Парсер логов AVZ

Парсер логов AVZ 3.03 [2019.01.01]

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,326
Реакции
5,944
Баллы
998
Службу, которая работает на горячую по хорошему нужно сначала остановить и только потом использовать DeleteService(); парсер почему-то не учел этого.
Вот так бы и написал бы с самого начала, а также напиши какую службу он не остановил и каким образом воспроизвести это у себя.
Уже разобрался, при удаление по хешу службы не останавливает, при удаление по остальным признакам штатно вставляет команду остановки службы.
Думаю в следующей версии @Drongo это поправит.
 
Последнее редактирование:

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,590
Баллы
808
при удаление по хешу службы не останавливает, при удаление по остальным признакам штатно вставляет команду остановки службы.
Да, всё верно. Добавляя новые методы детекта, совсем выпало из головы за остановку служб. Конечно исправлю.

На счёт удаления папок, я не могу научить парсер определять легальная ли папка или нет, например вирус в системной\програмной папке, удалять вирь и автоматом папку будет не верно ведь. Можно конечно подумать и прикрутить дополнительную проверку на имя папки равно имени файлу без расширения. Будет ли это актуально и эффективно, без фолсов?

Из "косяков" можно условно отнести не раскрутку цепочки по определившемуся несистемному
Код:
[SystemFile] c:\windows\syswow64\iexplore\iexplore.exe
Но я умышленно не ставил сохранение MD5 от найденых в этом детекте опасаясь фолсов на системные и прочие. Сейчас вот добавил всего одну строку, перекомпилировал, проверил лог - результат как если в базу хешей добавили ту контрольную сумму.

Ещё раз повторюсь, парсер творение коллективное, в нём аккумулирован опыт многих консультантов. Вместо критики какой он такой-сякой, просто предлагайте варианты как улучшить, чего не хватает - имею ввиду варианты поиска\детекты.

За лог спасибо, это конструктивное сообщение.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
5,010
Баллы
743
а счёт удаления папок, я не могу научить парсер определять легальная ли папка или нет
Имхо и не нужно этого делать. Хэлпер думать совсем тогда перестанет ;)
удалять вирь и автоматом папку будет не верно ведь
Конечно.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
5,010
Баллы
743
просто предлагайте варианты как улучшить, чего не хватает - имею ввиду варианты поиска\детекты.
Саша, хочу предложить тебе добавить базу для папок, которые можно будет добавлять туда в ручную, тем самым облегчая анализ логов, вот сейчас например байду, сегодня смотрел логи, он создает свои файлы в нескольких папках, вот пример, если бы была возможность добавить их в базу самостоятельно:
C:\Program Files\Baidu
C:\Program Files\BaiduSd2.1
C:\Program Files\Common Files\Baidu
C:\Users\Users\AppData\Roaming\Baidu
C:\ProgramData\Baidu
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,326
Реакции
5,944
Баллы
998
хочу предложить тебе добавить базу для папок, которые можно будет добавлять туда в ручную
справку по прежнему читать никто не хочет, даже просмотреть название пунктов лень :(. Другое дело, что с Байду нет смысла этого делать, но для этой темы это оффтоп.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
5,010
Баллы
743
:Blush2: тьфу-ты, забыл что это уже есть, т.к. читал, но ни разу не добавлял, вот и забылось.
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,590
Баллы
808
Пользователь Drongo обновил ресурс Парсер логов AVZ новой записью:

Обновление и улучшение

В этой версии парсера внесены довольно серьёзные обновления.

1. Оптимизация и ускорение анализа примерно в два раза. Тоесть, если раньше лог анализировался 10 секунд, то теперь время анализа сократилось почти в двое.
2. Улучшена эвристика поиска(включая случай лога, который предоставил майк)
3. Список игнорирования IgnoreFiles.txt отныне также имеет поддержку регулярных выражений. Принцип записи такой же как и в базе имён малвари. (В справке описаны способы...
Узнать больше об этом обновлении...
И ещё попрошу, пожалуйста, читайте справку. Если ответа на ваш вопрос не найден в справке, зайдайте вопрос в теме.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,326
Реакции
5,944
Баллы
998
(При обнаружении неточностей и\или новом легальном DNS просьба написать в теме, будет добавлен в базу
при этом укажите ссылку на сервис whois для доказательства легальности IP, а также желательно прикрепить и сам лог AVZ (или указать ссылку на него / тему с ним).
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
5,010
Баллы
743
Саня, CmdLineBase специально не заполняешь?
regist, выкладывал информацию по этой базе.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,326
Реакции
5,944
Баллы
998

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,326
Реакции
5,944
Баллы
998
обновление LegalDNS.txt
 

Вложения

Последнее редактирование:

Alex1983

Разработчик
Сообщения
922
Реакции
444
Баллы
488
У меня rghost опять не выходит(((
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,326
Реакции
5,944
Баллы
998
Alex1983, перенёс во вложения.
 

mike 1

Активный пользователь
Сообщения
2,414
Реакции
936
Баллы
383
Вот еще один лог, в котором запаришься службы в базы парсера вносить. 3 процесса я внес по md5 в базы парсера, но те службы, которые не работают на горячую их так просто по md5 не внесешь в базы. Хотелось чтобы парсер сразу предлагал к удалению файлы и службы если соблюдается следующее условие:

Имя папки и службы из %AppData%\Local\ совпадает с именем файла. Например: %AppData%\Local\codecocrx64\codecocrx64.exe

Синим цветом выделена папка.
Оранжевым цветом выделен файл.

7. Эвристичеcкая проверка системы
Обратите внимание: в настройках IE задан прокси-сервер S-1-5-21-746350276-1187627707-2069991980-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings, ProxyServer="http=127.0.0.1:12243"
Обратите внимание: в настройках IE задан прокси-сервер Internet\ManualProxies = "1http=127.0.0.1:12851"


Кстати, это осталось без внимания парсером. Поэтому скрипт в итоге все равно пришлось писать ручками.


 

Вложения

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
5,010
Баллы
743
mike 1, дай ссылку на тему. Чем система заражена?
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,590
Баллы
808
Пока ничего не могу сказать. По мд5 бесполезно добавлять, в службах их нет, раскрутить эту цепочку через хитрую эвристику никак. Разве что добавить детектирование по условиям как и написал майк: профильная папка и имя папки равно имени файла. Надо обдумать всесторонне как лучше сделать и не будет ли фолсов с легалом. Для служб можно ещё контрольно проверять и имя службы, а вот в секции процессы на откуп остаётся только один файл. Буду думать.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
5,010
Баллы
743
Кстати, это осталось без внимания парсером.
mike 1, а ты уверен, что эти настройки прокси не сам юзер прописал?
Drongo, наверное может парсер научить определять, но тогда нужно будет добавить еще базу малварьных портов.
 

mike 1

Активный пользователь
Сообщения
2,414
Реакции
936
Баллы
383
mike 1, дай ссылку на тему. Чем система заражена?
http://forum.kaspersky.com/index.php?showtopic=314873

Разве что добавить детектирование по условиям как и написал майк
В идеале можно сделать так чтобы хелпер мог создавать определенные условия (критерии) по которым будет удаляться зараза.

@mike 1, а ты уверен, что эти настройки прокси не сам юзер прописал?
Уверен. Их AdWare.Win32.Tirrip прописывает.
 
Сверху Снизу