AVZ DeQuarantine - распаковщик карантина AVZ

Обсуждение. AVZ DeQuarantine - распаковщик карантина AVZ 1.22

  • Автор темы Автор темы Dragokas
  • Дата начала Дата начала
  • Теги Теги
    avz

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
8,002
Решения
11
Реакции
6,776
Пользователь Dragokas разместил новый ресурс:

Unpack AVZ Quarantine - распаковщик карантина AVZ - Распаковка карантина AVZ в одну папку под исходными именами файлов

Батник для распаковки карантина AVZ
(копирование файлов под исходными именами (но не путями) в одну папку.

Способы использования:

1. Через контекстное меню
- например, поместите батник в папку Пуск -> Shell:SendTo (для контекстного меню "Отправить")

Посмотреть вложение 17943

2. Перетягивание объекта на этот батник

Какие объекты можно перетягивать / отправлять через контекстное меню:

- папку AVZ ............ (будет распаковано...

Узнать больше об этом ресурсе...
 
Для проведения анализа вируса без использования песочниц.
Как ты например определишь где какой файл?
Через AVZ неудобно. Лезть в каждый ini файл тоже.Да и для песочниц тоже.
Вот у тебя в руках архив карантина с пачкой файлов.
Определи за 5 секунд где EXE-шники ...

Для распаковки ZIP-ов чуть позже сделаю обновление.+ я например, сразу в свойствах EXE смотрю наличие цифровой подписи и описания файла.
Это помогает идентифицировать его, не запуская.
Могу добавить в батник опцию, чтобы распаковывал все в одну папку, а не по иерархии зараженной системы.
 
Последнее редактирование:
Dragokas, а ясно. Я просто уже привык что на VI используют систему Cyberhelper, которая сама делает предварительный анализ файла. + Из отчета CyberHelper можно по md5 поискать файл в базе Virustotal. На SafeZone система карантинов просто немного другая.
 
CyberHelper само собой.
Моя специализация читать исходный код, а это батники, vbscript и jscript.
Подобная распаковка помогает сразу увидеть зависимости. Кто кого запускает.
К тому же подсветка синтаксиса редакторов включается только при наличии у файла правильного расширения.
 
mike 1, я тоже привык к VI и к киберхелперу, но тем не менее мне очень часто приходится качать карантин и самому смотреть. При этом с отчёта карантина VI не ясно какой .dta файл под каким именем скрывается, так что приходилось через просмотр карантина AVZ смотреть.
Так что, спасибо Dragokas, за полезную утиль. Когда-то подобная утилита была и на сайте у Олега Зайцева, увы она уже как несколько лет оттуда удалена.
Могу добавить в батник опцию, чтобы распаковывал все в одну папку, а не по иерархии зараженной системы.
да, было бы полезно. Правда в таком случае вопрос как быть если имена файлов в разных папках совпадают?
Из отчета CyberHelper можно по md5 поискать файл в базе Virustotal.
даже если просто смотреть на VT то часто нужный файл не проверялся, так что это опять в куче "безымянных" файлов нужно смотреть и искать нужный.
я например, сразу в свойствах EXE смотрю наличие цифровой подписи и описания файла.
OT.
увы, на сегодняшний день она ничего не значит. Полно адвари с цифровой подписью, к примеру тот же pirrit.
 
Последнее редактирование:
увы, на сегодняшний день она ничего не значит. Полно адвари с цифровой подписью, к примеру тот же pirrit.
Естественно. Только на вскидку, если заранее знаешь из отчета, с чем имеешь дело.
Например, во вкладке "Описание" можно догадаться, что это допустим GNU шифровальщик или какой-нить майнер.
Но это только частный пример.
Проще конечно же в виртуалке запустить с опциями /? или --help

да, было бы полезно. Правда в таком случае вопрос как быть если имена файлов в разных папках совпадают?
Это несложно. Для этого добавляется к имени цифра в скобках (так обычно делает сама Windows).
 
Пользователь Dragokas обновил ресурс Unpack AVZ Quarantine - распаковщик карантина AVZ новой записью:

Распаковка в одну папку

Все файлы распаковываются в одну папку
Если имена совпадают, добавляется цифра
Лог распаковки дополнен и переименован в !!!_AVZ_QFiles_!!!.txt

Узнать больше об этом обновлении...
 
Пользователь Dragokas обновил ресурс Unpack AVZ Quarantine - распаковщик карантина AVZ новой записью:

Контрольная проверка успешной распаковки

Контрольная проверка успешной распаковки. Если случилась ошибка, окно не закроется.
Поддержка работы со скрытыми/системными файлами и папками карантина.

Узнать больше об этом обновлении...
 
Пользователь Dragokas обновил ресурс Unpack AVZ Quarantine - распаковщик карантина AVZ новой записью:

Распаковка архивов

Поддержка распаковки архивов ZIP и RAR.
Могут быть без пароля, с паролем 2 распространенных видов, с неизвестным паролем (будет запрошен у пользователя).
Если папка распаковки существует, запрос на удаление будет отправлен пользователю.
Поддержка распаковки карантина, который находится в подкаталогах любой глубины вложенности.
Распаковка сразу множества архивов.
Правка мелких ошибок.

Узнать больше об этом обновлении...В принципе теперь можно распаковывать не только карантины,
а любые архивы, у которых стоит стандартный пароль.
 
Не знаю баг или фича, но порой вылазиет такое сообщение
976e82366ccee6997c8d66bee5b31c98.webp
Это происходит, когда:
1) Есть .ini файл с описанием, но сам файл в карантин не попал.
2) Работе программы помешал антивирус и заблокировал доступ к файлу.

Предполагаю, что это всё-таки фича и поэтому прошу добавить ещё опцию Silent-режима.
Первый случай описание без карантина бывает довольно часто и изменить здесь ничего нельзя, так что это лишние действия лезть и закрывать это окошко.
Второй случай (заблокировал антивирус) - меня в об этом уведомит антивирус предложив при этом варианты действий, что делать с файлом. Так что ещё одно уведомление от программы так же лишнее.
Может у кого ещё какие идеи/пожелания будут.
 
Пользователь Dragokas обновил ресурс AVZ DeQuarantine - распаковщик карантина AVZ новой записью:

Пожелания

:: Формат файла отчета дополнен. OK - означает, что файл успешно распакован. -- (прочерки) - не удалось распаковать.
:: Возможность включить режим Sient (отключение сообщений про отсутствие части файлов в карантине или их блокировки, например, антивирусом).
По-умолчанию, Silent-режим включен. Чтобы отключить, в коде батника "bin\AVZ - распаковать карантин.cmd" измените 9-у строку на set Silent=false
:: Если архиватора 7zip нет рядом, будет использован установленный в системе.
:: Защита от...

Узнать больше об этом обновлении...
 
У утилиты есть проблема когда имя файла содержит юникодные символы. Точней проблема есть и у самого AVZ и в INI файле они заменяет такие символы знаками вопроса. При переименование в исходное имя таких файлов с помощью утилиты DeQuarantine эти файлы просто пропускаются :(. Их просто нету в папке Unpacked.
 
Пользователь Dragokas обновил ресурс AVZ DeQuarantine - распаковщик карантина AVZ новой записью:

Поддержка карантинов, захваченных Boot Cleaner-ом

Карантины, полученные через BC, теперь нормально распаковываются.
Цель для распаковки теперь читается из файла INI.
Исправлена ошибка, когда расположение файла содержало лишние символы ":".

Узнать больше об этом обновлении...
 
Пользователь Dragokas обновил ресурс AVZ DeQuarantine - распаковщик карантина AVZ новой записью:

Fix против удаления архиватора

Исправлена ошибка, в результате которой удалялся файл архиватора (предполагалось что это будет временный файл, который распакуется из самого батника).

Узнать больше об этом обновлении...
 
Пользователь Dragokas обновил ресурс AVZ DeQuarantine - распаковщик карантина AVZ новой записью:

Доступно более 1 файла для обработки

Поддержка одновременной распаковки более 1 файла (архива) карантина, переданного контекстным меню или перетягиванием

Узнать больше об этом обновлении...
 
Назад
Сверху Снизу