Форум программистов, компьютерный форум, киберфорум
Наши страницы
Batch (CMD/BAT)
Войти
Регистрация
Восстановить пароль
 
Рейтинг 5.00/7: Рейтинг темы: голосов - 7, средняя оценка - 5.00
Dragokas
Эксперт WindowsАвтор FAQ
16969 / 7054 / 856
Регистрация: 25.12.2011
Сообщений: 10,868
Записей в блоге: 16
#1

ViruLogs Collector by Dragokas

28.10.2013, 04:24. Просмотров 1341. Ответов 6
Метки нет (Все метки)

Автоматическое обновление и сбор логов AVZ, RSIT, SITLog
v. 0.1.7.
ViruLogs Collector by Dragokas

Основная цель:
Автоматизация сбора информации о вирусном заражении с помощью утилит AVZ, RSIT, SITLog
для раздела "Помощь в лечении компьютерных вирусов"

Алгоритм работы утилиты построен со строгим соблюдением главной инструкции.

Основной функционал:
1. Автоматическое обновление Баз AVZ, утилит AVZ, RSIT, SITLog без полного их скачивания (экономия трафика).
2. Сопровождение пользователя в выполнении подготовительных действий перед началом сканирования системы.
3. Последовательный запуск скриптов AVZ #3, перезагрузки, AVZ #2, утилит RSIT, SITLog без необходимости вмешательства пользователя.
4. Сбор логов в единый ZIP-архив для создания темы в разделе лечения (Logs\LastLog\ViruLogs.zip)

Дополнительный функционал:
- Автоматическое создание контрольной точки восстановления системы; запуск службы, если была отключена.
- Убеждаюсь, что антивирус действительно был отключен пользователем через проверку тестовым файлом not-a-virus EICAR,
иначе предлагаю пользователю прочитать инструкцию.
- Автозапуск браузера Internet Explorer и браузера по-умолчанию.

Особенности реализации:
- открытый исполняемый код сборщика + свободно распространяемые утилиты в его составе с открытым исходным кодом.
- поддержка прокси (сервер ищет в настройках Internet Explorer либо файле ViruLogs.ini)
- переименование AVZ в полиморф (если в настройках имя полиморфа не будет задано, оно будет выбрано случайным набором цифр).
- проверка, что базы AVZ не устарели более N дней (по-умолчанию, 10 дней (задается в настройках), иначе анализ системы запрещается.
- обновление через несколько зеркал по цепочке (если первый адрес - сайт недоступен, качаем со 2-го и т.д.), для баз AVZ дополнительно как вариант используется скачивание кумулятивного архива, если обновится через интерфейс AVZ не получилось.
- Путь к собранному архиву логов копируется в буфер обмена, папка LastLog открывается по заверению исследования.
- При повторной проверке старый архив переименовуется в ViruLogs_old_Дата_Время.zip в папку Logs.
- Русский и английский язык интерфейса (для англоязычных систем).
- модульность (можно настраивать в т.ч. включать/отключать работу каждой стадии утилиты. См. комментированный файл настроек ViruLogs.ini)
В финальном релизе утилита будет собираться на сервере и необходимость обновлять ее пользователю отпадет.
- проверка целостности MD5-хеша состава утилиты.
- проверка наличия подключения к сети Интернет перед началом обновлений (через имитацию скачивания странички "http://www.w3.org")
- безопасность в плане кириллицы/пробелов/спецсимволов в пути к сборщику, специфических настроек региональных стандартов.

Для разработчиков - информация о новых технологиях, использованных в коде:
- авто-перезапуск утилиты в x64-разрядном режиме (через алиас Sysnative), если она была запущена в 64-рязрядной ОС от имени 32-битного приложения.
- перевод текстовой части скрипта без увеличения кол-ва исходного кода и замены теста на невнятные названия переменных.
(в качестве имен переменных берется сам исходный текст сообщений )
- использование сразу нескольких JScript функций в скомбинированном CMD-JScript пакетном файле.
- чтение настроек из внешнего файла.
- взаимодействие с пользователем через GUI Pop-up окна (функция Shell.Application Popup) с возвратом кода ошибки нажатой клавиши.
- Дебаг-режим скрипта (если в настройках включить true, скрипт перезапускается с ключиком CMD /K без echo off).
- парсинг XML-файла со спецсимволами в роле разделителя (из avzupd.zip).
- WGET - безопасное определение имени скачанного файла в случае, если утилита сохранила его с другим именем, чем на сервере.
- получение Process ID текущего окна CMD без использования сторонних средств и WMI.
- JScript: Передача имитации нажатых клавиш только в случае успешной активации окна программы, на что дается 20 секунд работы скрипта,
иначе он должен завершиться.
- применение особого интерфейса окна CMD без затрагивания исходных настроек (параметры меняются на пару секунд, кроме того реестр HKCU\Console сохраняется в файл Backup.reg и Permanent_Backup.reg на всякий случай).
5
Вложения
Тип файла: zip _ViruLogs.zip (919.7 Кб, 45 просмотров)
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
28.10.2013, 04:24
Ответы с готовыми решениями:

Обновление утилиты ViruLogs (операции копирования, скачивания, архивации в Zip)
Еще раз нужна Ваша помощь. На выходе должен получиться архив формата Zip,...

Garbage collector
как можно просимулировать Garbage collector (написать программу в C#) ?

Mail Journaling и Mt Collector
Здравствуйте, помогите пожалуйста с решением проблемы по работе с Mail...

CLR и Garbage Collector
всем доброго времени суток! Если не вызывать GC.Collect() то среда CLR...

Режимы Garbage Collector
Добрый день. Че-т не могу найти ответы на эти вопросы :) Какие есть режимы GC...

6
Dragokas
Эксперт WindowsАвтор FAQ
16969 / 7054 / 856
Регистрация: 25.12.2011
Сообщений: 10,868
Записей в блоге: 16
28.10.2013, 04:34  [ТС] #2
Лучший ответ Сообщение было отмечено как решение

Решение

Эту разработку разместил больше для постоянных пользователей раздела.
См. часть "Для разработчиков".

1) Было применено несколько новых трюков для CMD, что может составлять интерес.

2) Также предлагаю всем желающим для открытого тестирования продукта и отзывов о найденных багах.

Внимание: в процессе теста Ваш ПК будет перезагружен.
Чтобы этого не произошло, можно отключить запуск AVZ:

измените в файле ViruLogs.ini строку use_AVZ на:

Код
use_AVZ=false
Полный файл настроек выглядит так:
ViruLogs.ini

Код
;;; Конфигурационный файл



[Stages]

;;; Включение/отключение ключевых стадий работы сборщика

; Обновление утилит и баз

Stage.Update=true

; Создание контрольной точки, тест наличия активного антивируса, открытие окна браузера IE и браузера по-умолчанию

Stage.Prepare=true

; Этап сканирования с помощью комплекта утилит (AVZ, RSIT, HijackThis, SITLog)

Stage.Analyses=true



[ScanTools]

;;; Выбор утилит, которые нужно использовать для анализа системы

use_AVZ=true

use_RSIT=true

use_SITLog=true




[AVZ]

;;; Имя
; Переименовать исполняемый файл

AVZ.UsePolymorf=yes
AVZ.PolymorfName=goodfile.pif

; Если базы устарели на N дней, а обновить невозможно, запрещать анализ и просить пользователя скачать новую сборку с SafeZone.cc
; 0 - контроль актуальности отключен

AVZ.DaysOutDated_DenyScan=10

; Не скачивать обновление баз, если прошло менее N дней с момента последней успешной проверки
; 0 - всегда обновлять базы при запуске

AVZ.DaysOutDated=0




[Update]

;;; Не скачивать обновления утилит, если прошло менее N дней с момента последней успешной проверки
; 0 - всегда проверять обновления

Updates.DaysOutDated=0

;;; Сервера обновлений
; ключ -SkipCheckVersion - Форсировать скачивание без проверки, новая ли версия

;; =================== AVZ ==============
; Адреса зеркал

AVZ.link.1=http://z-oleg.com/avz4.zip
AVZ.link.2=http://safezone.cc/resources/12/download?version=13 -SkipCheckVersion

;Альтернативные источники обновления баз AVZ

AVZ.Bases.Link.1=http://z-oleg.com/secur/avz_up/avzbase.zip

;; ================   SITLog  ================
; Адреса зеркал

SIT.link.1=http://tools.safezone.cc/glax24/SIT/SITLog.7z
SIT.link.2=http://komp73.ucoz.ru/SITLog/SITLog.7z

;; ============ Sysinternals Handle ==========
; Адреса зеркал

HANDLE.link.1=http://live.sysinternals.com/Handle.exe

;; =================== RSIT =================
; адреса зеркал

RSITx32.link.1=http://images.malwareremoval.com/random/RSIT.exe
RSITx32.link.2=http://safezone.cc/resources/4/download?version=4 -SkipCheckVersion

RSITx64.link.1=http://images.malwareremoval.com/random/RSITx64.exe
RSITx64.link.2=http://safezone.cc/resources/6/download?version=6 -SkipCheckVersion

;; ================ HijackThis ============= (включен в состав RSIT, SITLog)
;HJT.link.1=http://go.trendmicro.com/free-tools/hijackthis/HiJackThis.exe




[Proxy]

;;; Прокси сервер
; принудительно задать адрес прокси-сервера, иначе определяется автоматически по настройкам Internet Explorer
; например, ProxyAddress_Force=127.0.0.1:8080

ProxyAddress_Force=




[Interface]

; запускать скрипт в режиме повышенных привилегий

ini.AdminRights=true

; включить режим отладки ошибок

ini.DebugMode=false

; закрывать окно скрипта по завершении всех стадий работы

AutoClose=false
3
Dragokas
Эксперт WindowsАвтор FAQ
16969 / 7054 / 856
Регистрация: 25.12.2011
Сообщений: 10,868
Записей в блоге: 16
02.11.2013, 16:36  [ТС] #3
Лучший ответ Сообщение было отмечено как решение

Решение

0.1.8
от 29.10.13 Скачать

Удалена функция проверки включен ли антивирус. Вырезан тестовый файл not-a-virus EICAR, удален файл Handle.exe
Качаются обе x64, x32 версии утилит RSIT.
Добавлено окно "Обновить утилиты и базы ?"
Вырезан SetClip, как ложный детект некоторых антивирусов. Путь к архиву теперь не копируется в буфер обмена.
Поправлены зеркала.
Убрана проверка MD5 (иначе утилита не запустится при наличии файлового вируса-червяка). Удален файл Rhash.exe
Запрещен запуск из архива.
Проверка подключения к сети Интернет - забыл о прокси. Исправлено.
Лог работы сборщика теперь не включается в финальный архив (т.к. в нем пока ничего особо полезного).
Добавлена серверная версия: за это отвечает строка FTP.Version=true в настройках INI.

О серверной версии.
При ее активации происходят такие вещи:
Отлючается запрос повышенных привилегий - базы AVZ скачиваются только через кумулятивный архив
Отключается стадия подготовки и анализа системы
Отключаются вплывающие окна и сообщения (WGET запускается свернутым)
Автозакрытие окна CMD в конце.
Рассылка обновленных версий RSIT и AVZ с базами (avz4.zip) по указанному списку путей в INI.
Упаковка готового сборника в архив _virulogs.zip для использования на зараженном ПК.
Сборка будет доступна извне, как статическая ссылка.
4
Dragokas
Эксперт WindowsАвтор FAQ
16969 / 7054 / 856
Регистрация: 25.12.2011
Сообщений: 10,868
Записей в блоге: 16
15.11.2013, 18:41  [ТС] #4
Лучший ответ Сообщение было отмечено как решение

Решение

Сегодня выходит версия 0.1.9.
Просьба протестировать на предмет ошибок предрелиз: http://rghost.net/50191662

Перечень изменений вскоре будет опубликован.
5
JoraVoenyjHaker
Заблокирован
15.11.2013, 21:04 #5
Лучший ответ Сообщение было отмечено как решение

Решение

Цитата Сообщение от Dragokas Посмотреть сообщение
use_AVZ=false
в моём скачанном матерьяле и файле ViruLogs.ini
я это отключил но ещё не запускал, правильно ?
use_AVZ_Script_3=false
use_AVZ_Script_2=false

Добавлено через 32 минуты
Цитата Сообщение от Dragokas
1) не слишком ли заумно сделал?
2) что изменить/добавить для большей доступности для обычного пользователя?
3) Были ли заметные ошибки во время работы и какие?
1 нет нормально, когда перед пользователем командный синий экран
это заставляет нервничеть, и внимательно следить за происходящим )))
только слова должны быть как можно более проще для понимания )))

почему-бы не сделать с приятным оконным интерфейсом ?

2 не дождавшись ответа,
я всё-таки рискнул, запустил
ничего не перезапустилось(что меня обрадовало)
в итоге проверка прошла
включались окошки прогресса
по окончанию создался архив _ViruLogs_forum.zip
с лог файлами, где мне искать результат
наличия вирусов ?

3 вроде бы ошибок не было только страница с отчётом для браузера не прошла
ну может это уже у меня тут какие-то глюки...
1
Dragokas
Эксперт WindowsАвтор FAQ
16969 / 7054 / 856
Регистрация: 25.12.2011
Сообщений: 10,868
Записей в блоге: 16
15.11.2013, 23:35  [ТС] #6
Лучший ответ Сообщение было отмечено как решение

Решение

JoraVoenyjHaker, спасибо большое за отзыв.
Вы все правильно поняли.
Страницу браузера уберу.
HTA в разработке...

Добавлено через 32 минуты
Цитата Сообщение от JoraVoenyjHaker Посмотреть сообщение
где мне искать результат наличия вирусов ?
Бета-версия новых правил:

Кликните здесь для просмотра всего текста
FAQ

Как оформить запрос о помощи в разделе лечения?

Внимание!
  • Инструкции, подготовленные нашими специалистами, пишутся (составляются) индивидуально для каждого пользователя.
  • Не производите самостоятельного лечения на основании инструкций, которые подготовлены для другого пользователя, так как это может повредить Вашей операционной системе.
  • Не принимайте и игнорируйте во время лечения любые рекомендации полученные вне раздела лечения,а так же в личных сообщениях
  • Не удаляйте и не перемещайте никаких файлов без его указаний.
  • Не запускайте самостоятельно утилиты лечения без рекомендации консультанта- это может привести к негативным последствиям,вплоть до утраты работоспособности операционной системы и потере пользовательских данных!
  • Если Вы подозреваете, что Ваша система заражена вредоносными программами и нуждаетесь в нашей помощи, то следуйте следующей инструкции.
__________________________________

С чего начать?
  • Зарегистрируйтесь на нашем форуме;
  • Создайте тему в разделе "Бесплатное лечение компьютеров от вирусов";
  • Дайте теме осмысленное название, соответствующее проблеме;
  • В своём первом сообщении детально опишите возникшую у Вас проблему;
  • Прикрепите полученные в процессе подготовки к лечению файлы к Вашему сообщению с помощью кнопки Загрузить файл, расположенной чуть ниже текстового поля в редакторе сообщений.
  • Дождитесь ответа Консультанта, чётко выполняйте все его инструкции.



Как подготовить логи?
  • Временно отключите антивирусное программное обеспечение и защиту согласно этой инструкции.
  • Скачайте утилиту ViruLogs Collector by Dragokas и распакуйте полученный архив в удобную Вам папку.
  • Запустите файл ViruLogs и выполните обновление утилиты нажав кнопку "Да" в соответствующем диалоговом окне.
  • Следуйте инструкциям в процессе работы утилиты.
  • Внимание! В процессе сканирования Ваша система будет перезагружена.
  • На рабочем столе будет создан архив _ViruLogs_forum.zip с логами.
  • Прикрепите его к Вашему сообщению, создав новую тему в разделе "Бесплатное лечение компьютеров от вирусов".

Что нужно знать?

Консультант дал рекомендацию. Как ее выполнить?

1) Инструкция: Как выполнить скрипт AVZ ?
2) Инструкция: Как "пофиксить" в HiJackThis?

После лечения обязательно ознакомьтесь с рекомендациями после удаления вредоносного ПО и постарайтесь их придерживаться.
Так же в целях самообразования рекомендуем раздел "Полезно знать".
3
Dragokas
Эксперт WindowsАвтор FAQ
16969 / 7054 / 856
Регистрация: 25.12.2011
Сообщений: 10,868
Записей в блоге: 16
16.11.2013, 01:17  [ТС] #7
Лучший ответ Сообщение было отмечено как решение

Решение

ViruLogs Collector by Dragokas
ver. 0.1.9.0


Релизная версия. Скачать

Перечень изменений:

Кликните здесь для просмотра всего текста

Обновления утилит
Добавлено зеркало avz.safezone.cc
Наличие обновлений для AVZ (ядро + базы) теперь проверяется не через интерфейс AVZ, а через парсинг 3 Кб-файла avzupd.zip на сайте z-oleg.com (спасибо Гимаев Наиль)

Файлы
Финальный лог теперь создается в главной папке.
Удалена утилита nircmd.exe

Интерфейс
Добавлено сообщение "Выгрузить защитное ПО" после перезагрузки.
Показ имени установленного антивируса (чтобы обратить внимание)
Профессиональный перевод от Anna Khatser.
Правки грамматических ошибок.

Сеть:
Увеличено кол-во попыток для установки связи до 4 (для плохих линий Интернета).

Функции:
Добавлен лог утилитой SecurityCheck by glax24.
Отключение драйвера AVZPM путем запуска стандартного скрипта № 6 с перезагрузкой.
Регистрация нового расширения ErrorEXE: если ассоциация EXE повреждена, утилита нормально стартует после перезагрузки.
Контрольная точка: поправлена проверка кода ошибки; для систем >= Vista, включается создание точек, если было отключено.
Ключ автозагрузки изменен на HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\33
Голосовое сообщение при завершении проверки.
Копирование пути к архиву в буфер обмена (вернул на родину
Перезагрузку компьютера можно отменить в течении 10 сек. (на экстренный случай

Ошибки и безопасность:
Баг со скобкой ) в пути исправлен, восклицательные знаки (!) и другие спецсимволы также доступны.
Множество других правок мелких ошибок.

Чистка следов:
Чистка и удаление папок с логами от каждой из утилит.
Удаление драйвера AVZ по заврешению скрипта № 2
Удаление ветки реестра TrendMicro, если ее не было.
Удаление драйверов и других следов AVZ после его отработки (скрипт № 6 сразу после скрипта № 2)



Добавлено через 1 час 30 минут
ver. 0.1.9.1 Скачать
Запуск SecurityCheck в тихом режиме (без отображения на экран результатов).

ver. 0.1.9.2 скачать
Исправлена ошибка бекапа настроек интерфейса (XP): "Попытка записи в несуществующий поток".
Убрано машинное озвучивание завершения сканирования. Добавлено проигрывание стандартных WAV системы (Звуки *ShutDown*.wav и *notify*.wav).
Служебная Папка "bin" перенесена в папку "Programs". _Start.cpp также перекомпилирована.
Поправлено сообщение версии баз после обновления.

ver. 0.1.9.3 скачать
Дублирование финального архива в формат 7z (временное решение проблем с загрузкой на сервер CyberForum)
Протоколирование этапов запуска утилит и работы AVZ в файл LOGs\ViruLogs.log
Автозагрузка: _Start.ErrorEXE (reg: RunOnce) переименован в _ViruLogs_Start.ErrorEXE (чтобы "не бросаться на глаза").
Удален файл англоязычной справки AVZ.
В заголовке окна отображается версия утилиты.
Более быстрый старт сборщика после перезагрузки и в процессе обновления баз.
Проверка подключения к Интернет через простую отправку ping (для сетей без прокси).
Win8: запуск без альтернативной ассоциации ErrorEXE (не прогружался рабочий стол).
3
16.11.2013, 01:17
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
16.11.2013, 01:17

SCC - System Configuration Collector
Кто нибудь устанавливал/конфигурировал данное ПО? Что нужно под Linux? Как я...

Event collector command line utility
Добрый вечер, заметил что последнее время в играх стало резко падать фпс,в...

Event collector command line utility
Добрый день, появилась аналогичная проблема как "Михаил9" тут на форуме....


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
7
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru