Перейти к содержанию

Recommended Posts

akoK

:facepalm: уж лучше переименовали автокарантин virusinfo_cure.zip. Сколько лет просим...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
:facepalm: уж лучше переименовали автокарантин virusinfo_cure.zip. Сколько лет просим...

1. во что переименовать ?

2. как быть с тучей мест, где указано старое имя ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK
1. во что переименовать ?

2. как быть с тучей мест, где указано старое имя ?

О. Это радует.

1. Варианты будут позже, попробую найти архив обсуждения с VI.

2. Справка AVZ что ли? В остальных местах virusinfo_cure.zip легко заменяем.

3. Может стоит разделить тему, а то тема уходит в сторону от нового сервиса который анонсировал Илья.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK
1. во что переименовать ?

Как предложение virusinfo_autoquarantine.zip

Теперь перейдем к пункту 2. Какие проблемы тучами мест?

И наигрывается п.3 будет ли поправлена третья стандартная пилюля? А то запускать ее на x64 смысла нет, может стоит добавить проверку разрядности системы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
1. Как предложение virusinfo_autoquarantine.zip

2. Теперь перейдем к пункту 2. Какие проблемы тучами мест?

3. И наигрывается п.3 будет ли поправлена третья стандартная пилюля? А то запускать ее на x64 смысла нет, может стоит добавить проверку разрядности системы?

1. Не возражаю. Есть еще варианты/предложения/пожелания ? Если нет, то изменить не вопрос

2.1 На разных форумах, сайтах, инструкциях и т.п. есть упоминание старого имени файла. А так как у AVZ более миллиона активных юзеров, то даже доля процента с вопросом типа "у почему не создается файл xxx" создаст шквал обращений. Не смертельно, но тем не менее.

2.2 это попадет в AVZ через апдейт баз. Если пользователь не обновился - получит старое имя файла, обновился - новое. Мелочь, но тем не менее. По этому поводу есть мысль изменить методику распространения AVZ - вместо статического архива (обновляемого при выходе версии) сделать обновляемый скажем раз в 1-3 дня, с актуальными базами. Чтобы пользователь при скачивании архива всегда получал актуальную версию

3. Проверка разрядности там стоит (и автоматом выключается антируткит). Стоит другое поменять - в свете появления нового сервиса и бессмысленности "антивирусного сканирования" AVZ я думаю изменить пилюли 2-3, удалив из них сигнатурное сканирование ... точнее оно останется, но сканирвоаться будут только компоненты типа запущенных процессов, автозапуска и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Прекрасно. Думаю этап адаптации пройдет быстро и довольно безболезненно.

Может стоит вообще отказаться от сигнатурного детекта в AVZ? Это позволит уменьшить размер утилиты и разгрузить ресурсы для других задач. В дополнение к этому рассмотрите возможность объедения стандартных пилюль 2,3,7 в одну универсальную.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Прекрасно. Думаю этап адаптации пройдет быстро и довольно безболезненно.

Может стоит вообще отказаться от сигнатурного детекта в AVZ? Это позволит уменьшить размер утилиты и разгрузить ресурсы для других задач. В дополнение к этому рассмотрите возможность объедения стандартных пилюль 2,3,7 в одну универсальную.

Базы обновлены - можно пробовать. Имя будет virusinfo_autoquarantine_имяПК.zip

Про отаз от сигнатурного детекта я давно думаю. Толку значимого от него давно нет, да и базы я почти не обновляю, так как вместо сигнатурной сейчас ежедневно обновляется база эвристики по метаданным. Ресурсы оно не разгрузит, так как базы генерирует "кибер" на основнии накопленного опыта, ручного вмешательства пости не требуется. А вот на объем они сильно влияют - 4.1 мб из 6.7 мб общего объема баз занимают сигнатурные базы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK
Про отаз от сигнатурного детекта я давно думаю.

Это возможно организовать в текущей версии AVZ или необходимо ждать новую версию? Работа с полиморфной версией без сигнатурных баз позволяет сказать, что эффективность AVZ не теряется, а вот экономия трафика существенная.

Вернусь к старому разговору. Есть ли возможность добавить в логи AVZ список файлов созданных за период (например за последние 30 дней) которые не прошли по БД безопасных файлов AVZ. Как показала практика это позволяет выловить зловредов которых пропускает стандартное сканирование.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Обновил базы AVZ, провел сканирование. Был создан лог virusinfo_cure.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Обновил базы AVZ, провел сканирование. Был создан лог virusinfo_cure.zip

А сейчас ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Работает. Получил virusinfo_autoquarantine.zip.

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Работает. Получил virusinfo_autoquarantine.zip.

Спасибо.

Отлично, эту проблему решили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Базы обновлены - можно пробовать. Имя будет virusinfo_autoquarantine_имяПК.zip

сегодня делал стандартный скрипт №4 и получил имя архива в таком формате. Его тоже переименовали ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
сегодня делал стандартный скрипт №4 и получил имя архива в таком формате. Его тоже переименовали ?

Нет, имя файла для пилюли номер 4 осталось прежним (я просто не тот шаблон сначала по ошибке поменял, сейчас все поправлено).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Зайцев Олег в AVZ ver 4.35 одно из изменений было

[--] Исправлена проблема с форматирование даты и времени в протоколах (брались настройки форматирования

из системы, где они могут быть непредсказуемыми или поврежденными)

В xml логе формат даты у параметра MainDBDate по прежнему выводится в том же формате, как настройки системы. Нельзя ли это исправить. Лог с примером.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Зайцев Олег в AVZ ver 4.35 одно из изменений было

В xml логе формат даты у параметра MainDBDate по прежнему выводится в том же формате, как настройки системы. Нельзя ли это исправить. Лог с примером.

Да, есть такой глюк. Исправил

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Да, есть такой глюк. Исправил

Тоесть исправление придёт с обновлением баз ? Пока всё по старому. Заодно хочу спросить, а почему всегда MainDBDate="30.12.1899" в логах AVPtool ? Если я правильно понимаю этот параметр должен равняться дате скачивания утилиты. Если нужно лог в качестве примера.

А также хочется попросить, чтобы в следующих версиях AVZ в XML лог добавлялась информация о .job файлах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Тоесть исправление придёт с обновлением баз ? Пока всё по старому. Заодно хочу спросить, а почему всегда MainDBDate="30.12.1899" в логах AVPtool ? Если я правильно понимаю этот параметр должен равняться дате скачивания утилиты. Если нужно лог в качестве примера.

А также хочется попросить, чтобы в следующих версиях AVZ в XML лог добавлялась информация о .job файлах.

Исправление в коде, через обнволение баз не придет.

MainDBDate="30.12.1899" говорит о том, что сигнатурная база AVZ в AVPTool не используется, с датой загрузки утилиты это не связано

О JOB файлах информация добавляется, но только в Vista+ не все данные туда попадают. Это уже исправлено ... но есть момент - если JOB содержит что-то типа "cmd.exe /c cmd.exe regedit.exe ..." - то раскрутка будет идти до первого отличного от cmd.exe исполняемого файла, он оказывается легитимным и запись отфильтровывается из лога

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
MainDBDate="30.12.1899" говорит о том, что сигнатурная база AVZ в AVPTool не используется, с датой загрузки утилиты это не связано

я думал, что этот дата обновления баз AVZ (у KVRT дата обновления вирусных баз и баз AVZ как я понимаю равна дате скачивания утилиты, вот и предположил что должно равняться дате скачивания).

О JOB файлах информация добавляется

наверно речь снова идёт о будущей версии ? (на всякий случай поясню имею ввиду вывод в лог xml информации о файлах типа: C:\WINDOWS\tasks\At1.job)

если JOB содержит что-то типа "cmd.exe /c cmd.exe regedit.exe ..."

а случай описанный здесь тоже предусмотрен ?

 ВХo‘ПГMЂ$ЖРЂ‹чF  < s  €!Ъ   ! C : \ W I N D O W S \ s y s t e m 3 2 \ r u n d l l 3 2 . e x e 0 " C : \ W I N D O W S \ s y s t e m 3 2 \ k h f g h E w x . d l l " , A d d R e f A c t C t x  5=8A  Ђ  0 Ч  Щ * <  

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

После отправки карантина, Опера выбрасывает страницу 413 Request Entity Too Large

Что за ошибка?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
После отправки карантина, Опера выбрасывает страницу 413 Request Entity Too Large

Что за ошибка?

Размер слишком велик для приема сервером. Какой размер получился у карантина ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Зип архив в папке Log на 70мб

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Зип архив в папке Log на 70мб

На мой сайт такой не пролезет, на http://virusinfo.info/virusdetector/ должен (у меня пролезает до 20, virusdetector - до 80-100 мб)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Блин, и туда показало 413 Request Entity Too Large :huh:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Блин, и туда показало 413 Request Entity Too Large :huh:

А если через другой браузер ? Не исключено, что Opera как-то мудрено передает файл

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal - https://habr.com/post/346480/ Цитаты из статьи "Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)" "6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным." "современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

      То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!"
    • Dima2_90
      Ad-Aware --------- https://www.adaware.com/support/securitycenter/report_false_positives.php  Antiy-AVL --------- [email protected] Avast --------------- https://www.avast.ru/false-positive-file-form.php AVG ---------------- https://www.avg.com/ru-ru/false-positive-file-form Avira --------------- https://analysis.avira.com/en/submit BitDefender -------- https://www.bitdefender.com/submit/ ClamAV ------------ http://www.clamav.net/reports/fp DrWeb ------------- https://vms.drweb.ua/sendvirus ESET-NOD32 ------- https://www.esetnod32.ru/support/knowledge_base/new_virus/ Kaspersky --------- https://virusdesk.kaspersky.ru/ Microsoft ---------- https://www.microsoft.com/en-us/wdsi/filesubmission NANO-Antivirus ---- http://nanoav.ru/index.php?option=com_content&view=article&id=15&Itemid=83&lang=ru Symantec ---------- https://submit.symantec.com/false_positive/
    • Липковский Борис
      Вдруг понадобится, спасибо за информацию.
    • Липковский Борис
      Я собираю с разных стран магнитики. Это очень круто.
    • Липковский Борис
      Каждый находит свое увлечение.Заработок зависит от работы которую ты умеешь делать на отлично. Самое главное если есть время.
×