Jump to content
RETRO83

Вопрос по функционалу.

Recommended Posts

Добрый день.

Есть ли возможность через SE запилить следующее.

1) Имеется тхт(например) файл со списком MD5. Хотелось бы, чтобы AVZ прошерстил файлы в указанных местах(например, профиль, корень и сис32) и при совпадении сумм копировал эти файлы к отчету?

2) Чтение первых двух байтов файлов по тем же папкам и если имеем 'MZ' (4Dh, 5Ah), а по факту сам файл не ЕХЕ, то и их скопировать?

3) Возможно ли по средствам скрипта запустить внешний файл, HiJack, для получения до кучи и его отчета?

Спасибо.

Share this post


Link to post
Добрый день.

Есть ли возможность через SE запилить следующее.

1) Имеется тхт(например) файл со списком MD5. Хотелось бы, чтобы AVZ прошерстил файлы в указанных местах(например, профиль, корень и сис32) и при совпадении сумм копировал эти файлы к отчету?

2) Чтение первых двух байтов файлов по тем же папкам и если имеем 'MZ' (4Dh, 5Ah), а по факту сам файл не ЕХЕ, то и их скопировать?

3) Возможно ли по средствам скрипта запустить внешний файл, HiJack, для получения до кучи и его отчета?

Спасибо.

1. Это крайне просто, есть готовый пример - http://z-oleg.com/secur/avz_doc/scr_demo_scanner.htm (там база хешей берется из TXT файла, поиск ведется в заданных папках, с функционалом удаления найденных файлов и

последующей чистки системы)

2. Для этого следует применить сигнатурный сканер AVZ, вот пример - http://z-oleg.com/secur/avz_doc/script_searchsignexample.htm, в случае с MZ код будет иметь вид:

LoadFileToBufferEx(AFileName, 0, 16);
if SearchSign('4D 5A',0, 1) >= 0 then begin
// Это EXE
end;
FreeBuffer;

В данном случае я применяю LoadFileToBufferEx и указываю, что загружаются первые 16 байт - больше для анализа и не нужно. Можно было также написать

LoadFileToBufferEx(AFileName, 0, 16);
if (GetBufferByte(0) = $4D) and (GetBufferByte(1) = $5A) then begin
// Это EXE
end;
FreeBuffer;

3. http://z-oleg.com/secur/avz_doc/script_executefile.htm - запуск приложения, если требуется, может дождаться его завершения.

Share this post


Link to post

Большое спасибо.

А как правильно организовать копирование найденных файлов в п.1 и 2 в виде "как есть"?

Share this post


Link to post
Большое спасибо.

А как правильно организовать копирование найденных файлов в п.1 и 2 в виде "как есть"?

Копирование куда ? Если просто по какому-то своему алгоритму, то функция CopyFile (http://z-oleg.com/secur/avz_doc/script_copyfile.htm). Или http://z-oleg.com/secur/avz_doc/script_quarantinefile.htm - эта функция копирует в карантин AVZ, при этом имеется улучшенная методика копирования блокированных на чтение файлов и автоматически отсекаются повторы.

Share this post


Link to post

Спасибо. Все работает.

В случае поиска по MZ можно ли исключить из результатов dll и тд...ну и сами ехе?

Share this post


Link to post
Спасибо. Все работает.

В случае поиска по MZ можно ли исключить из результатов dll и тд...ну и сами ехе?

Можно - скрипт язык AVZ позволяет реализовывать сложную логику, соответственно после нахождения подходящего под критерии файла можно сделать любые проверки с целью принятия решения, что дальше с ним делать.

Share this post


Link to post

такой вопрос

 

в разделе Модули пространства ядра

 

есть часто много вот такой хрени

C:\Temp\31A4EDF90AAF6A.sys

C:\Temp\31A5115D8AAE72.sys

C:\Temp\BA9B6B70-43A2F64C-9A39F5AC-FC1A2114\a4a0f7576d0841.sys

 

в карантине потом

 

[infectedFile]

Src=\??\C:\Temp\A4A102FC595D40.sys

Infected=bcqr00001.dat

Virus=BootCleaner quarantine

Size=0

CopyStatus=C0000034

 

че оно такое, если оно нулевых размеров и откуда оно лезет

Share this post


Link to post
че оно такое, если оно нулевых размеров и откуда оно лезет
это
вот такой хрени
и лезет оно соответственно в/из
хрени

 

 

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.