Перейти к содержанию

Recommended Posts

akoK

:facepalm: уж лучше переименовали автокарантин virusinfo_cure.zip. Сколько лет просим...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
:facepalm: уж лучше переименовали автокарантин virusinfo_cure.zip. Сколько лет просим...

1. во что переименовать ?

2. как быть с тучей мест, где указано старое имя ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK
1. во что переименовать ?

2. как быть с тучей мест, где указано старое имя ?

О. Это радует.

1. Варианты будут позже, попробую найти архив обсуждения с VI.

2. Справка AVZ что ли? В остальных местах virusinfo_cure.zip легко заменяем.

3. Может стоит разделить тему, а то тема уходит в сторону от нового сервиса который анонсировал Илья.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK
1. во что переименовать ?

Как предложение virusinfo_autoquarantine.zip

Теперь перейдем к пункту 2. Какие проблемы тучами мест?

И наигрывается п.3 будет ли поправлена третья стандартная пилюля? А то запускать ее на x64 смысла нет, может стоит добавить проверку разрядности системы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
1. Как предложение virusinfo_autoquarantine.zip

2. Теперь перейдем к пункту 2. Какие проблемы тучами мест?

3. И наигрывается п.3 будет ли поправлена третья стандартная пилюля? А то запускать ее на x64 смысла нет, может стоит добавить проверку разрядности системы?

1. Не возражаю. Есть еще варианты/предложения/пожелания ? Если нет, то изменить не вопрос

2.1 На разных форумах, сайтах, инструкциях и т.п. есть упоминание старого имени файла. А так как у AVZ более миллиона активных юзеров, то даже доля процента с вопросом типа "у почему не создается файл xxx" создаст шквал обращений. Не смертельно, но тем не менее.

2.2 это попадет в AVZ через апдейт баз. Если пользователь не обновился - получит старое имя файла, обновился - новое. Мелочь, но тем не менее. По этому поводу есть мысль изменить методику распространения AVZ - вместо статического архива (обновляемого при выходе версии) сделать обновляемый скажем раз в 1-3 дня, с актуальными базами. Чтобы пользователь при скачивании архива всегда получал актуальную версию

3. Проверка разрядности там стоит (и автоматом выключается антируткит). Стоит другое поменять - в свете появления нового сервиса и бессмысленности "антивирусного сканирования" AVZ я думаю изменить пилюли 2-3, удалив из них сигнатурное сканирование ... точнее оно останется, но сканирвоаться будут только компоненты типа запущенных процессов, автозапуска и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Прекрасно. Думаю этап адаптации пройдет быстро и довольно безболезненно.

Может стоит вообще отказаться от сигнатурного детекта в AVZ? Это позволит уменьшить размер утилиты и разгрузить ресурсы для других задач. В дополнение к этому рассмотрите возможность объедения стандартных пилюль 2,3,7 в одну универсальную.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Прекрасно. Думаю этап адаптации пройдет быстро и довольно безболезненно.

Может стоит вообще отказаться от сигнатурного детекта в AVZ? Это позволит уменьшить размер утилиты и разгрузить ресурсы для других задач. В дополнение к этому рассмотрите возможность объедения стандартных пилюль 2,3,7 в одну универсальную.

Базы обновлены - можно пробовать. Имя будет virusinfo_autoquarantine_имяПК.zip

Про отаз от сигнатурного детекта я давно думаю. Толку значимого от него давно нет, да и базы я почти не обновляю, так как вместо сигнатурной сейчас ежедневно обновляется база эвристики по метаданным. Ресурсы оно не разгрузит, так как базы генерирует "кибер" на основнии накопленного опыта, ручного вмешательства пости не требуется. А вот на объем они сильно влияют - 4.1 мб из 6.7 мб общего объема баз занимают сигнатурные базы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK
Про отаз от сигнатурного детекта я давно думаю.

Это возможно организовать в текущей версии AVZ или необходимо ждать новую версию? Работа с полиморфной версией без сигнатурных баз позволяет сказать, что эффективность AVZ не теряется, а вот экономия трафика существенная.

Вернусь к старому разговору. Есть ли возможность добавить в логи AVZ список файлов созданных за период (например за последние 30 дней) которые не прошли по БД безопасных файлов AVZ. Как показала практика это позволяет выловить зловредов которых пропускает стандартное сканирование.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Обновил базы AVZ, провел сканирование. Был создан лог virusinfo_cure.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Обновил базы AVZ, провел сканирование. Был создан лог virusinfo_cure.zip

А сейчас ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Работает. Получил virusinfo_autoquarantine.zip.

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Работает. Получил virusinfo_autoquarantine.zip.

Спасибо.

Отлично, эту проблему решили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Базы обновлены - можно пробовать. Имя будет virusinfo_autoquarantine_имяПК.zip

сегодня делал стандартный скрипт №4 и получил имя архива в таком формате. Его тоже переименовали ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
сегодня делал стандартный скрипт №4 и получил имя архива в таком формате. Его тоже переименовали ?

Нет, имя файла для пилюли номер 4 осталось прежним (я просто не тот шаблон сначала по ошибке поменял, сейчас все поправлено).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Зайцев Олег в AVZ ver 4.35 одно из изменений было

[--] Исправлена проблема с форматирование даты и времени в протоколах (брались настройки форматирования

из системы, где они могут быть непредсказуемыми или поврежденными)

В xml логе формат даты у параметра MainDBDate по прежнему выводится в том же формате, как настройки системы. Нельзя ли это исправить. Лог с примером.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Зайцев Олег в AVZ ver 4.35 одно из изменений было

В xml логе формат даты у параметра MainDBDate по прежнему выводится в том же формате, как настройки системы. Нельзя ли это исправить. Лог с примером.

Да, есть такой глюк. Исправил

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Да, есть такой глюк. Исправил

Тоесть исправление придёт с обновлением баз ? Пока всё по старому. Заодно хочу спросить, а почему всегда MainDBDate="30.12.1899" в логах AVPtool ? Если я правильно понимаю этот параметр должен равняться дате скачивания утилиты. Если нужно лог в качестве примера.

А также хочется попросить, чтобы в следующих версиях AVZ в XML лог добавлялась информация о .job файлах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Тоесть исправление придёт с обновлением баз ? Пока всё по старому. Заодно хочу спросить, а почему всегда MainDBDate="30.12.1899" в логах AVPtool ? Если я правильно понимаю этот параметр должен равняться дате скачивания утилиты. Если нужно лог в качестве примера.

А также хочется попросить, чтобы в следующих версиях AVZ в XML лог добавлялась информация о .job файлах.

Исправление в коде, через обнволение баз не придет.

MainDBDate="30.12.1899" говорит о том, что сигнатурная база AVZ в AVPTool не используется, с датой загрузки утилиты это не связано

О JOB файлах информация добавляется, но только в Vista+ не все данные туда попадают. Это уже исправлено ... но есть момент - если JOB содержит что-то типа "cmd.exe /c cmd.exe regedit.exe ..." - то раскрутка будет идти до первого отличного от cmd.exe исполняемого файла, он оказывается легитимным и запись отфильтровывается из лога

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
MainDBDate="30.12.1899" говорит о том, что сигнатурная база AVZ в AVPTool не используется, с датой загрузки утилиты это не связано

я думал, что этот дата обновления баз AVZ (у KVRT дата обновления вирусных баз и баз AVZ как я понимаю равна дате скачивания утилиты, вот и предположил что должно равняться дате скачивания).

О JOB файлах информация добавляется

наверно речь снова идёт о будущей версии ? (на всякий случай поясню имею ввиду вывод в лог xml информации о файлах типа: C:\WINDOWS\tasks\At1.job)

если JOB содержит что-то типа "cmd.exe /c cmd.exe regedit.exe ..."

а случай описанный здесь тоже предусмотрен ?

 ВХo‘ПГMЂ$ЖРЂ‹чF  < s  €!Ъ   ! C : \ W I N D O W S \ s y s t e m 3 2 \ r u n d l l 3 2 . e x e 0 " C : \ W I N D O W S \ s y s t e m 3 2 \ k h f g h E w x . d l l " , A d d R e f A c t C t x  5=8A  Ђ  0 Ч  Щ * <  

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

После отправки карантина, Опера выбрасывает страницу 413 Request Entity Too Large

Что за ошибка?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
После отправки карантина, Опера выбрасывает страницу 413 Request Entity Too Large

Что за ошибка?

Размер слишком велик для приема сервером. Какой размер получился у карантина ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Зип архив в папке Log на 70мб

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Зип архив в папке Log на 70мб

На мой сайт такой не пролезет, на http://virusinfo.info/virusdetector/ должен (у меня пролезает до 20, virusdetector - до 80-100 мб)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Блин, и туда показало 413 Request Entity Too Large :huh:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Блин, и туда показало 413 Request Entity Too Large :huh:

А если через другой браузер ? Не исключено, что Opera как-то мудрено передает файл

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      1) По поводу команды: Сбросить атрибуты для все файлов/каталогов в... Это не работает, если не заданы: Группы или пользователи. т.е. нужно проверить не пуст ли список... Если пуст:  прописать пользователя. И только после этого можно сбросить атрибуты... 2) При проверке ЭЦП по F6 ... Если неполадки с сетевым оборудованием, или службами отвечающими за доступ к сети... uvS видит: Сеть есть... и начинает проверять файлы. А по сути сети нет. т.е. здесь нужен таймер.: Если в течении определённого времени нет результата - то проверять ЭЦП локально ( с соответствующей записью в Лог )   Не ждать, как сейчас 100 500 часов. 3)  Проверка занимает излишне много времени в ситуации: Ошибка  [Не удается построить цепочку сертификатов для доверенного корневого центра. ]
      Ошибка  [Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. ] uVS натыкается на такой файл и думает... думает...
    • PR55.RP55
      1) Если оператор применил фильтр  [V]  Известные. То при применении команды: F6   проверять только оставшиеся в списке файлы. Это на порядок ускорит проверку.  Нужно проверить всё ? Сними чек-бокс.  
    • PR55.RP55
      В Инфо. указывать не только время создания\изменения файла но и время создания... Пример:  Система Установлена 2018  > Каталог создан в 2020, а файл в каталоге  2021  
    • santy
      как только заработает функция "выполнить запрос по критерию" - все отфильтрованные объекты будут на виду у оператора, и скорее всего, помещены в отдельную категорию. Кстати, всех участников данного форума (помимо проходящих мимо спамеров) поздравляю с Новым 2021 годом!
    • PR55.RP55
      1) Добавить в settings.ini  настройку: "Выделять все неизвестные ЭЦП" Таким образом все ЭЦП которых нет в базе:  wdsl будут на виду. Это  позволит пополнять базу wdsl и сразу акцентировать внимание оператора. 2) Добавить в settings.ini  настройку: Все файлы с неизвестной ЭЦП  помечать, как подозрительные. Или создать отдельную категорию: "Неизвестные ЭЦП" 3) В Инфо. файла помещать информацию типа: Действительна, подписано CAVANAGH NETS LIMITED Найдено файлов: 1 wdsl   [ - ] --------------- Действительна, подписано Mozilla Corporation Найдено файлов: 80 wdsl   [ + ]  
×