Выделение известных файлов в логах AVZ зелёным цветом [Deleted]

Статус
В этой теме нельзя размещать новые ответы.

beve

Разработчик
Сообщения
99
Реакции
247
Выделение известных файлов в логах AVZ зеленым цветом - Выделение известных файлов в логах AVZ зеленым цветом

Выделение известных файлов в логах AVZ зелёным цветом.

Цель написания:

выделение имён известных файлов (берутся из файла files.txt) в логах AVZ для облегчения исследования.
Идея возникла в связи с тем, что трудно запомнить многие файлы и приходится в каждых логах вновь и вновь проверять те самые файлы... но, если б была замечательная память, то можно было бы все эти имена хранить в голове. Впрочем, доверяться полностью выделенным файлам не придётся, ибо нужно будет все равно проверять каждый файл ещё по некоторым критериям... Но теперь с программой, исследование логов значительно ускорится.
Можно добавить имена файлов в файл: files.txt. Для этого открыть этот файл в любом текстовом редакторе. Структура файла такова: одно имя на одну строку. На данный момент в файле files.txt - 530 известных имен файлов.
Также предусмотрена сортировка имён файлов в файле files.txt, для этого нужно запустить программу с параметром: sort.

Некоторые возможности программы:
  • Имеется поддержка путей к файлам, которые находятся в системной директории и под-папках, а также в директории Program Files и под-папках.
  • Подсветка путей к файлам в логах, если путь к некоторому файлу в логах не совпадает с путём к этому файлу, указанном в файле с именами, такой 'неверный' путь (вместе с названием файла) будет подсвечен красным цветом.
  • Файлы, которые уже выделены самим сканером AVZ в логах, как безопасные или опасные, не будут обрабатываться.
  • Имеется поддержка обработки имён файлов зловредов. После обработки путь в котором найдено такое имя будет выделен в логе красным цветом и будет перечеркнут.
  • Имеется возможность перетащить файл с логами AVZ (*.htm) на значок программы для последующей обработки.
  • Имеется возможность перетащить архив с файлом с логами на значок программы для последующей обработки.

Подробнее о работе программы в файле ReadMe.
(Если у вас уже есть своя "база" проверенных имен файлов, просьба поделиться)

Узнать больше об этом ресурсе...
 
Интересная програмка. А можно сделать, чтобы она как-то учитывала размер файла.Т,е. выделяла системные файлы с не характерным для него размером.
 
масяня@, цель программы исключение чистых\системных файлов, которые повторяются часто и почти в каждом логе и уделение студенческого внимания на тех файлах, которые не выделены зелёным цветом. :)
 
Т,е. выделяла системные файлы с не характерным для него размером.
Это нужно было бы вести уже обработку файла *.xml, где есть более детальная информация по каждому файлу с логов. Но не забывайте, что файл в разных случаях может иметь разный размер, каждый из которого будет правильный, вот если бы был всегда только один размер или 2, то было бы другое дело, а так будет просто уморительно и долго, сначала прописывать кучу размеров для файла, а потом вести обработку... Не забывайте, что Avz имеет большую базу безопасных файлов, по которой ведется проверка в самой avz.
 
Не забывайте, что Avz имеет большую базу безопасных файлов, по которой ведется проверка в самой avz.
О, хорошая мысль появилась.

beve, Смотрите, в логе .htm уже есть выделение зелёным цветом файлов прошедших по базе безопасных. Значит их можно не проверять и немножко ускорить проверку лога можно если игнорировать файлы прошедшие по базе безопасных (выделены зелёным цветом)
Различать строки прошедшие по базе безопасных можно по Нех-значению кода цвета, можно игнорировать строки относящиеся к зелёному оформлению и проверять только не прошедшие по базе безопасных (жёлтое выделение цветом):
<TR bgColor="#00CC66">
<TR bgColor="#FFC06D">
<TR bgColor="#FF7C80"> - это красные строки (на всякий случай пишу.) Регистр цветовых констант бывает разным, но это не проблема если приводить к нижнему регистру.

И ещё, такой нюанс вспомнился. Файловое заражение. Например мы проверяем лог AVZ и дошли до строки C:\Windows\explorer.exe, всё хорошо, в списке Files.txt - explorer.exe присутствует, но если заражение файловое, то сам C:\Windows\explorer.exe будет хоть и на том же самом месте, но будет заражён. Различить такое заражение можно только лишь по разнице в дате создания файла и дате изменения файла. И в целом это относится ко многим системным файлам. (к службам кажется это не относится, пока не выяснял, у них, даже у легальных, почти всегда дата и создание разные.)
 
в логе .htm уже есть выделение зелёным цветом файлов прошедших по базе безопасных. Значит их можно не проверять и немножко ускорить проверку лога
Но опять же, если добавить проверку "по цвету" то это опять на это немножко, хотя наверное даже больше и продлит работу.
Стосовно этой идеи исключать из обработки, если avz уже выделила файл, как безопасный. Я наблюдал, что бывает, что в списке процессов файл может быть выделен зеленым, а в других местах, например в секции прослушишивания портов - уже нет, хотя файл тот же, а запомнить что мы видели его уже в списке процессов помеченным как безопасный, тоже может быть затруднительно.
И ещё, такой нюанс вспомнился. Файловое заражение. Например мы проверяем лог AVZ и дошли до строки C:\Windows\explorer.exe, всё хорошо, в списке Files.txt - explorer.exe присутствует, но если заражение файловое, то сам C:\Windows\explorer.exe будет хоть и на том же самом месте, но будет заражён. Различить такое заражение можно только лишь по разнице в дате создания файла и дате изменения файла.
Поэтому и нужно проверять еще визуально и по пути, и по размеру, и по дате изменения. Если бы дата изменения всегда говорила о заражении, то можно было бы наверное подсветить другим цветом, или не подсвечивать вобще такой файл, но это не всегда вирус может изменять файл ведь. Хотя многие системные файлы точно не должны иметь дату изменения больше чем дата создания.
Еще была у меня идея усложнить программу и добавить проверку по пути, например добавлять в файле-где список файлов перед файлом какой-то значок, который указывал бы на директорию, где он должен быть рассположен. Например +explorer.exe - значит должен быть в папке Windows, и тогда весь путь бы подсвечивался зеленым: c:\windows\explorer.exe (конечно нужно будет определиться из какого места в логах брать букву системного диска), иначе нет. Но я не могу понять почему сам avz не всегда выделяет цветом заражения файл, например, explorer.exe, если он находится не в нужной папке. Но подумал, а стоит ли оно того, тогда будет в списке известных файлов - сплошная неразбериха...
 
Но я не могу понять почему сам avz не всегда выделяет цветом заражения файл, например, explorer.exe, если он находится не в нужной папке
Наверное потому, что в базе безопасных файлов AVZ есть только хэш MD5, а информации о легальном месте расположения данного файла отсутствует.
 
Я бы хотел выразить отдельно особую благодарность автору утилиты (beve). Программа для студентов получилась на удивление удачной и те из студентов которые её используют, очень легко отвечают\составляют скрипты. Процент ошибок и время на решение задания уменьшились на порядок. :good2: Это здорово облегчило работу кураторам, хотя её хватает всегда. В общем, утилита полезная и толковая! :friends: :victory:
 
Я бы хотел выразить отдельно особую благодарность автору утилиты (beve). Программа для студентов получилась на удивление удачной и те из студентов которые её используют, очень легко отвечают\составляют скрипты. Процент ошибок и время на решение задания уменьшились на порядок. Это здорово облегчило работу кураторам, хотя её хватает всегда. В общем, утилита полезная и толковая!
Присоединяюсь к этим словам и тоже выражаю свою благодарность! Полезная программа!
 
Утилита полезная, спасибо автору утилиты (beve)!
Замечание:
В файле iexplorer.exe выделяется только iexplorer.exe, а i нет.
 
В файле iexplorer.exe выделяется только iexplorer.exe, а i нет.
Начнём с того, что названный вами файл это - вирус iexplorer (iexplorer) и iexplorer
Возможно имелся ввиду файл iexplore.exe, но он есть в базе.


beve, Нужно добавить проверку целого имени файла, а не отдельного вхождения, потому что есть файлы, которые по вхождению части легального имени похожи на системные, но являются вирусами
explorer.exe <- Легал
iexplorer.exe <- Нелегал
Обходится это таким путём, нужно в базу чистых, добавить в начало имени слеш \
Тогда при вхождении в поиск подстроки - \explorer.exe уже не будет равна iexplorer.exe

Правда для драйверов, файлов .sys не нужно этого добавлять, они чаще всего идут одним именем без слеша
 
Последнее редактирование:
Нужно добавить проверку целого имени файла, а не отдельного вхождения, потому что есть файлы, которые по вхождению части легального имени похожи на системные, но являются вирусами
Я ж это понял после хорошего замечания от qwer12 и исправил в том прикрепленном файле что выше. Файл теперь будет проверяться по целому имени файла, а не по отдельному вхождению.
А стосовно добавления в базу чистых перед именем файла слеша \, то это не выход ибо в логах в некотором месте нужно выделять еще и чистый файл, есле перед ним идет и знак >, но вижу, что ты это знаеш.

P.S. Обновил файл в новости (начале теме).
 
Последнее редактирование:
Я и имел ввиду нелегальный файл iexplorer.exe. ;)
Я это и понял, поэтому и переделал программу. А Drongo видимо просто сначала не понял вопроса поэтому и переспросил. :)
 
Последнее редактирование:
А стосовно добавления в базу чистых перед именем файла слеша \, то это не выход ибо в логах в некотором месте нужно выделять еще и чистый файл, есле перед ним идет и знак >, но вижу, что ты это знаеш.
Мммм... Сам бы придумал так, проверять ещё и длину файла, к примеру
explorer.exe = 12 символов
iexplorer.exe = 13 символов
Несмотря на вхождение explorer.exe в iexplorer.exe по длине они разные, значит iexplorer.exe не выделяем зелёным.

Если честно, интересен твой вариант.

Добавлено через 2 минуты 2 секунды
Я и имел ввиду нелегальный файл iexplorer.exe
А Drongo видимо просто сначала не понял вопроса поэтому и переспросил
Ага, я подумал что qwer12 спутал с другим или просит выделять iexplorer.exe зелёным. Вот и уточнил что это вирь. :) Как видно, не всегда кратость - в пользу идёт. :)
 
Мммм... Сам бы придумал так, проверять ещё и длину файла, к примеру
explorer.exe = 12 символов
iexplorer.exe = 13 символов
Несмотря на вхождение explorer.exe в iexplorer.exe по длине они разные, значит iexplorer.exe не выделяем зелёным.
Если честно, интересен твой вариант.
В моем случае я все сделал проще, сначала было, что искал точное совпадение имени файла от извесного символа справа от файла, что как оказалось не правильно.
Теперь же, учитывая тот факт, что в логах Avz текст имеет одну структуру, просто регулярным выражением ищется имя файла, слева и справа которого стоят известные символы, в данном случае справа от файла всегда стоит символ "<", а слева может быть или ">" или "\" - поэтому сдесь уже прокола не будет.
Сам бы придумал так, проверять ещё и длину файла
Интересно, все равно сначала пришлось бы по-моему способу узнать все имя файла, чтобы потом уже сравнивать, но в этом случае уже сравнивать нету смысла если такого имени не числится в списке чистых файлов.
 
Последнее редактирование:
все равно сначала пришлось бы по-моему способу узнать все имя файла, чтобы потом уже сравнивать, но в этом случае уже сравнивать нету смысла если такого имени не числится в списке чистых файлов.
Всё понял, верно, совсем выпало из головы что выделяются зелёным только легальные. Я ведь думал в контексте своего парсера не только о легальных, но и о проверке нелегальных. :( Запутался маленько. Там иногда попадаются файлы с путями и без путей, к примеру:
Код:
C:\Windows\explorer.exe
explorer.exe
Если не делать проверку что системный файл находится не в своей директории, то можно обойтись простым поиском имени файла.

А вот ты учитываешь что вирусный файл имеющий идентичное имя легального файла, но может быть в другой папке? Например тот же IEXPLORE.EXE
Код:
C:\Program Files\Internet Explorer\IEXPLORE.EXE
Может находиться в системной папке
Код:
C:\Windows\IEXPLORE.EXE
И если в первом случае выделится зелёным правильный файл, то во втором случае выделится зелёным вирусный файл.
 
А вот ты учитываешь что вирусный файл имеющий идентичное имя легального файла, но может быть в другой папке?
Нет, как видно. И основная причина в том, что создать базу "чистых" файлов будет уморительно - ибо в файл с именами будет нужно прописывать не только имя файла, но и путь к нему, а путь может быть написан по крайней мере 2-мя способами - полный и краткий (но стосовно полного пути к файлу, то тут можно сделать типа переменные окружения, а системные папки вручную вводить что ли, но впринципе можно, файл с краткий же путем придется исключить из обработки). И еще данный файл может быть по-умолчанию на одном компе в одном месте, на ином- в другом месте (имеется ввиду не системные папки), и это не будет даже ошибкой.
Но как бы это все сделать попроще и получше. Какие будут предложения в этом случае, разумеется с примерными словесными алгоритмами.

Впринципе, если есть внимание, то можно отследить что зеленым выделен файл, который не "на своем месте", разве не так, правда, если базу чистых файлов составлять самому или же хорошо ознакомиться из этой (не большой) базой, что тоже на пользу.

P.S. Если бы чистые файлы с путями сама Avz подсвечивала... :):):) имеется ввиду даже не прошедшие проверку, но не зловредные известные файлы (не вирусы).
 
Последнее редактирование:
И основная причина в том, что создать базу "чистых" файлов будет уморительно - ибо в файл с именами будет нужно прописывать не только имя файла
Не обязательно прописывать все подряд, а только десяток-другой, наиболее подвержённых подмене\маскировке.
но и путь к нему, а путь может быть написан по крайней мере 2-мя способами - полный и краткий
Если учесть что WinDir может быть разная в различном логе, то лучше записывать имена файлов после WinDir. Например так.
Код:
...
soundman.exe
system32\userinit.exe
...
Потом к файлу подставлять значение WinDir. Допустим что WinDir = C:\Windows\. Для примера первый файл будет уже
Код:
C:\Windows\soundman.exe
а второй файл
Код:
C:\Windows\system32\userinit.exe
Я работаю с xml'кой, там есть значение переменной WinDir="C:\WINDOWS\", поэтому узнать проще. А в htm скорее всего придётся искать вхождение \system32\ и позицию начала файла, потом через SubString извлекать подстроку между началом пути файла и \system32\. Возможно есть способ проще, но мне он не известен. :unknw:

И еще данный файл может быть по-умолчанию на одном компе в одном месте, на ином- в другом месте, и это не будет даже ошибкой.
Вот тут я не понял, можно привести наглядный пример?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу