Автоматическое получение логов AVZ, RSIT, SITLog, HiJack This

Кирилл

Команда форума
Администратор
Сообщения
14,089
Реакции
6,139
Баллы
993
Буду первым топикстартером в новом разделе)))

Давно обсуждаемая тема:
Автоматическое получение логов.

Как это возможно реализовать?

В авз такой функционал будет доступен даже консольно,а вот с rsit уже сложнее.

Примерно вижу это так:
Диалоговое окно,в котором имеется чекбокс напротив нужных утилит в списке,предварительно упакованных в cab например.

Пользователь выбирает пункты,жмет и начинается сбор логов данными утилитами.
Создается папка например на рабочем столе,где в раздельных папках будут лежать нужные логи.
Стартовая тема сбора логов:
http://safezone.cc/forum/showthread.php?t=15

По поводу того,что бы утилиты всегда были свежими-можно указать адрес скачивания на зеркало.

Думаю такой набор будет востребован среди пользователей.

Комментарий от Dragokas:

//TODO: 0.1.9.6 (обновлен) +
//TODO
Окно прерывания работы зависшей утилиты из набора.

//TODO 0.1.9.7 +
Обойти фильтр SmartScreen в Win8, чтобы заработал SecurityCheck.
Проверка сборщиком обновлений самого себя.
Дописывать к финальному архиву сразу - дату/время в формате dd.mm.yyyy-hh.mm


0.1.9.6.
Добавлен RSIT. Обновления не проверяются, т.к. в ближайшее время не планируются.
В ver.0.1.9.5 система не перезагружалась после удаления драйвера AVZPM. Исправлено.

0.1.9.5
Programs\avz\avz4: убрана вложенность папок.
Удален _Start_ViruLogs.ErrorEXE, заменен на CMD.ErrorEXE, который запускается из папки Windows
7z-версия архива более не создается (неактуально).

0.1.9.4.
Вырезан RSIT
Убрал проверку наличия подключения к сети Интернет (т.к. пользователь и сам должен знать это, отвечая на вопрос "Обновить ли комплект?")
Убрал сообщение "Попытаться скачать снова?", если не удалось обновиться ни с одного из зеркал.
Убрал файл русскоязычной справки AVZ.
HiJack This копируется в отдельную папку "Programs\HiJack This", чтобы пользователь ее сразу увидел.
Подкорректировал проверку спецсимволов в путях к сборщику (нельзя использовать символы ^, %, &).
Упростил функцию скачивания в режиме обновления.
Неправильно определялась актульность баз AVZ (в днях). Исправлено.
Архивы virusinfo_syscure.zip и virusinfo_syscheck.zip в конце сканирования не удалялись. Исправлено.
Браузер по-умолчанию: неверно передавалась версия системы (для XP).
Протокол отладочной информации расширен:
  • содержит время запуска/завершения и длительность выполнения каждой утилиты;
  • длительность перезагрузки;
  • протокол работы стандартных скриптов AVZ и ошибки обновления баз;
  • такие различия, как незапуск AVZ либо его зависание уже в процессе сканирования.
  • Протокол называется v~Debug.log (папка LOGs); в финальный архив он включается только в случае, когда не было создано одного из логов (поможет понять причину).

0.1.9.3.
Дублирование финального архива в формат 7z (временное решение проблем с загрузкой на сервер CyberForum)
Протоколирование этапов запуска утилит и работы AVZ в файл LOGs\ViruLogs.log
Автозагрузка: _Start.ErrorEXE (reg: RunOnce) переименован в _ViruLogs_Start.ErrorEXE (чтобы "не бросаться на глаза").
Удален файл англоязычной справки AVZ.
В заголовке окна отображается версия утилиты.
Более быстрый старт сборщика после перезагрузки и в процессе обновления баз.
Проверка подключения к Интернет через простую отправку ping (для сетей без прокси).
Win8: запуск без альтернативной ассоциации ErrorEXE (не прогружался рабочий стол).

0.1.9.2
Исправлена ошибка бекапа настроек интерфейса (XP): "Попытка записи в несуществующий поток".
Убрано машинное озвучивание завершения сканирования. Добавлено проигрывание стандартных WAV системы (Звуки *ShutDown*.wav и *notify*.wav).
Служебная Папка "bin" перенесена в папку "Programs". _Start.cpp также перекомпилирована.
Поправлено сообщение версии баз после обновления.

0.1.9.1
Запуск SecurityCheck в тихом режиме (без отображения результатов).

0.1.9.0
Обновления утилит:
Добавлено зеркало avz.safezone.cc
Наличие обновлений для AVZ (ядро + базы) теперь проверяется не через интерфейс AVZ, а через парсинг 3 Кб-файла avzupd.zip на сайте z-oleg.com (спасибо Гимаев Наиль)

Файлы:
Финальный лог теперь создается в главной папке.
Удалена утилита nircmd.exe

Интерфейс
Добавлено сообщение "Выгрузить защитное ПО" после перезагрузки.
Показ имени установленного антивируса (чтобы обратить внимание)
Профессиональный перевод от Anna Khatser.
Правки грамматических ошибок.

Сеть:
Увеличено кол-во попыток для установки связи до 4 (для плохих линий Интернета).

Функции:
Добавлен лог утилитой SecurityCheck by glax24.
Отключение драйвера AVZPM путем запуска стандартного скрипта № 6 с перезагрузкой.
Регистрация нового расширения ErrorEXE: если ассоциация EXE повреждена, утилита нормально стартует после перезагрузки.
Контрольная точка: поправлена проверка кода ошибки; для систем >= Vista, включается создание точек, если было отключено.
Ключ автозагрузки изменен на HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\33
Голосовое сообщение при завершении проверки.
Копирование пути к архиву в буфер обмена (вернул на родину :)
Перезагрузку компьютера можно отменить в течении 10 сек. (на экстренный случай :)

Ошибки и безопасность:
Баг со скобкой ) в пути исправлен, восклицательные знаки (!) и другие спецсимволы также доступны.
Множество других правок мелких ошибок.

Чистка следов:
Чистка и удаление папок с логами от каждой из утилит.
Удаление драйвера AVZ по заврешению скрипта № 2
Удаление ветки реестра TrendMicro, если ее не было.
Удаление драйверов и других следов AVZ после его отработки (скрипт № 6 сразу после скрипта № 2)

0.1.8.
1. При обновлении автоматически выкачивать обе x64, x32 версии утилит RSIT.
2. Проверка подключения к сети - забыл о прокси.
4. Вырезать EICAR
6. Неплохо бы приделать кнопку : Обновить VirusLog
6.5. Сразу полная версия сборщика со всеми утилитами. Это для того что бы можно было скачать на одном компе и запустить на другом с обновленными базами.
8. Вырезать SetClip, как ложный детект некоторых антивирусов.
11. Поправить зеркала
21. Убрать проверку MD5 (иначе не запустится при файловом червяке).
22. Серверная версия: без всплывающих WGET окон.
23. Серверная версия: silent-режим (без msgbox-ов).
25. Временно: Запрет запуска из архива.
??? Отлючение повышенных привилегий для серверной части (при этом базы будут обновляться только через кумулятивный архив)
 
Последнее редактирование модератором:

akok

Команда форума
Администратор
Сообщения
19,426
Реакции
13,392
Баллы
2,203
Да не только DDS, разработок много... даже банальный HJT зашить можно.
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
а почему RSIT незя зашить? и вообще зачем зашивать, если мона выкачивать.
 

Кирилл

Команда форума
Администратор
Сообщения
14,089
Реакции
6,139
Баллы
993
Тут интереснее, обновление баз AVZ, проверка обновления версий?
Упаковка в cab нужна потому что не будет возникать вопросов по поводу того чем распаковать-можно простой командой EXPAND в код(системными средствами).
Проверка обновления баз-три варианта.
Первый автоскрипт авз,условие.
Если error то скачиваем базы с зеркала.
Тут тоже два варианта-либо мы сами поддерживаем актуальную ссылку либо на сайте Зайцева.
Почему тема в этом разделе?
Возможность прочитать открытый код (тут надо обсудить его целесообразность)

Добавлено через 1 минуту 17 секунд
и вообще зачем зашивать, если мона выкачивать.
Можно вшить в архив,можно скачивать с зеркала - но на тот случай если нет доступа к ссылке по какой то причине нужен запасной вариант.
Верно?

Добавлено через 38 секунд
обновление баз AVZ, проверка обновления версий?
Суть в том что это не сложно сверить)))
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,705
Реакции
5,994
Баллы
1,008
Пользователь выбирает пункты,жмет и начинается сбор логов данными утилитами.
Создается папка например на рабочем столе,где в раздельных папках будут лежать нужные логи.
пользователю нужна одна большая кнопка, сделать всё хорошо и чтобы при нажатие на эту кнопку сразу писался и выполнялся авто-скрипт для лечения его системы. А все эти галочки и выбор нужных утилит это очень сложно.

По сабжу надо ещё, чтобы перед созданием лога запускало браузер - и пользователь этого не испугался приняв за очередную рекламную вкладку, а также приостановить защиту антивируса... что в скрипты уже не зашьёшь. Потом по окончанию сбора логов пользователи ещё часто прикрепляют не те логи, то есть было бы ещё отдельно упаковать, что нужно назвав вот это надо к ответу прикрепить. Правда потом всё равно надо в картинках ему объяснять как выполнить скрипт ...
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
ты нашел тему на форуме, где пару лет назад обсуждалось автоматическое получение логов скриптом авз?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,705
Реакции
5,994
Баллы
1,008

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
тогда это когда? я не могу найти. Но помню что там то все заглохло изза того, что сделать автоматическую логовыжималку с соблюдением всех требований и условностей очень непросто будет
 

Кирилл

Команда форума
Администратор
Сообщения
14,089
Реакции
6,139
Баллы
993
А,точно.
Щас найду ее.

авто-скрипт для лечения его системы
Да никто кроме человека не сделает нормальный скрипт-сами понимаете.

нужна одна большая кнопка
А если потребуется дополнительный лог например дополнительной утилиты?
Тут требуется единогласие.
Щас обсуждение найду.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,705
Реакции
5,994
Баллы
1,008
А если потребуется дополнительный лог например дополнительной утилиты?
дополнительно может потребоваться лог десятка утилит... перечислять их не вижу смысла. Понадобится он или нет это ещё вопрос, а размер комбайна из-за этого вырастет, так что не вижу смысла их туда засовывать да перед их применением юзер обычно должен читать отдельную инструкцию по использованию.
 

Кирилл

Команда форума
Администратор
Сообщения
14,089
Реакции
6,139
Баллы
993
Тогда остается связка:
авз,рсит и хиджак если рсит не сработал?
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,394
Реакции
5,892
Баллы
718
regist, если в состав "комбайна" с одной кнопкой: согласен - нет смысла.

Поддержу вариант автоматизации, взяв за основу Правила сбора логов: http://safezone.cc/forum/showthread.php?t=15

Также предлагаю, для разнообразия для всех возможных инструментов сбора логов также сделать отдельные скрипты с целью упрощения телодвижений юзера (или для особо ленивых, которым тяжело даются инструкции). Отложим на после.
Уже в процессе обсудим, какие из них целесообразно включать в "комбайн".
А это будет зависеть от времени на сбор + средней частоты затребованности таких логов при лечении.

Дальше, думаю, стоит обсудить саму реализацию:
1) Выбор языка реализации
2) Упаковка в Cab (это чтобы комбайн хранился в одном файле).
3) Обновление утилит (если устарели) и баз.
4) Ключи запуска, команды для AVZ, подсказки для юзера,
общий алгоритм сбора делаем идентичным Правилам сбора логов?
 
Последнее редактирование:

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
это должен быть скрипт для авз, ибо для чего юзверю качать дополнительный вес? быстрый и дешевый интернет пока далеко не у всех.

потом, приколюха должна уметь запускать экзешники браузеров, закрывать все работающие проги, выгружать антивирь, снимать препятствия для запуска авз, проверять обновления и актуальность версии, и автоматически стартовать после перезагрузки (т к ст скрипт 3 или 7 перезагружает комп).
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,394
Реакции
5,892
Баллы
718
Все указанное, кроме:

1. выгружать антивирь
2. проверять актуальность версии

легко реализуемо через Batch + реестр.
1. По понятным причинам - можно вывести сообщение юзеру - отключить антивирь, нажать Enter.
2. Не знаю как проверить актуальность версии AVZ, не скачивая (только через стороннюю утилиту wget могу).

Кстати, Сашка, железный IQ, привет :)
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
привет
Все указанное,
реализуемо также и через авз, что удобнее для пользователя
1. выгружать антивирь
2. проверять актуальность версии
тока вот без этого как раз не обойтись, т к это и есть самое важное.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,394
Реакции
5,892
Баллы
718
1. Так это будет называться - вирус :)
Да-да. Покурив с 10 минут доков по AVZ увидел, что это тот же Batch, только на много круче ))). Перевести на AVZ-Delphi Style, там уже не проблема.
2. Может, в AVZ есть встроенная команда на это...
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,705
Реакции
5,994
Баллы
1,008
приколюха должна уметь запускать экзешники браузеров
имхо достачно сделать запуск ярлыка для открытия к примеру safezone.cc
закрывать все работающие проги,
имхо не стоит и даже опасно всё вот так глушить скриптами, лучше вывести сообщение, что надо всё закрыть.
1. выгружать антивирь
разумеется мы не сможем, так как для этого надо в первую очередь обойти самозащиту антивируса.
2. проверять актуальность версии
если я правильно помню есть скриптовая команда для получения даты обновления баз. Если базы старые - сильно отличаются от текущей даты, то надо обновить. Если версия устарела, то будет сбой обновления.
 
Сверху Снизу