Парсер логов AVZ

Обсуждение парсера логов AVZ 3.1.0

Если ты про HashBase, то можно.
upload_2017-7-23_13-28-29.webp
 
akok, нет, хеши вписываешь слева. А справо выводит список дублей, то есть если такой хеш(и) уже были в базе или ты пытаешься добавить несколько одинаковых, то справо выведет какие повторяются.

А вообще использование этой базы неэффективно. Так как хеши постоянно меняются, чтобы сбить детекты антивирусов.
ИМХО, добавлять тут имеет смысл только хеши майнеров. У них хеши относительно постоянны (спустя какое-то время и у них меняется), а имена и пути под которыми их подсовывают в систему разные.
 
Пользователь regist обновил ресурс Парсер логов AVZ новой записью:

Новогоднее обновление парсера.

1) Добавлена возможность проверки синтаксиса скрипта через сторонние утилиты. По умолчанию отключено. Утилиту надо скачивать отдельно. Подробности читайте в справке.
2) Уменьшено кол-во ложных срабатываний.
3) Доработан костыль по удалению заданий.
4) Список игнорирования теперь работает и для секции планировщика задач.
5) Улучшено центрирование окон парсера, для случаев когда подключено два монитора.
6) Некоторые другие доработки и изменения.

Узнать больше об этом обновлении...
 
Последнее редактирование:
Вопрос. А может ли парсер сразу добавить шаблон скрипта? А то бывает проверяешь логи, парсер пишет, что все чисто, но скрипт таки нужно создать. Когда добавляешь команды, то приходится ручками добавлять базовые команды (от begin и end.) вручную.
 
В папке Template создай шаблон какой тебе хочется, с любым набором команд и не зависимо от того чистый лог оказался или нет, ты можешь зайти через меню шаблоны ответов парсера, вызвать его и скопировать в ответ.
Так же можно создать разные шаблоны, например в зависимости от форума на котором отвечаешь, что бы нужные ссылки были в ответе или даже в зависимости от типа заражения, например для шифровальщика или ФВ.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

 <<----->>

BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

А у меня другой вопрос по шаблонам. В парсере версии 3.02 при вызове шаблона съедаются несколько первых символов шаблона, в отличии например от версии 2.75, которая у меня сохранилась.

Screenshot_1.jpg
Screenshot_2.jpg


Как видно на скрине слово "закройте" пропало.
 
Последнее редактирование модератором:
В папке Template создай шаблон какой тебе хочется, с любым набором команд и не зависимо от того чистый лог оказался или нет, ты можешь зайти через меню шаблоны ответов парсера, вызвать его и скопировать в ответ.
То конечно да, но если включена проверка скрипта, то парсер не даст собрать ответ, а ее отключать не хочется.
1527502364750.webp
 

Вложения

  • 1527502466537.webp
    1527502466537.webp
    17.5 KB · Просмотры: 126
но если включена проверка скрипта
О какой проверке ты пишешь?
Файл - Загрузить лог - Анализировать...это?
Если так, то ни каких проблем с шаблоном, даже если по логам всё чисто
Screenshot_1.webp
 
О какой проверке ты пишешь?
Читай справка -> "Как включить проверку синтаксиса (ошибок) скрипта?"
Вопрос. А может ли парсер сразу добавить шаблон скрипта? А то бывает проверяешь логи, парсер пишет, что все чисто, но скрипт таки нужно создать. Когда добавляешь команды, то приходится ручками добавлять базовые команды (от begin и end.) вручную.
Добавить не сложно.
А у меня другой вопрос по шаблонам. В парсере версии 3.02 при вызове шаблона съедаются несколько первых символов шаблона, в отличии например от версии 2.75, которая у меня сохранилась.
Если в родных шаблонах всё нормально, то значит что-то в твоём некорректно. Может какой спец. символ затесался или с кодировкой что-то. Нужен пример проблемного шаблона.
 
Читай справка -> "Как включить проверку синтаксиса (ошибок) скрипта?"
Понятно. Я этой проверкой не пользуюсь.
Нужен пример проблемного шаблона
Кинул тебе в личку.

Нужен пример проблемного шаблона.
Спасибо за помощь. Теперь ни чего не проглатывается.
 
Последнее редактирование модератором:
А может ли парсер сразу добавить шаблон скрипта?
Да, добавить можно, регист предложил такой набор команд. Вставку сделаю наверное отдельной командой из контекстного меню по левому окну и из меню консультанта.
Код:
begin
ExecuteSysClean;
RebootWindows(true);
end.
Сразу тоже подумал через шаблон, но там да, проверка правильности скрипта может быть включена.
съедаются несколько первых символов шаблона
Я так понял регист тебе пояснил в чём был трабл. Я долго авторизоваться не мог, как бы редонли на форуме был, всё вижу, а учётка не активна. Сделаю дополнительное условие чтобы не было подобных инцидиентов.
 
Я так понял регист тебе пояснил в чём был трабл.
Привет! Оказывается в любом шаблоне должна присутствовать эта...не знаю как её назвать, команда наверное))), в общем вот она:$Script$
 
@shestale, конечно, вместо этого "текста" поставляется скрипт из главного окна. Программе же надо дать понять куда именно вставить скрипт. Посмотрел бы по аналогии с другими шаблонами. )
 
Да, добавить можно, регист предложил такой набор команд.
Может тогда стандартный? Если уж все ручками
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 
   BC_Activate;
  ExecuteSysClean;
 BC_ImportALL;
RebootWindows(true);
end.
 
Братцы, не вижу проблемы вообще)))
У меня в папке ParseAVZ\Template\ лежит 8 мной настроенных шаблонов для разных форумов. Одно время для Кибера даже два было. Выбираем нужный в выпадающем списке и вуаля.
 
У меня в папке ParseAVZ\Template\ лежит 8 мной настроенных шаблонов для разных форумов. Одно время для Кибера даже два было. Выбираем нужный в выпадающем списке и вуаля.
Выше об этом писал, так работает если отключить проверку скрипта, иначе даже окно формы ответов не открывается.
 
Или вариант, пожелание : добавить в шаблон по стандартному с перемещением карантина:

Код:
begin
ClearQuarantineEx(true);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;

  CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

P.S Может быть это лучше?):Biggrin::Biggrin:
 
Последнее редактирование модератором:
@shestale, конечно, вместо этого "текста" поставляется скрипт из главного окна. Программе же надо дать понять куда именно вставить скрипт. Посмотрел бы по аналогии с другими шаблонами. )
Саня, да я так и делал. Просто у меня потом появились шаблоны без скрипта, вроде шпаргалочек небольших..., я же старый склеротик)))
Вот и убрал эту хрень $Script$ вместе с скриптами, а оказывается что она все равно нужна...даже если только один текст в шаблоне без скрипта.
Напрасно, отличная вещь!
Сань, а чем лучше? В каких случаях требуется такая проверка... примеры пожалуйста? Может и включу тогда :Wink:
 
даже окно формы ответов не открывается
В парсере Ctrl+r и вот уже есть строка для скрипта :)

Ты разве всегда-всегда уверен, что не допустил ошибку? Там, двинул мышкой и удалил точку с запятой и т.п. Я вот не уверен, потому и пользуюсь )))
К тому же это не занимает лишнего времени, один раз настроил и пусть себе проверяет.
 
regist обновил(а) ресурс Парсер логов AVZ новой записью:

Новогоднее обновление парсера.

Уже традиционное новогоднее обновление парсера.
Список изменений (часть изменений касается только логов созданных AVZ 5):
  • Для новых логов вставляется удаление заданий новым способом.
  • Доработана, точней переработана эвристика.
  • Для ключей MSConfig теперь удаляется не только параметр, а целиком ключ.
  • Для ключей SYSTEM\CurrentControlSet\Services\Eventlog\... теперь удаляется не только параметр, а целиком ключ.
  • Оптимизация кода (за счёт этого и размер .exe уменьшился)...

Узнать больше об этом обновлении...
 
Назад
Сверху Снизу