AnotB Log Comparator

Olá pessoal. Uma ferramenta muito útil para quem analisa logs, o AnotB Log Comparator. Mostrei originalmente esta ferramenta no Linha Defensiva e creio que facilitará a vida também, do pessoal que analisa aqui.

>
Descrição do autor askey127:

É um aplicativo independente que funciona desta forma:

• Coloque ou cole um log na caixa de texto "Paste log A or Load" na Aba A
• Coloque ou cole um log na caixa de texto "Paste log B or Load" na Aba B
• Clique no botão "Get/Refresh Results"
• Na aba Results veja, analise, salve e/ou imprima

http://malwareremoval.com/forum/viewtopic.php?t=13491

Testei e ela compara logs gerados em texto simples, como os do HijackThis, ComboFix, etc. Dando depois o resultado do que está diferente entre os dois logs. Evita que a gente depois de uma remoção, tenha de olhar novamente todo o log gerado após a mesma. Isso nos poupa tempo, principalmente em logs grandes como o do ComboFix, RSIT, etc.

Vou explicar as configurações e opções do programa.

Botões da Barra de Ferramentas e Configurações

-
A Not B Lines - checkbox que vem marcada como default. Mas você pode optar por usar a opção B Not A Lines ou as duas juntas.
 
** O log A poderá ser o primeiro log antes de qualquer ajuda do analista.*
** O log B poderá ser o segundo log depois da intervenção do analista.*
 
Os resultados da A Not B Lines serão as linhas que estão no log A e que não estão no B.
- - - - LINES IN LOG A BUT NOT IN LOG B [A NOT B]- - - -
 
Os resultados da B Not A Lines serão as linhas que estão no log B e que não estão no A.
*- - - - LINES IN LOG B BUT NOT IN LOG A **[b NOT A]**- - - -*

-
A log lines/B log lines - checkboxes que, quando marcadas, colocam seus respectivos logs na seção Results, junto com o resultado da comparação entre os dois logs.

-
Case Sensitive - checkbox que vem marcada como default (diferencia maíúsculas de minúsculas).

-
Botão Change Font - muda a fonte (à sua escolha) do texto dos logs.

-
Botão Get/Refresh Results - Para gerar o resultado comparativo ou atualizar após a inserção de novos dados.

-
Botão Exit - Sair do programa.

Botões e Abas da seção da caixa de texto "Paste log A ( ou B ) or Load"

-
Abas:

-
Log A - para colar/carregar e ver o primeiro log escolhido

-
Log B - para colar/carregar e ver o segundo log escolhido

-
Results - onde serão gerados os resultados
 
Botões:

-
Botões Load Log A From File/Load Log B From File (Depende da aba selecionada) - clicando neles, abrirá uma janela pra localizar o arquivo de log que deseja carregar na ferramenta.
Para colar um log copiado, clique dentro da caixa de texto e use o Ctrl+V ou clique direito e escolha Colar.

-
Botões Search A/Search B - abrem a caixa Localizar, para pesquisar por algum ítem presente

-
Botão Print Results - imprime os resultados

-
Botão Save Results - salva os resultados

Eu achei melhor usar com as duas checkboxes A Not B Lines e B Not A Lines marcadas, porque há várias infecções que criam novos arquivos entre um log e outro. Assim, você saberá o que foi removido do primeiro log e o que apareceu de novo no segundo log.

Usando um tópico antigo, como exemplo, ( onde o HJT resolvia muita coisa :lol: :P ) fiz uma comparação, usando o primeiro log na aba A, quando o usuário pediu ajuda e o último log já finalizando o tópico na aba B:

http://www.linhadefensiva.org/forum/index.php?showtopic=7180

LINES IN LOG A BUT NOT IN LOG B [A NOT B]===========================================

Scan saved at 09:05:06, on 23/4/2006

C:\WINDOWS\Explorer.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\WINDOWS\system32\fonts.{0003000d-0000-0000-c000-000000000046}\lsass.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.accoona.com/search_assistant/ac...ampaign=efc0605 <http://www.accoona.com/search_assistant/accoona_search_assistant.jsp?&utm_id=400010&utm_content=leftnav&utm_source=efc&utm_medium=bund&utm_campaign=efc0605>

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = <http://www.festasbadaladas.com.br>

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = <http://www.unifran.com.br/>

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.accoona.com/search_assistant/ac...ampaign=efc0605 <http://www.accoona.com/search_assistant/accoona_search_assistant.jsp?&utm_id=400010&utm_content=leftnav&utm_source=efc&utm_medium=bund&utm_campaign=efc0605>

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = <http://www.accoona.com/search?q=%s>

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\kernels64.exe

O2 - BHO: Accoona Search Assistant - {944864A5-3916-46E2-96A9-A2E84F3F1208} - C:\Arquivos de programas\Accoona\ASearchAssist.dll (file missing)

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [svchost] C:\WINDOWS\system32\dhcp\svchost.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background

O23 - Service: Windows Logon Information (WLI) - Unknown owner - C:\WINDOWS\system32\fonts.{0003000d-0000-0000-c000-000000000046}\lsass.exe

===========================================

LINES IN LOG B BUT NOT IN LOG A [b NOT A]

===========================================

Scan saved at 23:26:20, on 25/4/2006

C:\WINDOWS\Explorer.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

O resultado da comparação sai assim, facilitando a análise do que há de novo e diferente entre um e outro.

Vejam que o explorer.exe apareceu nos dois resultados, por estar a checkbox Case Sensitive marcada, pois é o default e o exe estar em maiúsculas (EXE) no log B. Mas pode ser desmarcada se quiser, se achar que isso não importa no caso em questão.

A marcação default das checkboxes, retornam à essa condição ao fechar e tornar a abrir a ferramenta.

Download:

http://downloads.malwareremoval.com/ANOTB/ANOTB.zip

http://downloads.malwareremoval.com/ANOTB/ANOTB.exe