Jump to content
Sign in to follow this  
thyrex

CheckFile

Recommended Posts

Олег, функция CheckFile сравнивает MD5 файла с хэшем в оригинальном образе (например, SP3) без всяких обновлений?

Share this post


Link to post
Олег, функция CheckFile сравнивает MD5 файла с хэшем в оригинальном образе (например, SP3) без всяких обновлений?

Мы говорим вот об этой функции - http://z-oleg.com/secur/avz_doc/script_checkfile.htm ? Если да, то суть вопроса мне не понятна. В общем-то в описании функции ни о каком сравнении MD5 речи не идет, и как следствие его там нет ... а есть проверка по базам чистых AVZ и по базе MS). В теории если SP и обновления устанавливаются штатным образом, и каталог безопасности MS не поврежден - то все системные файлы должны по нему опознаться без проблем. Если речь идет о всевозможных самосборках, либо о нестандартной установке апдейтов, либо о случае применения твикеров (которые патчат системные файлы) - то там может быть что угодно.

Share this post


Link to post

Вопрос связан со следующим

 

Имеется файл sfcfiles.dll

MD5: 762C07BED14131116A8954F0F3C299EF

Размер: 1 571 840

Дата: 24.08.2008

не проходит по базе безопасных, но не копируется в архив подозрительных

 

Имеется файл explorer.exe

MD5: E21D01DB00EFE691CC2FC8CB0FBB7701

Размер: 1 034 240

Дата: 24.08.2008

проходит по базе безопасных

 

Проверку подлинности Windows XP SP3 при скачивании обновлений через IE проходит

Edited by thyrex

Share this post


Link to post

В такой ситуации стоит произвести дополнительные опыты. А именно:

1. AVZ меню Файл\Сервис - там проверить каждый из файлов сначала по базе безопасных, потом - по каталогу безопасности MS (в этих менюшках проверка идет раздельно - и как следствие по сообщениям можно понять, опознался файл по моей базе или по каталогу безопасности MS)

2. Где именно в логе виден первый файл ?

 

Я параллельно произвел подобный опыт у себя, и он показал следующее:

E21D01DB00EFE691CC2FC8CB0FBB7701 есть в базе чистых AVZ, в эталонной установке XP SP3 отсутствует, есть в карантинах "кибера" с 7.09.09

762C07BED14131116A8954F0F3C299EF в базе чистых AVZ не не значится, в эталонной установке XP SP3 отсутствует, есть в карантинах "кибера" от 26.03.10

Share this post


Link to post
2. Где именно в логе виден первый файл ?
Простая проверка CheckFile('полный путь к sfcfiles.dll') = 3 дает такой результат Edited by thyrex

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.