Автоматическое получение логов AVZ, RSIT, SITLog, HiJack This

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
ссылку на зеркало AVZ.
на данный момент официального зеркала самой программы нет, а зеркала для обновления можно посмотреть в самой утилите через GUI.
- ссылки на маны.
http://z-oleg.com/secur/avz_doc/
- ключи автоматизированного и Silent-запуска
http://z-oleg.com/secur/avz_doc/index.html?t_commandlinespec.htm
- RSIT вообще чья разработка? (я так понял за safezone интерфейс и перевод)
да.

Добавлено через 1 минуту 37 секунд
http://www.z-oleg.com/avz.exe - а этот нельзя использовать ? Скорее всего всё равно утилита будет обновляться и с базами проблема решится
Phoenix, вы то должны знать, что базы полиморфа не обновляются вообще, а пересобирается он раз в месяц. Я уже молчу про то что это вообще считается тестовой версией AVZ и на данный момент формирует битый лог.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,403
Реакции
5,907
Баллы
718
Phoenix, нет так нельзя. Нужно убрать ключ /F.

Попробуйте запустить Microsoft Word, что-нибудь напечатать.
Затем ввести команду:
PHP:
Taskkill /IM Winword.exe

Потом

PHP:
Taskkill /F /IM Winword.exe

ощутите разницу. Taskkill без /F подает просто сигнал WM_CLOSE приложению. То, что нам нужно.
 

Кирилл

Команда форума
Администратор
Сообщения
14,102
Реакции
6,152
Баллы
993
- полезные команды AVZ
что именно должны выполнять эти программы?

перечень утилит для сбора логов.
на данный момент rsit,avz,hijack.
+ от меня:
создание точки восстановления в авз:
Код:
begin
AddToLog('WMIC /Namespace:\\root\default Path SystemRestore Call CreateRestorePoint "’®зЄ* ў®ббв**®ў«Ґ*Ёп д®аг¬ SafeZone.cc", 100, 12');
  SaveLog(GetCurrentDirectory+'service.bat');
   ExecuteFile(GetCurrentDirectory+'service.bat', '', 0, 100000 ,false);
ShowMessage('Внимание!Создана точка восстановления-бравоиссимо )))');
end.
зеркало HijackThis
RSIT
Для 32-разрядной версии Windows
Для 64-разрядной версии Windows
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
можно, но не форсированно, чтобы прога закрывалась после сохранения юзверем документа.
не всё ограничивается документами, на компе может работать база данных, которая не сможет корректно сохранить свои данные, так что лучше уведомление юзеру.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,403
Реакции
5,907
Баллы
718
с подтверждением кнопкой "ОК"
сделаем.

regist, нифига там в манах нет про версию баз (еще и глючит сайт, оффлайна нет нит ли у кого?).
Вот максимум, что получится средствами AVZ:

PHP:
avz.exe Script="Script.txt" HiddenMode=0 AG=Y AM=Y

PHP:
begin
  AddToLog(GetAVZVersionTxt);
  SaveLog(GetAVZDirectory + '\avz_log.txt');
  ExitAVZ;
end.

ответ:
Ошибка AVZ Guard: C0000061
Выполнение скрипта из файла
(с) Лаборатория Касперского, 2011, версия 4.39 от 20.05.2012

Ссылка на зеркало AVZ, что Сашка дал. Оно постоянно поддерживается в актуальном состоянии?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
оффлайна нет нит ли у кого?
в папке рядом с AVZ avz_ru.chm, есть ещё pdf вариант, но chm думаю удобней.
regist, нифига там в манах нет про версию баз
значит надо пинать Олега и спрашивать куда он запрятал, выше дал ссылку на пост где он обещал это внедрить (и обещал давно). Там же по ссылке указан способ, как это организовать в старой версии до внедрения этой команды.

Добавлено через 1 минуту 2 секунды
Оно постоянно поддерживается в актуальном состоянии?
это на совести админа, а учитывая, что он может быть и в командировке ....

Добавлено через 51 секунду
а нафига эти ключи ?!

Добавлено через 3 минуты 36 секунд
AVZ надо запустить просто на выполнение - стандартный скрипт №2 (или №3 соответственно), никаких дополнительных ключей указывать не надо. Ключи нужны в особых случаях.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,403
Реакции
5,907
Баллы
718
Вопросы по алгоритму сбора логов:

Сначала выполняется стандартный скрипт № 3,
после которого обязательно перезагружать компьютер.
Затем № 2.

А почему не наоборот? Сначала № 2, а потом № 3. По логике, тогда перезагружать не нужно.
выгружать антивирь
А просто отключить его будет достаточно?

Если решить эту задачу перезагрузкой с минимальной конфигурацией автозапуска?

Только что ради прикола отключил батником Касперского.
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
По логике, тогда перезагружать не нужно.
перезагрузка нужна специально, чтобы сравнить, что изменилось в логе после перезагрузки.

Добавлено через 53 секунды
А просто отключить его будет достаточно?
конечно достаточно просто приостановить защиту.
 

Phoenix

Ветеран
Сообщения
2,108
Реакции
1,838
Баллы
503
PHP:
var
S : string;
begin
// Обновление баз
// if ExecuteAVUpdate then S := 'Обновление прошло успешно'
// OR
if ExecuteAVUpdateEx (' ', 0, '','','') then S := 'Обновление прошло успешно'
else S := 'Ошибка обновления баз AVZ';
// Протоколирование
AddLineToTxtFile(GetAVZDirectory + 'avz_upd.log',  DateTimeToStr(Now)+' '+S);
// Завершение работы AVZ
ExitAVZ;
end.
Не надо проверять базы на актуальность - обновление баз всегда актуально ! Он сам разберётся, что обновить.
AServerURL - URL сервера, с которого проводится обновление. Если вместо URL указать пустую строку, то в качестве источника обновления случайным образом берется один из стандартных URL (случайный выбор позволяет распределять нагрузку между источниками обновления)
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
Не надо проверять базы на актуальность - обновление баз всегда актуально ! Он сам разберётся, что обновить.
Phoenix, ошибаетесь надо.
1) Часто это выполняется на машине, которая не подключена к интернету или интернет не работает.
2) Зачем лезть за обновлением если он скачает уже сборку с обновлёнными базами? Тем более на то что программа полезла в сеть может нервно среагировать файрволл, зачем его провоцировать когда в этом нет никакой нужды.
 

Phoenix

Ветеран
Сообщения
2,108
Реакции
1,838
Баллы
503
Мне нравится АМ=Y (только скрипт или сам юзер завершит.) Может так ?
PHP:
avz.exe NewDsk=Y AM=Y AG=Y
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
Мне нравится АМ=Y
Phoenix, а мне нравится что-то другое, а кто-то потом AVZPM захочет ...
надо исходить не из того, что кому нравится, а что нужно для создания логов по правилам.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
Кстати разобрался, как узнать дату обновления баз, Олег действительно добавил эту фичу, но для того чтобы узнать версию надо чтобы перед этим AVZ была обновлена скриптом (первый раз это можно сделать до упаковки в сборку)

Код:
begin
SetupAVZ('ExtUpdates=Y');
ExecuteAvUpdate;
end.

после этого в папке Base появится файл avzupd.zip внутри архива файл file.dta следующего содержания
<?xml version="1.0" encoding="windows-1251"?>
<AVZ CurVer="4.41" MinVer="4.41" BuildDate="17.09.2013 16:00:07">
<BASE Dest="%AVZ%\Base">
<FILE Name="backup.avz" Size="884" MD5="EDECECA03A10AF903BD4CEBA827442FC" BuildDate="12.07.2013 11:56:53" RecCount="10"/>
<FILE Name="bt.avz" Size="2437" MD5="BFC29DE5A3C535787F061D97512CBF7D" BuildDate="09.07.2013 9:30:49" RecCount="26"/>
<FILE Name="esc.avz" Size="1048" MD5="FC2C055C5684B0FDC91D41302D9BC131" BuildDate="10.09.2013 15:07:08" RecCount="2"/>
<FILE Name="exc.avz" Size="791" MD5="C6858D8A3BFC64710694EED937F7A4A0" BuildDate="03.09.2013 16:22:53" RecCount="2"/>
<FILE Name="extract.avz" Size="75998" MD5="A9849F62A037A67A376F57EEABF805A1" BuildDate="12.07.2013 12:06:56" RecCount="1"/>
<FILE Name="keylogger.avz" Size="506" MD5="20AC8E934D6C3780BC92D59315DF3B30" BuildDate="12.07.2013 11:56:36" RecCount="90"/>
<FILE Name="krnldrv.avz" Size="15081" MD5="3455426B907C247C0F7C24536919040A" BuildDate="12.07.2013 12:06:57" RecCount="4"/>
<FILE Name="lang_en.avz" Size="24773" MD5="F742BEC3F4157239CA312FDA5B212BEE" BuildDate="09.09.2013 21:47:08" RecCount="1799"/>
<FILE Name="lang_ru.avz" Size="27813" MD5="C7BE0AA3C1C61786792A2F2947B50396" BuildDate="09.09.2013 21:47:08" RecCount="1802"/>
<FILE Name="main.avz" Size="134433" MD5="C0B6386155A11C8829F1FE2CD957BDCE" BuildDate="14.11.2012 4:00:04" RecCount="9997"/>
<FILE Name="main001.avz" Size="147992" MD5="9D7A1994024D6E6DA6FF453938640C38" BuildDate="17.10.2011 16:20:24" RecCount="9995"/>
<FILE Name="main002.avz" Size="171840" MD5="F5462779F7A16FFBF0A08C3BED9FDD96" BuildDate="13.10.2012 20:53:36" RecCount="9999"/>
<FILE Name="main003.avz" Size="152615" MD5="A0FF28E82403106DD660E581B24C7B67" BuildDate="17.10.2011 16:20:23" RecCount="10001"/>
<FILE Name="main004.avz" Size="73702" MD5="DCDB6F1CD11814BD623AD71856948911" BuildDate="17.10.2011 16:20:22" RecCount="10001"/>
<FILE Name="main005.avz" Size="133934" MD5="57C57D3B8896083B71131E6B3EE1E032" BuildDate="17.10.2011 16:20:22" RecCount="10000"/>
<FILE Name="main006.avz" Size="143086" MD5="8153086FFD5779EBB5426397421D0490" BuildDate="17.10.2011 16:20:21" RecCount="10001"/>
<FILE Name="main007.avz" Size="148724" MD5="DD943D77E70FDFCA511A8770F2F1C945" BuildDate="13.10.2012 20:53:35" RecCount="9995"/>
<FILE Name="main008.avz" Size="131474" MD5="DEBC3BF7B891E06C4F4CEE3535977514" BuildDate="17.10.2011 16:20:20" RecCount="10001"/>
<FILE Name="main009.avz" Size="147770" MD5="89A954C1B0E2DF34C3C926C526C90913" BuildDate="17.10.2011 16:20:19" RecCount="9996"/>
<FILE Name="main010.avz" Size="147208" MD5="130F800915454B45C741E9AB71005D2D" BuildDate="17.10.2011 16:20:19" RecCount="9890"/>
<FILE Name="main011.avz" Size="142342" MD5="E67D02405EE409CF9E5641ECA50C4F77" BuildDate="17.10.2011 16:20:18" RecCount="10001"/>
<FILE Name="main012.avz" Size="141876" MD5="57E819D0DBB3098F6FE5001F7D129F54" BuildDate="17.10.2011 16:20:17" RecCount="9998"/>
<FILE Name="main013.avz" Size="129430" MD5="D6F7B0DA9D1F2D213096D32D7E7E04B3" BuildDate="17.10.2011 16:20:17" RecCount="9992"/>
<FILE Name="main014.avz" Size="116134" MD5="211F9E8283BDA9B19107025EF43F8E2B" BuildDate="17.10.2011 16:20:16" RecCount="10001"/>
<FILE Name="main015.avz" Size="121636" MD5="8C31CCC54A4432604695A13A92D10EFB" BuildDate="17.10.2011 16:20:16" RecCount="10000"/>
<FILE Name="main016.avz" Size="107397" MD5="73C9F1CA1F3FAB044854E7FED9EE10D7" BuildDate="17.10.2011 16:20:15" RecCount="10001"/>
<FILE Name="main017.avz" Size="147803" MD5="902A41603162B8A652A8275818C56B7F" BuildDate="17.10.2011 16:20:15" RecCount="10001"/>
<FILE Name="main018.avz" Size="150904" MD5="D7EBEA8046815221FA9673BF55D61F3A" BuildDate="17.10.2011 16:20:14" RecCount="10000"/>
<FILE Name="main019.avz" Size="152477" MD5="1BC2675BB833AE5BF38D988D982789F7" BuildDate="17.10.2011 16:20:13" RecCount="10000"/>
<FILE Name="main020.avz" Size="160941" MD5="AE41CF70FF460446023EED5ED95C224A" BuildDate="17.10.2011 16:20:13" RecCount="10001"/>
<FILE Name="main021.avz" Size="157161" MD5="03CDFAA0AE2064B3BA65E3958D1CC27E" BuildDate="17.10.2011 16:20:12" RecCount="10001"/>
<FILE Name="main022.avz" Size="142292" MD5="D0FD2D923F21105B4D3727E1F6605B47" BuildDate="17.10.2011 16:20:12" RecCount="9999"/>
<FILE Name="main023.avz" Size="120641" MD5="54A5B5482001F97924ACC3D7782B627C" BuildDate="17.10.2011 16:20:11" RecCount="10001"/>
<FILE Name="main024.avz" Size="154758" MD5="0CF54CF9C858D01E7DD177B9355D3F59" BuildDate="17.10.2011 16:20:10" RecCount="10000"/>
<FILE Name="main025.avz" Size="119114" MD5="39219A553444CA2335BFCF3BD0FCD02D" BuildDate="17.10.2011 16:20:10" RecCount="10001"/>
<FILE Name="main026.avz" Size="148077" MD5="C36E1308070E490B4E06E300FBB73CE0" BuildDate="17.10.2011 16:20:09" RecCount="10001"/>
<FILE Name="main027.avz" Size="145513" MD5="416AE717323455FEAC074644C8C1D395" BuildDate="17.10.2011 16:20:09" RecCount="9408"/>
<FILE Name="main028.avz" Size="149612" MD5="6FE79ADD6F4903259B92ECFB23BE428F" BuildDate="17.10.2011 16:20:08" RecCount="9998"/>
<FILE Name="main029.avz" Size="126779" MD5="8DC7537E1370A20D5495A4544DE6B332" BuildDate="17.09.2013 16:00:05" RecCount="8334"/>
<FILE Name="neural.avz" Size="7499" MD5="2F40208EAE6B69E94B71EBE767105D6F" BuildDate="12.07.2013 11:56:37" RecCount="2"/>
<FILE Name="neurald.avz" Size="335" MD5="3A02530537221AAD2596108D51B07FBE" BuildDate="12.07.2013 11:56:44" RecCount="7"/>
<FILE Name="neurale.avz" Size="804" MD5="23F61637951B4AE75F236DA28C6EC8E9" BuildDate="12.07.2013 11:56:42" RecCount="4"/>
<FILE Name="neuralm.avz" Size="3749" MD5="6A79B8884C9EBE5ACDC8F06C4C38BD23" BuildDate="12.07.2013 11:56:40" RecCount="432"/>
<FILE Name="par.avz" Size="351" MD5="F66164041C02F4570E321A84EF56CABF" BuildDate="14.07.2013 16:07:46" RecCount="37"/>
<FILE Name="ports.avz" Size="3945" MD5="CB7C6F92E1F072A46E81FFEDC315BF46" BuildDate="12.07.2013 11:56:20" RecCount="317"/>
<FILE Name="prt.avz" Size="5468" MD5="FC4CEFE82A0871BF414D727FC94D7A85" BuildDate="09.07.2013 9:30:52" RecCount="68"/>
<FILE Name="repair.avz" Size="7059" MD5="C2363D49C01E163DDFE430C0C643F613" BuildDate="13.08.2013 15:09:36" RecCount="21"/>
<FILE Name="rootkit.avz" Size="4160" MD5="1493A3AE609537105BFFB796B9350305" BuildDate="12.07.2013 11:56:33" RecCount="9"/>
<FILE Name="scripts.avz" Size="1524" MD5="4BCC83150220059E8D25B47B8E2C25F9" BuildDate="29.01.2013 23:16:14" RecCount="8"/>
<FILE Name="scu.avz" Size="4207" MD5="D3FDE925DE70A1CB968294DF108CBB9C" BuildDate="09.07.2013 9:31:06" RecCount="48"/>
<FILE Name="signf001.avz" Size="239063" MD5="CB0955BB1632771ACB3AEB26AAFD4500" BuildDate="17.10.2011 16:35:59" RecCount="50032"/>
<FILE Name="signf002.avz" Size="241886" MD5="C86AD7D2211ACE342AF97C6C2829D41A" BuildDate="17.10.2011 16:36:00" RecCount="50003"/>
<FILE Name="signf003.avz" Size="241847" MD5="C9F239D8BECAF0C6C18878DF21343D96" BuildDate="17.10.2011 16:36:01" RecCount="50001"/>
<FILE Name="signf004.avz" Size="243683" MD5="0AA2F687EB0D8605B81F53CC04E6BC1C" BuildDate="17.10.2011 16:36:02" RecCount="50001"/>
<FILE Name="signf005.avz" Size="237869" MD5="21EF68704AB71FCCD99ABA71AB4D330A" BuildDate="17.10.2011 17:09:14" RecCount="48813"/>
<FILE Name="signf006.avz" Size="245598" MD5="9987400318197AEDEF1BCD4F40B73827" BuildDate="04.04.2012 4:00:06" RecCount="50540"/>
<FILE Name="signf007.avz" Size="275047" MD5="7FEC660F5CD9C782BFC8D8ADF98F808C" BuildDate="25.04.2012 4:00:06" RecCount="58334"/>
<FILE Name="signf008.avz" Size="303350" MD5="E5AA6101825557C9F0A4198BF9F774C6" BuildDate="29.11.2012 16:00:06" RecCount="62246"/>
<FILE Name="signf009.avz" Size="299134" MD5="73C53FF14AE75AB3D8C4A918CAA260E6" BuildDate="13.09.2013 13:40:14" RecCount="60978"/>
<FILE Name="signf010.avz" Size="285836" MD5="7D40E6ED0F14048964C0D262E2961782" BuildDate="13.09.2013 13:40:15" RecCount="57822"/>
<FILE Name="signfusr.avz" Size="235942" MD5="C3AA2FACF9315AF276AEA32C39A67631" BuildDate="13.09.2013 13:40:12" RecCount="50016"/>
<FILE Name="syscheck.avz" Size="137610" MD5="1C0EDA443460A103CAD0D7A2680E28AC" BuildDate="17.09.2013 16:00:00" RecCount="404"/>
<FILE Name="sysipu.avz" Size="1722" MD5="8A0FA080F8808ABDB4678CD1D4357A64" BuildDate="12.07.2013 11:56:47" RecCount="9"/>
<FILE Name="tsw-auto.avz" Size="10061" MD5="2A312946D1E88A8C443FD81B79546DD8" BuildDate="09.07.2013 9:30:44" RecCount="88"/>
<FILE Name="tsw.avz" Size="10884" MD5="A8B21C3FE0C3EF0C700932147626E527" BuildDate="09.07.2013 9:30:38" RecCount="88"/>
<FILE Name="update.avz" Size="89" MD5="1FB94339C8BFF6BA03D547D533474006" BuildDate="12.07.2013 11:55:45" RecCount="2"/>
</BASE>
<SOFT Dest="%AVZ%"/>
</AVZ>
как видно надо просто распарсить строчку
Код:
<AVZ CurVer="4.41" MinVer="4.41" [B]BuildDate="17.09.2013[/B] 16:00:07">
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
либо запускать AVZ через командную строку с ключом ExtUpdates=Y
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,403
Реакции
5,907
Баллы
718
regist, и я тоже нашел :)
Kaspersky Lab Forum > Дата обновления баз

А кто знает, как распаковать архив zip средствами avz (об этом функционале упоминалось)?

Сашка, вероятно ничем, но программно выгружать я еще не научился...
 
Сверху Снизу