Сортировка команд в скрипте AVZ по рекомендуемому шаблону

Сортировка команд в скрипте AVZ по рекомендуемому шаблону 2018-10-04

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,397
Реакции
5,988
Баллы
998
в шаблоне пропущена одна строчка, между командами
RegKeyIntParamWrite
RegKeyParamWrite
надо добавить
Код:
 RegKeyStrParamWrite(' ',' ',' ',' ');
, а то после обработки правильно написанного скрипта эта команда исчезнет оттуда.

Добавлено через 34 минуты 56 секунд
+ пропущена команда
Код:
 RegKeyResetSecurity(' ',' ');
p.s. специально не проверял, так что возможно нехватает и других команд.
 

edde

Ассоциация VN/VIP
VIP
Сообщения
1,817
Реакции
1,262
Баллы
553
В шаблоне ничего не пропущено, в шаблоне даны основные наиболее часто используемые команды которые вам потребуются при прохождении курса.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,397
Реакции
5,988
Баллы
998
В шаблоне ничего не пропущено, в шаблоне даны основные наиболее часто используемые команды которые вам потребуются при прохождении курса.
RegKeyStrParamWrite(' ',' ',' ',' ');
Нужна для написания ответов к логам.

Добавлено через 22 минуты 52 секунды
з.ы. имхо при составление этой темы были включены тоже только самые необходимые команды, я всего лишь предлагаю использовать за основу шаблон оттуда.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,397
Реакции
5,988
Баллы
998
edde, вы видно меня не поняли, там я эти команды вижу! но их нету в шаблоне который скачивается из шапки :).
 

edde

Ассоциация VN/VIP
VIP
Сообщения
1,817
Реакции
1,262
Баллы
553
Начните с ручной сортировки, оно и полезней и всё по порядку будет:)
 

Arbitr

Ассоциация VN
VIP
Сообщения
3,619
Реакции
1,656
Баллы
593
вы видно меня не поняли, там я эти команды вижу! но их нету в шаблоне который скачивается из шапки
я тоже вас не понимаю... чего вы хотите? чтоб для вас добавили все команды которые можно использовать в AVZ в шаблон?????
 

akok

Команда форума
Администратор
Сообщения
17,949
Реакции
13,562
Баллы
2,203
Не спорьте горячие финские парни.

Придёт разработчик и добавит если это необходимо, а пока по старинке.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,397
Реакции
5,988
Баллы
998
решил вместо beve, написать тут, так как боюсь, что многие иначе не заметят
Последний раз редактировалось beve; 15.02.2011 в 23:53. Причина: Обновлен шаблон (согласно рекомендациям сдесь на форуме).
Добавлено через 10 минут 17 секунд
з.ы. исправленный вариант качается отсюда
Вложения
Po_shablonu_(AVZ).7z (283.5 Кб, 1 просмотров)
из файлового хранилища VN скачивается старая версия.
 

akok

Команда форума
Администратор
Сообщения
17,949
Реакции
13,562
Баллы
2,203
Обновил и в файлом хранилище.
 

fidget

Активный пользователь
Сообщения
231
Реакции
14
Баллы
408
Начните с ручной сортировки, оно и полезней и всё по порядку будет:)
Ага, а я то доверял программе, чуть пользователю userinit не снёс,
вставил:
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\niwhaw.exe','');
 QuarantineFile('C:\WINDOWS\system32\5a0bdd5a.exe','');
 QuarantineFile('C:\WINDOWS\system32\XDva382.sys','');
 QuarantineFile('C:\WINDOWS\system32\nelsqwn.dll','');
 DeleteFile('C:\WINDOWS\system32\nelsqwn.dll');
 DeleteFile('C:\WINDOWS\system32\XDva382.sys');
 DeleteFile('C:\WINDOWS\system32\5a0bdd5a.exe');
 DeleteFile('C:\WINDOWS\system32\niwhaw.exe');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
 DelBHO('1E796980-9CC5-11D1-A83F-00C04FC99D61');
 DeleteService('XDva382');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
а на выходе получил:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\niwhaw.exe','');
 QuarantineFile('C:\WINDOWS\system32\5a0bdd5a.exe','');
 QuarantineFile('C:\WINDOWS\system32\XDva382.sys','');
 QuarantineFile('C:\WINDOWS\system32\nelsqwn.dll','');
 DeleteFile('C:\WINDOWS\system32\nelsqwn.dll');
 DeleteFile('C:\WINDOWS\system32\XDva382.sys');
 DeleteFile('C:\WINDOWS\system32\5a0bdd5a.exe');
 DeleteFile('C:\WINDOWS\system32\niwhaw.exe');
 DelBHO('1E796980-9CC5-11D1-A83F-00C04FC99D61');
 DeleteService('XDva382');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Смотрю чего то не хватает))
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,397
Реакции
5,988
Баллы
998
что то пока не уловил каким образом ты мог снести... ничего криминального не вижу
это связано с
в шаблоне пропущена одна строчка, между командами
...
RegKeyStrParamWrite(' ',' ',' ',' ');
fidget, видно удалил какой-то файл который был прописан в ключе userinit, по идее в результате эвристической чистки AVZ должен удалить этот ключ (в реале он знает о его значение и не удалит, а исправит на правильную даже если эту строчку не добавить), следовательно чтоб не нагнуть систему надо прописать вместо удалённого ключа новое значение.
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
после обработки сортировщиком команд старой версии это команда исчезала из скрипта. вот что подразумевал fidget :).
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,759
Реакции
2,540
Баллы
593
по идее в результате эвристической чистки AVZ должен удалить этот ключ
Глупость несусветная. AVZ вычищает userinit от удаляемых хвостов вполне нормально

Потому
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
нужна (?) для старых версий AVZ и, возможно, для AVP Tool и KIS
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,397
Реакции
5,988
Баллы
998
Глупость несусветная. AVZ вычищает userinit от удаляемых хвостов вполне нормально
thyrex, я это написал.
в реале он знает о его значение и не удалит, а исправит на правильную даже если эту строчку не добавить)
 

Sfera

Куратор обучения
Ассоциация VN/VIP
VIP
Сообщения
6,312
Реакции
4,805
Баллы
753
Разработчики облегчают нам анализ логов и подготовку скриптов, но голову за нас они включать не будут, это удел каждого хелпера в отдельности. Доверяй утилитам, но проверяй, что копипастишь.
 

yanixoid

Активный пользователь
Сообщения
92
Реакции
4
Баллы
388
весьма и весьма полезная софтинка, единственное НО - добавляет по умолчанию строку ClearQuarantine; что не всегда нужно, ну как сказал(а) Sfera, доверяй но проверяй.
 

akok

Команда форума
Администратор
Сообщения
17,949
Реакции
13,562
Баллы
2,203
Обновил ссылку.
 

S.R

Ассоциация VN
Сообщения
727
Реакции
376
Баллы
453
beve, программа некорректно обрабатывает скрипт при следующем сценарии:
Имеется изначально скрипт
Код:
begin
 QuarantineFile('C:\1.dll','');
end.
В файле Shablon.txt имеются следующие изменения:
в секции [Functions] добавлена ф-ция AddLineToTxtFile после RegKeyParamWrite

в секции [AddFunctions] добавлены ф-ции
Код:
RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
После обработки получаем сообщение "Функцию CreateQurantineArchive() нужно запускать отдельным скриптом" и код
Код:
begin
 QuarantineFile('C:\1.dll','');
 RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
 AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');
end.
 
Сверху Снизу