Автоматическое получение логов AVZ, RSIT, SITLog, HiJack This

[Dragokas]

В сборщике нет архивов AVZ, SITLog. С целью уменьшения объема сборщика на нашем сервере (~11 Мб) я их не включал.

Можно при запуске утилиты распаковывать архивы, но тогда будет
дублирование баз AVZ -> кумулятивный архив баз + старые базы, которые в составе самого AVZ. Подумаю.

А если посмотреть в сторону полиморфной версии avz mini.

Ядро полиморфа вроде не обновляется?
Как часто вообще обновляется ядро AVZ? ... понял - глупый вопрос.
Так может, убрать стадию скачивания http://z-oleg.com/avz4.zip как таковую (весь смысл был в EXE-шнике).

Оставить это на совесть серверной версии.
В чем минус: старая версия сборщика, которой решит воспользоваться пользователь через полгода,
не сможет сама обновлять ядро AVZ (если оно новое выйдет в свет),
но базы обновлять сможет - запустится скачивание кумулятивного архива!!!

Разрешит ли AVZ старой версии с новыми базами выполнять стандартный скрипт?
А тогда надо как-то самому уметь получать номер текущей и номер актуальной версии AVZ (не скачивая avz4.zip).

 

[Гимаев Наиль]

но базы обновлять сможет - запустится скачивание кумулятивного архива!!!

Точно?
Если скачивать не через скрипт, то старый AVZ против использования новых баз:

Спойлер

А тогда надо как-то самому уметь получать номер текущей и номер актуальной версии AVZ (не скачивая avz4.zip).

Номер текущей версии может сказать сам AVZ: http://z-oleg.com/secur/avz_doc/index.html?script_getavzversion.htm
А информацию о актуальной версии AVZ берёт отсюда: http://www.z-oleg.com/secur/avz_up/avzupd.zip (3 КБ)

 

[Dragokas]

но базы обновлять сможет - запустится скачивание кумулятивного архива!!!

Точно?

Кумулятивный архив скачивает не AVZ, а WGET.
Архив avzupd.zip с актуальной версией ядра AVZ создается только при успешном обновлении баз из-под интерфейса самого AVZ.
Кумулятивный архив баз не содержит архива avzupd.zip, и не может в принципе содержать данных о версии ядра.

На счет скрина под спойлером, у AVZ нет специального кода возврата для такого рода ошибки.
Может, как-то WGET обмануть, чтобы положить в сборщик архив-пустышку с тем же временем модификации,
тогда он посчитает, что версия на сервере не изменилась
Да, точно. К серверной версии у нас ведь нет особых требований к использованию стороннего ПО. Пустышку генерировать возможно.

Я не знал для чего в начале скрипта chdir /d "%~dp0", поэтому воткнул вычисление localpath до этой строки. А надо после, т.к. если "Запустить от имени Администратора", то путь будет задан не правильно.

Наиль, я без тебя не разберусь. Как все же правильно, так:

:: Эта строка правильно отработает?
chdir /d "%~dp0"

set localpath=%~dp0
if NOT "%localpath:~0,2%"=="\\" set localpath=.\

set "Bin=%localpath%bin"

 

[akok]

Ядро полиморфа вроде не обновляется?

1. В полиморфе нет сигнатурных баз, только ядро и базы эвристики.
2. Обновление полиморфа будет реже (~ раз в неделю) простой заменой одного exe.
3. Размер такой версии ~4.4 мб

 

[Гимаев Наиль]

Как все же правильно, так:

Да.
Получается такой алгоритм
1. Сначала пытаемся установить текущий путь путём к батнику, так как текущая папка батника может отличаться.
2. Если батник в сети, то сменить путь не удастся. Значит придётся использовать полный путь ко всем файлам. При этом будем иметь все возможные проблемы из-за символов !()%^ - которые вполне могут встречаться в пути. Но это не так важно, т.к. сетевые папки во власти админов, а значит, они в состоянии решить эту проблему, нужно только дать им знать.
3. Если же батник не в сети, то после изменения текущего пути, он не будет начинаться на '\\', тогда можно использовать относительный путь и избежать проблем из-за спецсимволов, а это важно т.к. вполне возможна ситуация, когда запуск будет выполняться из папки C:\users\IamLamer!\Downloads. А ламер - не админ , ему советы не помогут.

Вместо относительных путей можно использовать пути в формате 8.3, но это сложнее.

Архив avzupd.zip с актуальной версией ядра AVZ создается только при успешном обновлении баз из-под интерфейса самого AVZ.

Я то предлагал скачивать его самостоятельно тем же WGET, чтобы проверять версию AVZ.

Пустышку генерировать возможно.

Похоже я что-то пропустил. Зачем нужна пустышка? И я не уверен, что правильно понимаю термин "Кумулятивный архив баз".
Я так понял, это та база, которая скачалась бы при обновлении самого нового AVZ.
Если это так, то мне кажется, что нужно обратить внимание на следующее:

Обратите внимание: версии AVZ версий 4.19 и менее не совместимы с базами 4.20. Поэтому если Вы используете старую версию AVZ, то Вам необходимо обновить ее.

Вполне возможно, что это не в последний раз.

 

[Dragokas]

akok, замечательно, люблю когда есть варианты.
Наиль, архив avzupd.zip просто так нигде не лежит. Он генерируется в процессе обновления.
DelayedExpansion я буду убирать из батника по максимуму.

2. Если батник в сети, то сменить путь не удастся.

А если вычислить путь и последовательно перейти или перейти через 8.3. - не получится так?

Вместо относительных путей можно использовать пути в формате 8.3, но это сложнее.

Парсить 8.3. мы уже научились.

 

[Гимаев Наиль]

Архив avzupd.zip с актуальной версией ядра AVZ создается только при успешном обновлении баз из-под интерфейса самого AVZ.

А здесь написано, что можно получить avzupd.zip используя ключ ExtUpdates=Y

архив avzupd.zip просто так нигде не лежит

Так лежащий он нам и не нужен, нам нужен тот который в интернете, ссылку я дал.
Мой алгоритм следующий:
1.

avz.exe HiddenMode=3 Script=Скрипт.получения.текущей.версии

, где Скрипт.получения.текущей.версии записывает версию AVZ (процедура GetAVZVersion) в файл.
2. С помощью WGET скачиваем http://www.z-oleg.com/secur/avz_up/avzupd.zip
3. Считываем из файла текущую версию AVZ. А из архива извлекаем xml, из которого извлекаем версию свежего AVZ. Сравниваем версии.
4. Если текущая версия устаревшая, скачиваем http://z-oleg.com/avz4.zipЗабыл предупредить, что хотя я и вносил изменения в ViruLogs Collector, но как он работает не разбирался, поэтому плохо представляю, чем занимаются серверная и клиентская части и как между собой взаимодействуют. Поэтому я только надеюсь, что мои советы не покажутся глупыми и будут в тему.

 

[regist]

2. Обновление полиморфа будет реже (~ раз в неделю) простой заменой одного exe.

точней раз в месяц, так как Олег его обновляет не чаще.
+ полиморф это тестовая сборка, на которой отлавливаются баги и тестируются новые фичи. Лично мне совсем не хочется при повседневный работе в помогите быть в роли бетатестера.
А также я уже молчу, что настройки при создание лога в полиморфе отличаются от стандартных .

 

[akok]

Знаю. Теперешняя сборка полиморфа у меня не запустилась. Ну и соответственно остается 2 стандартный скрипт

 

[Dragokas]

. С помощью WGET скачиваем http://www.z-oleg.com/secur/avz_up/avzupd.zip

Спасибо за ссылочку. Я о ней не знал. Теперь вообще никаких проблем. Очень помог.

 

[Гимаев Наиль]

Спасибо за ссылочку. Я о ней не знал.

Я тоже не знал. Когда мне нужно узнать как программа определяет номер актуальной версии пользуюсь Фидлером: Fiddler
Рекомендую. Очень помогает при отладке программ работающих с http. Кроме этого имеется функция подмены файлов. Т.е. сайт или программа думает, что скачивает один файл, а в реальности получает другой. К примеру, я делаю, подмену сжатого jquery.js на полноценный. Или звук чата вконтакте на более громкий.
В твоём случае, ты можешь подменить avzupd.zip на свой, и посмотреть, как ведёт себя avz. При этом avz будет уверен, что тянет файл с z-oleg.
Но самое главное можешь быстро отловить ошибки при работе с wget. Правда для этого придётся прописать прокси, через который Fiddler прогоняет трафик.

 

[akok]

Спасибо за ссылочку. Я о ней не знал. Теперь вообще никаких проблем. Очень помог.

Сегодня появилось официальное зеркало баз AVZ и у нас
http://avz.safezone.cc/base/avzbase.zip

http://avz.safezone.cc/base/ - собственно сами базы.

 

[Гимаев Наиль]

собственно сами базы.

 

[akok]

Естественно, скрипт найдет, что что ему нужно, а просмотр содержимого папки запрещен на уровне сервера.

 

[akok]

Необходимо добавить получение лога SecurityCheck by glax24

 

[Dragokas]

Как обойти фильтр "SmartScreen" на Windows 8 программно?
Эта штука похуже, чем UAC. SecurityCheck из под ключа реестра не хочет запускаться (см. скрин).
Может, кто знаком с этим.

 

[regist]

Вот в логах нашёл

128.30.52.37:80, ...\ViruLogs Collector by Dragokas\bin\wget.exe

И мне не нравится и думаю многим юзерам тоже, когда проги самостоятельно начинают лезть на какие-то непонятные сайты. У многих думаю будут возникать вопросы, зачем прога лезет на этот сервер. Тем более сразу видно, что с обновлениями утилит это никак не связано.

 

[shestale]

Этот IP использует w3.org

 

[glax24]

128.30.52.37:80, ...\ViruLogs Collector by Dragokas\bin\wget.exe

И мне не нравится и думаю многим юзерам тоже, когда проги самостоятельно начинают лезть на какие-то непонятные сайты.

regist, у меня тоже складывается впечатление вы специально тролите, вы же опытный пользователь, а проверить чей это ip сложно, хотя над вашим сообщением все написано.

WGET на w3.org (сервер стандартов) - проверка интернет-подключения (для сетей с прокси).

когда проги самостоятельно начинают лезть на какие-то непонятные сайты

Кстати SC при старте тоже проверяет доступен ли непонятный сайт 8.8.8.8

 

[Dragokas]

Могу писать специально сообщение "Проверка подключения к Интернет". Как то же мне проверять нужно. Это самый надежный способ. Имитация скачивания странички.
К ya.ru обращаться не хочу. Там часто много рекламы, а страничка должна скачаться полностью. w3.org самый легкий в этом плане из известных - указан в заголовке исходного кода любой странички основанной на HTML-коде. Странно, что для вас она считается посторонним источником.

... если подключения нет, то и проверка обновлений будет пропущена без вопросов.