Парсер логов AVZ

Парсер логов AVZ 3.1.0

Парсер AVZ

Парсер AVZ - предназначен для автоматического анализа логов на основе имеющихся баз и эвристик. Описание баз можно найти в справке. Использование программы раcсчитано на пользователя имеющего представления о системных процессах, файлах и имеющих опыт в анализе логов и написании скриптов AVZ.

Перед тем как запустить скрипт обязательно просмотрите его и убедитесь в отсутствии фолсов если таковые будут, а также при необходимости дополните ответ. Важно помнить, что парсер AVZ не панацея, а скорее помощник в рутинном анализе лога, он не обязан находить всё и безошибочно. За возможные неправильные удаления вследствие применения непроверенного скрипта, автор парсера отвественности не несёт.

Использование:
Открыть или перетащить логи в окно программы, нажать кнопку Анализировать, после окончания анализа будут сформированы рекомендации и скрипт если будут обнаружены зловреды.
Примечание: В некоторых случаях можно встретить ошибку загрузки лога, это не является ошибкой парсера, скорее всего такой лог "битый", чаще всего это лог .xml. Коды популярных ошибок и способы исправления указаны в справке. Для автоматического исправления таких логов рекомендуется использовать утилиту AVZ Logs Fixer написаную Dragokas.
_____________________________________________________________
Интерфейс парсера AVZ разделён на два окна:
Левое окно - составляется и выводится итоговый скрипт если были найдены зловреды.
Правое окно - выводится различная вспомогательная информация. Наиболее частые секции:
  • [Файлы использующие механизм автозагрузки: Run, Load, Win.ini] - Показывает список всех файлов использующих для своей загрузки эти механизмы.
  • [Файлы созданые в течение 30 дней со дня сканирования] - Выводит список файлов созданных в определённый отрезок времени 30, 60, 90 дней.
  • [Дата создания и изменения системных файлов - разная!] - Здесь выводятся файлы, у которых дата создания и изменения не совпадает, полезно при обнаружении файловых вирусов, но также подобное может быть у патченых системных файлов, например, пользователь ставил различные украшалки системы, которые патчат системные файлы, добавляя иконки.
  • [Подозрительные объекты] - Вывод файлов из секции Подозрительные из лога AVZ.
  • [Файлы без подписи авторского права (Copyright)] - Содержит файлы с отсутствующими копирайтами, чаще всего это может быть вредоносная .dll'ка с рандомным именем.
  • [Информация о DNS] - Список IP адресов на которые следует обратить внимание. Возможно подмена запросов (DNS) при обращение к этому сайту.

Галочки и кнопки:
  • Поиск служб и драйверов в Temp - при установленной галке, парсер будет искать службы и драйвера во временной папке Temp. Важно, некоторые легальные программы могут запускаться из этой папки. В этом случае достаточно снять галку и заново нажать Анализировать.
  • Использовать поиск по MD5 - при установленной галке поиск зловредов будет также происходить по базе HashBase.txt.
    Поиск файлов созданных за ХХ дней - при установленной галке происходит выборка файлов в период от текущей даты за выбранный период времени. Под текущей датой подразумевается время создания логов.
  • Количество контрольных PID - позволяет выбрать количество используемых зловредом PID, при которых файл будет считаться вирусным. Важно: легальные dll также могут использовать 3 и более процесса в своей работе, в этом случае укажите максимально допустимое значение. Механизм определения описан здесь.
  • Кнопка "Показать лог анализа" - отладочная информация, можно посмотреть по какому критерию был удалён тот или иной файл. Для более подробной информации, смотрите справку - "Что означают пометки в анализе лога".
_____________________________________________________________
Благодарности:
Хочу выразить благодарность всем, кто помогал в создании парсера, кто давал ценные и конструктивные советы по реализации различных нюансов в поиске и определении вредоносов, кто помогал наполнять базы парсера, тестировать, выявлять и исправлять различные ошибки. Ребята, akoK, regist, thyrex, iskander-k, iolka, mirso, Nitan, Alex1983, edde, MotherBoard, ТроПа, Dragokas, без вас бы его не было (вроде никого не забыл...). Спасибо вам! Вместе мы сила! :Friends:
Автор
regist
Скачивания
5,071
Просмотры
5,071
Первый выпуск
Обновление

Оценки

5.00 звёзд 6 оценок

Другие ресурсы пользователя regist

Поделиться ресурсом

Последние обновления

  1. Новогоднее обновление

    Изменён формат записи в базу SystemFile.txt. Теперь он по сути в формате .ini За счёт изменения...
  2. Традиционное новогоднее обновление

    Базы теперь хранятся в кодировке UTF8. В связи с изменениями кодировки слегка изменился формат...
  3. Новогоднее обновление парсера.

    Уже традиционное новогоднее обновление парсера. Список изменений (часть изменений касается...

Последние отзывы

Один из моих главных инструментов. Спасибо!
Отлично
Поистине гигантская работа!
  • Анонимно
  • 5.00 звёзд
  • Версия: 2.74
Замечательная полезняшка, крайне облегчающая анализ
  • Анонимно
  • 5.00 звёзд
  • Версия: 2.71
  • Superseded
Отлично!
Назад
Сверху Снизу