aibolit/changelog.txt

ai-bolit.php
------------

https://imunify.com/
Изменения в версии 30.1.1-1
- Улучшена работа деобфускатора (DEF-13777, DEF-13731, DEF-13712, DEF-13648, DEF-13626, DEF-13636, DEF-13515, DEF-13412, DEF-13383, DEF-13425, DEF-13395, DEF- 13367, DEF-13437)
- Добавлена зависимость posix для aibolit и procu2 (DEF-13023)
- Добавлены таймауты и ограничения БД для imunify_dbscan.php (DEF-13726, DEF-13751)
- Добавлены отчеты для корреляционного сервера (DEF-13335)
- Добавлены отчеты об ошибках для проблем с CAS (DEF-13365)
- Разделены базы вредоносных сигнатур для imunify_dbscan.php и ai-bolit (DEF-13652)
- Добавлена возможность мягкой отмены imunify_dbscan.php (DEF-13285)
- Добавлен поиск конфигов CMS в imunify_dbscan.php (DEF-12224)

Изменения в версии 20.0811-1
- Улучшена работа деобфускатора (DEF-13352)

Изменения в версии 20.0805-1
- Улучшена работа деобфускатора (DEF-13205, DEF-13235, DEF-13308, DEF-13333)
- Добавлена нормализация гомоглифов (DEF-13161)

Изменения в версии 20.0717-1
- Улучшена работа деобфускатора (DEF-13211, DEF-13122)
- Исправлена ошибка в работе resident mode (DEF-13176, DEF-13204)

Изменения в версии 20.0709-1
- Исправлена работа finder-а (DEF-13108)
- Улучшена работа деобфускатора (DEF-13028, DEF-12991, DEF-12832, DEF-12998, DEF-12856, DEF-12831)
- Рефакторинг (DEF-10383)

Изменения в версии 20.0619-1
- Улучшена работа деобфускатора (DEF-12715, DEF-12880, DEF-12841)
- Поправлена ошибка в нормализации (DEF-12880)

Изменения в версии 20.0615-1
- Улучшена работа деобфускатора (DEF-12718, DEF-12716, DEF-12663, DEF-12636)
- Оптимизирован код для procu2 (DEF-12749, DEF-12749)
- Изменен приоритет для CloudAssisted (DEF-12772)

Изменения в версии 20.0601-1
- Улучшен код нормализации (DEF-12426)
- Оптимизирован код для работы в resident mode (DEF-12006)
- Улучшена работа деобфускатора (DEF-12582, DEF-12519)
- Поправлена ошибка в деобфускаторе (DEF-12550)

Изменения в версии 20.0521-1
- Добавлен параметр --size для procu2 и установлен лимит 15Мб по умолчанию для файлов на лечении (DEF-12464)
- Добавлена оптимизация и рефакторинг кода (DEF-10378, DEF-12196, DEF-12195)
- Улучшена работа деобфускатора (DEF-12459, DEF-12375)
- Поправлены небольшие баги (DEF-12408, DEF-12042)
- Удалена поддержка Windows (DEF-10389)

Изменения в версии 20.0507-1
- Изменение фильтрации файлов для upload job (DEF-12336)
- Улучшена работа деобфускатора (DEF-12306)
- Рефакторинг (DEF-12194)
- Поправлена ошибка в преобразовании имён файлов (DEF-12289)
- Добавлен CSV отчёт для procu2 (DEF-9615)

Изменения в версии 20.0429-1
- Улучшена работа деобфускатора (DEF-11884, DEF-12087, DEF-12154, DEF-12171, DEF-12171)
- Рефакторинг шаблонов и локализации (DEF-10381, DEF-10382)
- Поправлен go-wrapper (DEF-12038)
- Поправлен скрипт DataCollection (DEF-12039)
- Добавлены параметры --skip-system-owner и --skip-system-owner для finder (DEF-11811, DEF-11813)
- Добавлен отчет CSV для ai-bolit (DEF-9615)

Изменения в версии 20.0414-1
- Поправлен процесс лечения (DEF-11901)
- Поправлено использование общей памяти в go-wrapper (DEF-11739)
- Добавлена возможность исключать файлы из сканирования по общим правилам (DEF-11832)

Изменения в версии 20.0408-1
- Улучшена работа деобфускатора (DEF-11804)
- Добавлены sqlite и pdo зависимости
- Поправлен процесс сканирования (DEF-11823)
- Поправлена работа деобфускатора (DEF-11805)

Изменения в версии 20.0404-1
- Удалена зависимость zip.so из procu2.php (DEF-11757, DEF-11663) 

Изменения в версии 20.0403-1
- Улучшена работа деобфускатора (DEF-11737, DEF-11706, DEF-11677, DEF-11642)
- Изменён формат отладочной информации (DEF-11545, DEF-11609)
- Добавлен пропуск маленьких файлов при сканировании (DEF-10576)
- Поправлено использование общей памяти в go-wrapper (DEF-11739)
- Поправлен деобфускатор (DEF-11645)
- Поправлен функционал --skip в фильтрах (DEF-11730)

Изменения в версии 20.0325-1
- Изменение зависимости на alt-php74-imunify (DEF-10971)

Изменения в версии 20.0323-1
- Улучшена работа деобфускатора (DEF-11523, DEF-11534, DEF-11541, DEF-11570)
- Поправлена поддержка UTF-16, UTF-32 в procu2 (DEF-11553)
- Поправлена поддержка UTF32-BOM (DEF-11552)
- Поправлена работа модуля фильтрации сканируемых файлов (DEF-11563, DEF-11606)
- Поправлен go-wrapper (DEF-11542, DEF-11543)

Изменения в версии 20.0312-1
- Улучшена работа деобфускатора (DEF-11495, DEF-11442)
- Улучшена работа модуля фильтрации сканируемых файлов (DEF-11406, DEF-11414)
- Добавлен бит для работы GO-wrapper (DEF-11530)
- Поправлена работа Detached mode при сканировании пустой папки (DEF-11502)
- Поправлен счётчик файлов в Resident mode (DEF-11508)

Изменения в версии 20.0225-1
- Поправлен баг при обработке симлинков (DEF-11377)
- Улучшена работа деобфускатора (DEF-11367, DEF-11395)
- Добавлен параметр --quiet = --quite (DEF-11243)
- Поправлен баг SIGBUS (DEF-11343)

Изменения в версии 20.0212-1
- Поправлен баг при сканировании бинарных файлов (DEF-11273)
- Улучшена работа деобфускатора (DEF-11180)

Изменения в версии 20.0207-1
- Добавлена новая возможность фильтра сканируемых файлов (DEF-10676)
- Поправлен баг в RapidScan (DEF-11212)
- Уменьшение операций чтения диска (DEF-10611)
- Поправлены баги и улучшена работа нормализации файлов (DEF-11124, DEF-10886)
- Поправлен баг в detached mode (DEF-11083)
- Улучшена работа деобфускатора (DEF-11142б DEF-10938, DEF-10895, DEF-10940)
- Поправлен баг лечения (DEF-10387)
- Изменён протокол передачи данных для CloudAssisted (DEF-10771)
- Добавлен скрипт для сбора статистики айболита после падения (DEF-10438)
- Улучшен процесс лечения (DEF-10849)

Изменения в версии 20.0116-1
- Исправлен вывод в syslog (DEF-10943)
- Улучшена работа деобфускатора (DEF-10818, DEF-10757, DEF-10728, DEF-10608, DEF-10603)
- Удалено правило для определения уязвимости elFinder (DEF-10450)
- Добавлен конвертер регулярных выражений для поиска в деобфусцированном коде (DEF-10729)
- Исправлены ошибки нормализации php кода (DEF-10896, DEF-10609, DEF-10686)
- Добавлен тест для проверки лечения уязвимости SMW-SA-13323-php.phish-6 (DEF-10740)
- Изменён алгоритм нормализации в procu2(приведён к виду айболита) (DEF-10717)
- Созданы Jenkins job для тестирования интеграции с IM360 (DEF-10573)

Изменения в версии 4.4.4
- Исправлено: Ошибка Segmentation fault на PHP 5.6 (DEF-10519)
- Исправлено: Не рабочие --addprefix --noprefix параметры (DEF-10460)
- Исправлено: Выключено определение уязвимостей, если CMSDetector не инициализирован (DEF-10414)
- Добавлена поддержка нового формата HashApi для CloudAssist (DEF-10469)
- Добавлены опции логгирования для отладки в резидентном режиме (DEF-10418)
- Улучшение работы деобфускатора

Изменения в версии 4.4.3
- Исправлено: Нахождение EICAR файла при работе в --smart режиме (DEF-10248)
- Исправлено: Ограничение размера файла для всех типов сканирования (DEF-10436)
- Улучшение работы деобфускатора

Изменения в версии 4.4.2
- Исправлено: айболит потребояет слишком много памяти (DEF-9582)
- Добавить информацию о подозрительных файлах в консольный отчёт (DEF-9659)
- Помечать исполняемые файлы как подозрительные (DEF-9818)
- Исправлено: Параметр --cloudscan-size не работает при сканировании одного файла (DEF-9928)
- Исправлено: procu2.php попадает в бесконечны цикл при обработке некоторых обфусцированных файлов (DEF-10216)
- Улучшение работы деобфускатора
- Испарвлены ошибки

Изменения в версии 4.4.1
- Исправлено: Bitrix: файл удаляется вместо лечения (DEF-10052)
- Исправлено: Неверное поведение при сканировании (DEF-9950)

Изменения в версии 4.4.0
- Реализован Resident Mode (DEF-9194)
- Добавлен Detached Scan (DEF-9169)
- SMART-scan выключен по умолчанию (DEF-9448)
- Добавлены timestamp-ы в результаты сканирования (DEF-9464)
- Оптимизированы методы чтения файлов (DEF-9486)
- Исправлено: отсутствует имя сигнатуры ("sn") в отчёте (DEF-9634)
- Улучшение работы деобфускатора
- Испарвлены ошибки

Изменения в версии 4.1.6
- Исправлено: Bitrix-файл удалён вместо лечения (DEF-10052)

Изменения в версии 4.1.5
- Исправлено: параметр --cloudscan-size работает неправильно (DEF-9928)
- Исправлено: PHPMailer неверно определяется как уязвимый (DEF-9859)

Изменения в версии 4.1.4
- Изменена папка для эвристической проверки с /var/www/.+/public_html/ на /var/www/

Изменения в версии 4.1.3
- Добавлен новый параметр --cloudscan-size (DEF-9763)

Изменения в версии 4.1.2
- Исправлены ошибки Rapid Account Scan
- Исправлена ошибка приводящая к потреблению большого кол-ва памяти

Изменения в версии 4.1.1
- Исправлена ошибка, при которой файлы без расширения пропускались при включённом SMART режиме (DEF-9373)

Изменения в версии 4.1.0
- Добавлен sha256 в отчете просканированных файлов (DEF-8047)
- Добавлена возможность просканировать первые N байт файла, если файл большой (DEF-8124)
- Поддержка \n и \r (и других допустимых символов) в именах файлов (DEF-8129)
- Запуск procu2.php с передачей сигнатуры в параметре (DEF-8231)
- Добавлен cloud assisted scan (DEF-8408)
- Добавлен RapidAccountScan режим (DEF-8620)
- Добавлена поддержка для suspicious (подозрительных) сигнатур (DEF-8708)
- Обнаружение ELF запускаемых файлов в домашней директории пользователя (DEF-8992)
- Улучшение работы деобфускатора
- Испарвлены ошибки

Изменения в версии 4.0.3
- Исправлено: Segmentation fault при сканировании (DEF-8985)
- Файлы Aibolit-а после установки должны иметь флаг "immutable" (DEF-9148)

Изменения в версии 4.0.2
- Исправлены ошибки

Изменения в версии 4.0.1
- Исправлены ошибки

Изменения в версии 4.0.0
- Улучшена работа деобфускатора
- Обновлены вирусные сигнатуры
- Исправлены ошибки

...

Изменения в версии 20181107
- Обновлены вирусные сигнатуры
- Добавлен параметр 'sn' в json отчет, который содержит строковое обозначение обнаруженной угрозы (вируса)

Изменения в версии 20181009
- Обновлены вирусные сигнатуры

Изменения в версии 20180912
- Исправлены ошибки
- Обновлены вирусные сигнатуры

Изменения в версии 20180830
- Работа с базами вредоносного кода во внешних файлах через параметр --avdb
- Обновлены вирусные сигнатуры

Изменения в версии 20180709
- Добавлен параметр --listing=stdin для получения списка файлов для сканирования из stdin
- Добавлен параметр --json-stdout для вывода результата сканирования в stdout
- Улучшена выдача сниппетов
- Удалены устаревшие разделы отчета
- Обновлены вирусные сигнатуры

Изменения в версии 20180627
- Добавлен параметр --listing=... для сканирования определенного списка файлов
- Добавлен параметр --no-html для отключения генерации отчета html
- Из отчета исключены предупреждения о скрытых файлах и ряде других устаревших проблемах
- Обновлены вирусные сигнатуры

Изменения в версии 20180616
- Улучшено отображение сниппетов вредоносного кода
- Обновлены вирусные сигнатуры

Изменения в версии 20180513
- Добавлен параметр --deobfuscate, который включает расшифровку известных алгоритмов обфускации php
- Обновлены вирусные сигнатуры

Изменения в версии 20180501
- Обновлены вирусные сигнатуры

Изменения в версии 20180419
- Обновлены вирусные сигнатуры

Изменения в версии 20180402
- Корректное определение версии CMS Drupal 8, 7, 6
- Отображение уязвимой версии Drupal (Drupageddon 2)
- Обновлены вирусные сигнатуры

Изменения в версии 20180325
- Параметр --user= для запуска сканера с правами пользователя
- В отчет --json_report добавлены параметры ошибок сканирования и публичных уязвимостей
- Исправлена ошибка нормализации php кода
- Обновлены вирусные сигнатуры

Изменения в версии 20180211
- Обновлены вирусные сигнатуры

Изменения в версии 20180124
- Обновлены вирусные сигнатуры

Изменения в версии 20180122
- Обновлена база вредоносных скриптов и файла исключений
- Исправлена ошибка создания временного файла со списком файлов для сканирования
- Оптимизированы сигнатуры
- В нормальном режиме сканирования проверяются только критичные файлы, в параноидальном - все

Изменения в версии 20171210
- Обновлена база вредоносных скриптов и файла исключений
- В параметр --scan= можно указать ., что означает - пустое расширение

Изменения в версии 20171116
- Обновлена база вредоносных скриптов и файла исключений

Изменения в версии 20171030
- Обновлена база вредоносных скриптов и файла исключений

Изменения в версии 20171019
- Улучшена выдача сниппетов вредоносного кода
- Обновлена база вредоносных скриптов и файла исключений

Изменения в версии 20171003
- Исправлено зависание на деобфускации некоторых файлов
- Обновлена база вредоносных скриптов и файла исключений

Изменения в версии 20170930
- Обновлена база вредоносных скриптов и файла исключений

Изменения в версии 20170925
- Обновлена база вредоносных скриптов и файла исключений

Изменения в версии 20170904
- Обновлена база вредоносных скриптов и файла исключений
- Реализована деобфускация и расшифровка сниппетов в отчете

Изменения в версии 20170820
- Обновлена база вредоносных скриптов и файла исключений
- Исправлена ошибка в сигнатурах, замедляющая работу сканера

Изменения в версии 20170811
- Обновлена база вредоносных скриптов и файла исключений
- Исправлена ошибка при открытии сканера через веб

Изменения в версии 20170730
- vps_docroot.php показывает теперь только директории сайтов, которые существуют
- Расширены база вредоносных скриптов и база исключений

Изменения в версии 20170703
- Исправлена ошибка в некоторых сигнатурах
- Расширены база вредоносных скриптов и база исключений

Изменения в версии 20170626
- Добавлена оптимизация сигнатур
- Расширены база вредоносных скриптов и база исключений

Изменения в версии 20170612
- Добавлен параметр --smart в командной строке для включения "умного" сканирования
- Обновлена база вирусных сигнатур и файлов исключений

Изменения в версии 20170605
- новые вирусные базы
- в json отчете добавлены уязвимости

Изменения в версии 20170529
- добавлено детектирование уязвимого файла bx_1c_import.php

Изменения в версии 20170527
- новые сигнатуры
- исправлено текстовое сообщение в отчете
- последний параметр в командной строке --eng переключает интерфейс на английский
- пополнен список доверенных скриптов

Изменения в версии 20170519
- исправлена кодировка в отчете

Изменения в версии 20170504
- новые вирусные сигнатуры
- внешние php-обработчики (плагины для сканера): начало работы, завершение сканирования, прогресс, ошибки
- более удобный формат отображения данных в текстовой версии отчета
- отслеживание процесса сканирования через внешний json-файл 
- отчет сканера в json-формате

Изменения в версии 20170326
- новые вирусные сигнатуры

Изменения в версии 20170301
- переработана база сигнатур, чтобы уменьшить число ложных срабатываний
- пополнена база сигнатур

Изменения в версии 20170217
- добавлен детект версии PHPMailer в Joomla
- исправлена проверка версии в vBulletin (фикс от kerk)
- ускорение за счет "умного сканирования" кэш-файлов
- уменьшено число ложных срабатываний
- новые сигнатуры и база whitelist

Изменения в версии 20170110
- обновлена база данных вредоносных скрипт и список исключений
- детектируется уязвимый скрипт PHPMailer

Изменения в версии 20161225
- обновлена база данных вредоносных скрипт и список исключений
- добавлена оптимизация процесса сканирования в "smart" режиме: повышение скорости и минимизация ложных срабатываний
- изменен механизм исключения файлов из списка .adirignore (теперь можн исключать не только каталоги, но и файлы)

Изменения в версии 20161127
- обновлена база данных вредоносных скрипт и список исключений

Изменения в версии 20161119
- обновлена база данных вредоносных скрипт и список исключений
- исправлены сниппеты в результатах сканирования
- пропущенные php файлы больше 600Кб отображаются в "красной секции" отчета

Изменения в версии 20161110
- обновлена база данных вредоносных скрипт и список исключений
- исправлена ошибка в vps_docroot.php скрипте

Изменения в версии 20161104
- обновлена база данных вредоносных скрипт и список исключений

Изменения в версии 20161024
- обновлена база данных вредоносных скрипт и список исключений

Изменения в версии 20160817
- обновлена база данных вредоносных скрипт и список исключений
- удалены из отчета списки двойных расширений

Изменения в версии 20160720
- добавлены новые сигнатуры вредоносного кода и файлы "белого списка" 

Изменения в версии 20160701
- добавлены новые сигнатуры вредоносного кода и файлы "белого списка" 

Изменения в версии 20160515
- добавлены новые сигнатуры вредоносного кода и файлы "белого списка" 
- добавлены файлы с расширением .php7 и .pht в список обязательных для сканирования

Изменения в версии 20160324
- добавлены новые сигнатуры вредоносного кода и файлы "белого списка" 

Изменения в версии 20160312
- исправлена сортировка результатов сканирования в отчете (группировка файлов по сигнатурам)
- добавлены новые сигнатуры вредоносного кода и файлы "белого списка" 

Изменения в версии 20160305
- добавлен параметр --scan для проверки только определенного списка расширений
- пополнена база данных "белого списка" скриптов
- добавлены новые сигнатуры вредоносных скриптов
- исправлена ошибка обработки "белого списка" для фишинговых страниц

Изменения в версии 20160227
- пополнена база данных "белого списка" скриптов
- добавлены новые сигнатуры вредоносных скриптов

Изменения в версии 20160219
- выявлена ошибка работы со списком файлов-исключений (AI-WHITELIST.db), необходимо установить short_open_tag=on (php -d short_open_tag=on ai-bolit.php ...)
- добавлены новые сигнатуры вредоносных скриптов
- добавлены новые CMS в "белый список"

Изменения в версии 20160202
- новый механизм исключений (белый список файлов CMS): AIBOLIT-WHITELIST.db со стойкими хэшами и новыми CMS
- новые сигнатуры вирусов, фишинговых страниц, хакерских шеллов
- исправлена ошибка конвертации из UTF-16 кодировок
- вывод статуса при ошибке обработки файла (слева от имени файла)
- определение уязвимости в rsform
- исправлены пути при замене префиксов addprefix/noprefix
- изменены параметры memory_limit и уровня вложенности pcre

Изменения в версии 20151227
- новые сигнатуры вирусов, фишинговых страниц, хакерских шеллов
- новый формат текстового отчета
- определение уязвимых скриптов в CMS Joomla
- исправлена ошибка замены префикса адреса 

Изменения в версии 20151206
- новые сигнатуры вирусов, фишинговых страниц, хакерских шеллов
- исправлен ряд ошибок в работе исключений
- добавлено определение уязвимого скрипта Joomla com_adsmanager

Изменения в версии 20151113
- новые сигнатуры вирусов, фишинговых страниц, хакерских шеллов
- изменение базы данных сигнатур, минимизация ложных срабатываний в обычном режиме сканирования
- новые aknown файлы для joomla и wordpress
- исправлены ошибки формирования отчета

Изменения в версии 20151008
- контроль целостности (изменений в файлах)
- новые сигнатуры вирусов
- изменение формата отчета (блок "реклама, ссылки, дорвеи")
- новые aknown файлы для joomla и wordpress

Изменения в версии 20150901
- режим "умного сканирования": ускоренная проверка медиа-файлов и документов
- удаление паролей из конфигурационных файлов при помещении в архив карантина
- регистронезависимый параметр --skip (расширения jpg и JPG - одно и тоже)
- параметр --with-2check для работы с файлом AI-DOUBLECHECK.php
- новые сигнатуры вирусов и хакерских скриптов
- exit code зависит от результатов сканирования
- новые aknown файлы для wordpress и joomla
- замена пути в отчете при сканировании
- запуск нескольких экземпляров сканера из одного каталога

Изменения в версии 20150803

- создания архива вредоносных скриптов "карантин"
- обнаружение обфусцированных и зашифрованных вредоносных скриптов
- новые сигнатуры хакерских скриптов и вирусов
- ускорение сканирования
- запуск произвольной команды по окончании сканирования
- новые сниппеты бинарных файлов в отчете

Изменения в версии 20150703

- исправлена ошибка в регулярном выражении, которая в некоторых случаях могла аварийно завершать сканер
- добавлен карантин
- добавлена поддержка внешних сигнатур

Изменения в версии 20150701
- новые сигнатуры
- сканирование неограниченного числа файлов
- сканирование в один проход (не формирует список файлов для сканирования и не показывает оставшееся время)
- оптимизация сканирования под ОС Windows
- выполнение команды после завершения сканирования
- исправление ошибки обхода символических ссылок

Изменения в версии 20150615
- новые сигнатуры
- новые aknown файлы для Wordpress, Joomla, MODx
- добавлена опция исключения расширений из списка для сканирования
- оптимизирован процесс проверки файлов
- добавлена проверка на минимальную версию PHP для запуска
- исправлена работа параметров
- увеличено число файлов, определяемых как дорвей

Изменения в версии 20150508
- новые сигнатуры
- исправлена ошибка оптимизированного поиска
- исправлена ошибка сканирования через браузер
- добавлены aknow файлы для wordpress, joomla, magento 

Изменения в версии 20150329
- новые сигнатуры
- изменен процесс сканирования и отчет для блока "предупреждения"  

Изменения в версии 20150319
- добавлены новые опции в скрипт: выбор файла .aknown для сканирования и установка типа сканирования (обычный, эксперт, параноидальный)
- оптимизирована работа с файлами
- исправлены ошибки определения некоторых уязвимых скриптов  

Изменения в версии 20150317 
- новый дизайн отчета
- детектирование уязвимых скриптов (timthumb, uplodify, fckeditor, phpmyadmin и др.)
- переработан и оптимизирован алгоритм сканирования
- появилась возможность быстрой замены дизайна отчета (для партнеров с коммерческой лицензией)
- добавлены новые whitelist файлы для Wordpress, Joomla, Drupal, DLE, Bitrix
- добавлены новые сигнатуры

Изменения в версии 20150104
- большое количество новых сигнатур вирусов, шеллов, дорвеев, фишинговых страниц
- белые списки aknown для Wordpress, Joomla

Изменения в версии 20141013
- большое количество новых сигнатур вирусов, шеллов, дорвеев, фишинговых страниц
- белые списки aknown для Wordpress 4.0, Joomla 2.5.26 и 3.3.6, opencart 1.5.6.4, ocstore 1.5.5.1.2


Изменения в версии 20140901
- пополнена база новых сигнатур вирусов, шеллов, дорвеев
- улучшена производительность сканирования
- добавлены несколько эвристик для поиска бэкдоров

Изменения в версии 20140810
- большое количество новых сигнатур вирусов, шеллов, дорвеев, фишинговых страниц
- отдельная секция с обнаруженными фишинговыми страницами
- отображение номера строки, в котором обнаружен вредонсоный код (в начале сниппета)
- генерация отчета по списку критических замечаний в тестовом формате (при установленной опции --list или -l)
- поддержка кодировки utf8 и utf16 при сканировании
- небольшая оптимизация производительности
- исправлены ошибки в детектировании hex/oct последовательностей
- белые списки aknown для Wordpress 3.9.2, Joomla 2.5.24/3.3.3, Drupal 7.31, InstantCMS 1.10.4 / 2.1.1, 
- информационные блоки про список подозрительных файлов и пустых ссылок отключены по-умолчанию

Изменения в версии 20140612
- Переработана база сигнатур, минимизировано число ложных срабатываний
- Три режима работы "обычный" (AI_EXPERT = 0), "эксперт" (AI_EXPERT = 1), "параноидальный" (AI_EXPERT = 2)
- Добавлены .aknown файлы для wordpress 3.9.1, joomla 3.3.1 / 2.5.21, dle 10.2
- Традиционно новые сигнатуры вирусов и хакерских скриптов
- Исправлено несколько ошибок, оптимизирована работа скрипта

Изменения в версии 20140417
- Удобный интерфейс для работы с отчетом (для данной возможности нужно иметь подключение к интернету во время просмотра отчета):
  * доступны фильтр/поиск по подстроке
  * доступны сортировка по типам сигнатур, по дате и времени, по размеру, по контрольной сумме
  * доступно скрытие строк (файлов) с одинаковыми сигнатурами 
- Точное определение версий 13 типов cms (см. в конце отчета)
- Добавлены .aknow файлы для wordpress 3.9, drupal 6.28, 6.31, 7.27, 7.4, 7.5, 7.6, 7.7, 8.0.alpha, 9.x.dev
- Добавлен файл tools/aknow_producer.php, позволяющий генерировать свои .aknown файлы.
- По-умолчанию сделан режим "Эксперт". Кого пугает много "красного цвета", можно перевести скрипт в режим "экспресс-сканирование" согласно инструкции
- Традиционно новые сигнатуры вирусов и хакерских скриптов

Изменения в версии 20140303
- Изменено форматирование отчета, добавлены счетчики найденных вредоносов
- Добавлены .aknown файлы для Wordpress 3.8.1, DLE 10.1, Bitrix 14, Joomla 2.5.18 и Joomla 3.2.2
- Новые сигнатуры
- Уменьшено кол-во ложных срабатываний для некоторых сигнатур

Изменения в версии 20140125
- Новые сигнатуры
- Уменьшено кол-во ложных срабатываний для некоторых сигнатур

Изменения в версии 20140103
- Новые сигнатуры
- работа с UTF8 файлами
- исправлена ошибка в декодировщике 
- режим работы: "обычный" и "эксперт"
- добавлены .aknown файлы для wordpress 3.7.1 / 3.8, modx 2.2.8, joomla 2.5.17 / 3.2.1

Изменения в версии 20131025
- Новые сигнатуры шеллов и вирусов
- Уменьшено кол-во ложных срабатываний
- Новые .aknown файлы
- Небольшое изменение в отчете относительно отображения двойных расширений

Изменения в версии 20130910
- Исправлена ошибка ложных срабатываний

Изменения в версии 20130909
- Добавлены новые сигнатуры вирусов и шеллов
- Добавлены .aknown файлы для Joomla 2.5.14 / 3.1.5, Wordpress 3.6
- Добавлены новые сигнатуры в .aignore файл

Изменения в версии 20130723
- Добавлены новые сигнатуры вирусов и шеллов
- Добавлены .aknown файлы для Bitrix, Joomla, Wordpress, DLE

Изменения в версии 20130609
- Добавлены новые сигнатуры вирусов и шеллов (все свежие из массовых взломов Joomla, DLE)
- Добавлен параметр -q, позволяющий выполнять сканирование без вывода в консоль лога. Выводит "1", если найдено что-то нехорошее. Сделано для автоматического тестирования на хостинге. 
- Добавлен механизм перепроверки файлов с вредоносным кодом. При первом сканировании создается файл AI-BOLIT-DOUBLECHECK.php со списком файлов с вредоносным кодом, при втором запуске проверяются файлы только из этого списка. Также можно эту фичу использовать для проверки только определенного списка файлов.

Изменения в версии 20130519
- Добавлены новые сигнатуры вирусов и шеллов
- Детектирование двойных расширений .php.<что-то>
- Добавлен аргумент -j (--file) для сканирования конкретного файла
- Добавлены .aknown файлы для Joomla 2.5.10, 2.5.11, 3.0.3, DLE 9.8

Изменения в версии 20130401
- Исправления ошибок (Спасибо Александру Кихаеву и Роману Петренко за вклад)
- Добавлен эвристический анализ обфусцированных скриптов (в тестовом режиме)
- Двухязыковый интерфейс (русский, английский)
- Новые сигнатуры
- Добавлены файлы aknown для Joomla 2.5.9
- Добавлены файлы в .aignore и адреса в .aurlignore
- Много всяких мелких улучшений в алгоритмах определения вредоносного кода

Изменения в версии 20130201
- новые сигнатуры
- файл отчета запрещен к индексированию
- в имени файла отчета добавляется случайное число для защиты от подбора имени
- добавлен .aknown файл для Wordpress 3.5.1

Изменения в версии 20130122 
- новые сигнатуры, добавлено несколько исключений из ложных срабатываний
- новые доверенные файлы от cms: .aknown.* (instantcms, invision power board)
- ограничение на максимальное кол-во пустых ссылок в отчете (сейчас отображается 1000, чтобы сэкономить память)
- исправлена ошибка с подсчетом кол-ва сканируемых файлов
- разделен отчет "подозрительных" файлов: подозрительные .php и подозрительные .js
- отображается список скрытых файлов (начинающихся с "точки")

Изменения в версии 20121221 (теперь больше вариантов опознать вредоносный код и меньше ложных срабатываний)
- полностью переделан механизм поиска вредоносного кода, сигнатуры основаны на "гибких паттернах" (регулярных выражениях)
- добавлен расширенный механизм исключений (доверенные файлы для DLE, WORDPRESS и JOOMLA в файлах .aknown.*; доверенные URL в файле .aurlignore)
- добавлена настройка, позволяющая фильтровать то, что будет в отчете (маски отчета)
- много новых и свежих сигнатур шеллов, вирусов и дорвеев
- исправлена ошибка поиска невидимых ссылок
- отображение в отчете найденных символических ссылок
- отображение в консоли статистики по найденным проблемам

Изменение в версии 20121106
- новые сигнатуры, включая несколько троянов в бесплатных темах wordpress
- автоопределение версии Wordpress, DLE, ShopScript Premium и Bitrix
- поиск "чувствительных" файлов и директорий (раскрывающих версии установленного ПО, временные файлы с экспериментами), которые следовало бы удалить
- исправлен Warning с ereg()

Изменение в версии 20121014
- новые сигнатуры шеллов и вирусов (170 новых сигнатур шеллов и вирусов)
- игнорирование символических ссылок на каталоги и файлы (на случай зацикливания)
- добавился блок показа конфигурации PHP при запуске из браузера
- реализована проверка на тип сборки PHP. Из командной строки работает только когда есть php-cli.
- улучшена обработка внешних include
- новое имя файла отчета: AI-BOLIT-REPORT-<дата>_<время>.html
- улучшенное отображение прогресса сканирования в командной строке
- добавлен режим отладки скрипта DEBUG_MODE

Изменение в версии 20120902
- обновлена база сигнатур
- часть директорий можно исключить из сканирования, добавив их в .adirignore файл (поддерживаются фрагменты и метасимволы регулярных выражений) 
- улучшен алгоритм поиска подозрительных файлов с сигнатурами <?php и <%
- добавлена возможность запуска полного сканирования из браузера через аргумент "&full"
- добавлен поиск исполняемых файлов linux в сканируемых папках

Изменение в версии 20120729
- обновлена база сигнатур
- изменен алгоритм детектирования подключений внешних скриптов

Изменение в версии 20120715
- снипеты у шеллов
- обнаружение вставок вида include 'http://hckerexternal.site.ru/1.txt'
- улучшена проверка наличия кода php в непхп файлах и поиск base64 последовательностей
- новые сигнатуры
- исправление ошибок

Изменение в версии 20120701
- улучшена обработка невидимых ссылок
- новые сигнатуры

Изменения в версии 20120628
- ускорена работа с файлами
- новые сигнатуры

Изменения в версии 20120624
- небольшие исправления
- новые сигнатуры

Изменения в версии 20120623
- добавилось несколько десятков новых сигнатур шеллов
- улучшена обработка невидимых ссылок
- теперь по-умолчанию при запуске из командной строки выполняется сканирование всех файлов на сигнатуры


Изменения в версии 20120622

- появился список игнорируемых файлов .aignore
- добавлена возможность просмотра файла
- добавлены сигнатуры шеллов
- есть возможность скрыть  в отчете показ директории открытых на запись
- в подозрительные добавлены подстроки, появляющиеся в обфусцированных скриптах
- добавлена проверка на наличие хакерских тулзов для FreeBSD
- несколько багфиксов


Изменения в версии 20120614 
- добавлены 3 сигнатур шеллов
- добавлена проверка на PHP CGI Exploit в .htaccess


Изменения в версии 20120613 
- добавлены 6 сигнатур шеллов
- добавлены 3 сигнатуры JS вирусов
- добавил вызов set_time_limit(0) в скрипт
- исправлена работа с расширениями для php
- учитывается .phtml при проверке на сигнатуры, добавлено расширение .khtml
- добавлено детектирование auto_append_file/auto_prepend_file в .htaccess
- вывод списка найденных невидимых ссылок
- добавил определение stripos, если ее нет в PHP
- исправлено несколько мелочей
 

Изменения в версии 20120512
- добавлен алгоритм дешифрования ASCII последовательностей перед проверкой сигнатур
- три новых сигнатуры JS вируса
- одна сигнатура шелла
- добавлена проверка .phtml и .shtml по-умолчанию
- исправлена ошибка отображения файлов с невидимыми ссылками

Изменения в версии 20120430
- новые сигнатуры вирусов и шеллов
- исправлена ошибка сканирования списка файлов
- исправлена ошибка подсчета файлов в каталоге для вычисления дорвеев
- корректная работа с русскими сообщениями при работе через веб и при запуске из командной строки
- выставляется принудительно кодировка utf-8
- добавлены сниппеты для javascript вирусов и некоторых видов редиректа в .htaccess
- немного улучшен дизайн отчета
- сообщение о найденных больших файлах выдается только при полном сканировании

Изменения в версии 20120422
- добавлен режим работы из командной строки "php ai-bolit.php --help"
- при запуске из командной строки: сохранение отчета в файл или отправка его по email, прогресс выполнения
- красивый размер файлов
- затраченное время на сканирование
- ограничение на сканирование файлов меньше указанного размера (по-умолчанию, < 10 Mb)

Изменения в версии 20120418
- новые сигнатуры шеллов
- новые сигнатуры javascript вирусов
- добавлена проверка на стартовые сигнатуры PHP в не-php файлах. Например, когда встраивают PHP код в .htaccess.
- в предупреждениях показывается фрагмент кода и маркер найденной подозрительной последовательности

Изменения в версии 20120414
- переработан и оптимизирован алгоритм обхода папок и сканирования
- функция scandir заменена стандартной opedir/readdir

Изменения в версии 20120413
- добавлена сигнатура спам-скрипта
- вместе с файлами отображается дата и время создание файла
- файлы .js добавлены к списку сканируемых обязательно
- добавлена эвристика для анализа троянов в javascript 
- добавлена проверка кол-ва директорий дорвеев
- запуск с паролем из браузера и без пароля из командной строки

Изменения в версии 20120411
- добавлены проверки на Mainlink, SetLinks, Liex
- добавлены 15 новых шелл-сигнатуры
- добавлены проверки на вредоносный код, инжектируемый в Joomla
- сигнатуры закрыты в base64, чтобы не ругались антивирусы
- добавлена проверка на актуальность версии (актуальность = 1 неделя)
- добавлен блок "Donation"

Изменения в версии 20120410
- добавлены сигнатуры шести новых шеллов
- проверка на то, что текущая директория доступна для чтения

Изменения в версии 20120409

- добавлена задержка при сканировании SCAN_DELAY (можно увеличить в скрипте)
- добавлены новые сигнатуры
- закомментированные строки в .htaccess не учитываются при анализе
- добавлены расширения .tpl, .inc в список обязательных для сканирования
- добавлена кодировка windows-1251

Изменения в версии 20120408

- расширена база сигнатур
- анализ кода продажных ссылок на сайте
- предупреждение о большом кол-ве .php или .html файлов в каталоге
- причесал UI
- анализ .htaccess на предмет редиректов
- анализ .htaccess на предмет дорвеев

Более старые изменения

- здесь летопись обрывается...