Автоматическое получение логов AVZ, RSIT, SITLog, HiJack This

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,394
Реакции
5,892
Баллы
718
Dragokas написал(а):
В сборщике нет архивов AVZ, SITLog. С целью уменьшения объема сборщика на нашем сервере (~11 Мб) я их не включал.

Можно при запуске утилиты распаковывать архивы, но тогда будет
дублирование баз AVZ -> кумулятивный архив баз + старые базы, которые в составе самого AVZ. Подумаю.

А если посмотреть в сторону полиморфной версии avz mini.

Ядро полиморфа вроде не обновляется?
Как часто вообще обновляется ядро AVZ? ... понял - глупый вопрос.
Так может, убрать стадию скачивания http://z-oleg.com/avz4.zip как таковую (весь смысл был в EXE-шнике).

Оставить это на совесть серверной версии.
В чем минус: старая версия сборщика, которой решит воспользоваться пользователь через полгода,
не сможет сама обновлять ядро AVZ (если оно новое выйдет в свет),
но базы обновлять сможет - запустится скачивание кумулятивного архива!!!

Разрешит ли AVZ старой версии с новыми базами выполнять стандартный скрипт?
А тогда надо как-то самому уметь получать номер текущей и номер актуальной версии AVZ (не скачивая avz4.zip).
 
Последнее редактирование:

Гимаев Наиль

Активный пользователь
Сообщения
59
Реакции
98
Баллы
248
но базы обновлять сможет - запустится скачивание кумулятивного архива!!!
Точно?
Если скачивать не через скрипт, то старый AVZ против использования новых баз:
upload_2013-10-30_19-22-33.png
А тогда надо как-то самому уметь получать номер текущей и номер актуальной версии AVZ (не скачивая avz4.zip).
Номер текущей версии может сказать сам AVZ: http://z-oleg.com/secur/avz_doc/index.html?script_getavzversion.htm
А информацию о актуальной версии AVZ берёт отсюда: http://www.z-oleg.com/secur/avz_up/avzupd.zip (3 КБ)
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,394
Реакции
5,892
Баллы
718
Dragokas написал(а):
но базы обновлять сможет - запустится скачивание кумулятивного архива!!!
Точно?
Кумулятивный архив скачивает не AVZ, а WGET.
Архив avzupd.zip с актуальной версией ядра AVZ создается только при успешном обновлении баз из-под интерфейса самого AVZ.
Кумулятивный архив баз не содержит архива avzupd.zip, и не может в принципе содержать данных о версии ядра.

На счет скрина под спойлером, у AVZ нет специального кода возврата для такого рода ошибки.
Может, как-то WGET обмануть, чтобы положить в сборщик архив-пустышку с тем же временем модификации,
тогда он посчитает, что версия на сервере не изменилась
Да, точно. К серверной версии у нас ведь нет особых требований к использованию стороннего ПО. Пустышку генерировать возможно.
Я не знал для чего в начале скрипта chdir /d "%~dp0", поэтому воткнул вычисление localpath до этой строки. А надо после, т.к. если "Запустить от имени Администратора", то путь будет задан не правильно.
Наиль, я без тебя не разберусь. Как все же правильно, так:
Код:
:: Эта строка правильно отработает?
chdir /d "%~dp0"

set localpath=%~dp0
if NOT "%localpath:~0,2%"=="\\" set localpath=.\

set "Bin=%localpath%bin"
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,426
Реакции
13,392
Баллы
2,203
Ядро полиморфа вроде не обновляется?

1. В полиморфе нет сигнатурных баз, только ядро и базы эвристики.
2. Обновление полиморфа будет реже (~ раз в неделю) простой заменой одного exe.
3. Размер такой версии ~4.4 мб
 

Гимаев Наиль

Активный пользователь
Сообщения
59
Реакции
98
Баллы
248
Как все же правильно, так:
Да.
Получается такой алгоритм
1. Сначала пытаемся установить текущий путь путём к батнику, так как текущая папка батника может отличаться.
2. Если батник в сети, то сменить путь не удастся. Значит придётся использовать полный путь ко всем файлам. При этом будем иметь все возможные проблемы из-за символов !()%^ - которые вполне могут встречаться в пути. Но это не так важно, т.к. сетевые папки во власти админов, а значит, они в состоянии решить эту проблему, нужно только дать им знать.
3. Если же батник не в сети, то после изменения текущего пути, он не будет начинаться на '\\', тогда можно использовать относительный путь и избежать проблем из-за спецсимволов, а это важно т.к. вполне возможна ситуация, когда запуск будет выполняться из папки C:\users\IamLamer!\Downloads. А ламер - не админ :), ему советы не помогут.

Вместо относительных путей можно использовать пути в формате 8.3, но это сложнее.
Архив avzupd.zip с актуальной версией ядра AVZ создается только при успешном обновлении баз из-под интерфейса самого AVZ.
Я то предлагал скачивать его самостоятельно тем же WGET, чтобы проверять версию AVZ.
Пустышку генерировать возможно.
Похоже я что-то пропустил. Зачем нужна пустышка? И я не уверен, что правильно понимаю термин "Кумулятивный архив баз".
Я так понял, это та база, которая скачалась бы при обновлении самого нового AVZ.
Если это так, то мне кажется, что нужно обратить внимание на следующее:
http://z-oleg.com/secur/avz/download.php написал(а):
Вполне возможно, что это не в последний раз.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,394
Реакции
5,892
Баллы
718
akok, замечательно, люблю когда есть варианты.
Наиль, архив avzupd.zip просто так нигде не лежит. Он генерируется в процессе обновления.
DelayedExpansion я буду убирать из батника по максимуму.
2. Если батник в сети, то сменить путь не удастся.
А если вычислить путь и последовательно перейти или перейти через 8.3. - не получится так?
Вместо относительных путей можно использовать пути в формате 8.3, но это сложнее.
Парсить 8.3. мы уже научились.
 

Гимаев Наиль

Активный пользователь
Сообщения
59
Реакции
98
Баллы
248
Архив avzupd.zip с актуальной версией ядра AVZ создается только при успешном обновлении баз из-под интерфейса самого AVZ.
А здесь написано, что можно получить avzupd.zip используя ключ ExtUpdates=Y

архив avzupd.zip просто так нигде не лежит
Так лежащий он нам и не нужен, нам нужен тот который в интернете, ссылку я дал.
Мой алгоритм следующий:
1.
Код:
avz.exe HiddenMode=3 Script=Скрипт.получения.текущей.версии
, где Скрипт.получения.текущей.версии записывает версию AVZ (процедура GetAVZVersion) в файл.
2. С помощью WGET скачиваем http://www.z-oleg.com/secur/avz_up/avzupd.zip
3. Считываем из файла текущую версию AVZ. А из архива извлекаем xml, из которого извлекаем версию свежего AVZ. Сравниваем версии.
4. Если текущая версия устаревшая, скачиваем http://z-oleg.com/avz4.zipЗабыл предупредить, что хотя я и вносил изменения в ViruLogs Collector, но как он работает не разбирался, поэтому плохо представляю, чем занимаются серверная и клиентская части и как между собой взаимодействуют. Поэтому я только надеюсь, что мои советы не покажутся глупыми и будут в тему.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,705
Реакции
5,994
Баллы
1,008
2. Обновление полиморфа будет реже (~ раз в неделю) простой заменой одного exe.
точней раз в месяц, так как Олег его обновляет не чаще.
+ полиморф это тестовая сборка, на которой отлавливаются баги и тестируются новые фичи. Лично мне совсем не хочется при повседневный работе в помогите быть в роли бетатестера.
А также я уже молчу, что настройки при создание лога в полиморфе отличаются от стандартных ;).
 

akok

Команда форума
Администратор
Сообщения
19,426
Реакции
13,392
Баллы
2,203
Знаю. Теперешняя сборка полиморфа у меня не запустилась. Ну и соответственно остается 2 стандартный скрипт
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,394
Реакции
5,892
Баллы
718

Гимаев Наиль

Активный пользователь
Сообщения
59
Реакции
98
Баллы
248
Спасибо за ссылочку. Я о ней не знал.
Я тоже не знал. Когда мне нужно узнать как программа определяет номер актуальной версии пользуюсь Фидлером: Fiddler
Рекомендую. Очень помогает при отладке программ работающих с http. Кроме этого имеется функция подмены файлов. Т.е. сайт или программа думает, что скачивает один файл, а в реальности получает другой. К примеру, я делаю, подмену сжатого jquery.js на полноценный. Или звук чата вконтакте на более громкий.
В твоём случае, ты можешь подменить avzupd.zip на свой, и посмотреть, как ведёт себя avz. При этом avz будет уверен, что тянет файл с z-oleg.
Но самое главное можешь быстро отловить ошибки при работе с wget. Правда для этого придётся прописать прокси, через который Fiddler прогоняет трафик.
 

akok

Команда форума
Администратор
Сообщения
19,426
Реакции
13,392
Баллы
2,203

akok

Команда форума
Администратор
Сообщения
19,426
Реакции
13,392
Баллы
2,203
Естественно, скрипт найдет, что что ему нужно, а просмотр содержимого папки запрещен на уровне сервера.
 

akok

Команда форума
Администратор
Сообщения
19,426
Реакции
13,392
Баллы
2,203
Необходимо добавить получение лога SecurityCheck by glax24
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,394
Реакции
5,892
Баллы
718
Как обойти фильтр "SmartScreen" на Windows 8 программно?
Эта штука похуже, чем UAC. SecurityCheck из под ключа реестра не хочет запускаться (см. скрин).
Может, кто знаком с этим.
 

Вложения

  • 111.png
    111.png
    3.4 KB · Просмотры: 17

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,705
Реакции
5,994
Баллы
1,008
Вот в логах нашёл
128.30.52.37:80, ...\ViruLogs Collector by Dragokas\bin\wget.exe
И мне не нравится и думаю многим юзерам тоже, когда проги самостоятельно начинают лезть на какие-то непонятные сайты. У многих думаю будут возникать вопросы, зачем прога лезет на этот сервер. Тем более сразу видно, что с обновлениями утилит это никак не связано.
 

glax24

Разработчик
Сообщения
2,001
Реакции
1,484
Баллы
638
128.30.52.37:80, ...\ViruLogs Collector by Dragokas\bin\wget.exe
И мне не нравится и думаю многим юзерам тоже, когда проги самостоятельно начинают лезть на какие-то непонятные сайты.
regist, у меня тоже складывается впечатление вы специально тролите, вы же опытный пользователь, а проверить чей это ip сложно, хотя над вашим сообщением все написано.
WGET на w3.org (сервер стандартов) - проверка интернет-подключения (для сетей с прокси).
когда проги самостоятельно начинают лезть на какие-то непонятные сайты
Кстати SC при старте тоже проверяет доступен ли непонятный сайт 8.8.8.8
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,394
Реакции
5,892
Баллы
718
Могу писать специально сообщение "Проверка подключения к Интернет". Как то же мне проверять нужно. Это самый надежный способ. Имитация скачивания странички.
К ya.ru обращаться не хочу. Там часто много рекламы, а страничка должна скачаться полностью. w3.org самый легкий в этом плане из известных - указан в заголовке исходного кода любой странички основанной на HTML-коде. Странно, что для вас она считается посторонним источником.

... если подключения нет, то и проверка обновлений будет пропущена без вопросов.
 
Последнее редактирование:
Сверху Снизу