Перейти к содержимому


Фото
- - - - -

Логи сканера после проверки 56844852 файлов. Чем открыть?


  • Please log in to reply
44 ответов в этой теме

#1 Александр Щ.

Александр Щ.

    Member

  • Posters
  • 318 Сообщений:

Отправлено 06 Ноябрь 2019 - 15:51

Проверил сканером папку со множеством архивов и образов. Размер файла с логом превышает 13gib. Теперь запускаю программы-редакторы, пытаясь из этого файла извлечь строки, в которых указаны заражённые файлы. Пока результат не впечатляет, многие редакторы просто зависают при открытии файла. Памяти 8GB. Может разработчики что подскажут?

 

Вчера на фоне этой проблемы внёс предложение, чтобы разработчики добавили возможность сохранять список заражённых файлов в окне сканера, и\либо создавать при сканировании минимальный лог, содержащий только список инфицированных файлов. Пока ответа нет...

 

Прикрепленные файлы:

  • Прикрепленный файл  drweb1.png   129,93К   0 Скачано раз

Сообщение было изменено Александр Щ.: 06 Ноябрь 2019 - 15:52


#2 Kirill Polubelov

Kirill Polubelov

    Forth Thinker

  • Dr.Web Staff
  • 3 440 Сообщений:

Отправлено 06 Ноябрь 2019 - 15:53

Если нет никсовой машины и лень ставить что-то типа cygwin-а, где есть grep/sed, то можно попробовать:

findstr /L infected dwscanner.log

например, в командной строке Windows.

 

Чтобы почитать в отдельном файле:

findstr /L infected dwscanner.log >> c:\result.txt

Сообщение было изменено Kirill Polubelov: 06 Ноябрь 2019 - 15:54

(exit 0)


#3 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 4 012 Сообщений:

Отправлено 06 Ноябрь 2019 - 15:53

GNU less. Можно совместить с GNU grep.

Cygwin целиком тут не нужен, достаточно gnuwin32. Правда на винде это тоже тормозит.


Сообщение было изменено Afalin: 06 Ноябрь 2019 - 15:54

Семь раз отрежь – один раз проверь

#4 VVS

VVS

    The Master

  • Moderators
  • 17 516 Сообщений:

Отправлено 06 Ноябрь 2019 - 15:55

ЕМНИП события в эвентлог пишутся.

--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#5 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 140 Сообщений:

Отправлено 06 Ноябрь 2019 - 16:43

во первых у сканера есть ком строка в которой можно включить только инфекции, во вторых есть консольный сканер как раз для нужд парсинга и автоматизации.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#6 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 140 Сообщений:

Отправлено 06 Ноябрь 2019 - 16:51

строки для грепа детектов: "infected with", "infected with modification of", "probably infected with", "is adware program", "is dialer program", "is joke program", "is riskware program", "is hacktool program", "unknown infection type"

консольник стоит запускать как минимум с параметрами: dwscancl.exe /v:r /v:t /wcl c:\

получим вид:

[5] d:\virs\Nota Fiscal Eletronica DANFE302182374.ln# infected with PowerShell.DownLoader.372
[5] d:\virs\Nota Fiscal Eletronica DANFE302182374.ln# - infected, retcode=00000001, KNOWN_VIRUS
[4] d:\virs\b2e271ab25f5de1720e2c68c97b93e89afcf533b is riskware program Program.Unwanted.1127
[4] d:\virs\b2e271ab25f5de1720e2c68c97b93e89afcf533b is riskware program Program.Unwanted.2304
[9] d:\virs\Trojan.CCleaner.zip\7e9cfa3cca5000fe56e4cf5c660f7939487e531a - password protected, retcode=00000100, NOT_INFECTED, SR_FILE_PASSWORD
[9] d:\virs\Trojan.CCleaner.zip\CCleaner.ex# - password protected, retcode=00000100, NOT_INFECTED, SR_FILE_PASSWORD
[9] d:\virs\Trojan.CCleaner.zip - archive, password protected, retcode=00001100, NOT_INFECTED, SR_FILE_PASSWORD, SR_FILE_IS_ARCHIVE
[9] d:\virs\Trojan.Poweliks.3.zip\Poweliks3.ex# - password protected, retcode=00000100, NOT_INFECTED, SR_FILE_PASSWORD
[9] d:\virs\Trojan.Poweliks.3.zip - archive, password protected, retcode=00001100, NOT_INFECTED, SR_FILE_PASSWORD, SR_FILE_IS_ARCHIVE
[9] d:\virs\vir_in_reg.zip\Gootkit.ex# - password protected, retcode=00000100, NOT_INFECTED, SR_FILE_PASSWORD
[9] d:\virs\vir_in_reg.zip\Poweliks.ex# - password protected, retcode=00000100, NOT_INFECTED, SR_FILE_PASSWORD
[9] d:\virs\vir_in_reg.zip - archive, password protected, retcode=00001100, NOT_INFECTED, SR_FILE_PASSWORD, SR_FILE_IS_ARCHIVE
[4] d:\virs\b2e271ab25f5de1720e2c68c97b93e89afcf533b - infected, retcode=00000001, KNOWN_VIRUS

это полная детализация по скану и тех. инфы. первая цифра это номер движка, по нему можно просто группировать объекты. в конце получаем расшифровку всех битов кода а не просто текст и число.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#7 Kirill Polubelov

Kirill Polubelov

    Forth Thinker

  • Dr.Web Staff
  • 3 440 Сообщений:

Отправлено 06 Ноябрь 2019 - 17:05

Это всё, безусловно, полезная информация, просто у пользователя _уже_ есть лог, и он его хочет распарсить.


(exit 0)


#8 Александр Щ.

Александр Щ.

    Member

  • Posters
  • 318 Сообщений:

Отправлено 06 Ноябрь 2019 - 17:17

во первых у сканера есть ком строка в которой можно включить только инфекции,
И это в Windows... :facepalm:  Константин, Вы не хуже меня должны понимать, что все параметры и настройки для gui-сканера должны задаваться через gui.

Почему бы не добавить в окно проверки сканера кнопку "Экспорт в файл...", как это сделано для окна Уведомлений?



#9 Lvenok

Lvenok

    Poster

  • Posters
  • 1 911 Сообщений:

Отправлено 06 Ноябрь 2019 - 18:25

Я один пока не понимаю зачем ковыряться в логе, если в гуи сканера УЖЕ все расписано. В первом же посте аккуратно все в табличке.

#10 SergSG

SergSG

    The Master

  • Posters
  • 12 430 Сообщений:

Отправлено 06 Ноябрь 2019 - 18:45

Я один пока не понимаю зачем ковыряться в логе, если в гуи сканера УЖЕ все расписано. В первом же посте аккуратно все в табличке.

Там несколько сотен сусликов. Их в этом ГУИ даже просмотреть проблематично, а сохранить, например, для предъявы вообще невозможно.



#11 SergSG

SergSG

    The Master

  • Posters
  • 12 430 Сообщений:

Отправлено 06 Ноябрь 2019 - 18:50

во первых у сканера есть ком строка в которой можно включить только инфекции, во вторых есть консольный сканер как раз для нужд парсинга и автоматизации.

90-е возвращаются?  :)



#12 Dmitry Mikhirev

Dmitry Mikhirev

    Member

  • Dr.Web Staff
  • 386 Сообщений:

Отправлено 06 Ноябрь 2019 - 20:29

Хотел было посоветовать (g)vim, но некоторые почему-то на это обижаются. Говорят, есть ещё какой-то glogg.


Сообщение было изменено Dmitry Mikhirev: 06 Ноябрь 2019 - 20:32


#13 Dmitry Mikhirev

Dmitry Mikhirev

    Member

  • Dr.Web Staff
  • 386 Сообщений:

Отправлено 06 Ноябрь 2019 - 20:39

90-е возвращаются?

Так, наоборот, в 90-е сильнее всего распространилось заблуждение, что командная строка не нужна.



#14 SergSG

SergSG

    The Master

  • Posters
  • 12 430 Сообщений:

Отправлено 06 Ноябрь 2019 - 21:14

 

90-е возвращаются?

Так, наоборот, в 90-е сильнее всего распространилось заблуждение, что командная строка не нужна.

 

Блин, а лохи из гугло-андроида уже распознаванием речи занимаются и речевым управлением. Жуть. Как хорошо, что у Доктора ком. строка forever.



#15 Dmitry Mikhirev

Dmitry Mikhirev

    Member

  • Dr.Web Staff
  • 386 Сообщений:

Отправлено 06 Ноябрь 2019 - 22:05

лохи из гугло-андроида уже распознаванием речи занимаются и речевым управлением

Это для хомячков, а для себя у них CLI имеется.



#16 SergSG

SergSG

    The Master

  • Posters
  • 12 430 Сообщений:

Отправлено 06 Ноябрь 2019 - 23:11

 

лохи из гугло-андроида уже распознаванием речи занимаются и речевым управлением

Это для хомячков, а для себя у них CLI имеется.

 

Когда сотрудники компании называют своих пользователей хомячками, это, конечно, о многом говорит https://bugs.drweb.com/view.php?id=163511#c896395

 

Вот только кто на самом деле хомячки - те, кто демонстрирует свою полную беспомощность в конструировании фейса или те, кто не может да и не хочет заморачиваться этим мракобесием?

Еще хотел спросить - два человека пользуется консольником или целых три? Но потом почему то подумал, что вряд ли вы знаете ответ.



#17 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 353 Сообщений:

Отправлено 06 Ноябрь 2019 - 23:14

SergSG, ну, вот это уже явное передергивание с целью выставить оппонента в некрасивом свете. Взывание к эмоциональной оценке вместо нормально дискуссии. "Нет, вы посмотрите, откуда таких только берут?" Хомячок = домашний пользователь. Ребут = перезагрузка. И т.д.



#18 SergSG

SergSG

    The Master

  • Posters
  • 12 430 Сообщений:

Отправлено 06 Ноябрь 2019 - 23:38

SergSG, ну, вот это уже явное передергивание с целью выставить оппонента в некрасивом свете. Взывание к эмоциональной оценке вместо нормально дискуссии. "Нет, вы посмотрите, откуда таких только берут?" Хомячок = домашний пользователь. Ребут = перезагрузка. И т.д.

Ну и кто тут передергивает? Я вовсе не о конкретном собеседнике писал, а о "сотрудниках компании". И совсем не секрет, что такое обращение для многих уже вошло в привычку. И оно возникло не из пустоты, а из того, как в компании себе представляют своих пользователей. И именно поэтому интересы пользователей во многих случаях совсем не коррелируют и с тем, что делают в компании для этих самых пользователей.



#19 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 353 Сообщений:

Отправлено 06 Ноябрь 2019 - 23:43

SergSG, да-да, сначала представим оппонента исчадьем ада. Он ведь не просто так говорит - а со СМЫСЛОМ. Который мы ему приписываем, конечно. Выглядит это ужасно некрасиво. И самое фиговое, что ты и сам в это начинаешь верить. В собственные эмоциональные оценки, имеющие отношение к реальности весьма опосредованно. Такой... типичный левый подход.



#20 Dmitry Mikhirev

Dmitry Mikhirev

    Member

  • Dr.Web Staff
  • 386 Сообщений:

Отправлено 06 Ноябрь 2019 - 23:45

сотрудники компании называют своих пользователей хомячками

Вы не поверите, но многие пользователи знают, зачем нужна командная строка, и умеют читать логи.




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых