Парсер логов AVZ

Парсер логов AVZ 3.1.0

Парсер AVZ

Парсер AVZ - предназначен для автоматического анализа логов на основе имеющихся баз и эвристик. Описание баз можно найти в справке. Использование программы раcсчитано на пользователя имеющего представления о системных процессах, файлах и имеющих опыт в анализе логов и написании скриптов AVZ.

Перед тем как запустить скрипт обязательно просмотрите его и убедитесь в отсутствии фолсов если таковые будут, а также при необходимости дополните ответ. Важно помнить, что парсер AVZ не панацея, а скорее помощник в рутинном анализе лога, он не обязан находить всё и безошибочно. За возможные неправильные удаления вследствие применения непроверенного скрипта, автор парсера отвественности не несёт.

Использование:
Открыть или перетащить логи в окно программы, нажать кнопку Анализировать, после окончания анализа будут сформированы рекомендации и скрипт если будут обнаружены зловреды.
Примечание: В некоторых случаях можно встретить ошибку загрузки лога, это не является ошибкой парсера, скорее всего такой лог "битый", чаще всего это лог .xml. Коды популярных ошибок и способы исправления указаны в справке. Для автоматического исправления таких логов рекомендуется использовать утилиту AVZ Logs Fixer написаную Dragokas.
_____________________________________________________________
Интерфейс парсера AVZ разделён на два окна:
Левое окно - составляется и выводится итоговый скрипт если были найдены зловреды.
Правое окно - выводится различная вспомогательная информация. Наиболее частые секции:
  • [Файлы использующие механизм автозагрузки: Run, Load, Win.ini] - Показывает список всех файлов использующих для своей загрузки эти механизмы.
  • [Файлы созданые в течение 30 дней со дня сканирования] - Выводит список файлов созданных в определённый отрезок времени 30, 60, 90 дней.
  • [Дата создания и изменения системных файлов - разная!] - Здесь выводятся файлы, у которых дата создания и изменения не совпадает, полезно при обнаружении файловых вирусов, но также подобное может быть у патченых системных файлов, например, пользователь ставил различные украшалки системы, которые патчат системные файлы, добавляя иконки.
  • [Подозрительные объекты] - Вывод файлов из секции Подозрительные из лога AVZ.
  • [Файлы без подписи авторского права (Copyright)] - Содержит файлы с отсутствующими копирайтами, чаще всего это может быть вредоносная .dll'ка с рандомным именем.
  • [Информация о DNS] - Список IP адресов на которые следует обратить внимание. Возможно подмена запросов (DNS) при обращение к этому сайту.

Галочки и кнопки:
  • Поиск служб и драйверов в Temp - при установленной галке, парсер будет искать службы и драйвера во временной папке Temp. Важно, некоторые легальные программы могут запускаться из этой папки. В этом случае достаточно снять галку и заново нажать Анализировать.
  • Использовать поиск по MD5 - при установленной галке поиск зловредов будет также происходить по базе HashBase.txt.
    Поиск файлов созданных за ХХ дней - при установленной галке происходит выборка файлов в период от текущей даты за выбранный период времени. Под текущей датой подразумевается время создания логов.
  • Количество контрольных PID - позволяет выбрать количество используемых зловредом PID, при которых файл будет считаться вирусным. Важно: легальные dll также могут использовать 3 и более процесса в своей работе, в этом случае укажите максимально допустимое значение. Механизм определения описан здесь.
  • Кнопка "Показать лог анализа" - отладочная информация, можно посмотреть по какому критерию был удалён тот или иной файл. Для более подробной информации, смотрите справку - "Что означают пометки в анализе лога".
_____________________________________________________________
Благодарности:
Хочу выразить благодарность всем, кто помогал в создании парсера, кто давал ценные и конструктивные советы по реализации различных нюансов в поиске и определении вредоносов, кто помогал наполнять базы парсера, тестировать, выявлять и исправлять различные ошибки. Ребята, akoK, regist, thyrex, iskander-k, iolka, mirso, Nitan, Alex1983, edde, MotherBoard, ТроПа, Dragokas, без вас бы его не было (вроде никого не забыл...). Спасибо вам! Вместе мы сила! :Friends:
Автор
regist
Скачивания
3,531
Просмотры
3,531
Первый выпуск
Обновление
Оценка
5.00 звёзд 6 оценок

Другие ресурсы пользователя regist

  • Malwarebytes for Windows
    Malwarebytes for Windows
    Антивирусная программа [B]Malwarebytes Anti-Malware[/B]
  • Universal Virus Sniffer (uVS)
    Universal Virus Sniffer (uVS)
    Программа предназначена для облегчения процесса обнаружения и уничтожения неизвестных вирусов, рутки
  • Полиморфный AVZ
    Полиморфный AVZ
    применяется, когда есть проблемы с запуском обычного AVZ

Поделиться ресурсом

Последние обновления

  1. Новогоднее обновление

    Изменён формат записи в базу SystemFile.txt. Теперь он по сути в формате .ini За счёт изменения...
  2. Традиционное новогоднее обновление

    Базы теперь хранятся в кодировке UTF8. В связи с изменениями кодировки слегка изменился формат...
  3. Новогоднее обновление парсера.

    Уже традиционное новогоднее обновление парсера. Список изменений (часть изменений касается...

Последние отзывы

  • Sandor
  • 5.00 звёзд
  • Версия: 3.02 [2017.12.25]
Один из моих главных инструментов. Спасибо!
  • akok
  • 5.00 звёзд
  • Версия: 3.00
Отлично
  • Анонимно
  • 5.00 звёзд
  • Версия: 3.00
Поистине гигантская работа!
  • Анонимно
  • 5.00 звёзд
  • Версия: 2.74
Замечательная полезняшка, крайне облегчающая анализ
  • Анонимно
  • 5.00 звёзд
  • Версия: 2.71
Отлично!
Сверху Снизу