AVZ on LiveCD
Опції теми
AVZ on LiveCD
Олег Зайцев,потрібно зробити: -плагін для bartpe який зможе працювати з реєстром та змінними оточення зараженої машини. - Думаю, зручніше буде зробити в самій avz - автовибір реєстру (якщо система піднялася з ЦД, а не з харда - автоматично підключалася б до реєстру зараженої системи а не до bartpe (з боку користувача не потрібно рухів тіла - менше рухів - менше багів )- -в логах avz має бути рядок у верху із зазначенням, до якого реєстру було підключення - в гуї зробити вибір через вікно "Огляд" місце збереження логів і карантину.( Через скрипт уже є, залишилося через гуї втілити ) -можливість оновлення баз локально через гуї (бази розпаковані на диску, флешці ітд) -Повна робоча збірка з іміджем і окремо плагін закинути на рапіду або якийсь обмінник, далі я сам вже закину в бітторент - розберуть
P.S. Сподіваюся, так менш туманно
Набридло бути жертвою? Стань профі з інформаційної безпеки, отримуй найсвіжішу інформацію про загрози та засоби захисту від провідного українського аналітичного центру Anti-Malware.ru:
Що мені потрібно: 1. Звідки цей BartPE береться ? Щоб мені не шукати (готових бут-дисків дисків з різними BartPE тощо у мене жменя лежить, але якщо брати все офіційно – то офіційно) 2. Чи є дані про те, як для нього робити плагіни?
1. з офіційного сайту: http://www.nu2.nu/pebuilder/ http://www.nu2.nu/pebuilder/#download 2. треба пошукати докладну інструкцію. сподіваюся, хлопці, які читають цю тему, допоможуть. якщо знайду раніше повідомлю.
Додано через 4 хвилини
http://www.homenetworkhelp.info/inde. ast-2007-03-19 хороша статейка, внизу лінки на сайти з інструкціями для створення нового плагіна
Додано через 6 годин 48 хвилин
Додав про оновлення- важлива річ, зовсім не хочеться щоразу робити livecd
Так, LiveCd стає найбільш актуальним засобом боротьби зі зловредами. Чи може краще зробити LiveCd на базі VistaPE (WinPE 2.0) (vistape.net/ukr/index.html)? Там менше обмежень буде на роботу програм.
І реєстр зараженої машини, що підключається, - це дуже потрібно! (Щоправда, це я зустрічав тільки в LiveCd від SysInternals ERD Commander - мабуть, не дуже просто це зробити.)
Актуальним для мене є питання про перенесення сканера Kaspersky 2009 на LiveCD (рідний диск Rescue на BartPE не дуже влаштовує - на одних системах запускається, на інших - ні). Ніхто не зустрічався із ручними методами перенесення Kaspersky 2009 на LiveCd?
як варіант - підключати та редагувати поламаний реєстр за допомогою "Завантажити кущ" у стандартному "regedit". Це можливо в будь-якій збірці LiveXP, що завантажується.
Це з урахуванням Linux. А хотілося б на базу Win PE перенести Kaspersky.
А якщо використовувати LiveCd на базі Linux, то як оновлювати бази на ньому (без виходу до Інету для оновлення або повторного скачування всього образу) - ручками, маючи лише встановлений під Windows Kaspersky. Цікавить тільки якісь папки/файли і де замінювати. (UltraIso користуватися вміємо ;-) ?
Як змусити при цьому AVZ (або інший антивірус) працювати із завантаженим кущем?
навіть не ставив це питання т.к. все доводилося робити вручну. Але, за ідеєю робота із завантаженим кущем нічим не відрізняється від звичайного. Ну хіба що деякі утиліти не зможуть знайти розділи, що відповідають за автозавантаження. вони лежатимуть незвичними шляхами, а з приставкою. Тоді це питання до розробників утилить.
WinPE є небезплатним, тому Лабораторія Касперського його не використовує.
[PEBuilder] Name="AVZ" Enable=1 Help=""
[Software.AddReg] 0x2,"Sherpya\XPEinit\Programs","AVZ","%SystemDrive %\programs\AVZ\avz4remoute.cmd%SystemDrive%\Prog rams\AVZ\avz.exe" " 0x2,"Sherpya\XPEinit\Desktop","AVZ","%SystemDrive%\programs\AVZ\avz4remoute.cmd%SystemDrive%\Progr ams\AVZ\avz.exe,0"
Ось тут можна завантажити базовий конструктор від7sh3з повністю русифікованим Help'ом (детальний опис формату файлу модуля див. pebuilder_xpe/help/russian/pluginformat.htm) : http://forum.ru-board. com/topic.cgi. 026&start=1780
Трохи покопався, зробив завантажувальний диск з мінімумом функцій, і як нормально стартуючим AVZ з підключенням реєстру (висвічується вікно для вказівки шляху до віндовс, поки не перевіряв) поки не перевіряв. Багів ще забагато, драйвера треба вшити на дискові підсистеми та ін. Якщо комусь цікаво кину на мережевий FTP (для нас безкоштовний, вим видно з нету) для тестів.
Так, до речі може хтось пояснить чому пуск у верху екрана з'являється? До речі можна зробити на базі ERD Commander, але це як комерційний продукт, але скачується безкоштовно.
А ось що надвечір вийшло. http://security.belgorod-net.ru/PAK/. rusKit_0.1.rar 97 mb Багів ще вистачає, наприклад AVZ думає що система EN, драйверів немає, та й тестів майже не було. Коротше спробуйте. У майбутньому сподіваюся закинути і підключити ще кілька популярних утиліт.
БіомеханікЗавантажив образ у віртуальній машині. Виникло питання: а викладати "для тестів" образ, що завантажується з паролем на вході в систему, це що, "жарт гумору"? Переглянути файли образу, які відповідають за роботу AVZ. Нічого нового у створенні плагіна не виявив. Упаковка UPX'ом - не рахунок, вважаю, краще економити оперативну пам'ять і час виконання, ніж дискову пам'ять. Сенс пропонованого тестування образу? Допомогти Вам усунути помилки, скинути пароль на вхід? Див. мій пост вище, краще конструктора, ніж за наведеним у ньому посиланням навряд чи знайдете.
Біомеханік, щодо пакування все нормально: просто якось не звертав увагу на оригінальну упаковку AVZ (UPX v2.03). Справа в тому, що іноді при складанні LiveCD багато модулів тиснуть додатково, щоб місце заощадити. Соррі, привиділося.
Щодо Вашої збірки, Пуск виявився на звичному місці. Поява англійського інтерфейсу AVZ, певне, пов'язані з недоліками плагіна локалізації. При використанні конструктора від7sh3такої проблеми немає - все на великому та могутньому.
Особливість рансканера: при запуску з CD-диска (I386) командного файлу avz4remoute.cmd (run.cmd в образіБіомеханік) слід запит каталогу інсталяції Windows; якщо ж запускаємо цю ж збірку з (флеш) диска (MININT, у себе обізвав пробний варіант MINI_Z c відповідним коригуванням шляху в setupldr.bin) запиту каталогу установки Windowsне відбуваєтьсяі відразу з'являється діалогове вікно вибору профілю користувача. Це з особливістю реалізації режиму умовчання для запуску рансканера.
Проблема вирішувана, щоб мати можливість вибору інсталяції, слід запускати AVZ для віддаленої системи так: start RunScanner.exe /y /sd /t 0 %temp%\avz\avz.exe
Ключ/sdвключає сканування кореневих каталогів на всіх дисках з метою пошуку Windows-інсталяцій - можна вибрати зі знайдених (для Vista - ключ /sv, для "ручної" вказівки)каталог Windows можна використовувати ключ /s).
Як і раніше, залишається невирішеним питання відмежування даних поточної системи від даних віддаленої системи при запуску AVZ для віддаленої системи.
Я прибрав (приберу) усі непотрібні модулі з конструктора для зменшення ваги та можливих багів. Також планую додати дрова на оповіді та рейд + video карти (що зможу знайти) + деякі проги типу Hijackthis та каперського. З локалізацією питання майже вирішилося у тестових збірках виходить запустити одразу український гуй. RunScaner поправлю. Буде два ярлики для звичайної вінди та вісти. З останнім пунктом не зрозумів. Про які конфлікти йдеться?
Біомеханік, з Windows XPE запустіть свій run.cmd. Ну, а далі, наприклад, Сервіс – Менеджер автозапуску. Тепер зверніть увагу на значення даних у колонці "Файл" - видно елементи автозапуску як для віддаленої системи, так і для поточної PE-системи (найпомітніші рядки з "непотрібними" шляхами X:\. ) Конфліктом або проблемою навряд чи варто це називати, але незручністю - безперечно.
Дано: середовище преінсталяції (PE), що дозволяє працювати з віддаленою Windows-системою. Завдання: не пропустити на вхід AVZ даніпоточноїPE-системи (про поточні процеси, значення ключів PE-реєстру, запущені PE-служби, завантажені PE-драйвери тощо), щоб AVZ зверталися лише (виключно) данівіддаленої(неактивної, "лежачої" системи).
Ну, це вже до Олега. Шляхи з X: можна легко відфільтрувати. Коротше потрібна коригована версія AVZ для систем PE.
Зміни, що вносяться у віддалену систему (файли, реєстр), зберігаються в ній. Практично, можливе відновлення настройок завантаження в SafeMode (десятий скрипт). Тому, AVZ c LiveCD можна використовувати, зокрема, для вирішення проблеми звідновленням варіанта безпечного завантаження, згаданого ось у цій темі: http://virusinfo.info/showthread.php?t=36275
Якщо вже система не стартує, то один із "м'яких" способів її запустити - дослідити та підправити реєстр, завантажившись зі стороннього носія. Можливо, іноді має сенс повністю перевстановити загиблу систему (сам не люблю). У такому разі корисно було б повитягувати максимум інформації зі старого реєстру. Ті ж мережеві налаштування, які користувач "не знав, та ще й забув". (9) (Як один з варіантів напряму розвитку для AVZ).
Додано через 1 годину 43 хвилини