Выделение известных файлов в логах AVZ зелёным цветом.
Цель написания:
выделение имён известных файлов (берутся из файла files.txt) в логах AVZ для облегчения исследования.
Идея возникла в связи с тем, что трудно запомнить многие файлы и приходится в каждых логах вновь и вновь проверять те самые файлы... но, если б была замечательная память, то можно было бы все эти имена хранить в голове. Впрочем, доверяться полностью выделенным файлам не придётся, ибо нужно будет все равно проверять каждый файл ещё по некоторым критериям... Но теперь с программой, исследование логов значительно ускорится.
Можно добавить имена файлов в файл: files.txt. Для этого открыть этот файл в любом текстовом редакторе. Структура файла такова: одно имя на одну строку. На данный момент в файле files.txt - 530 известных имен файлов.
Также предусмотрена сортировка имён файлов в файле files.txt, для этого нужно запустить программу с параметром: sort.
Некоторые возможности программы:
- Имеется поддержка путей к файлам, которые находятся в системной директории и под-папках, а также в директории Program Files и под-папках.
- Подсветка путей к файлам в логах, если путь к некоторому файлу в логах не совпадает с путём к этому файлу, указанном в файле с именами, такой 'неверный' путь (вместе с названием файла) будет подсвечен красным цветом.
- Файлы, которые уже выделены самим сканером AVZ в логах, как безопасные или опасные, не будут обрабатываться.
- Имеется поддержка обработки имён файлов зловредов. После обработки путь в котором найдено такое имя будет выделен в логе красным цветом и будет перечеркнут.
- Имеется возможность перетащить файл с логами AVZ (*.htm) на значок программы для последующей обработки.
- Имеется возможность перетащить архив с файлом с логами на значок программы для последующей обработки.
Подробнее о работе программы в файле ReadMe.
(Если у вас уже есть своя "база" проверенных имен файлов, просьба поделиться)
Это нужно было бы вести уже обработку файла *.xml, где есть более детальная информация по каждому файлу с логов. Но не забывайте, что файл в разных случаях может иметь разный размер, каждый из которого будет правильный, вот если бы был всегда только один размер или 2, то было бы другое дело, а так будет просто уморительно и долго, сначала прописывать кучу размеров для файла, а потом вести обработку... Не забывайте, что Avz имеет большую базу безопасных файлов, по которой ведется проверка в самой avz.Т,е. выделяла системные файлы с не характерным для него размером.
О, хорошая мысль появилась.Не забывайте, что Avz имеет большую базу безопасных файлов, по которой ведется проверка в самой avz.
Но опять же, если добавить проверку "по цвету" то это опять на это немножко, хотя наверное даже больше и продлит работу.в логе .htm уже есть выделение зелёным цветом файлов прошедших по базе безопасных. Значит их можно не проверять и немножко ускорить проверку лога
Поэтому и нужно проверять еще визуально и по пути, и по размеру, и по дате изменения. Если бы дата изменения всегда говорила о заражении, то можно было бы наверное подсветить другим цветом, или не подсвечивать вобще такой файл, но это не всегда вирус может изменять файл ведь. Хотя многие системные файлы точно не должны иметь дату изменения больше чем дата создания.И ещё, такой нюанс вспомнился. Файловое заражение. Например мы проверяем лог AVZ и дошли до строки C:\Windows\explorer.exe, всё хорошо, в списке Files.txt - explorer.exe присутствует, но если заражение файловое, то сам C:\Windows\explorer.exe будет хоть и на том же самом месте, но будет заражён. Различить такое заражение можно только лишь по разнице в дате создания файла и дате изменения файла.
Наверное потому, что в базе безопасных файлов AVZ есть только хэш MD5, а информации о легальном месте расположения данного файла отсутствует.Но я не могу понять почему сам avz не всегда выделяет цветом заражения файл, например, explorer.exe, если он находится не в нужной папке
Присоединяюсь к этим словам и тоже выражаю свою благодарность! Полезная программа!Я бы хотел выразить отдельно особую благодарность автору утилиты (beve). Программа для студентов получилась на удивление удачной и те из студентов которые её используют, очень легко отвечают\составляют скрипты. Процент ошибок и время на решение задания уменьшились на порядок. Это здорово облегчило работу кураторам, хотя её хватает всегда. В общем, утилита полезная и толковая!
Исправленный файл заменен в описании на 1 странице данной теме.Замечание:
В файле iexplorer.exe выделяется только iexplorer.exe, а i нет.
Начнём с того, что названный вами файл это - вирус iexplorer (iexplorer) и iexplorerВ файле iexplorer.exe выделяется только iexplorer.exe, а i нет.
Обходится это таким путём, нужно в базу чистых, добавить в начало имени слеш \explorer.exe <- Легал
iexplorer.exe <- Нелегал
Тогда при вхождении в поиск подстроки - \explorer.exe уже не будет равна iexplorer.exe\explorer.exe
Я ж это понял после хорошего замечания от qwer12 и исправил в том прикрепленном файле что выше. Файл теперь будет проверяться по целому имени файла, а не по отдельному вхождению.Нужно добавить проверку целого имени файла, а не отдельного вхождения, потому что есть файлы, которые по вхождению части легального имени похожи на системные, но являются вирусами
Возможно имелся ввиду файл iexplore.exe, но он есть в базе.
Я это и понял, поэтому и переделал программу. А Drongo видимо просто сначала не понял вопроса поэтому и переспросил.Я и имел ввиду нелегальный файл iexplorer.exe.
Мммм... Сам бы придумал так, проверять ещё и длину файла, к примеруА стосовно добавления в базу чистых перед именем файла слеша \, то это не выход ибо в логах в некотором месте нужно выделять еще и чистый файл, есле перед ним идет и знак >, но вижу, что ты это знаеш.
Я и имел ввиду нелегальный файл iexplorer.exe
Ага, я подумал что qwer12 спутал с другим или просит выделять iexplorer.exe зелёным. Вот и уточнил что это вирь.А Drongo видимо просто сначала не понял вопроса поэтому и переспросил
В моем случае я все сделал проще, сначала было, что искал точное совпадение имени файла от извесного символа справа от файла, что как оказалось не правильно.Мммм... Сам бы придумал так, проверять ещё и длину файла, к примеру
explorer.exe = 12 символов
iexplorer.exe = 13 символов
Несмотря на вхождение explorer.exe в iexplorer.exe по длине они разные, значит iexplorer.exe не выделяем зелёным.
Если честно, интересен твой вариант.
Интересно, все равно сначала пришлось бы по-моему способу узнать все имя файла, чтобы потом уже сравнивать, но в этом случае уже сравнивать нету смысла если такого имени не числится в списке чистых файлов.Сам бы придумал так, проверять ещё и длину файла
Всё понял, верно, совсем выпало из головы что выделяются зелёным только легальные. Я ведь думал в контексте своего парсера не только о легальных, но и о проверке нелегальных.все равно сначала пришлось бы по-моему способу узнать все имя файла, чтобы потом уже сравнивать, но в этом случае уже сравнивать нету смысла если такого имени не числится в списке чистых файлов.
C:\Windows\explorer.exe
explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Windows\IEXPLORE.EXE
Нет, как видно. И основная причина в том, что создать базу "чистых" файлов будет уморительно - ибо в файл с именами будет нужно прописывать не только имя файла, но и путь к нему, а путь может быть написан по крайней мере 2-мя способами - полный и краткий (но стосовно полного пути к файлу, то тут можно сделать типа переменные окружения, а системные папки вручную вводить что ли, но впринципе можно, файл с краткий же путем придется исключить из обработки). И еще данный файл может быть по-умолчанию на одном компе в одном месте, на ином- в другом месте (имеется ввиду не системные папки), и это не будет даже ошибкой.А вот ты учитываешь что вирусный файл имеющий идентичное имя легального файла, но может быть в другой папке?
Не обязательно прописывать все подряд, а только десяток-другой, наиболее подвержённых подмене\маскировке.И основная причина в том, что создать базу "чистых" файлов будет уморительно - ибо в файл с именами будет нужно прописывать не только имя файла
Если учесть что WinDir может быть разная в различном логе, то лучше записывать имена файлов после WinDir. Например так.но и путь к нему, а путь может быть написан по крайней мере 2-мя способами - полный и краткий
...
soundman.exe
system32\userinit.exe
...
C:\Windows\soundman.exe
C:\Windows\system32\userinit.exe
Вот тут я не понял, можно привести наглядный пример?И еще данный файл может быть по-умолчанию на одном компе в одном месте, на ином- в другом месте, и это не будет даже ошибкой.
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?