- Сообщения
- 14,053
- Решения
- 2
- Реакции
- 5,746
А cab не подойдет разве?
Автоматическое получение логов AVZ, RSIT, SITLog, HiJack This
- Автор темы Кирилл
- Дата начала
А cab не подойдет разве?
- Сообщения
- 8,030
- Решения
- 14
- Реакции
- 6,805
regist, в общем да. Распаковка ZIP на VBS есть, начиная с Win XP:
Только она завязана на GUI, запускается асинхронно в новом потоке и не имеет средств отладки ошибок.
Поэтому хотелось увидеть возможности самого AVZ.
Иначе, использую консольный 7z.
Koza Nozdri, речь идет о распаковке лога AVZ, внутри которого хранится версия его баз.
Хотя я уже потерял нить, зачем мне вообще знать эту версию. Где-то на z-oleg можно сравниться?
PHP:
Set oShellApp = CreateObject("Shell.Application")
oShellApp.NameSpace(sTargetFolder).CopyHere oShellApp.NameSpace(sZipFile).ItemsТолько она завязана на GUI, запускается асинхронно в новом потоке и не имеет средств отладки ошибок.
Поэтому хотелось увидеть возможности самого AVZ.
Иначе, использую консольный 7z.
Koza Nozdri, речь идет о распаковке лога AVZ, внутри которого хранится версия его баз.
Хотя я уже потерял нить, зачем мне вообще знать эту версию. Где-то на z-oleg можно сравниться?
Последнее редактирование:
Phoenix
Разработчик
- Сообщения
- 2,130
- Реакции
- 1,644
Ну действительно, если нет сети, то что даст проверка баз ? Если сеть есть, то и скриптом обновить..
ExtUpdates=[Y|N] - включение режима расширенного обновления, для обновления баз на WEB серверах. В обычном случае AVZ загружает базы и обновленную базу можно вручную скопировать в любой другой каталог, но если открыть доступ к папке BASE по FTP или HTTP, то AVZ не сможет обновляться из нее, так как в папке BASE отсутствует описание состава баз avzupd.zip, применяемое для инкрементного обновления. Задание ключа ExtUpdates=Y приводит к тому, что в процессе обновления данный файл будет скопирован в папку BASE
- Сообщения
- 8,030
- Решения
- 14
- Реакции
- 6,805
Только если у нас есть резервный FTP с постоянно крутящимся на нем скриптом обновления.
В любом случае, наличие avzupd.zip не помешает.
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
имхо, это из-за того, что нет чёткого алгоритма что надо реализовать (сори, если ошибаюсь) в итоге получается
1) Свой Live CD делать в любом случае не будем, раньше уже у safezone он был и проект закрыли, так как это нарушение eula
2) +1 к Сашка, при чём здесь вообще все эти сборки если изначально стоит вообще другая задача - автоматизировать процесс сбора логов.
---------------------------
Насчёт автоматического обновления уже в теме писал, нет смысла тупо всегда его запускать. Часто лечение просходит на машине, где нету интернета (просто нету его физически, либо проделки вируса, либо ещё что-то). Поэтому считаю, что когда юзер скачивает у нас сборку она должна быть сразу готова к использованию, а не так что юзер скачал на работе сборку - приходит домой делать логи (дома предположим инета нет, такое реально в моей практике несколько раз было). Утилита пытается обновиться ругается, что нету интернета, а юзер ругается на нас мол почему старая я у вас скачал последнюю версию только сегодня.
По этой причине базы в утилите должны регулярно обновляться и желательно либо автоматизировать процесс обновления баз в сбоке или процесс сборки, но это имхо вторая часть и всё это нужно делать потом.
Теперь если юзер только скачал у нас сборку со свежими базами, то зачем ей лезть в интернет и заново их качать?
Зачем проверять версию баз? Юзер уже у нас лечился несколько месяцев назад и думает, а нафига мне тратить трафик и качать всё заново, у меня уже есть утилита давай сделаю ей. Любой хелпер знает, что юзеры переодически делают логи не только со старыми базами, но и старыми версиями. Мне в прошлом месяце попался лог сделанный версий 4.32 я не знаю в каком загажнике юзер её откопал, но такой был лог и время от времени такие логи попадаются (правда обычно прошлая или позапрошлая версия AVZ).
Поэтому утилита должна проверить актуальные ли базы у юзера,
1) Если да, то дальше по алгоритму создаются логи.
2) Если нет пытается обновиться.
3) Если обновление успешно то утилита дальше по алгоритм делает логи.
4) Обновление не успешно - выводится окошко, Уважаемый сэр, базы очень сильно устарели вам надо либо их обновить вручную, для этого ..... , либо скачать свежую версию сборки сбора логов.
Phoenix
Разработчик
- Сообщения
- 2,130
- Реакции
- 1,644
regist, честное слово ничего такого, просто творческая мысль..
Речь шла про добавление логов в архив средствами AVZ и вот пример -
PHP:
begin
// Очистка карантина
ClearQuarantine;
// Выполнить исследование системы
ExecuteSysCheckEx(GetAVZDirectory + 'syscheck.htm', $FFFFFFFF, true, 1+4+32+64);
// Автокарантин
ExecuteAutoQuarantine;
// Создание архива с файлами, помещенными в карантин
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip', GetAVZDirectory + 'syscheck.htm;'+GetAVZDirectory + 'syscheck.xml');
// Удаление ненужных файлов
DeleteFile(GetAVZDirectory + 'syscheck.htm');
DeleteFile(GetAVZDirectory + 'syscheck.xml');
end.....соображаем.
В крайнем случае так-
PHP:
begin
ClearQuarantine;
QuarantineFile('C:\rsit\* ','Aded Logs RSIT ');
CreateQurantineArchive('c:\rsit.zip');
end.
Последнее редактирование:
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
Phoenix, так речь идёт не о упаковке в архив средставами AVZ, а о распаковке. А карантинить логи RSIT считаю далеко не лучший выход/
И в таком случае я не понимаю, что вы имели ввиду под wpebeta? да и зачем консольный 7-zip?
Добавлено через 1 минуту 47 секунд
Сашка, в скрипты это всё равно не запихнуть, а если и запихнёшь, то все антивирусы не предусмотришь - поэтому в любом случае это придётся делать юзеру.
Последнее редактирование:
- Сообщения
- 8,030
- Решения
- 14
- Реакции
- 6,805
Ок-ок. Свожу алгоритм воедино и начинаю работать. Всем спасибо за разъяснения.
Принципы тех.требований в целом понятны.
Добавлено через 5 минут 54 секунды
1. Могу найти все установленные браузеры в системе и запустить их.
2. Могу запустить только IE.
3. Могу только браузер, используемый по-умолчанию.
Какой вариант нужен?
Добавлено через 7 минут 21 секунду
На кибере Правила отличаются и включают пункт:
Этот этап пока пропустим?
Либо мне можно реализовать все тоже самое на CMD (далеко бежать не нужно: уже готово). Но тогда, исключаем очистку "Сохраненных паролей", "Кеша", ... все что касается браузеров, дабы пользователь не кричал: "Я забыл пароль от vkontak-a". ?
Еще, как вариант, запустить ATF Cleaner, и дать максимум информации пользователю, что делать с ним. Вот, сам ответил
Добавлено через 8 минут 30 секунд
Опять - на кибере порядок такой:
Диагностика:
1. RSIT
2. AVZ Скрипт # 3
3. AVZ Скрипт # 2
А здесь:
1. AVZ Скрипт # 3
2. AVZ Скрипт # 2
3. RSIT
Кому верить? Есть разница?
Принципы тех.требований в целом понятны.
Добавлено через 5 минут 54 секунды
akoK написал(а):
1. Могу найти все установленные браузеры в системе и запустить их.
2. Могу запустить только IE.
3. Могу только браузер, используемый по-умолчанию.
Какой вариант нужен?
Добавлено через 7 минут 21 секунду
На кибере Правила отличаются и включают пункт:
Этот этап пока пропустим?
Либо мне можно реализовать все тоже самое на CMD (далеко бежать не нужно: уже готово). Но тогда, исключаем очистку "Сохраненных паролей", "Кеша", ... все что касается браузеров, дабы пользователь не кричал: "Я забыл пароль от vkontak-a". ?
Еще, как вариант, запустить ATF Cleaner, и дать максимум информации пользователю, что делать с ним. Вот, сам ответил
Добавлено через 8 минут 30 секунд
Опять - на кибере порядок такой:
Диагностика:
1. RSIT
2. AVZ Скрипт # 3
3. AVZ Скрипт # 2
А здесь:
1. AVZ Скрипт # 3
2. AVZ Скрипт # 2
3. RSIT
Кому верить? Есть разница?
Последнее редактирование:
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
имхо достачно браузер по умолчанию, можно ещё IE в комплекте открыть.
раньше и тут было в правилах, потом это убрали, на кибере видно устаревшая версия правил.
особой разницы нет
думаю за основу надо брать правила этого форума.
- Сообщения
- 8,030
- Решения
- 14
- Реакции
- 6,805
Укажите, пожалуйста, в какой п. Правил сбора логов мне воткнуть это? Т.е. в каком порядке... Ссылка на правила
Добавлено через 2 минуты 55 секунд
Судя по штампу времени - наоборот. Там - 12.07.2013 (v. не указано, прим.: убран CureIT), здесь - v7.3 31.01.2013.
Добавлено через 14 минут 38 секунд
На счет обновлений. Представим ситуацию.
Допустим юзер скачал логовыжималку. Назовем ее VirusLogger. Лечится на компе без интернета.
Все ок.
Снова заразился через полгода. Качать VirusLogger лень. Запустил.
Сильно отличаются - это на сколько?
Буду вычислять, если на компе дата стоит на N дней больше, работу скрипта запрещаем, пишем пользователю "Пожалуйста, обновитесь."
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
это должно находиться здесь
то есть не только приостанавливают работу антивирусов, но и по возможности закрывают все программы. Запущенным остаётся только браузер, утилиты которые висят в трее обычно не в счёт, хотя чем меньше программ запущено - тем меньше записей в логе и его проще анализировать.
Добавлено через 2 минуты 52 секунды
10 дней.
также надо предусмотреть вариант если у юзера введена неправильная дата - например села батарейка на биос - тоесть дата на компе старше даты обновления баз, в таком случае считаю правильным вывести юзеру уведомление, чтобы исправил дату.
- Сообщения
- 8,030
- Решения
- 14
- Реакции
- 6,805
hxxp://www.eicar.org/download/eicar.com - этому можно доверять?
Добавлено через 2 минуты 28 секунд
+ есть ли у Вас идеи как надежно проверить, что файрвол отключен?
Добавлено через 23 минуты 44 секунды
Последнее редактирование:
Phoenix
Разработчик
- Сообщения
- 2,130
- Реакции
- 1,644
Можно доверять, это его сайт (eicar).
2ip Firewall Tester - посмотрите что она делает.
ping ?
Функции анализа и восстановления > Стандартные скрипты
Описание стандартных скриптов тут.
2. Скрипт сбора информации для раздела "Помогите" virusinfo.info. Выполняет операции по проверке компьютера (без лечения) и исследования системы, после чего создает папку LOG в рабочем каталоге AVZ и помещает туда протокол и архив с заподозренными файлами
3. Скрипт лечения/карантина и сбора информации для раздела "Помогите" virusinfo.info. Выполняет операции по проверке компьютера с лечением и выполняет исследование системы, после чего создает папку LOG в рабочем каталоге AVZ и помещает туда протокол и архив с заподозренными файлами
3. Скрипт лечения/карантина и сбора информации для раздела "Помогите" virusinfo.info. Выполняет операции по проверке компьютера с лечением и выполняет исследование системы, после чего создает папку LOG в рабочем каталоге AVZ и помещает туда протокол и архив с заподозренными файлами
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
собственно говоря, а зачем это проверять? Если файрволл не блокирует обновление AVZ, то его можно и не отключать. Намного важнее отключить антивирус.
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
ну, у себя продолжайте и дальше свои эксперименты, к сабжу это какое отношение имеет?
Последнее редактирование:
- Сообщения
- 25,321
- Решения
- 5
- Реакции
- 13,844
FTP дать не проблема.
Правила будут отличаться, здесь мы откатываем обновленные алгоритмы сбора логов, а когда все ок я обновляю правила на других ресурсах-партнерах.
Мои правки не отражаются, а я иногда забываю обновлять версию
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
если нужно будет для утилиты, то создать можно и в другом месте, вот пример.
Добавлено через 1 минуту 50 секунд
FTP не проблема, но в идеале потом должен быть скрипт, который будет автоматом обновлять базы и пересобирать сборку. А если на нём будет старая версия, то смысла в нём нет.
- Сообщения
- 8,030
- Решения
- 14
- Реакции
- 6,805
Это не проблема. Утиль будет сам уметь пересобираться.
Я передумал использовать ping для проверки валидности хоста и наличия подключения - она прокладывает маршрут напрямую).
Пробую добавить поддержку прокси.
Последнее редактирование:
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
это будет скрипт на php? или всё-таки кому-то вручную надо будет обновлять на хосте?
Похожие темы
- Статья
