Автоматическое получение логов AVZ, RSIT, SITLog, HiJack This

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,069
Реакции
5,784
Буду первым топикстартером в новом разделе)))

Давно обсуждаемая тема:
Автоматическое получение логов.

Как это возможно реализовать?

В авз такой функционал будет доступен даже консольно,а вот с rsit уже сложнее.

Примерно вижу это так:
Диалоговое окно,в котором имеется чекбокс напротив нужных утилит в списке,предварительно упакованных в cab например.

Пользователь выбирает пункты,жмет и начинается сбор логов данными утилитами.
Создается папка например на рабочем столе,где в раздельных папках будут лежать нужные логи.
Стартовая тема сбора логов:
https://safezone.cc/forum/showthread.php?t=15

По поводу того,что бы утилиты всегда были свежими-можно указать адрес скачивания на зеркало.

Думаю такой набор будет востребован среди пользователей.

Комментарий от Dragokas:

//TODO: 0.1.9.6 (обновлен) +
//TODO
Окно прерывания работы зависшей утилиты из набора.

//TODO 0.1.9.7 +
Обойти фильтр SmartScreen в Win8, чтобы заработал SecurityCheck.
Проверка сборщиком обновлений самого себя.
Дописывать к финальному архиву сразу - дату/время в формате dd.mm.yyyy-hh.mm


0.1.9.6.
Добавлен RSIT. Обновления не проверяются, т.к. в ближайшее время не планируются.
В ver.0.1.9.5 система не перезагружалась после удаления драйвера AVZPM. Исправлено.

0.1.9.5
Programs\avz\avz4: убрана вложенность папок.
Удален _Start_ViruLogs.ErrorEXE, заменен на CMD.ErrorEXE, который запускается из папки Windows
7z-версия архива более не создается (неактуально).

0.1.9.4.
Вырезан RSIT
Убрал проверку наличия подключения к сети Интернет (т.к. пользователь и сам должен знать это, отвечая на вопрос "Обновить ли комплект?")
Убрал сообщение "Попытаться скачать снова?", если не удалось обновиться ни с одного из зеркал.
Убрал файл русскоязычной справки AVZ.
HiJack This копируется в отдельную папку "Programs\HiJack This", чтобы пользователь ее сразу увидел.
Подкорректировал проверку спецсимволов в путях к сборщику (нельзя использовать символы ^, %, &).
Упростил функцию скачивания в режиме обновления.
Неправильно определялась актульность баз AVZ (в днях). Исправлено.
Архивы virusinfo_syscure.zip и virusinfo_syscheck.zip в конце сканирования не удалялись. Исправлено.
Браузер по-умолчанию: неверно передавалась версия системы (для XP).
Протокол отладочной информации расширен:
  • содержит время запуска/завершения и длительность выполнения каждой утилиты;
  • длительность перезагрузки;
  • протокол работы стандартных скриптов AVZ и ошибки обновления баз;
  • такие различия, как незапуск AVZ либо его зависание уже в процессе сканирования.
  • Протокол называется v~Debug.log (папка LOGs); в финальный архив он включается только в случае, когда не было создано одного из логов (поможет понять причину).

0.1.9.3.
Дублирование финального архива в формат 7z (временное решение проблем с загрузкой на сервер CyberForum)
Протоколирование этапов запуска утилит и работы AVZ в файл LOGs\ViruLogs.log
Автозагрузка: _Start.ErrorEXE (reg: RunOnce) переименован в _ViruLogs_Start.ErrorEXE (чтобы "не бросаться на глаза").
Удален файл англоязычной справки AVZ.
В заголовке окна отображается версия утилиты.
Более быстрый старт сборщика после перезагрузки и в процессе обновления баз.
Проверка подключения к Интернет через простую отправку ping (для сетей без прокси).
Win8: запуск без альтернативной ассоциации ErrorEXE (не прогружался рабочий стол).

0.1.9.2
Исправлена ошибка бекапа настроек интерфейса (XP): "Попытка записи в несуществующий поток".
Убрано машинное озвучивание завершения сканирования. Добавлено проигрывание стандартных WAV системы (Звуки *ShutDown*.wav и *notify*.wav).
Служебная Папка "bin" перенесена в папку "Programs". _Start.cpp также перекомпилирована.
Поправлено сообщение версии баз после обновления.

0.1.9.1
Запуск SecurityCheck в тихом режиме (без отображения результатов).

0.1.9.0
Обновления утилит:
Добавлено зеркало avz.safezone.cc
Наличие обновлений для AVZ (ядро + базы) теперь проверяется не через интерфейс AVZ, а через парсинг 3 Кб-файла avzupd.zip на сайте z-oleg.com (спасибо Гимаев Наиль)

Файлы:
Финальный лог теперь создается в главной папке.
Удалена утилита nircmd.exe

Интерфейс
Добавлено сообщение "Выгрузить защитное ПО" после перезагрузки.
Показ имени установленного антивируса (чтобы обратить внимание)
Профессиональный перевод от Anna Khatser.
Правки грамматических ошибок.

Сеть:
Увеличено кол-во попыток для установки связи до 4 (для плохих линий Интернета).

Функции:
Добавлен лог утилитой SecurityCheck by glax24.
Отключение драйвера AVZPM путем запуска стандартного скрипта № 6 с перезагрузкой.
Регистрация нового расширения ErrorEXE: если ассоциация EXE повреждена, утилита нормально стартует после перезагрузки.
Контрольная точка: поправлена проверка кода ошибки; для систем >= Vista, включается создание точек, если было отключено.
Ключ автозагрузки изменен на HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\33
Голосовое сообщение при завершении проверки.
Копирование пути к архиву в буфер обмена (вернул на родину :)
Перезагрузку компьютера можно отменить в течении 10 сек. (на экстренный случай :)

Ошибки и безопасность:
Баг со скобкой ) в пути исправлен, восклицательные знаки (!) и другие спецсимволы также доступны.
Множество других правок мелких ошибок.

Чистка следов:
Чистка и удаление папок с логами от каждой из утилит.
Удаление драйвера AVZ по заврешению скрипта № 2
Удаление ветки реестра TrendMicro, если ее не было.
Удаление драйверов и других следов AVZ после его отработки (скрипт № 6 сразу после скрипта № 2)

0.1.8.
1. При обновлении автоматически выкачивать обе x64, x32 версии утилит RSIT.
2. Проверка подключения к сети - забыл о прокси.
4. Вырезать EICAR
6. Неплохо бы приделать кнопку : Обновить VirusLog
6.5. Сразу полная версия сборщика со всеми утилитами. Это для того что бы можно было скачать на одном компе и запустить на другом с обновленными базами.
8. Вырезать SetClip, как ложный детект некоторых антивирусов.
11. Поправить зеркала
21. Убрать проверку MD5 (иначе не запустится при файловом червяке).
22. Серверная версия: без всплывающих WGET окон.
23. Серверная версия: silent-режим (без msgbox-ов).
25. Временно: Запрет запуска из архива.
??? Отлючение повышенных привилегий для серверной части (при этом базы будут обновляться только через кумулятивный архив)
 
Последнее редактирование модератором:
Тут интереснее, обновление баз AVZ, проверка обновления версий?
Упаковка в cab нужна потому что не будет возникать вопросов по поводу того чем распаковать-можно простой командой EXPAND в код(системными средствами).
Проверка обновления баз-три варианта.
Первый автоскрипт авз,условие.
Если error то скачиваем базы с зеркала.
Тут тоже два варианта-либо мы сами поддерживаем актуальную ссылку либо на сайте Зайцева.
Почему тема в этом разделе?
Возможность прочитать открытый код (тут надо обсудить его целесообразность)

Добавлено через 1 минуту 17 секунд
и вообще зачем зашивать, если мона выкачивать.
Можно вшить в архив,можно скачивать с зеркала - но на тот случай если нет доступа к ссылке по какой то причине нужен запасной вариант.
Верно?

Добавлено через 38 секунд
обновление баз AVZ, проверка обновления версий?
Суть в том что это не сложно сверить)))
 
Пользователь выбирает пункты,жмет и начинается сбор логов данными утилитами.
Создается папка например на рабочем столе,где в раздельных папках будут лежать нужные логи.
пользователю нужна одна большая кнопка, сделать всё хорошо и чтобы при нажатие на эту кнопку сразу писался и выполнялся авто-скрипт для лечения его системы. А все эти галочки и выбор нужных утилит это очень сложно.

По сабжу надо ещё, чтобы перед созданием лога запускало браузер - и пользователь этого не испугался приняв за очередную рекламную вкладку, а также приостановить защиту антивируса... что в скрипты уже не зашьёшь. Потом по окончанию сбора логов пользователи ещё часто прикрепляют не те логи, то есть было бы ещё отдельно упаковать, что нужно назвав вот это надо к ответу прикрепить. Правда потом всё равно надо в картинках ему объяснять как выполнить скрипт ...
 
тогда это когда? я не могу найти. Но помню что там то все заглохло изза того, что сделать автоматическую логовыжималку с соблюдением всех требований и условностей очень непросто будет
 
А,точно.
Щас найду ее.

авто-скрипт для лечения его системы
Да никто кроме человека не сделает нормальный скрипт-сами понимаете.

нужна одна большая кнопка
А если потребуется дополнительный лог например дополнительной утилиты?
Тут требуется единогласие.
Щас обсуждение найду.
 
А если потребуется дополнительный лог например дополнительной утилиты?
дополнительно может потребоваться лог десятка утилит... перечислять их не вижу смысла. Понадобится он или нет это ещё вопрос, а размер комбайна из-за этого вырастет, так что не вижу смысла их туда засовывать да перед их применением юзер обычно должен читать отдельную инструкцию по использованию.
 
regist, если в состав "комбайна" с одной кнопкой: согласен - нет смысла.

Поддержу вариант автоматизации, взяв за основу Правила сбора логов: https://safezone.cc/forum/showthread.php?t=15

Также предлагаю, для разнообразия для всех возможных инструментов сбора логов также сделать отдельные скрипты с целью упрощения телодвижений юзера (или для особо ленивых, которым тяжело даются инструкции). Отложим на после.
Уже в процессе обсудим, какие из них целесообразно включать в "комбайн".
А это будет зависеть от времени на сбор + средней частоты затребованности таких логов при лечении.

Дальше, думаю, стоит обсудить саму реализацию:
1) Выбор языка реализации
2) Упаковка в Cab (это чтобы комбайн хранился в одном файле).
3) Обновление утилит (если устарели) и баз.
4) Ключи запуска, команды для AVZ, подсказки для юзера,
общий алгоритм сбора делаем идентичным Правилам сбора логов?
 
Последнее редактирование:
это должен быть скрипт для авз, ибо для чего юзверю качать дополнительный вес? быстрый и дешевый интернет пока далеко не у всех.

потом, приколюха должна уметь запускать экзешники браузеров, закрывать все работающие проги, выгружать антивирь, снимать препятствия для запуска авз, проверять обновления и актуальность версии, и автоматически стартовать после перезагрузки (т к ст скрипт 3 или 7 перезагружает комп).
 
Последнее редактирование:
Все указанное, кроме:

1. выгружать антивирь
2. проверять актуальность версии

легко реализуемо через Batch + реестр.
1. По понятным причинам - можно вывести сообщение юзеру - отключить антивирь, нажать Enter.
2. Не знаю как проверить актуальность версии AVZ, не скачивая (только через стороннюю утилиту wget могу).

Кстати, Сашка, железный IQ, привет :)
 
привет
Все указанное,
реализуемо также и через авз, что удобнее для пользователя
1. выгружать антивирь
2. проверять актуальность версии
тока вот без этого как раз не обойтись, т к это и есть самое важное.
 
1. Так это будет называться - вирус :)
Да-да. Покурив с 10 минут доков по AVZ увидел, что это тот же Batch, только на много круче ))). Перевести на AVZ-Delphi Style, там уже не проблема.
2. Может, в AVZ есть встроенная команда на это...
 
ну пусть будет вирус, только полезный))

я вот, кстати не представляю, как реализовать это
выгружать антивирь
средствами Batch (но может как то и можно, просто я об этом не знаю)
 
приколюха должна уметь запускать экзешники браузеров
имхо достачно сделать запуск ярлыка для открытия к примеру safezone.cc
закрывать все работающие проги,
имхо не стоит и даже опасно всё вот так глушить скриптами, лучше вывести сообщение, что надо всё закрыть.
1. выгружать антивирь
разумеется мы не сможем, так как для этого надо в первую очередь обойти самозащиту антивируса.
2. проверять актуальность версии
если я правильно помню есть скриптовая команда для получения даты обновления баз. Если базы старые - сильно отличаются от текущей даты, то надо обновить. Если версия устарела, то будет сбой обновления.
 
Назад
Сверху Снизу