Jump to content

Zaitsev Oleg

KL Russia
  • Content Count

    444
  • Joined

  • Last visited

Everything posted by Zaitsev Oleg

  1. Предлагаю протестировать две новые функции: begin AddToLog('UserName = ' + GetUserName); end. Данная функция возвращает текущее имя пользователя, под которым запущен AVZ var UserInfo : TStringList; begin UserInfo := TStringList.Create; GetUserInfo('', UserInfo); AddToLog(UserInfo.Text); UserInfo.Free; end. Соответственно GetUserInfo формирует ассоциативный массив с различными данными по пользователю ПК с заданным в первом параметре именем. Если первый параметр равен пустой строке, то автоматически подставляется имя текущего пользователя, под которым запущен AVZ. Имена параметров совпадают с их именами в структурах MSDN, наиболее полезный из них usri1_password_age, который показывает, как давно последний раз пользователь менял свой пароль (описание параметров см. https://docs.microsoft.com/en-us/windows/desktop/api/lmaccess/ns-lmaccess-_user_info_2)
  2. Пофиксил, версия обновлена. Я сделал возможность управлять всеми аспектами создания логов, но это негативно повлияло на совместимость... Сейчас все должно работать как положено.
  3. Эвристика на этот случай и на шелл-код через powershell добавлены, версия 5.14 содержит окончательный вариант
  4. Добавлено, начиная с версии 5.14, в функции ExecuteSysCheckEx https://z-oleg.com/secur/avz_doc/index.html?script_executesyscheckex.htm два новых бита добавлено в маску ARepParams : 128 - переключает HTML лог в режим UNICODE 256 - переключает XML лог в режим UNICODE Оба бита пока недокументированы, но работают. Пример: begin ExecuteSysCheckEX('d:\avz_rep.htm', $FFFFFFFF, true, 1+4+128+256); end.
  5. Да, именно из-за юникода и сломалось. Я поправил, в версии 5.14 все должно работать как положено
  6. Там добавлена поддержка сохранения логов в юникоде. Сейчас посмотрю, что могло поломаться
  7. Посмотрел, это глюк, я подрегулировал парсер. HiJackThis вывел как есть, AVZ попробовал определить имя исполняемого файла... базы AVZ4 и AVZ5 обновлены
  8. Спасибо, на выходных эвристику сделаю на этот счет (там вызов легитимного task.exe, который получает через командную строчку скрипт)
  9. Есть возможность на проблемном ПК выгрузить ветку реестра с настройкой отладчиков процессов для изучения ? Я подозреваю, почему это так - если C:\windows\system32\cmd.exe является системным процессом и не имеет параметров (как в примере лога), то AVZ его не покажет. Там в эвристике есть такая блокировка, если отладчиком является известный легитимный EXE, то он не выводится в списке подозрений. По этой причине, в частности, не отображаются легитимные диспетчеры процессов, калькуляторы и т.п., заменяющие системные через механизм дебаггеров.
  10. Согласен, с вредительством нужно бороться. Я упростил инструкцию и сделал ее более подробной - см. https://z-oleg.com/secur/avz_doc/index.html?script_deleteschedulertask.htm Так пойдет ?
  11. Будет конечно - вот справка по этой функции: https://z-oleg.com/secur/avz_doc/index.html?script_deleteschedulertask.htm
  12. Глюк исправлен. Это не проблема AVZ, системная проблема с генератором баз. Генератор баз переделан, проблема больше не должна повториться.
  13. Базы обновлены. Они же у 5.xx и 4.xx разные, вот в 4.xx обновление базы локализации и не попало. Я подправил этот косяк с формированием баз, в соседней ветке с анализом ключей автозапуска в 5.xx проблема была с этим же связана.
  14. Проблема поймана, она была не в самой версии, при сборке итоговой утилиты не та база попадала, что нужно. И в результате был глюк с детектором подозрительных элементов автозапуска, отсутствующий на тестах ... в версии 5.12 этот глюк исправлен, и подобные элементы должны выделяться красным в логе как положено, просьба проверить это.
  15. Обновил версию EXE и базы, отладчик процесса sethc.exe и utilman.exe должен на подозрение браться с гарантией
  16. Я в курсе ошибки, сейчас идет ее исправление. Видимо, какой-то сбой в версии 5x
  17. Хитрая ситуация, весьма - хорошо, что строка была через буфер вставлена. Строка: www.exinariuminix.info является не тем,чем кажется визуально ! там первая точка на самом деле не точка (т.е. символ с кодом 0x23, а юникодный символ с кодом 0xFEFF). Вторая точка - обычная. В эвристике реакции на URL прописана маска "www." - вот она и не сработала. А если эвристика не срабатывает, то AVZ считает такой путь запуском легитимной утилиты cmd.exe и не рассматривает далее. Сейчас исправлю такую реацию
  18. Очень странно, сейчас попробую воспроизвести
  19. Фокус в том, что AVZ считает опасными не все отладчики, а только для системных процессов, где это опасно и нестандартно. Отладчики из первого поста - это блокиратор читов по именам исполняемых файлов, не опасно. А вот: O26 - Debugger: HKLM\..\magnify.exe: [Debugger] = C:\windows\system32\cmd.exe O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe не проверялись, что не верно. Воспроизвел, исправил, базы обновлены
  20. Если есть разделы, которые следует актуализировать - предлагаю по каждому сделать в этом разделе тему типа "Справка AVZ: пожелания по разделу xxx" - постараюсь это учесть по максимуму при переработке справки (а отдельными темами лучше потому, что после доработки можно обсудить результат и если все нормально, закрыть соответствующую тему)
  21. Я учел это при доработке справки, раздел актуализирован
  22. Ложно срабатывание. Оно идет на http://z-oleg.com/avz4.zip или на редактор скриптов http://z-oleg.com/avz_se5.zip , пошло сегодня с утра. Причем кроме " Google Safebrowsing" на VirusTotal никто на архив не ругается, архивы эти лежат давно. В чем логика срабатывания и на чем она основана - пока загадка, так как SearchConsole от Гугла по сайту показывает, что архив с AVZ, возможно содержит вредоносное или нежелательное ПО, но что там конкретно "вредоносного или нежелательного" - неясно. На https://safebrowsing.google.com/safebrowsing/report_error/?hl=ru я написал про ложный детект, желающие могут продублировать ..
  23. Есть мысли, что с этим делать ? Можно конечно через каждые N символов автоматом вставлять перенос при формировании лога, но это тоже не совсем правильно.
  24. Принимается, попробую в новой такое реализовать.
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.