Автоматическое получение логов AVZ, RSIT, SITLog, HiJack This

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
я думаю это не ко мне вопрос, а к разработчикам. нужно завершать то, что отображается в списке приложений диспетчера задач. там могут быть не только программы из списка установленных.
добавят вирусный детект Trojan.AVKill
это да. предложи как это сделать для нуба, которые не знает как отключить а\в и где он у него вообще.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008
это да. предложи как это сделать для нуба, которые не знает как отключить а\в и где он у него вообще.
дать ссылку на инструкцию, где в картинках это всё расписано.
я думаю это не ко мне вопрос, а к разработчикам.
нужно хотя бы примерно понимать, что реально реализовать, а что нет. А потом ты дал разработчику задание отключать антивирь автоматом, Dragokas это сделал. А запустили бы в свободное плавание ... так что надо сейчас на этапе задания думать, чем это обернётся потом.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,404
Реакции
5,907
Баллы
718
regist, цыц. У меня все по уму, эта часть вообще без сторонних программ, и без жертв (то бишь не килл). Ждите релиза. Отошли от темы.
На счет завершать из числа только установленных - подумаю.
Если у кого реестровый ключик есть, где храниться их перечень - прошу дать.
Хм, спрошу у sov44. Он такие вещи любит.


дать ссылку на инструкцию, где в картинках это всё расписано.
Тоже сделал.
 
Последнее редактирование:

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
задание отключать антивирь автоматом
пусть все будет так как мы хотим, и чтобы нам ничего за это не было (почти что тост)
На счет завершать из числа только установленных - подумаю.
и не только из него:
.
Безымянный.png
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008
На счет завершать из числа только установленных - подумаю.
Dragokas, не надо и думать над этим. Даже если прога в списке установленных это может быть адварь или даже вебальта. В общем от этой идее на практике будет больше вреда чем пользы так как очень важно видеть реальный список запущенных процессов на момент выполнения скрипта, а не на момент создания логов.

Насчёт автоматического отключения антивирусов этот функционал тоже не нужен.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008
У меня все по уму, эта часть вообще без сторонних программ, и без жертв (то бишь не килл).
похоже ты не совсем понимаешь, что есть килл. Килл это будет не сторонняя программа, а твоя утилита на которую сделают стойку большиство вендоров и в первую очередь касперский. И форуму потом придётся объяснять, что за вирусы он распространяет, так как отсылка на повторный анализ подтвердит, что это не ложное срабатывание.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,404
Реакции
5,907
Баллы
718
Насчёт автоматического отключения антивирусов этот функционал тоже не нужен.
Я уже писал раньше - EICAR.
Ручной, но навязчивый -)

Dragokas, не надо и думать над этим. Даже если прога в списке установленных это может быть адварь или даже вебальта. В общем от этой идее на практике будет больше вреда чем пользы так как очень важно видеть реальный список запущенных процессов на момент выполнения скрипта, а не на момент создания логов.
Убедили.
Пусть юзер потерпит, не свою же систему проверяем.
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
Даже если прога в списке установленных это может быть адварь или даже вебальта.
Регистр, а смотреть в другие разделы логов, кроме процессов, пробовал? )))))

так как очень важно видеть реальный список запущенных процессов на момент выполнения скрипта
Да да, важнее и быть ничего не может ))) будто бы ты за свои 3 года хелперской практики не знаешь, к чему это приводит.

единственной проблемой может быть BSOD при некорректном завершении некоторых вирусных процессов. Но никак не висящая там адварь))))

эээээ... ты по моему уже отсебятину какую то толкаешь
Перед выполнением следующих пунктов диагностики: закройте(выгрузите) все запущенные программы, включая антивирусное программное обеспечение и firewall, оставьте запущенным только Internet Explorer.

Необходимо отключить компьютер от сети интернет, если не хотите оставить компьютер беззащитным на время создания логов.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,404
Реакции
5,907
Баллы
718
В коде Drongo вот такое использовал:

PHP:
set WshShell = WScript.CreateObject("WScript.Shell")
WshShell.Run "taskkill /f /im Explorer.exe", 0
WScript.Sleep 500
WshShell.Run "C:\avz4\active.com AM=Y script=C:\script.txt"

т.е. по сути закрывал все окна Explorer-a перед проверкой. Это нужно?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008
Dragokas, нет. Сашка тут не место для этих разборок, а так это в простых логах учат ;).
 

glax24

Разработчик
Сообщения
2,001
Реакции
1,484
Баллы
638
Dragokas, я тебе скидывал тест там как раз получение списка установленных программ.
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
Explorer в большинстве случаев завершать не нужно. при стандартном сборе логов - тоже не нужно

тут не место для этих разборок

так не путай людей и не сбивай с толку.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,404
Реакции
5,907
Баллы
718
Спасибо, glax24. Читал твой скрипт. Но как всегда куриная память.

Ок, господа процессы пока трогать не будем. Не нужно этих разборок. Есть и плюсы и минусы. Всем не угодишь.
Буду принимать решения самостоятельно, когда сам доберусь до начального уровня.
А сейчас начну ускоряться по другим направлениям.
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,565
Баллы
808
Можно встряну?

1. С недавних или с давних пор, но я предпочитаю портабельный софт, браузеры, общалки, всё что после переустановки системы может работать без переустановки. Естественно этих прог в списке установленых не будет. Тогда что? Их считать запущеными извне? Вон даж на скрине Ammyy Admin, он не требует установки
2. Не думаю что у других не будет портабле софта.
3. Думаю, пока процессы завершать не стоит.
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,404
Реакции
5,907
Баллы
718
1) Свой Live CD делать в любом случае не будем, раньше уже у safezone он был и проект закрыли, так как это нарушение eula
Прошлый проект логовыжималки тоже закрыли.

Меня интересуют авторские права.
Конкретно: что можно, что нельзя.
Вот, я использую в составе утилиту SIT, а SIT использует утилиту Sysinternals AutorunsC.
Мой же сборщик использует утилиту Sysinternals Handle.
Кроме того любой закрытый код (EXE)... читай свой - использовать нельзя?

:: Использование сторонних компонентов:
::
:: Wget - скачивание файлов по протоколам FTP/HTTP/HTTPS - License: GNU
:: 7zip - консольный архиватор - License: GNU LGPL - http://www.7-zip.org/license.txt
:: RHash - подсчет и проверка хеш-сум - FreeWare - http://rhash.anz.ru/license.php
:: ConClip - работа с буфером обмена - Karl E.Peterson - распространение запрещено - http://vb.mvps.org/tools/ConClip/#distro - она не особо то и нужна... напишу свою, если это разрешено
:: Handle - определение блокирующей программы - Sysinternals - здесь сложности...
:: EICAR - тестовый вирус

Будут проблемы?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008
:: EICAR - тестовый вирус

Будут проблемы?
Хоть вирус и тестовый, но имхо проблемы могут быть со стороны пользователя. Не у всех есть файрвол, а вот файловый антивирус есть у большинства. Опять скажут, что мы им вирусы закачиваем. Можно почитать в соседней теме про SnS, где на полном серьёзе считали, то EICAR это настоящий вирус.
 

akok

Команда форума
Администратор
Сообщения
19,520
Реакции
13,432
Баллы
2,203
Прошлый проект логовыжималки тоже закрыли.

Меня интересуют авторские права.
Конкретно: что можно, что нельзя.
Вот, я использую в составе утилиту SIT, а SIT использует утилиту Sysinternals AutorunsC.
Мой же сборщик использует утилиту Sysinternals Handle.
Кроме того любой закрытый код (EXE)... читай свой - использовать нельзя?

:: Использование сторонних компонентов:
::
:: Wget - скачивание файлов по протоколам FTP/HTTP/HTTPS - License: GNU
:: 7zip - консольный архиватор - License: GNU LGPL - http://www.7-zip.org/license.txt
:: RHash - подсчет и проверка хеш-сум - FreeWare - http://rhash.anz.ru/license.php
:: ConClip - работа с буфером обмена - Karl E.Peterson - распространение запрещено - http://vb.mvps.org/tools/ConClip/#distro - она не особо то и нужна... напишу свою, если это разрешено
:: Handle - определение блокирующей программы - Sysinternals - здесь сложности...
:: EICAR - тестовый вирус

Будут проблемы?

Какие есть пожелания (возможности)? Если мы не нарушаем соглашения, то можно все (или почти все). Только вот не понимаю смысла EICAR... зачем он?
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,404
Реакции
5,907
Баллы
718
Пожелания:
заменить AutorunsC своим кодом. glax24 уже занимается.
Handle не включать в состав, выкачивать самой утилитой (потом попрошу напишут мне замену). Вопросы - зачем это нужно - уже после релиза... рано я поднял этот скользкий вопрос.

Dragokas, ты же юрист, тебе виднее
Я криминалист, а не цивилист.
У своих спрошу позже. Сегодня все под градусом :)
 
Сверху Снизу