AutoLogger [regist & Drongo]

AutoLogger [regist & Drongo] 2015.11.18

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,466
Реакции
6,040
Баллы
1,008
Тестовая PIF версия AutoLogger-а, ссылка будет работать пока не выйдет новая релизная версия AVZ. Отличия этой версии от обычной PIF версии:
  • Улучшено логирование. Теперь в отчёт заносятся коды возвращаемые при запуске внешних программ.
  • Сделано на основе полиморфного AVZ, как следствие обладает большой "живучестью" при вирусах блокирующих его запуск.
  • Исправлен баг с наложением кнопок.
  • Прочие исправления/улучшения сделанные в полиморфной версии AVZ.
  • Отключена проверка актуальности баз AVZ.
  • Можно задать произвольный пароль для архивации карантина
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,466
Реакции
6,040
Баллы
1,008
Нет, юзеры будут качать тоже что и раньше, в ресурсе я ничего не перезаливал. А это тестовая версия и доступна только по прямой ссылке. То есть если ты сам её дашь или юзер набредёт на этот пост и сам по ссылке из этого поста скачает.
 

mike 1

Активный пользователь
Сообщения
2,411
Реакции
928
Баллы
453
Тестовая PIF версия AutoLogger-а, ссылка будет работать пока не выйдет новая релизная версия AVZ. Отличия этой версии от обычной PIF версии:
  • Улучшено логирование. Теперь в отчёт заносятся коды возвращаемые при запуске внешних программ.
  • Сделано на основе полиморфного AVZ, как следствие обладает большой "живучестью" при вирусах блокирующих его запуск.
  • Исправлен баг с наложением кнопок.
  • Прочие исправления/улучшения сделанные в полиморфной версии AVZ.
  • Отключена проверка актуальности баз AVZ.
Во это хорошо, а то есть зловред, который ставит отладчик на avz.exe, regedit и ccleaner.
 

akok

Команда форума
Администратор
Сообщения
18,363
Реакции
13,819
Баллы
2,203
Есть множество альтернативных инструментов для уборки этой заразы
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,466
Реакции
6,040
Баллы
1,008
Во это хорошо, а то есть зловред, который ставит отладчик на avz.exe, regedit и ccleaner.
там блокировка просто по имени файла, так что и обычная PIF версия прекрасно отработает.
Главное назначение этой версии:
1) Как видно из название это тестирование. То есть тестирование и отлов багов в полиморфе, потому что если они перейдут в релиз, то скорей всего потом пару лет придётся их терпеть, пока их исправят.
В частности на днях благодаря этой тестовой версии был обнаружен баг при создание XML лога всегда добавлялась лишняя кавычка. В итоге логи были настолько невалидные, что даже AVZ Logs Fixer не мог их исправить. Олег уже исправил эту ошибку собрав новую версию полиморфа. Тестовая сборка AutoLogger-а тоже обновлена.
2) Это улучшенное логирование. К примеру, если при запуске RSIT или Check Browsers' LNK вылетят с ошибкой (и как следствие в AutoLogger-е не будет их логов), то в отчёт будет записан код ошибки с которой они завершились.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,466
Реакции
6,040
Баллы
1,008
AutoLogger похоже, уже, получил признание и среди вирмейкеров. Мне попалось несколько тем, где была целенаправленная блокировка на запуск AutoLogger-а. Пример лога AVZ во вложение.
В логе FRST подобная блокировка выглядит
Код:
IFEO\AutoLogger.exe: [Debugger] svchost.exe
 

Вложения

mike 1

Активный пользователь
Сообщения
2,411
Реакции
928
Баллы
453
Там не только идет блокировка Автологгера.

Код:
Опасно - отладчик процесса "adwcleaner_4.203.exe" = "svchost.exe"
Опасно - отладчик процесса "AnVir.exe" = "svchost.exe"
Опасно - отладчик процесса "AutoLogger.exe" = "svchost.exe"
Опасно - отладчик процесса "avz.exe" = "svchost.exe"
Опасно - отладчик процесса "CCleaner.exe" = "svchost.exe"
Опасно - отладчик процесса "CCleaner64.exe" = "svchost.exe"
Опасно - отладчик процесса "FRST.exe" = "svchost.exe"
Опасно - отладчик процесса "FRST64.exe" = "svchost.exe"
Опасно - отладчик процесса "HiJackThis.exe" = "svchost.exe"
Опасно - отладчик процесса "regedit.exe" = "svchost.exe"
Опасно - отладчик процесса "RegWorks.exe" = "svchost.exe"
Опасно - отладчик процесса "RSIT.exe" = "svchost.exe"
Опасно - отладчик процесса "RSITx64.exe" = "svchost.exe"
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,487
Реакции
8,872
Баллы
753
опять обновлено. Изменена функция проверки запущен ли AutoLogger с правами админа.
может сделать так, чтобы он с сервера каждый раз с новым случайным именем скачивался?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,466
Реакции
6,040
Баллы
1,008
может сделать так, чтобы он с сервера каждый раз с новым случайным именем скачивался?
Severnyj, наверно можно (уже прикидывали, как это сделать), но думаю пока нет такой необходимости. И тут основная проблема уже будет связана с тем, как указать в ресурсах файл с рандомным именем.
1) Есть PIF версия автологера (на данный момент даже две версии одна с обновляемыми базами, другая на основе полиморфа), на которую эта блокировка не действует.
2) Блокировка довольно примитивная, если интересно в закрытом разделе могу показать подробней как сделана. Так что достаточно просто переименовать файл, либо скачать отдельно переименованный AVZ, скриптом в пару строчек снять эту блокировку и потом долечивать всё остальное.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,487
Реакции
8,872
Баллы
753
Вай-вай зачем такую простоту рассказывать))
Я имел ввиду как на сайте gmer сделано, скрипт, каждый раз генерирует новое имя проги и это сделать только для полиморфа
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,466
Реакции
6,040
Баллы
1,008
Просто добавив пару цифр в клнце например
Koza Nozdri, так цифры каждый раз должны быть разные ))).
Вай-вай зачем такую простоту рассказывать))
правильно, если что продолжать рассуждение на эту тему лучше здесь.
Я имел ввиду как на сайте gmer сделано, скрипт, каждый раз генерирует новое имя проги и это сделать только для полиморфа
я тоже о подобном думал, но Дронго подсказал, там даже немного проще можно сделать, но опять таки это не для этой темы и думаем пока особой необходимости в этом нет. Как минимум можно спокойно использовать PIF версию.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,466
Реакции
6,040
Баллы
1,008

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,789
Реакции
2,549
Баллы
593
Кто-нибудь объяснит чудеса с работой Check Browsers' Lnk при запуске из Автологгера? Снова вижу, что логи получаются оборванными.
Здесь http://forum.kasperskyclub.ru/index.php?showtopic=46615 вообще чудеса. В первых логах не отработал, во вторых - еще как отработал (но я прошляпил и попросил запустить отдельно)
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,466
Реакции
6,040
Баллы
1,008
Возможно при первом запуске антивирус долго анализировал утилиту (в какую категорию доверия её отнести), как следствия утилита не успела отработать в положенный промежуток. А если стабильно через AutoLogger логи обрезаны, то надо просить отдельно и смотреть сколько времени она работает. Вот например лог работы на одном сервере, тема тут на SZ была
_____________________ Статистика ____________________

Найдено угроз: 45
Снято атрибутов RO: 1 из 1
Режим запуска: Normal
Затрачено времени: 1543 сек. (поиск: 1517 сек.)
Пройдено папок: 57781
Пройдено файлов: 588453 (ярлыков: 2168)
25 минут работы... правда файлов обычно намного меньше и утилита отрабатывает намного быстрее.
 
Сверху Снизу