Парсер логов AVZ

Обсуждение парсера логов AVZ 3.1.0

Dragokas, имхо, лишнее. Под настройкой ведь подразумевается не только путь к парсеру, но работать в Silent-режиме или нет, фиксить создавая новый архив или нет и т.д. В любом случае надо один раз открыть этот файл и настроить его под свой вкус.
 
Какую информацию о DNS несет вывод этого в парсере?
Screenshot_1.jpg
 
Есть эталонные IP для указаных сайтов, они постоянны, если опрошеный IP не совпадает с эталонным - выводится соответствующая строка с ним. Но тут такая петрушка, мы старались выписать все легитимные айпи для указаных сайтов, чтобы было поменьше случаев вроде опрашиваемый айпи легальный, но не совпадает с эталонным, т.к. его там просто нет.

P.S. Как объяснить по другому - не знаю.
 
Мы с regist сделали небольшие усовершенствования:

  • Детектирование строк CheckResult=3 - светло-жёлтенькие строки. Детектирование в секциях Автозапуск и Планировщик задач. В зависимости, оттого что было, найдено выведется маркер детекта [http://] или рекомендация "<<< LNK содержат приписки, проверьте компьютер утилитой: Check Browsers' LNK by Dragokas & regist - https://safezone.cc/threads/24439"
  • Оптимизирована база Malware.
  • Удалены все старые хеши из базы HashBase.
  • Пополнение базы легальных ДНС.
  • Улучшено определение детекта вирусов маскирующихся под системные, по сути с нуля переписаны условия определения: определяет пути для х64\х32 (syswow64\Program Files(x86))
  • Улучшены эвристики.
  • Поддержка регулярных выражений для базы Malware.txt. Формат записи regexp#РЕГУЛЯРНОЕ ВЫРАЖЕНИЕ. Примечание: Для опытных пользователей. (Это не так страшно как кажется )) )
За счёт регулярных выражений уменьшено количество зловредных записей в Malware.txt
Максимально протестировано добавление новых фишек


Узнать больше об этом обновлении...
 
Последнее редактирование:
Небольшое обновление.

В основном затрагивает обработку секции планировщика задач. Удаление заданий если вирус был обнаружен в предыдущих секциях.
Исключение удаления CureIt замеченого в секциях процессы. До этого он детектировался по маске \temp\ и соответственно удалялся.
 
Последнее редактирование:
shestale, Если скачал прошлую, перекачай сейчас, там мелкий баг был, не ту версию залил и потом чего-то не обновлялось в ресурсах. Спасибо регисту что-то починил в обновлении ресурсов.
 
Саня, пакуй утилиту в zip, не у всех есть деньги купить rar, а до 7я еще додуматься нужно ;)
 
А зачем покупать, если есть бесплатный Bandizip, который и покажет, что внутри, и распакует, и картинку соответствующую архиву поставит.
 
Можно и в зип, но наверное со следующим релизом.

Стопорнулся с этими регулярками. Та что подключена старая, много не понимает, а новые сам не знаю как подключить. Корочь доигрался что "сломал" среду разработки, ни удаляется полностью, ни переустановить не могу, ошибка и всё тут. Восстановил систему из образа, потом поставлю заново, может что-то получится.
 
SNS-amigo, тут главное удобство. Чтобы было все "из коробки".
Открыл на любой системе, где вообще нет никаких архиваторов и у тебя запустилось.
Многие пользуются виртуалками/песочницами. После сброса на точку 0 каждый раз ставить архиватор не айс.
 
Многие пользуются виртуалками/песочницами. После сброса на точку 0 каждый раз ставить архиватор не айс.
Стас, так и там можно настроить эталон, установив в него весь необходимый софт, в том числе и архиватор, сделать снимок, а потом его при необходимости уже "размножать" ;)
 
Ой, не хочется оффтопить. Но, у меня например, на то она и точка 0, что значит "из коробки" (только установленная) для тестов без влияния другого ПО.
 
Я тут подумал.

1. WinRar прога скорее для русскоязычного сектора инета\пользователей, есть практически у каждого
2. 7-Zip скорее для западного сектора, но и наши ею пользуются. Оба архиватора поддерживают друг друга.

Теперь по поводу стандартного .zip, А что мешает предварительно распаковать его и занести на виртуальную систему через расшареную папку уже распакованый вариант? Целевое назначение парсера анализ же, а не куда перекидывать в каком архиве. Раз распаковал - пользуйся для анализа логов. Если ж точка 0 чистая, то всё равно надо заносить туда либо зип, либо папку с файлами, по сути одно и тоже, разница только в количестве файлов, одним файлом или папкой.
 
Назад
Сверху Снизу