Автоматическое получение логов AVZ, RSIT, SITLog, HiJack This

Dragokas написал(а):
В сборщике нет архивов AVZ, SITLog. С целью уменьшения объема сборщика на нашем сервере (~11 Мб) я их не включал.

Можно при запуске утилиты распаковывать архивы, но тогда будет
дублирование баз AVZ -> кумулятивный архив баз + старые базы, которые в составе самого AVZ. Подумаю.

А если посмотреть в сторону полиморфной версии avz mini.

Ядро полиморфа вроде не обновляется?
Как часто вообще обновляется ядро AVZ? ... понял - глупый вопрос.
Так может, убрать стадию скачивания http://z-oleg.com/avz4.zip как таковую (весь смысл был в EXE-шнике).

Оставить это на совесть серверной версии.
В чем минус: старая версия сборщика, которой решит воспользоваться пользователь через полгода,
не сможет сама обновлять ядро AVZ (если оно новое выйдет в свет),
но базы обновлять сможет - запустится скачивание кумулятивного архива!!!

Разрешит ли AVZ старой версии с новыми базами выполнять стандартный скрипт?
А тогда надо как-то самому уметь получать номер текущей и номер актуальной версии AVZ (не скачивая avz4.zip).
 
Последнее редактирование:
но базы обновлять сможет - запустится скачивание кумулятивного архива!!!
Точно?
Если скачивать не через скрипт, то старый AVZ против использования новых баз:
upload_2013-10-30_19-22-33.png
А тогда надо как-то самому уметь получать номер текущей и номер актуальной версии AVZ (не скачивая avz4.zip).
Номер текущей версии может сказать сам AVZ: http://z-oleg.com/secur/avz_doc/index.html?script_getavzversion.htm
А информацию о актуальной версии AVZ берёт отсюда: http://www.z-oleg.com/secur/avz_up/avzupd.zip (3 КБ)
 
Последнее редактирование:
Dragokas написал(а):
но базы обновлять сможет - запустится скачивание кумулятивного архива!!!
Точно?
Кумулятивный архив скачивает не AVZ, а WGET.
Архив avzupd.zip с актуальной версией ядра AVZ создается только при успешном обновлении баз из-под интерфейса самого AVZ.
Кумулятивный архив баз не содержит архива avzupd.zip, и не может в принципе содержать данных о версии ядра.

На счет скрина под спойлером, у AVZ нет специального кода возврата для такого рода ошибки.
Может, как-то WGET обмануть, чтобы положить в сборщик архив-пустышку с тем же временем модификации,
тогда он посчитает, что версия на сервере не изменилась
Да, точно. К серверной версии у нас ведь нет особых требований к использованию стороннего ПО. Пустышку генерировать возможно.
Я не знал для чего в начале скрипта chdir /d "%~dp0", поэтому воткнул вычисление localpath до этой строки. А надо после, т.к. если "Запустить от имени Администратора", то путь будет задан не правильно.
Наиль, я без тебя не разберусь. Как все же правильно, так:
Код:
:: Эта строка правильно отработает?
chdir /d "%~dp0"

set localpath=%~dp0
if NOT "%localpath:~0,2%"=="\\" set localpath=.\

set "Bin=%localpath%bin"
 
Последнее редактирование:
Ядро полиморфа вроде не обновляется?

1. В полиморфе нет сигнатурных баз, только ядро и базы эвристики.
2. Обновление полиморфа будет реже (~ раз в неделю) простой заменой одного exe.
3. Размер такой версии ~4.4 мб
 
Как все же правильно, так:
Да.
Получается такой алгоритм
1. Сначала пытаемся установить текущий путь путём к батнику, так как текущая папка батника может отличаться.
2. Если батник в сети, то сменить путь не удастся. Значит придётся использовать полный путь ко всем файлам. При этом будем иметь все возможные проблемы из-за символов !()%^ - которые вполне могут встречаться в пути. Но это не так важно, т.к. сетевые папки во власти админов, а значит, они в состоянии решить эту проблему, нужно только дать им знать.
3. Если же батник не в сети, то после изменения текущего пути, он не будет начинаться на '\\', тогда можно использовать относительный путь и избежать проблем из-за спецсимволов, а это важно т.к. вполне возможна ситуация, когда запуск будет выполняться из папки C:\users\IamLamer!\Downloads. А ламер - не админ :), ему советы не помогут.

Вместо относительных путей можно использовать пути в формате 8.3, но это сложнее.
Архив avzupd.zip с актуальной версией ядра AVZ создается только при успешном обновлении баз из-под интерфейса самого AVZ.
Я то предлагал скачивать его самостоятельно тем же WGET, чтобы проверять версию AVZ.
Пустышку генерировать возможно.
Похоже я что-то пропустил. Зачем нужна пустышка? И я не уверен, что правильно понимаю термин "Кумулятивный архив баз".
Я так понял, это та база, которая скачалась бы при обновлении самого нового AVZ.
Если это так, то мне кажется, что нужно обратить внимание на следующее:
http://z-oleg.com/secur/avz/download.php написал(а):
Вполне возможно, что это не в последний раз.
 
Последнее редактирование:
akok, замечательно, люблю когда есть варианты.
Наиль, архив avzupd.zip просто так нигде не лежит. Он генерируется в процессе обновления.
DelayedExpansion я буду убирать из батника по максимуму.
2. Если батник в сети, то сменить путь не удастся.
А если вычислить путь и последовательно перейти или перейти через 8.3. - не получится так?
Вместо относительных путей можно использовать пути в формате 8.3, но это сложнее.
Парсить 8.3. мы уже научились.
 
Архив avzupd.zip с актуальной версией ядра AVZ создается только при успешном обновлении баз из-под интерфейса самого AVZ.
А здесь написано, что можно получить avzupd.zip используя ключ ExtUpdates=Y

архив avzupd.zip просто так нигде не лежит
Так лежащий он нам и не нужен, нам нужен тот который в интернете, ссылку я дал.
Мой алгоритм следующий:
1.
Код:
avz.exe HiddenMode=3 Script=Скрипт.получения.текущей.версии
, где Скрипт.получения.текущей.версии записывает версию AVZ (процедура GetAVZVersion) в файл.
2. С помощью WGET скачиваем http://www.z-oleg.com/secur/avz_up/avzupd.zip
3. Считываем из файла текущую версию AVZ. А из архива извлекаем xml, из которого извлекаем версию свежего AVZ. Сравниваем версии.
4. Если текущая версия устаревшая, скачиваем http://z-oleg.com/avz4.zipЗабыл предупредить, что хотя я и вносил изменения в ViruLogs Collector, но как он работает не разбирался, поэтому плохо представляю, чем занимаются серверная и клиентская части и как между собой взаимодействуют. Поэтому я только надеюсь, что мои советы не покажутся глупыми и будут в тему.
 
2. Обновление полиморфа будет реже (~ раз в неделю) простой заменой одного exe.
точней раз в месяц, так как Олег его обновляет не чаще.
+ полиморф это тестовая сборка, на которой отлавливаются баги и тестируются новые фичи. Лично мне совсем не хочется при повседневный работе в помогите быть в роли бетатестера.
А также я уже молчу, что настройки при создание лога в полиморфе отличаются от стандартных ;).
 
Знаю. Теперешняя сборка полиморфа у меня не запустилась. Ну и соответственно остается 2 стандартный скрипт
 
Спасибо за ссылочку. Я о ней не знал.
Я тоже не знал. Когда мне нужно узнать как программа определяет номер актуальной версии пользуюсь Фидлером: Fiddler
Рекомендую. Очень помогает при отладке программ работающих с http. Кроме этого имеется функция подмены файлов. Т.е. сайт или программа думает, что скачивает один файл, а в реальности получает другой. К примеру, я делаю, подмену сжатого jquery.js на полноценный. Или звук чата вконтакте на более громкий.
В твоём случае, ты можешь подменить avzupd.zip на свой, и посмотреть, как ведёт себя avz. При этом avz будет уверен, что тянет файл с z-oleg.
Но самое главное можешь быстро отловить ошибки при работе с wget. Правда для этого придётся прописать прокси, через который Fiddler прогоняет трафик.
 
Как обойти фильтр "SmartScreen" на Windows 8 программно?
Эта штука похуже, чем UAC. SecurityCheck из под ключа реестра не хочет запускаться (см. скрин).
Может, кто знаком с этим.
 

Вложения

  • 111.png
    111.png
    3.4 KB · Просмотры: 87
Вот в логах нашёл
128.30.52.37:80, ...\ViruLogs Collector by Dragokas\bin\wget.exe
И мне не нравится и думаю многим юзерам тоже, когда проги самостоятельно начинают лезть на какие-то непонятные сайты. У многих думаю будут возникать вопросы, зачем прога лезет на этот сервер. Тем более сразу видно, что с обновлениями утилит это никак не связано.
 
128.30.52.37:80, ...\ViruLogs Collector by Dragokas\bin\wget.exe
И мне не нравится и думаю многим юзерам тоже, когда проги самостоятельно начинают лезть на какие-то непонятные сайты.
regist, у меня тоже складывается впечатление вы специально тролите, вы же опытный пользователь, а проверить чей это ip сложно, хотя над вашим сообщением все написано.
WGET на w3.org (сервер стандартов) - проверка интернет-подключения (для сетей с прокси).
когда проги самостоятельно начинают лезть на какие-то непонятные сайты
Кстати SC при старте тоже проверяет доступен ли непонятный сайт 8.8.8.8
 
Последнее редактирование:
Могу писать специально сообщение "Проверка подключения к Интернет". Как то же мне проверять нужно. Это самый надежный способ. Имитация скачивания странички.
К ya.ru обращаться не хочу. Там часто много рекламы, а страничка должна скачаться полностью. w3.org самый легкий в этом плане из известных - указан в заголовке исходного кода любой странички основанной на HTML-коде. Странно, что для вас она считается посторонним источником.

... если подключения нет, то и проверка обновлений будет пропущена без вопросов.
 
Последнее редактирование:
Назад
Сверху Снизу