Jump to content

Zaitsev Oleg

KL Russia
  • Content Count

    444
  • Joined

  • Last visited

About Zaitsev Oleg

  • Rank
    Developer

Recent Profile Visitors

4,594 profile views
  1. Предлагаю протестировать две новые функции: begin AddToLog('UserName = ' + GetUserName); end. Данная функция возвращает текущее имя пользователя, под которым запущен AVZ var UserInfo : TStringList; begin UserInfo := TStringList.Create; GetUserInfo('', UserInfo); AddToLog(UserInfo.Text); UserInfo.Free; end. Соответственно GetUserInfo формирует ассоциативный массив с различными данными по пользователю ПК с заданным в первом параметре именем. Если первый параметр равен пустой строке, то автоматически подставляется имя текущего пользователя, под которым запущен AVZ. Имена параметров совпадают с их именами в структурах MSDN, наиболее полезный из них usri1_password_age, который показывает, как давно последний раз пользователь менял свой пароль (описание параметров см. https://docs.microsoft.com/en-us/windows/desktop/api/lmaccess/ns-lmaccess-_user_info_2)
  2. Пофиксил, версия обновлена. Я сделал возможность управлять всеми аспектами создания логов, но это негативно повлияло на совместимость... Сейчас все должно работать как положено.
  3. Эвристика на этот случай и на шелл-код через powershell добавлены, версия 5.14 содержит окончательный вариант
  4. Добавлено, начиная с версии 5.14, в функции ExecuteSysCheckEx https://z-oleg.com/secur/avz_doc/index.html?script_executesyscheckex.htm два новых бита добавлено в маску ARepParams : 128 - переключает HTML лог в режим UNICODE 256 - переключает XML лог в режим UNICODE Оба бита пока недокументированы, но работают. Пример: begin ExecuteSysCheckEX('d:\avz_rep.htm', $FFFFFFFF, true, 1+4+128+256); end.
  5. Да, именно из-за юникода и сломалось. Я поправил, в версии 5.14 все должно работать как положено
  6. Там добавлена поддержка сохранения логов в юникоде. Сейчас посмотрю, что могло поломаться
  7. Посмотрел, это глюк, я подрегулировал парсер. HiJackThis вывел как есть, AVZ попробовал определить имя исполняемого файла... базы AVZ4 и AVZ5 обновлены
  8. Спасибо, на выходных эвристику сделаю на этот счет (там вызов легитимного task.exe, который получает через командную строчку скрипт)
  9. Есть возможность на проблемном ПК выгрузить ветку реестра с настройкой отладчиков процессов для изучения ? Я подозреваю, почему это так - если C:\windows\system32\cmd.exe является системным процессом и не имеет параметров (как в примере лога), то AVZ его не покажет. Там в эвристике есть такая блокировка, если отладчиком является известный легитимный EXE, то он не выводится в списке подозрений. По этой причине, в частности, не отображаются легитимные диспетчеры процессов, калькуляторы и т.п., заменяющие системные через механизм дебаггеров.
  10. Согласен, с вредительством нужно бороться. Я упростил инструкцию и сделал ее более подробной - см. https://z-oleg.com/secur/avz_doc/index.html?script_deleteschedulertask.htm Так пойдет ?
  11. Будет конечно - вот справка по этой функции: https://z-oleg.com/secur/avz_doc/index.html?script_deleteschedulertask.htm
  12. Глюк исправлен. Это не проблема AVZ, системная проблема с генератором баз. Генератор баз переделан, проблема больше не должна повториться.
  13. Базы обновлены. Они же у 5.xx и 4.xx разные, вот в 4.xx обновление базы локализации и не попало. Я подправил этот косяк с формированием баз, в соседней ветке с анализом ключей автозапуска в 5.xx проблема была с этим же связана.
  14. Проблема поймана, она была не в самой версии, при сборке итоговой утилиты не та база попадала, что нужно. И в результате был глюк с детектором подозрительных элементов автозапуска, отсутствующий на тестах ... в версии 5.12 этот глюк исправлен, и подобные элементы должны выделяться красным в логе как положено, просьба проверить это.
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.