Парсер AVZ
Парсер AVZ - предназначен для автоматического анализа логов на основе имеющихся баз и эвристик. Описание баз можно найти в справке. Использование программы раcсчитано на пользователя имеющего представления о системных процессах, файлах и имеющих опыт в анализе логов и написании скриптов AVZ.
Перед тем как запустить скрипт обязательно просмотрите его и убедитесь в отсутствии фолсов если таковые будут, а также при необходимости дополните ответ. Важно помнить, что парсер AVZ не панацея, а скорее помощник в рутинном анализе лога, он не обязан находить всё и безошибочно. За возможные неправильные удаления вследствие применения непроверенного скрипта, автор парсера отвественности не несёт.
Использование:
Открыть или перетащить логи в окно программы, нажать кнопку Анализировать, после окончания анализа будут сформированы рекомендации и скрипт если будут обнаружены зловреды.
Примечание: В некоторых случаях можно встретить ошибку загрузки лога, это не является ошибкой парсера, скорее всего такой лог "битый", чаще всего это лог .xml. Коды популярных ошибок и способы исправления указаны в справке. Для автоматического исправления таких логов рекомендуется использовать утилиту AVZ Logs Fixer написаную Dragokas.
_____________________________________________________________
Интерфейс парсера AVZ разделён на два окна:
Левое окно - составляется и выводится итоговый скрипт если были найдены зловреды.
Правое окно - выводится различная вспомогательная информация. Наиболее частые секции:
- [Файлы использующие механизм автозагрузки: Run, Load, Win.ini] - Показывает список всех файлов использующих для своей загрузки эти механизмы.
- [Файлы созданые в течение 30 дней со дня сканирования] - Выводит список файлов созданных в определённый отрезок времени 30, 60, 90 дней.
- [Дата создания и изменения системных файлов - разная!] - Здесь выводятся файлы, у которых дата создания и изменения не совпадает, полезно при обнаружении файловых вирусов, но также подобное может быть у патченых системных файлов, например, пользователь ставил различные украшалки системы, которые патчат системные файлы, добавляя иконки.
- [Подозрительные объекты] - Вывод файлов из секции Подозрительные из лога AVZ.
- [Файлы без подписи авторского права (Copyright)] - Содержит файлы с отсутствующими копирайтами, чаще всего это может быть вредоносная .dll'ка с рандомным именем.
- [Информация о DNS] - Список IP адресов на которые следует обратить внимание. Возможно подмена запросов (DNS) при обращение к этому сайту.
Галочки и кнопки:
- Поиск служб и драйверов в Temp - при установленной галке, парсер будет искать службы и драйвера во временной папке Temp. Важно, некоторые легальные программы могут запускаться из этой папки. В этом случае достаточно снять галку и заново нажать Анализировать.
- Использовать поиск по MD5 - при установленной галке поиск зловредов будет также происходить по базе HashBase.txt.
Поиск файлов созданных за ХХ дней - при установленной галке происходит выборка файлов в период от текущей даты за выбранный период времени. Под текущей датой подразумевается время создания логов. - Количество контрольных PID - позволяет выбрать количество используемых зловредом PID, при которых файл будет считаться вирусным. Важно: легальные dll также могут использовать 3 и более процесса в своей работе, в этом случае укажите максимально допустимое значение. Механизм определения описан здесь.
- Кнопка "Показать лог анализа" - отладочная информация, можно посмотреть по какому критерию был удалён тот или иной файл. Для более подробной информации, смотрите справку - "Что означают пометки в анализе лога".
_____________________________________________________________
Благодарности:
Хочу выразить благодарность всем, кто помогал в создании парсера, кто давал ценные и конструктивные советы по реализации различных нюансов в поиске и определении вредоносов, кто помогал наполнять базы парсера, тестировать, выявлять и исправлять различные ошибки. Ребята, akoK, regist, thyrex, iskander-k, iolka, mirso, Nitan, Alex1983, edde, MotherBoard, ТроПа, Dragokas, без вас бы его не было (вроде никого не забыл...). Спасибо вам! Вместе мы сила!