Парсер логов GMER [версия Drongo]

Парсер логов gmer [версия drongo] 4.52 - 12.11.2016

Нет прав для скачивания
Sergei, Ой, я два раза хотел бросить написание парсера, так как попадал в тупик. Настолько оказалось это не простым делом, первая версия так и осталась непубличной, да и находил он далеко не всё, но спасибо ребятам, а именно akoK и iskander-k, которые поддержали меня в те минуты и верили что решение найдётся. Так что спасибо всем, кто верил в то, что парсер будет и кто помогал советами и добрыми словами.
 
Последнее редактирование:
В текущей версии 4.1 парсера замечены логические ошибки. Откатитесь до версии 4.0, там этих ошибок нет. :) Или подождите несколько дней, предварительно (2-3 дня), пока не устраню ошибки и не выпущу версию 4.2 в которой будут исправлены недоработки.
 
Sergei, по порядку.
1. В некоторых случаях не добавляет имя службы в список удаления.
2. В некоторых случаях неправильно определяется папка %WinDir%
3. Чуть-чуть ещё по мелочи.
4. Достать раннюю версию из запасников(надеюсь не удалили? ;))

Добавлено через 17 часов 41 минуту 41 секунду
Обновились - ParseGmer.rar
Исправлено:
1. Определение переменной %WinDir%, должно теперь корректно определяться, если такое значение вообще есть в логе. Всё же будьте внимательны и перепроверяйте.
2. Исправлена логическая ошибка, когда в некоторых случаях, имя вредной службы не добавлялось в список удаления. Теперь вредные службы добавляются к списку удаления.
3. Добавлено определение версии gmer со случайным именем, когда это имя находится в первой строке. Вся инфа об этом случае в студенческом разделе - здесь или для тех кому недоступен этот раздел
1. Имя gmer может быть случайным. Брать его нужно, как в строке
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-12 16:24:58
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\Admin\LOCALS~1\Temp\kxkcqfog.sys
или иногда в некоторых версиях, оно прописывается в первой строке
GMER 1.0.15.15077 [gamer.exe] - http://www.gmer.net
Rootkit scan 2009-09-11 06:46:00
Windows 5.1.2600 Service Pack 2
2. Имя gmer может быть обычным. Тогда, насколько мне попадались логи, в строках не будет упоминания об имени. А первые строки будут такими
GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-04-22 14:17:29
Windows 5.1.2600 Service Pack 3


Ну и вынес в шапку темы благодарности участникам, помогающим делать парсер лучше. :)

Продолжение следует...
 
Последнее редактирование:
А что значит показать руткит? Парсер должен выделить строку с руткитом?
Допустим в логе есть строки на которые есть указатель <-- ROOTKIT Парсер показывает список руткитов которые встречаются в логе. Это просто информативная фишка, не более. Возможно иногда стоит убедиться что ничего не пропущено или просто посмотреть на весь список файлов\служб\библиотек, которые попали в него.
Такие строки могут быть в логе
Service C:\WINDOWS\system32\svchost.exe (***hidden*** ) [AUTO] cxqsugh <-- ROOTKIT !!!
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] qfjpnb <-- ROOTKIT !!!
Их же парсер должен показать при нажатии на галочку
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] cxqsugh <-- ROOTKIT !!!
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] qfjpnb <-- ROOTKIT !!!
 
Итак, версия на сегодняшний день доработана, добавлены несколько масок для вирусов класса TDSS. За эту информацию отдельная благодарность участнику thyrex - :good2:

Обновились - ParseGmer.rar

Продолжение следует...
 
Последнее редактирование модератором:
Скачал, распаковал, запустил и...... Дальше ступор. какие логи программа должна проверить? Те, которые допустим делают в AVZ? Или я совсем ничего не понял? :sorry:
 
Итак, обновились до версии 4.40. Изменения в текущей версии следующие:

1. Исправил мелкие недочёты
2. Добавил возможность анализировать редкие случаи, когда встречаются заражения TDSS и Kido
3. Ускорил выполнение анализа.
4. Добавил на панель подсказок вывод времени за которое анализируется лог. (Информативная фишка.)



Обновились - ParseGmer.rar

P.S. Будьте внимательны со строками из секций SSDT и Library, они не до конца изучены, и может быть или что-то пропущено или что-то добавлено лишнее. В текущей версии на сегодняшний день, приведены к максимальной точности, но тем не менее, перепроверяйтесь на всякий случай. :) Обо всех замеченых багах в этих секциях пишите в тему и оставляйте лог.

Продолжение следует...
 
1. Галочка сопоставления WInDir залезает на кнопку
2. Текст внизу окна при изменении размеров то слипается и накладывается то разъезжается при увеличении.
 

Вложения

  • 01.png
    01.png
    3.5 KB · Просмотры: 82
  • 02.png
    02.png
    3.8 KB · Просмотры: 85
1. Галочка сопоставления WInDir залезает на кнопку
2. Текст внизу окна при изменении размеров то слипается и накладывается то разъезжается при увеличении.
Вроде исправил. :) Проверьте теперь.
 
Не совсем. Теперь при уменьшении и достижении определенного размера появляется серый участок, перекрывающий текст. При увеличении он уезжает вниз.
 

Вложения

  • form.jpg
    form.jpg
    28.5 KB · Просмотры: 82
при уменьшении и достижении определенного размера появляется серый участок, перекрывающий текст. При увеличении он уезжает вниз.
Да, спасибо. Я практически никогда не смотрел что творится на второй вкладке при изменениях размера, как раннее говорил, наибольший приоритет отдавал "ходовой" части. Посмотрите сейчас, исправил, протестировал на виртуальной машине, вроде размеры и текст не вылазит за границы. :)
 
Да, со второй вкладкой теперь все хорошо :) И напоследок маленький видеоролик. Если убрать вибрацию, которая на нем воспроизводится то больше пожеланий по интерфейсу пожалуй не будет :)

Спасибо за оперативное исправление.
 

Вложения

  • Resize.zip
    287.7 KB · Просмотры: 8
Если убрать вибрацию
Можно, только это не вибрация. :) Есть компонент Splitter у него есть свойство ResizeStyle, которое может быть одним из четырёх значений:

1. rsLine
2. rsNone
3. rsPattern
4. rsUpdate

У меня поставлен последний - rsUpdate - обновлять во время изменения полей. Ставил это значение, потому что мне часто приходилось тестить, и нужно да и проще было видеть изменения сразу, во время изменений размера. Вот поэтому при изменении размеров происходит некое обновление окна. Но изменю уже или завтра\послезавтра или к понедельнику точно.
 
Хорошо, спасибо. Я представляю о чем речь, сам раньше немного программировал. Я просто образно назвал вибрацией, забыл взять в кавычки :)
 
Назад
Сверху Снизу