Парсер логов AVZ

Обсуждение парсера логов AVZ 3.1.0

Службу, которая работает на горячую по хорошему нужно сначала остановить и только потом использовать DeleteService(); парсер почему-то не учел этого.
Вот так бы и написал бы с самого начала, а также напиши какую службу он не остановил и каким образом воспроизвести это у себя.
Уже разобрался, при удаление по хешу службы не останавливает, при удаление по остальным признакам штатно вставляет команду остановки службы.
Думаю в следующей версии @Drongo это поправит.
 
Последнее редактирование:
при удаление по хешу службы не останавливает, при удаление по остальным признакам штатно вставляет команду остановки службы.
Да, всё верно. Добавляя новые методы детекта, совсем выпало из головы за остановку служб. Конечно исправлю.

На счёт удаления папок, я не могу научить парсер определять легальная ли папка или нет, например вирус в системной\програмной папке, удалять вирь и автоматом папку будет не верно ведь. Можно конечно подумать и прикрутить дополнительную проверку на имя папки равно имени файлу без расширения. Будет ли это актуально и эффективно, без фолсов?

Из "косяков" можно условно отнести не раскрутку цепочки по определившемуся несистемному
Код:
[SystemFile] c:\windows\syswow64\iexplore\iexplore.exe
Но я умышленно не ставил сохранение MD5 от найденых в этом детекте опасаясь фолсов на системные и прочие. Сейчас вот добавил всего одну строку, перекомпилировал, проверил лог - результат как если в базу хешей добавили ту контрольную сумму.

Ещё раз повторюсь, парсер творение коллективное, в нём аккумулирован опыт многих консультантов. Вместо критики какой он такой-сякой, просто предлагайте варианты как улучшить, чего не хватает - имею ввиду варианты поиска\детекты.

За лог спасибо, это конструктивное сообщение.
 
а счёт удаления папок, я не могу научить парсер определять легальная ли папка или нет
Имхо и не нужно этого делать. Хэлпер думать совсем тогда перестанет ;)
удалять вирь и автоматом папку будет не верно ведь
Конечно.
 
просто предлагайте варианты как улучшить, чего не хватает - имею ввиду варианты поиска\детекты.
Саша, хочу предложить тебе добавить базу для папок, которые можно будет добавлять туда в ручную, тем самым облегчая анализ логов, вот сейчас например байду, сегодня смотрел логи, он создает свои файлы в нескольких папках, вот пример, если бы была возможность добавить их в базу самостоятельно:
C:\Program Files\Baidu
C:\Program Files\BaiduSd2.1
C:\Program Files\Common Files\Baidu
C:\Users\Users\AppData\Roaming\Baidu
C:\ProgramData\Baidu
 
хочу предложить тебе добавить базу для папок, которые можно будет добавлять туда в ручную
справку по прежнему читать никто не хочет, даже просмотреть название пунктов лень :(. Другое дело, что с Байду нет смысла этого делать, но для этой темы это оффтоп.
 
Пользователь Drongo обновил ресурс Парсер логов AVZ новой записью:

Обновление и улучшение

В этой версии парсера внесены довольно серьёзные обновления.

1. Оптимизация и ускорение анализа примерно в два раза. Тоесть, если раньше лог анализировался 10 секунд, то теперь время анализа сократилось почти в двое.
2. Улучшена эвристика поиска(включая случай лога, который предоставил майк)
3. Список игнорирования IgnoreFiles.txt отныне также имеет поддержку регулярных выражений. Принцип записи такой же как и в базе имён малвари. (В справке описаны способы...

Узнать больше об этом обновлении...
И ещё попрошу, пожалуйста, читайте справку. Если ответа на ваш вопрос не найден в справке, зайдайте вопрос в теме.
 
(При обнаружении неточностей и\или новом легальном DNS просьба написать в теме, будет добавлен в базу
при этом укажите ссылку на сервис whois для доказательства легальности IP, а также желательно прикрепить и сам лог AVZ (или указать ссылку на него / тему с ним).
 
обновление LegalDNS.txt
 

Вложения

  • LegalDNS.7z
    1.7 KB · Просмотры: 5
Последнее редактирование:
Вот еще один лог, в котором запаришься службы в базы парсера вносить. 3 процесса я внес по md5 в базы парсера, но те службы, которые не работают на горячую их так просто по md5 не внесешь в базы. Хотелось чтобы парсер сразу предлагал к удалению файлы и службы если соблюдается следующее условие:

Имя папки и службы из %AppData%\Local\ совпадает с именем файла. Например: %AppData%\Local\codecocrx64\codecocrx64.exe

Синим цветом выделена папка.
Оранжевым цветом выделен файл.

7. Эвристичеcкая проверка системы
Обратите внимание: в настройках IE задан прокси-сервер S-1-5-21-746350276-1187627707-2069991980-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings, ProxyServer="http=127.0.0.1:12243"
Обратите внимание: в настройках IE задан прокси-сервер Internet\ManualProxies = "1http=127.0.0.1:12851"


Кстати, это осталось без внимания парсером. Поэтому скрипт в итоге все равно пришлось писать ручками.


 

Вложения

  • KL_syscure (18).zip
    27.7 KB · Просмотры: 8
Пока ничего не могу сказать. По мд5 бесполезно добавлять, в службах их нет, раскрутить эту цепочку через хитрую эвристику никак. Разве что добавить детектирование по условиям как и написал майк: профильная папка и имя папки равно имени файла. Надо обдумать всесторонне как лучше сделать и не будет ли фолсов с легалом. Для служб можно ещё контрольно проверять и имя службы, а вот в секции процессы на откуп остаётся только один файл. Буду думать.
 
Кстати, это осталось без внимания парсером.
mike 1, а ты уверен, что эти настройки прокси не сам юзер прописал?
Drongo, наверное может парсер научить определять, но тогда нужно будет добавить еще базу малварьных портов.
 
mike 1, дай ссылку на тему. Чем система заражена?
http://forum.kaspersky.com/index.php?showtopic=314873

Разве что добавить детектирование по условиям как и написал майк
В идеале можно сделать так чтобы хелпер мог создавать определенные условия (критерии) по которым будет удаляться зараза.

@mike 1, а ты уверен, что эти настройки прокси не сам юзер прописал?
Уверен. Их AdWare.Win32.Tirrip прописывает.
 
Назад
Сверху Снизу