Выделение известных файлов в логах AVZ зелёным цветом [Deleted]

Статус
В этой теме нельзя размещать новые ответы.

beve

Разработчик
Сообщения
103
Реакции
273
Баллы
458
Вот тут я не понял, можно привести наглядный пример?
Я имел ввиду что некая программа стоит не в том месте где нужно по желанию пользователя (ранее написал по ошибке по умолчанию, но по-умолчанию - это по "желанию автора" программы)

А в htm скорее всего придётся искать вхождение \system32\
это не сложно, но эту папку и вирус создать может в другом месте, а есть ли надежный файл, путь которого в логах всегда стабилен?

Не обязательно прописывать все подряд, а только десяток-другой, наиболее подвержённых подмене\маскировке.
Ну если так, то можно, правда, чтобы не было путаницы наверное лучше создать еще дополнительный файл-список, где будут прописаны файлы с путями?
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,590
Баллы
808
Я имел ввиду что некая программа стоит не в том месте где нужно по желанию пользователя (ранее написал по ошибке по умолчанию, но по-умолчанию - это по "желанию автора" программы)
Так пользовательские программы проверять и не нужно. :)
это не сложно, но эту папку и вирус создать может в другом месте, а есть ли надежный файл, путь которого в логах всегда стабилен?
Теоретически да, создать может, но так ли уж часто он её создаёт? Такой файл есть, это может быть любой из system32 или из Windows, например system32\ctfmon.exe или \explorer.exe, но опять-таки, его(их) может и не быть в логе. Разве что когда ты загружаешь лог htm скрыто загружать xml и читать ту строку с уже определённой переменной, а поскольку ты её дальше не используешь, то больше и не надо. Понимаю, что это небольшой изврат, но может другие ребята что подскажут?
Ну если так, то можно, правда, чтобы не было путаницы наверное лучше создать еще дополнительный файл-список, где будут прописаны файлы с путями?
Мысли о втором списке не понял, но если ты хочешь прописать полные пути, то это будет жёсткая привязка и окажется ещё хуже чем есть сейчас. Пример тому созданная вчера тема - Вопрос о системных папках

Нет, с xml не стоит возиться, в учебных заданиях её нет, нужно обходиться одним htm :(

Добавлено через 11 минут 21 секунду
Впринципе, если есть внимание, то можно отследить что зеленым выделен файл, который не "на своем месте", разве не так, правда, если базу чистых файлов составлять самому или же хорошо ознакомиться из этой (не большой) базой, что тоже на пользу.
Думаю, для студенческого внимания это действительно будет полезно. Вы правы. :good2:
 
Последнее редактирование:

qwer12

Активный пользователь
Сообщения
10
Реакции
7
Баллы
393
В логах AVZ, бывает меняется регист букв файла, например:
В "Списке процессов" - comproremote.exe, а в таблице "Автозапуска" - ComproRemote.exe
При внесении в список файла в виде comproremote.exe, в логах после обработки, окрашивается в зеленый цвет только comproremote.exe, а файл ComproRemote.exe - нет!;)
Возможно ли сделать, что-бы файлы обрабатывались, без учета регистра букв?:)
 

beve

Разработчик
Сообщения
103
Реакции
273
Баллы
458
К сведению всех. Изменилась программа, была полностью переработана, в связи с появлением новых предложений и идей.
Теперь стала доступной поддержка путей к системным папкам в именах файлах из шаблона.
Также есть другие изменения. Подробнее см. в первом посте этой темы.

P. S. Просьба ко всем не безразличным принять участие в тестировании программы и высказать свое мнение в связи с некоторыми изменениями.
 
Последнее редактирование:

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,590
Баллы
808
P. S. Просьба ко всем не безразличным принять участие в тестировании программы и высказать свое мнение в связи с некоторыми изменениями.
Бомба! :good2: Потестировал на проблемных логах, результат, поразительный! Очень понравилось решение с проверкой легальных директорий.

Только, не сочтите за дёрзость, я тут посвоевольничал над одним логом(у меня был подобный вопрос в своё время). Проверка IEXPLORE.EXE(вирус с таким файлом есть) когда он в разных папках показывает его зелёным независимо оттого в какой директории файл находится. Здесь вторая строка это его настоящее местоположение.
Код:
<TR bgColor="#ffc06d"><TD><a name="proc_432"></a>c:\windows\system32\IEXPLORE.EXE<br><font size=-2>Скрипт: <a href='Javascript:add_scr_k("c:\\windows\\system32\\IEXPLORE.EXE")'>Kарантин</a>,  <a href='Javascript:add_scr_d("c:\\windows\\system32\\IEXPLORE.EXE")'>Удалить</a>,  <a href='Javascript:add_scr_db("c:\\windows\\system32\\IEXPLORE.EXE")'>Удалить через BC</a>,  <a href='Javascript:add_scr_t("c:\\windows\\system32\\IEXPLORE.EXE")'>Завершить</a><TD>432<TD>Диспетчер задач Windows<TD>© Корпорация Майкрософт. Все права защищены.<TD>??<TD>163.50 кб, rsAh,<br>создан: 20.09.2008 15:58:12,<br>изменен: 20.09.2008 15:58:12<br>Командная строка: <BR>"C:\WINDOWS\system32\IEXPLORE.EXE" 
<TR bgColor="#ffc06d"><TD><a name="proc_432"></a>c:\program files\Internet Explorer\IEXPLORE.EXE<br><font size=-2>Скрипт: <a href='Javascript:add_scr_k("c:\\program files\\Internet Explorer\\IEXPLORE.EXE")'>Kарантин</a>,  <a href='Javascript:add_scr_d("c:\\program files\\Internet Explorer\\IEXPLORE.EXE")'>Удалить</a>,  <a href='Javascript:add_scr_db("c:\\program files\\Internet Explorer\\IEXPLORE.EXE")'>Удалить через BC</a>,  <a href='Javascript:add_scr_t("c:\\program files\\Internet Explorer\\IEXPLORE.EXE")'>Завершить</a><TD>432<TD>Диспетчер задач Windows<TD>© Корпорация Майкрософт. Все права защищены.<TD>??<TD>163.50 кб, rsAh,<br>создан: 20.09.2008 15:58:12,<br>изменен: 20.09.2008 15:58:12<br>Командная строка: <BR>"c:\program files\Internet Explorer\IEXPLORE.EXE"
Можно добавить в список чистых ещё
Код:
\\taskmgr.exe
А можно сделать так, чтобы после проверки, обработаный лог уже открывался в браузере? :)
 

beve

Разработчик
Сообщения
103
Реакции
273
Баллы
458
Только, не сочтите за дёрзость, я тут посвоевольничал над одним логом(у меня был подобный вопрос в своё время). Проверка IEXPLORE.EXE(вирус с таким файлом есть) когда он в разных папках показывает его зелёным независимо оттого в какой директории файл находится. Здесь вторая строка это его настоящее местоположение.
Да, я понял о чем идет речь. Дело в том, что файл IEXPLORE.EXE в списке файлов у нас указан без пути и поэтому будет выделятся везде, где будет найден - зеленым цветом. :( . Я понимаю, что это не есть гуд. И при создании программы думал об том, что может быть такой вариант. Выход я вижу только в одном, добавить в список имен файлов поддержку пути к папке Program Files, я думаю, что символ +, вполне может на это сгодится, тоесть будет так: +Internet Explorer\IEXPLORE.EXE. Символ + в данном случае будет указывать на Системный диск\Program Files. Хотя я и думаю, что файлов в Program Files папке будет добавлено не много, в основном из стандартными путями. Но в связи с этим есть уточняющий вопрос, какой хотелось бы учесть, прежде чем приступисть к делу или отказаться, были ли вами замечено за все время исследования логов AVZ, что папка Program Files находилась не на системном диске и сколько раз?

Только, не сочтите за дёрзость
А можно сделать так, чтобы после проверки, обработаный лог уже открывался в браузере?
Очень даже рад замечаниям и предложения. :) Поэтому предлагайте, что можно еще сделать, и какие есть недоработки, ибо я сам никак не смогу учесть все, без совета, критики и предложений.

Стосовно, открытия после обработки в браузере, то добавлю эту опцию в настройки. По этому поводу уточняющий вопрос, нужно ли в настройках попростить пользователя выбрать свой любимый браузер, или же открывать в браузере, который прописан по-умолчанию в системе, предполагая, что если у пользователя есть предпочтения стосовно какого-то браузера, то логично, что он поставить его по-умолчанию браузером?
Чего еще можно добавить в настройки?

Добавлено через 15 минут 42 секунды
Также, у меня задумано, чтобы светло-зеленым цветом подсвечивалиь только файлы без путей. Если кто то увидит баг, что при том, что файл находится в системных папках и к файлу есть весь путь, он всеравно подсвечивается светло-зеленым цветом просьба привести строчку из кода или ссылку на файл лог (если такое замечено в разделе - Задания планировщика задач Task Scheduler, то я пока думаю как тут решить, это не приводите. Также если путь не стандартный, имеется ввиду, что в пути есть 2 пути разделенные, например, точкой с запятой, это не приводите, наверное оно останется так.

Один такой момент я только что нашел, в записи в секции Порты. Причина - Статус LAST_ACK, я ранее не учитал, теперь в рабочей версии это исправлено.
Другой похожий баг возникал, если в пути или в имени файла имелись русские символы, в рабочей версии это тоже исправлено.
 
Последнее редактирование:

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,590
Баллы
808
Выход я вижу только в одном, добавить в список имен файлов поддержку пути к папке Program Files, я думаю, что символ +, вполне может на это сгодится, тоесть будет так: +Internet Explorer\IEXPLORE.EXE. Символ + в данном случае будет указывать на Системный диск\Program Files. Хотя я и думаю, что файлов в Program Files папке будет добавлено не много, в основном из стандартными путями.
Я решил этот вопрос так же как и вы высказали идею.
Код:
%programfiles%\Internet Explorer\IEXPLORE.EXE
Потом в процессе обработки переменная заменяется на правильный путь с учётом буквы диска. И в случае добавления в базу необходимых\проблемных файлов, можно указать %programfiles%\путь_к_файлу\имя_файла. Файлов действительно не много, пока что в списке только один этот файл. Просто + в начале имени, может запутать неискушенного пользователя, "А что это за значок такой, на что он указывает?"
Но в связи с этим есть уточняющий вопрос, какой хотелось бы учесть, прежде чем приступисть к делу или отказаться, были ли вами замечено за все время исследования логов AVZ, что папка Program Files находилась не на системном диске и сколько раз?
Если честно, ни видел ни разу. Если не ошибаюсь, то в 64-битной OS две папки Program Files одна вроде как с обычным именем, другая с припиской Program Files (86) за правильность отображения не ручаюсь, т.к. 64-битной оси у меня нет, друг как-то говорил, но то что этих папок две - точно. Но наверное это лишнее, т.к. AVZ вроде не работает на таких осях? По правде тоже не знаю.
нужно ли в настройках попростить пользователя выбрать свой любимый браузер, или же открывать в браузере, который прописан по-умолчанию в системе, предполагая, что если у пользователя есть предпочтения стосовно какого-то браузера, то логично, что он поставить его по-умолчанию браузером?
Чего еще можно добавить в настройки?
Думаю, вы правы, каждый пользователь сделает свой любимый браузер, браузером по умолчанию. Лучше пусть открывается в браузере по умолчанию. Иначе если у пользователя любимый браузер IE и больше нет никаких, то выбирарать один из одного будет неблагодарной работой. Если ещё можно, добавьте опцию, после анализа, чтобы программа закрывалась автоматически, как в ранних версиях.
 

beve

Разработчик
Сообщения
103
Реакции
273
Баллы
458
Внимание, обновилась программа.
Изменения:
• Добавлена поддержка директории Program Files.
• Добавлена поддержка обработки имен файлов-зловредов.
• Добавлена опция Настройки программы.
• Добавлены новые имена в файл-список с именами.
 

qwer12

Активный пользователь
Сообщения
10
Реакции
7
Баллы
393
Таблица Автозапуск

Зловредные файлы, без пути, которые были добавлены в Files.txt не окрашиваются в красный цвет с перечеркиванием.:eek:
 

beve

Разработчик
Сообщения
103
Реакции
273
Баллы
458
Зловредные файлы, без пути, которые были добавлены в Files.txt не окрашиваются в красный цвет с перечеркиванием.
Хорошее замечание. Исправлено!

Кстати, наcчет перечеркивания имени файла. Только сейчас заметил, что в обозревателе IE файл будет выделен красным, но не перечеркивается, так как в IE игнорируется тег <striкe>...</striкe>, посмотрел в инете - не рекомендуют использовать этот тег. В Mozille и Opere (в opere тоже вроде не отображалось перечеркивание, но это из за моей ошибки в тегах, уже исправлено) вроде работает, поэтому оставил, ибо какой то иной "наглядной" альтернативы пока не нашел.
 

aidoqa

Активный пользователь
Сообщения
1,137
Реакции
316
Баллы
463
возможно ли добавить данные файлы в список?
Код:
kbd101.dll
kbd101a.dll
logon.scr
mvfs32.dll
vgafix.fon
vgaoem.fon
vgasys.fon
 

S.R

Ассоциация VN
Сообщения
727
Реакции
376
Баллы
443
logon.scr
vgafix.fon
vgaoem.fon
vgasys.fon

не имеет смысла т.к. не обрабатываются эти расширения.


aidoqa, Вы сами можете добавить файлы в Files.txt
 

akok

Команда форума
Администратор
Сообщения
17,689
Реакции
13,481
Баллы
2,203
Информация
По просьбе автора перенес в открытый раздел.
 

beve

Разработчик
Сообщения
103
Реакции
273
Баллы
458
Обновил программу. Пока выложил для теста, для выявления "багов", поэтому просьба в файловый архив пока не отправлять. Все изменения сделаны по просьбе пользователя S.R.

P.S. При выявлении сбоев в работе программы просьба описать ситуацию, при которой возникла ошибка (саму ошибку "скриншотить" не нужно).
 
Последнее редактирование:

S.R

Ассоциация VN
Сообщения
727
Реакции
376
Баллы
443
beve, обнаружил только одну "неприятность":
Имеем 2 разных лога. Перетаскиваем один на иконку программы, он обрабатывается. Если мы захотим обработать второй файл - придётся закрывать программу, т.к. выходит сообщение о том, что программа уже запущена.
 

beve

Разработчик
Сообщения
103
Реакции
273
Баллы
458
обнаружил только одну "неприятность"
Это не неприятность, так задумано.

Перетаскиваем один на иконку программы, он обрабатывается. Если мы захотим обработать второй файл - придётся закрывать программу
Он не обрабатывается ведь полностью, а только открывается и нужно еще убедиться, что путь к папке "Windows" правильно определился и дальше нажать кнопку обработать. Быстрее не будет если запускать сразу 2 екземпляра программы, а вот если не хочеться закрывать программу после нажатия на кнопку обработать, то можно в настройках (правий клик по иконке в трее) выбрать действие после обработки - выход из программы.
 

mike 1

Активный пользователь
Сообщения
2,403
Реакции
927
Баллы
453
beve, добрый день, а можно попросить вас добавить в контекстное меню проводника следующее: "Обработать протокол АВЗ при помощи Анализатора"?
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу