Minivir l'Antivir portatile

[forum1]

Tanti leggono ma nessuna che dica se ha provato Minivir su un sistema infetto



se tutto va bene tra poco rilascio un plugin per Bart Pe Builder lo strumento che serve a creare un Bart CD

http://www.nu2.nu/pebuilder/

[sampei.nihira]

Quote:

Originariamente inviato da forum1

Tanti leggono ma nessuna che dica se ha provato Minivir su un sistema infetto



se tutto va bene tra poco rilascio un plugin per Bart Pe Builder lo strumento che serve a creare un Bart CD

http://www.nu2.nu/pebuilder/

Io lo farei certamente ma non ho (e francamente non avrò mai....spero !! )........sistemi infetti !!
Piuttosto forum1 mi piacerebbe disquisire con te su queste pagine sull'uso di minivir da pen-drive.
Naturalmente immaginerai che io dò per scontato che ogni sistema altrui che non conosco sia infetto.
Naturalmente tralasciamo l'esempio di Bart..........
E quindi inserisco malvolentieri la mia pen-drive (in questo caso con a bordo Minivir) in altri sistemi.

E quindi ecco la domanda,non sarebbe il caso di abbinare all'uso di minivir da pen drive direi una specie di anteprima da consigliare agli utenti in caso d'intervento su altrui pc.
E cioè la disattivazione preventiva della funzione autorun ?

[forum1]

Quote:

Originariamente inviato da sampei.nihira

Io lo farei certamente ma non ho (e francamente non avrò mai....spero !! )........sistemi infetti !!
Piuttosto forum1 mi piacerebbe disquisire con te su queste pagine sull'uso di minivir da pen-drive.
Naturalmente immaginerai che io dò per scontato che ogni sistema altrui che non conosco sia infetto.
Naturalmente tralasciamo l'esempio di Bart..........
E quindi inserisco malvolentieri la mia pen-drive (in questo caso con a bordo Minivir) in altri sistemi.

E quindi ecco la domanda,non sarebbe il caso di abbinare all'uso di minivir da pen drive direi una specie di anteprima da consigliare agli utenti in caso d'intervento su altrui pc.
E cioè la disattivazione preventiva della funzione autorun ?

la disattivazione dell'autorun è una buona cosa in generale, ma serve per proteggere il pc da eventuali virus residenti nella pen drive, se tu inserisce una pen drive o qualunque dispositivo che contenga un virus, grazie all'autorun il virus viene eseguito e potrebbe infettare il sistema

se il sistema è già infetto il problema va visto da un'ottica diversa, ovvero il virus si accorge dell'inserimento della pen drive tramite il rilevamento hardware e tenta di copiarsi lì, magari alterando gli eseguibili che trova, qualunque eseguibile antivirus e non

questo secondo problema si può bypassare solo usando un Bart cd, la disattivazione dell'autorun credo non sarebbe una difesa valida per la pen drive

sempre se non ho capito male la tua domanda, il problema che tu poni si verificherebbe anche con qualunque altro tool portatile, stinger kaspersky removal tool, norman malware cleaner, sysclean

qualunque tool portatile per il fatto stesso di essere portatile può far poco per proteggersi ma anche installare un antivirus su un sistema compromesso non garantirebbe nulla, infatti il virus potrebbe alterare i file durante l'installazione o terminare i processi dell'antivirus prima che questi possa didendersi

l'unica sarebbe di caricare il sistema in modalità provvisoria e sperare che il virus non venga caricato oppure, come ho detto, usare un bart cd

[sampei.nihira]

Quote:

Originariamente inviato da forum1

la disattivazione dell'autorun è una buona cosa in generale, ma serve per proteggere il pc da eventuali virus residenti nella pen drive, se tu inserisce una pen drive o qualunque dispositivo che contenga un virus, grazie all'autorun il virus viene eseguito e potrebbe infettare il sistema

se il sistema è già infetto il problema va visto da un'ottica diversa, ovvero il virus si accorge dell'inserimento della pen drive tramite il rilevamento hardware e tenta di copiarsi lì, magari alterando gli eseguibili che trova, qualunque eseguibile antivirus e non

questo secondo problema si può bypassare solo usando un Bart cd, la disattivazione dell'autorun credo non sarebbe una difesa valida per la pen drive

sempre se non ho capito male la tua domanda, il problema che tu poni si verificherebbe anche con qualunque altro tool portatile, stinger kaspersky removal tool, norman malware cleaner, sysclean

qualunque tool portatile per il fatto stesso di essere portatile può far poco per proteggersi ma anche installare un antivirus su un sistema compromesso non garantirebbe nulla, infatti il virus potrebbe alterare i file durante l'installazione o terminare i processi dell'antivirus prima che questi possa didendersi

l'unica sarebbe di caricare il sistema in modalità provvisoria e sperare che il virus non venga caricato oppure, come ho detto, usare un bart cd

Si infatti io dò per scontato che il pc sia infetto, mentre la pen-drive no.

Dimmi una cosa Minivir può funzionare se l'intera cartella viene resa nascosta ?
Ed ancora Minivir funziona se i files sensibili vengono resi a sola lettura ?

Adesso sono su un'altra piattaforma e non posso fare la prova (che frà parentesi mi è venuta in mente solo adesso).

[forum1]

Quote:

Originariamente inviato da sampei.nihira

Si infatti io dò per scontato che il pc sia infetto, mentre la pen-drive no.

Dimmi una cosa Minivir può funzionare se l'intera cartella viene resa nascosta ?
Ed ancora Minivir funziona se i files sensibili vengono resi a sola lettura ?

Adesso sono su un'altra piattaforma e non posso fare la prova (che frà parentesi mi è venuta in mente solo adesso).

l'unico file che deve essere scrivibile sempre è il file avcls.log, dopo aver fatto l' aggiornamento i file possono essere impostati in sola lettura ma anche in questo caso non è una protezione totale

infatti l'attributo sola lettura può essere bypassato facilemente, solo i permessi sui file gestiti dal sistema stesso in base agli account esistenti potrebbe dare qualche garanzia

se l'utente pippo è proprietario di un file può escludere altri utenti (pluto, topolino) non amministratori, ma se l'utente è amministratore può fare quello che vuole ed anche un virus che gira con gli stessi privilegi ovviamente può agire su quel file

un virus attivo in effetti ha il coltello dalla parte del manico, se il virus è particolarmente bastardo è dura, ha mille modi per tentare di non farsi rilevare o terminare

però se il virus non riconosce Minivir come una minaccia potrebbe lasciarlo fare

ecco perchè avrei voluto vederlo in azione in un pc infetto, fargli rilevare dei sample è banale, fargli rilevare dei virus attivi è un altro paio di maniche

l'eterna lotta del bene contro il male

[wjmat]

ciao, complimenti ancora per il tuo programmino

secondo te è possibile integrare un comando di sposta o sposta e zippa anzichè il solo cancella, per simulare una specie di quarantena

[forum1]

Quote:

Originariamente inviato da wjmat

ciao, complimenti ancora per il tuo programmino

secondo te è possibile integrare un comando di sposta o sposta e zippa anzichè il solo cancella, per simulare una specie di quarantena

negli switch della riga di comando (avcls.exe) esistono questi comandi per la quarantena

-qua-<type> <dir> the quarantine function enables detected files

to be isolate in special

directory by specifying:

"qua-move <dir>", "qua-copy <dir>"

or rather "-qua-restore <dir>", "-qua-delete <dir>

to restore or delete files

solo che io non ho implementato questa possibilità nell'interfaccia grafica

minivir è pensato per essere un tool portatile, se tu lo usi su diversi pc e metti i file nella cartella di quarantena, poi come fai a ricordarti su quali pc debbono essere eventualmente ripristinati?

non credo che la riga di comando riesca a capire che il file a deve ripristinarlo nel pc a che il file b deve ripristinarlo nel pc b

farò comunque delle prove con gli switch della quarantena

[wjmat]

se per esempio la quarantena li spostasse in c:\quarantena insieme al file di log in modo che so le posizioni dei vari file spostati, nel caso dovessi ripristinare qualche falso positivo?

[forum1]

Quote:

Originariamente inviato da wjmat

se per esempio la quarantena li spostasse in c:\quarantena insieme al file di log in modo che so le posizioni dei vari file spostati, nel caso dovessi ripristinare qualche falso positivo?

ho fatto delle prove ed il risultato è questo

1. io speravo che lo switch -qua-copy o -qua-move si limitasse a copiare/spostare e a rinominare il file, invece i file messi in quarantena hanno estensione .qua e sono alterati, al loro interno si nota il percorso originale ed il nome computer, sono alterati a tal punto rispetto agli originali che non vengono nemmeno riconosciuti come virus
   
2. solo lo switch -qua-restore è in grado di ripristinarli correttamente nella posizione di partenza, rinominarli non basta
   
3. lo switch per il restore però funziona su singoli file esempio:
   
   avcls -qua-restore "C:\quarantena\006c006f.qua"
   
   ripristina il file originale nella posizione originale
   
   se hai 30 file .qua, per ognuno devi dare il corrispondente comando
   
   avcls -qua-restore "C:\quarantena\nomefile.qua"
   
4. la directory quarantena deve esistere già altrimenti lo switch fallisce e i file non vengono spostati
   
5. la directory di ripristino (quella dove si trovava il file spostato) deve esistere ancora al momento in cui dai il comando di restore, se manca perchè cancellata o spostata o rinominata allora anche il ripristino fallisce
   
6. insomma la cosa è macchinosa anche riuscendo ad implementarla e a renderla parzialmente automatica
   
7. vedrò se è possibile, ma sarò sincero non mi convince molto come funzionalità in sè, quindi non prometto nulla
   
8. mi dà la sensazione di fragilità perché se qualcosa va storto ti ritrovi con tanti file con estensione .qua di cui non sapresti che fare perché solo avcls.exe è in grado di ricreare il file originale e rimetterlo nella posizione originale

[wjmat]

se invece facessi una scansione normale per vedere il numero di file infetti, se questi non sono 300
poi faccio una scansione con eliminazione ma che però mi chieda la conferma per ogni file... che ne pensi?

[forum1]

Quote:

Originariamente inviato da wjmat

se invece facessi una scansione normale per vedere il numero di file infetti, se questi non sono 300
poi faccio una scansione con eliminazione ma che però mi chieda la conferma per ogni file... che ne pensi?

purtroppo la riga di comando non ha questa opzione

quando gli dici di cancellare lcancella senza chiedere

conviene fare una scansione normale, vedere il log, zippare i file ritenuti infetti con password lasciandoli nella cartella e poi procedere all'eliminazione definitiva

i file che sono dentro all'archivio protetto dalla password non saranno scansionati in quanto lo scanner non riesce a vederci dentro, poi tu eventualmente potrai decomprimere di nuovo lo zip dandogli la password

con questo trucchetto si potrebbe aggirare il problema della mancanza della quarantena per il momento

poi se riesco ad implementare in maniera decente anche lo switch della quarantena rilascio una nuova versione

[forum1]

RILASCIATA VERSIONE 2.2.4

LE INFO QUI

http://altagradazione.blogspot.com/2...e-parte-3.html

[wjmat]

ottimo!

[forum1]

Ecco il plugin per integrare Minivir in un Bart CD creato con Bart pebuilder

http://www.box.net/shared/7ne2jm64g8

all'interno dell'archivio c'è il file minivir.htm che contiene le istruzioni da seguire attentamente

l'utilizzo del plugin è riservato a coloro che hanno dimestichezza con pebuilder

http://www.nu2.nu/pebuilder/

questo strumento permette di creare un cd bootabile con un ambiente simile a windows partendo da un cd d'installazione di XP

[forum1]

Rilasciata la versione 2.2.6, credo sarà l'ultima

http://altagradazione.blogspot.com/2...to-finale.html

invece il plugin che permette l'integrazione in un bart cd non è stato ancora aggiornato, contiene ancora la precedente versione

[wjmat]

sempre più perfetto

[c.m.g]

good

[juninho85]

io rinnovo la proposta,nel caso vuoi mettere un riferimento ANCHE nel thread di avira penso che la cosa non possa che giovare a tutti,chissà quanti utenti non sono nemmeno a conoscenza della tua utility

[wjmat]

forum1 dici che è possibile inserire l'update manuale come in antivir?

[forum1]

Quote:

Originariamente inviato da wjmat

forum1 dici che è possibile inserire l'update manuale come in antivir?

cosa intendi per aggiornamento manuale?

Full Update e Fast update sono già manuali nel senso che devi eseguirli tu

Full Update scarica il file zip che c'è sul sito di Avira, lo stesso che dovresti scaricare per fare l'aggiornamento offline di Antivir 8, lo stesso identico file che ti viene richiesto quando fai il manual update di Antivir

viene anche scaricato lo zip contenente la riga di comando

dopo estrae i file necessari utilizzando 7za.exe

fast update si limita a scaricare i file vdf giornalieri e/o settimanali e/o mensili

nessuno ti impedisci di scaricarti i file zip con il browser e di mettere i file necessari nella cartella di minivir una volta che li hai estratti:

1. HBEDV.KEY (licenza di tipo premium da richiedere tramite le varie promozioni)
2. antivir0.vdf
3. antivir1.vdf
4. antivir2.vdf
5. antivir3.vdf
6. avcls.exe
7. avewin32.dll
8. avpack32.dll
9. avrep.dll


non vuoi scompattare manulamente? Ti fai un file bat che esegue la decompressione e l'estrazione

7za.exe e avcls_en.zip -y avcls.exe
7za.exe e ivdf_fusebundle_nt_en.zip -y *.vdf avewin32.dll avpack32.dll avrep.dll

inserire una funzione simile a manual update di antivir sarebbe anche possibile ma esiste già Full Update che esegue tutto autonomamente dowload, decompressione, estrazione ed eliminazione del file zip al termine alla chiusura della gui di minivir