Парсер логов AVZ

Парсер логов AVZ 3.03 [2019.01.01]

regist

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,315
Реакции
5,919
Баллы
998
Службу, которая работает на горячую по хорошему нужно сначала остановить и только потом использовать DeleteService(); парсер почему-то не учел этого.
Вот так бы и написал бы с самого начала, а также напиши какую службу он не остановил и каким образом воспроизвести это у себя.
Уже разобрался, при удаление по хешу службы не останавливает, при удаление по остальным признакам штатно вставляет команду остановки службы.
Думаю в следующей версии @Drongo это поправит.
 
Последнее редактирование:
Drongo

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,590
Баллы
808
при удаление по хешу службы не останавливает, при удаление по остальным признакам штатно вставляет команду остановки службы.
Да, всё верно. Добавляя новые методы детекта, совсем выпало из головы за остановку служб. Конечно исправлю.

На счёт удаления папок, я не могу научить парсер определять легальная ли папка или нет, например вирус в системной\програмной папке, удалять вирь и автоматом папку будет не верно ведь. Можно конечно подумать и прикрутить дополнительную проверку на имя папки равно имени файлу без расширения. Будет ли это актуально и эффективно, без фолсов?

Из "косяков" можно условно отнести не раскрутку цепочки по определившемуся несистемному
Код:
[SystemFile] c:\windows\syswow64\iexplore\iexplore.exe
Но я умышленно не ставил сохранение MD5 от найденых в этом детекте опасаясь фолсов на системные и прочие. Сейчас вот добавил всего одну строку, перекомпилировал, проверил лог - результат как если в базу хешей добавили ту контрольную сумму.

Ещё раз повторюсь, парсер творение коллективное, в нём аккумулирован опыт многих консультантов. Вместо критики какой он такой-сякой, просто предлагайте варианты как улучшить, чего не хватает - имею ввиду варианты поиска\детекты.

За лог спасибо, это конструктивное сообщение.
 
shestale

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,704
Реакции
5,005
Баллы
743
а счёт удаления папок, я не могу научить парсер определять легальная ли папка или нет
Имхо и не нужно этого делать. Хэлпер думать совсем тогда перестанет ;)
удалять вирь и автоматом папку будет не верно ведь
Конечно.
 
shestale

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,704
Реакции
5,005
Баллы
743
просто предлагайте варианты как улучшить, чего не хватает - имею ввиду варианты поиска\детекты.
Саша, хочу предложить тебе добавить базу для папок, которые можно будет добавлять туда в ручную, тем самым облегчая анализ логов, вот сейчас например байду, сегодня смотрел логи, он создает свои файлы в нескольких папках, вот пример, если бы была возможность добавить их в базу самостоятельно:
C:\Program Files\Baidu
C:\Program Files\BaiduSd2.1
C:\Program Files\Common Files\Baidu
C:\Users\Users\AppData\Roaming\Baidu
C:\ProgramData\Baidu
 
regist

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,315
Реакции
5,919
Баллы
998
хочу предложить тебе добавить базу для папок, которые можно будет добавлять туда в ручную
справку по прежнему читать никто не хочет, даже просмотреть название пунктов лень :(. Другое дело, что с Байду нет смысла этого делать, но для этой темы это оффтоп.
 
shestale

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,704
Реакции
5,005
Баллы
743
:Blush2: тьфу-ты, забыл что это уже есть, т.к. читал, но ни разу не добавлял, вот и забылось.
 
Drongo

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,590
Баллы
808
Пользователь Drongo обновил ресурс Парсер логов AVZ новой записью:

Обновление и улучшение

В этой версии парсера внесены довольно серьёзные обновления.

1. Оптимизация и ускорение анализа примерно в два раза. Тоесть, если раньше лог анализировался 10 секунд, то теперь время анализа сократилось почти в двое.
2. Улучшена эвристика поиска(включая случай лога, который предоставил майк)
3. Список игнорирования IgnoreFiles.txt отныне также имеет поддержку регулярных выражений. Принцип записи такой же как и в базе имён малвари. (В справке описаны способы...
Узнать больше об этом обновлении...
И ещё попрошу, пожалуйста, читайте справку. Если ответа на ваш вопрос не найден в справке, зайдайте вопрос в теме.
 
regist

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,315
Реакции
5,919
Баллы
998
(При обнаружении неточностей и\или новом легальном DNS просьба написать в теме, будет добавлен в базу
при этом укажите ссылку на сервис whois для доказательства легальности IP, а также желательно прикрепить и сам лог AVZ (или указать ссылку на него / тему с ним).
 
shestale

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,704
Реакции
5,005
Баллы
743
Саня, CmdLineBase специально не заполняешь?
regist, выкладывал информацию по этой базе.
 
regist

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,315
Реакции
5,919
Баллы
998
regist

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,315
Реакции
5,919
Баллы
998
обновление LegalDNS.txt
 

Вложения

Последнее редактирование:
ScriptMakeR

ScriptMakeR

Клуб переводчиков
Сообщения
1,461
Реакции
536
Баллы
193
Alex1983,
Хм.. У меня все нормально скачалось.
 
Alex1983

Alex1983

Разработчик
Сообщения
914
Реакции
443
Баллы
488
У меня rghost опять не выходит(((
 
regist

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,315
Реакции
5,919
Баллы
998
Alex1983, перенёс во вложения.
 
mike 1

mike 1

Активный пользователь
Сообщения
2,410
Реакции
936
Баллы
383
Вот еще один лог, в котором запаришься службы в базы парсера вносить. 3 процесса я внес по md5 в базы парсера, но те службы, которые не работают на горячую их так просто по md5 не внесешь в базы. Хотелось чтобы парсер сразу предлагал к удалению файлы и службы если соблюдается следующее условие:

Имя папки и службы из %AppData%\Local\ совпадает с именем файла. Например: %AppData%\Local\codecocrx64\codecocrx64.exe

Синим цветом выделена папка.
Оранжевым цветом выделен файл.

7. Эвристичеcкая проверка системы
Обратите внимание: в настройках IE задан прокси-сервер S-1-5-21-746350276-1187627707-2069991980-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings, ProxyServer="http=127.0.0.1:12243"
Обратите внимание: в настройках IE задан прокси-сервер Internet\ManualProxies = "1http=127.0.0.1:12851"


Кстати, это осталось без внимания парсером. Поэтому скрипт в итоге все равно пришлось писать ручками.


 

Вложения

shestale

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,704
Реакции
5,005
Баллы
743
mike 1, дай ссылку на тему. Чем система заражена?
 
Drongo

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,590
Баллы
808
Пока ничего не могу сказать. По мд5 бесполезно добавлять, в службах их нет, раскрутить эту цепочку через хитрую эвристику никак. Разве что добавить детектирование по условиям как и написал майк: профильная папка и имя папки равно имени файла. Надо обдумать всесторонне как лучше сделать и не будет ли фолсов с легалом. Для служб можно ещё контрольно проверять и имя службы, а вот в секции процессы на откуп остаётся только один файл. Буду думать.
 
shestale

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,704
Реакции
5,005
Баллы
743
Кстати, это осталось без внимания парсером.
mike 1, а ты уверен, что эти настройки прокси не сам юзер прописал?
Drongo, наверное может парсер научить определять, но тогда нужно будет добавить еще базу малварьных портов.
 
mike 1

mike 1

Активный пользователь
Сообщения
2,410
Реакции
936
Баллы
383
mike 1, дай ссылку на тему. Чем система заражена?
http://forum.kaspersky.com/index.php?showtopic=314873

Разве что добавить детектирование по условиям как и написал майк
В идеале можно сделать так чтобы хелпер мог создавать определенные условия (критерии) по которым будет удаляться зараза.

@mike 1, а ты уверен, что эти настройки прокси не сам юзер прописал?
Уверен. Их AdWare.Win32.Tirrip прописывает.
 
Сверху Снизу