Автоматическое получение логов AVZ, RSIT, SITLog, HiJack This

[Сашка]

имхо достачно сделать запуск ярлыка для открытия к примеру safezone.cc

а этим можно поломать настройки браузера, если допустим у юзверя выбрана опция "открывать последнюю сессию". поэтому так делать не надо.

имхо не стоит и даже опасно всё вот так глушить скриптами

можно, но не форсированно, чтобы прога закрывалась после сохранения юзверем документа.

разумеется мы не сможем, так как для этого надо в первую очередь обойти самозащиту антивируса

ну способы то есть, и ты уже должен знать как это реализуется. тока это конечно не средствами Batch (или можно!?).

 

[regist]

а этим можно поломать настройки браузера, если допустим у юзверя выбрана опция "открывать последнюю сессию". поэтому так делать не надо.

и что ты ему поломаешь? у него откроется последняя сессия + страничка safezone.cc . У меня у самого всё время куча вкладок открыта и при запуске браузера они сразу все запускаются

 

[Phoenix]

ну пусть будет вирус, только полезный))

я вот, кстати не представляю, как реализовать это

средствами Batch (но может как то и можно, просто я об этом не знаю)

И как такие скрипты/утилиты выдавать под чессное слово ?:scaut:
Нет уж... если приложение легитимное, то антивирус его не тронет и не помешает. Для разработчиков Доктор Веб самозащита - приоритетная задача и они с ней справляются. Никак вы его не отключите

 

[Сашка]

Phoenix, речь не о том, что антивирь его тронет (а некоторые тронут за милую душу, т к у проги будет по первости нулевая репутация). Речь идет о том, чтобы скрипт сам выгружал антивирь.

И как такие скрипты/утилиты выдавать под чессное слово

выдавать под роспись)))

 

[regist]

Нет уж... если приложение легитимное, то антивирус его не тронет и не помешает.

Phoenix, во время проверки утилита может обратиться к вирусному файлу, антивирус заметив это обращение вдруг просыпается и начинает орать про вирус разумеется блокируя к нему доступ. Поэтому перед созданием логов и и выполнением скрипта надо приостанавливать защиту антивирусов.
А также например avast довольно часто ругается на драйвера AVZ обзывая их вирусом

 

[Сашка]

у него откроется последняя сессия + страничка safezone.cc .

вот эта последняя сессия и может потеряться. Может открыться только страничка safezone.cc.

может обратиться к вирусному файлу

да не успеет она обратиться, если это будет экзешник, покушающийся на защиту антивируса.

 

[Кирилл]

Информация

Народ,Akok дал добро.
Давайте без флуда соберем основные прерогативы что бы человеку было с чем подойти к задаче.

Либо поможем в подготовке кода.

 

[Сашка]

Давайте без флуда

так вроде обсуждаем, как это можно сделать, а не флудим. я предложил вариант, давай другие.

 

[Dragokas]

regist, 2. Речь идет не о базе, а о ядре программы.
В августе AVZ обновилась. При открытии старой версии AVZ у меня высвечивалось предупреждение (не уверен на счет Silent-режима).

По поводу баз есть команда ExecuteAVUpdate;

start "" "www.safezone.cc"

не оборвет сессию.

 

[Phoenix]

Phoenix, речь не о том, что антивирь его тронет (а некоторые тронут за милую душу, т к у проги будет по первости нулевая репутация). Речь идет о том, чтобы скрипт сам выгружал антивирь.

выдавать под роспись)))

Скриптом доктора не отключить, уж поверьте. После одной темы, где я принимал участие (активное) ещё более усложнили отключение АВ. В новой версии он вообще не отключается (!) Фоновый антируткит, превентивная защита, защита целостности приложений и файлов, заперт эмуляции действий юзера (против таких скриптов как раз) ..
К тому же при отключенной защите целостности (!) включается сигнатурное определение упаковщиков.. кстати имя антируткита очень говорящее

Спойлер

Dr.Web Security Space
Версия 9.0
OOO «Доктор Веб», 1992-2013

Dr.Web Agent ID: 109e663f-d21d-b211-a053-a01acd164b9c
Программные модули
Dr.Web Security Space
Dr.Web Security Space (9.0.0.08270)
Dr.Web (R) Virus-Finding Engine
drweb32.dll (7.00.5.06250)
Dr.Web Scanning Engine
dwengine.exe (9.0.0.09160 (Build 10029))
Dr.Web Anti-Rootkit Server
dwarkdaemon.exe (9.0.0.09160 (Build 10029))
Dr.Web Anti-rootkit API
dwarkapi.dll (9.0.0.20139170)
Dr.Web Thunderstorm Cloud Client SDK
ccsdk.dll (9.0.0.201309170)
Dr.Web Windows Action Center Integration
dwsewsc.exe (9.0.0.09160 (Build 10029))
Dr.Web Control Service
dwservice.exe (9.0.0.09171)
Dr.Web Updater
drwupsrv.exe (9.0.0.08300)
SpIDer Agent for Windows
spideragent.exe (9.0.0.09170)
SpIDer Agent admin-mode module for Windows
spideragent_adm.exe (9.0.0.09170)
Dr.Web Scanner SE
dwscanner.exe (9.0.0.08290)
Dr.Web Console Scanner
dwscancl.exe (9.0.0.09160 (Build 10029))
Dr.Web File System Monitor
spiderg3.sys (9.0.0.09090)
Dr.Web Protection for Windows
dwprot.sys (9.0.1.08070)
Net filtering service
dwnetfilter.exe (9.0.0.09160)
Dr.Web Net Filter® for Windows driver
dw_wfp.sys (9.0.0.07250)
Dr.Web Firewall for Windows service
frwl_svc.exe (9.0.0.09060)
Dr.Web Firewall for Windows notify module
frwl_notify.exe (9.0.0.09060)
Dr.Web Firewall for Windows installer
frwl_inst.dll (9.0.0.09060)
Dr.Web Firewall ® for Windows driver
drweblwf.sys (9.0.0.09060)
Dr.Web ® Shell Extension
drwsxtn.dll (9.00.0.201309020)
Dr.Web ® Shell Extension
drwsxtn64.dll (9.00.0.201309020)
Dr.Web SysInfo
dwsysinfo.exe (9.00.0.201307080)
Dr.Web SysInfo
dwsysinfo.exe (9.00.0.201307080)
Вирусные базы
Записей в вирусных базах: 4474710
Последнее обновление: ‎17.‎09.‎2013 ‏‎15:40 (+0400)

 

[akok]

Если версия устарела, то будет сбой обновления.

или опять сайт Олега лежит или мальвара заблокировала

 

[Сашка]

Скриптом доктора не отключить

а батником отключить?
Phoenix, если хотите знать, как отключаются антивирусы, посмотрите в отладчике несколько вирей с таким функционалом, будет представление о том, как это делается. Надеюсь, для авторов это не проблема.

 

[akok]

а батником отключить?

И получить веселый детект на программу...

 

[Кирилл]

Если обновление проходит неудачно,а так же проверка версии-может воспользоваться ссылкой на зеркало?

Добавлено через 55 секунд

И получить веселый детект на программу...

рандомный батник в детект не попадет)))

 

[regist]

По поводу баз есть команда ExecuteAVUpdate;

это не совсем то, это команда для автоматического обновления баз, а если базы актуальны то она не нужна. Я говорю о том, что как помню Олег приделал дополнительную команду для получение информации о дате обновления баз. То есть у меня есть AVZ и я хочу через консоль посмотреть старые там базы или надо обновить.

2. Речь идет не о базе, а о ядре программы.
В августе AVZ обновилась. При открытии старой версии AVZ у меня высвечивалось предупреждение

если запустить обновление баз старой версии программы (версии самой AVZ, а не баз), то при обновление будет сбой с сообщением об ошибке, так как версия программы устарела. Таким образом запускаем ExecuteAVUpdate а если программа устарела
и смотрим какой результат вернёт эта команда. Если базы обновить не удалось не имеет значение по какой причине (устарела программа, просто у него нет инета и базы сильно устарели, прокси сервер хитрый и т.д.) то ему надо скачать свежую версию комбайна или отдельно самостоятельно обновить.

Phoenix, тут не идёт обсуждение продуктов доктора и никто и не спорит, что нормальный антивирус просто так скриптом не отключить.

 

[Сашка]

И получить веселый детект на программу.

да батником тоже не отключить))

 

[regist]

рандомный батник в детект не попадет)))

эх, наивность.... а про полиморфы, что-нибудь слышал? ладно действительно в офтоп скатываемся.

 

[Dragokas]

А можно по-больше информации вместо флуда,
например:

- ссылку на зеркало AVZ.
- полезные команды AVZ
- перечень утилит для сбора логов.
- ключи автоматизированного и Silent-запуска, Ваши наработки.
- RSIT вообще чья разработка? (я так понял за safezone интерфейс и перевод)
- ссылки на маны.

 

[regist]

как помню Олег приделал дополнительную команду для получение информации о дате обновления баз.

вот нашёл пруф

плюс будет функция запроса информации о базах

Дата обновления баз - Kaspersky Lab Forum

 

[Phoenix]

taskkill /f /im explorer.exe
...
start %windir%\explorer.exe

примерно также с браузерами.

а полиморф нельзя использовать ? Скорее всего всё равно утилита будет обновляться и с базами проблема решится.
Параметры командной строки
Типовые примеры. (Лучшего руководства по АВЗ не найдёте)