобная блокировка выглядит
В логе FRST подобная блокировка выглядит
Код:
IFEO\AutoLogger.exe: [Debugger] svchost.exe
- Сообщения
- 14,053
- Решения
- 2
- Реакции
- 5,746
поздновато что то)
mike 1
Ветеран
- Сообщения
- 2,331
- Реакции
- 753
Там не только идет блокировка Автологгера.
Код:
Опасно - отладчик процесса "adwcleaner_4.203.exe" = "svchost.exe"
Опасно - отладчик процесса "AnVir.exe" = "svchost.exe"
Опасно - отладчик процесса "AutoLogger.exe" = "svchost.exe"
Опасно - отладчик процесса "avz.exe" = "svchost.exe"
Опасно - отладчик процесса "CCleaner.exe" = "svchost.exe"
Опасно - отладчик процесса "CCleaner64.exe" = "svchost.exe"
Опасно - отладчик процесса "FRST.exe" = "svchost.exe"
Опасно - отладчик процесса "FRST64.exe" = "svchost.exe"
Опасно - отладчик процесса "HiJackThis.exe" = "svchost.exe"
Опасно - отладчик процесса "regedit.exe" = "svchost.exe"
Опасно - отладчик процесса "RegWorks.exe" = "svchost.exe"
Опасно - отладчик процесса "RSIT.exe" = "svchost.exe"
Опасно - отладчик процесса "RSITx64.exe" = "svchost.exe"
- Сообщения
- 8,444
- Реакции
- 5,471
может сделать так, чтобы он с сервера каждый раз с новым случайным именем скачивался?
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
Severnyj, наверно можно (уже прикидывали, как это сделать), но думаю пока нет такой необходимости. И тут основная проблема уже будет связана с тем, как указать в ресурсах файл с рандомным именем.
1) Есть PIF версия автологера (на данный момент даже две версии одна с обновляемыми базами, другая на основе полиморфа), на которую эта блокировка не действует.
2) Блокировка довольно примитивная, если интересно в закрытом разделе могу показать подробней как сделана. Так что достаточно просто переименовать файл, либо скачать отдельно переименованный AVZ, скриптом в пару строчек снять эту блокировку и потом долечивать всё остальное.
- Сообщения
- 14,053
- Решения
- 2
- Реакции
- 5,746
Просто добавив пару цифр в клнце например
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
Koza Nozdri, так цифры каждый раз должны быть разные ))).
правильно, если что продолжать рассуждение на эту тему лучше здесь.
я тоже о подобном думал, но Дронго подсказал, там даже немного проще можно сделать, но опять таки это не для этой темы и думаем пока особой необходимости в этом нет. Как минимум можно спокойно использовать PIF версию.
- Сообщения
- 3,885
- Реакции
- 2,432
Кто-нибудь объяснит чудеса с работой Check Browsers' Lnk при запуске из Автологгера? Снова вижу, что логи получаются оборванными.
Здесь http://forum.kasperskyclub.ru/index.php?showtopic=46615 вообще чудеса. В первых логах не отработал, во вторых - еще как отработал (но я прошляпил и попросил запустить отдельно)
Здесь http://forum.kasperskyclub.ru/index.php?showtopic=46615 вообще чудеса. В первых логах не отработал, во вторых - еще как отработал (но я прошляпил и попросил запустить отдельно)
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
Возможно при первом запуске антивирус долго анализировал утилиту (в какую категорию доверия её отнести), как следствия утилита не успела отработать в положенный промежуток. А если стабильно через AutoLogger логи обрезаны, то надо просить отдельно и смотреть сколько времени она работает. Вот например лог работы на одном сервере, тема тут на SZ была
25 минут работы... правда файлов обычно намного меньше и утилита отрабатывает намного быстрее.
Похожие темы
- Закрыта
