Universal Virus Sniffer (uVS), Вопросы разработчику

[demkd 636]

Анализируем - почему. т.е. руткиты мы таким способом не обнаружим, но для разбора других проблем системы может пригодиться.

Теоретически может, практически же маловероятно, в 99% случаев проблема в реестре, но я подумаю.

Может и имя ему давать такое же, как формируется имя архива при выполнении czoo.

Да, дата-время...

[PR55.RP55 83]

1.Получение адреса сайта - разработчика, при попадании программы в список подозрительных.

В ряде случаев это вполне осуществимо. (Папки установки,ярлыки,сведения для обновления...)

*Суть - Поиск Сайта/Анализ и сравнение например по: SHA 1.

*Проверяются только - подозрительные Элементы списка.

2.Извлечение/Копирование "Объекта" Карантина в ZOO = cZOO uVS - Антивирусной программы.

Суть: В ряде случаев "Объект" попадает в карантин - но "Не может быть удалён"...

*Или пользователь может самостоятельно добавить выбранный элемент.

*Использование самого - uVS для изоляции будет вызывать определённые затруднения.

Использование Привычной программы предпочтительнее.

*Иначе говоря - для обнаружения используется полноценный Эвристический Анализатор,а для удаления uVS.

*Помещённые и отправленные-полученные объекты могут быть изучены = Результат.

2.1. Идеально: Извлечение Сигнатуры - или SHA 1. Однако есть проблема шифрования - или блокировки.

* При необходимости - Пользователь может отключить модуль защиты в режиме реального времени.

Например NOD32. Quarantine

C:\Documents and Settings\User\Local Settings\Application Data\ESET\ESET Smart Security

ИЛи:\Malwarebytes' Anti-Malware. Quarantine

C:\Documents and Settings\User\Application Data\Malwarebytes\Malwarebytes' Anti-Malware

*Думаю,что при желании С шифрованием можно разобраться.

3.* Кстати говоря: Например/е - "Процессы без видимых окон"....

А,что если в качестве дополнительного анализа использовать Такую информацию:

3.1 - "Нет ярлыков в меню пуск - рабочий стол..."

3.2. - Число взаимосвязанных Объектов Менее, 4 ( четырёх ) ( Один производитель,одна папка установки... )

3.3.- Суммарный "Вес" Всех - Взаимосвязанных Объектов менее 1.6.mb

3.4. - Нет информации по Update.

3.5.- Число Update серверов, более 2.

*Вот приходится гадать,что есть в эвристике,в чего нет.

4.Возможность - Анализа/Выявления типичных ошибок Реестра при - создании/работе с Образом uVS.

* Нет вирусов - но есть сбой. И есть обращение в Техподдержку = > Решение.

[demkd 636]

1.Получение адреса сайта - разработчика, при попадании программы в список подозрительных.

Это как раз сложно.

*Иначе говоря - для обнаружения используется полноценный Эвристический Анализатор,а для удаления uVS.

Типа костыль для антивирусов, не разумно, антивирусы допускают массу ошибок и в карантин бывают летят даже системные файлы.

2.1.

Не понял.

3.1 - "Нет ярлыков в меню пуск - рабочий стол..."

Не криминал, масса софта использует ланчеры для основного тела, впрочем и остальное не криминал, а времени на анализ уйдет очень и очень много.

4.Возможность - Анализа/Выявления типичных ошибок Реестра при - создании/работе с Образом uVS.

Кое что uVS уже может исправлять либо с помощью твиков, либо при удалении ссылок на конкретные программы или ссылок на отсутствующие. Это часть будет(?) развиваться медленно, поскольку не является основной.

[PR55.RP55 83]

Создать Опцию > Загружаемый Модуль: startf9.exe

Windows Registry Editor Version RP55.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"STARTF9"="C:\\Program Files\\uVS Ver.3.33\\startf9.exe"

Суть:

1.При загрузке Системы - загружается startf9.exe ( Без графического режима ! )

Модуль Проверяет наличие блокирующих Окон и в случае, если Окно Автоматически Не закрывается в Течении - 90 Секунд, выполняется команда F9

Или Оператор сам вызывает функцию > F9 - ( Скрыть все перекрывающие окна и опознать их владельцев ! )

2.После чего startf9.exe Запускает - startf.exe

3.Далее - выбор действий за Оператором,

Например: запуск - startf.exe с Максимальными правами = Проверка Объектов Авто запуска = "Подозрительные и Вирусы"

4.Решение Проблемы !

*Автоматические завершение работы:

Модуль Проверяет наличие блокирующих Окон и в случае, если Таковых не Обнаружено.., Через 250 Секунд - startf9.exe Завершается.

*Суть всей Идеи - Это, не только Борьба с блокировщиками - вымогателями но и присутствие uVS в качестве постоянного Партнёра !!!

*= Минимальная нагрузка на Ресурсы PC + Интуитивно понятный Интерфейс uVS

*** Как минимум Создание Твика для авто запуска startf.exe

[demkd 636]

Создать Опцию > Загружаемый Модуль: startf9.exe

А не проще ли включить автозапуск для компактов и записать диск с пригалаемым autorun.inf?

Посадка же в автозапуск чего-либо ничего не дает, отключается легко и просто как и любой антивирус.

[PR55.RP55 83]

А не проще ли включить автозапуск для компактов и записать диск с пригалаемым autorun.inf?

Посадка же в автозапуск чего-либо ничего не дает, отключается легко и просто как и любой антивирус.

1. Автозапуск: Опасно = Раздражает, если большой Объём данных то - трата времени.

Если диск мультимедийный и нужно скопировать - автозапуск также излишен.

Если Вкл/Выкл - То это опять проблемы с пятой Точкой.

2. Что касается просты отключения - То тогда и антивирус НЕнужно ставить!

Кроме того, я эту функцию предлагаю исключительно для борьбы с SMS Вымогателями и только.

3. Запись CD Диска !!!

А, что делать человеку с Нетбуком ? Можно на USB Записать ! Но это если есть Флэшка под рукой, а если нет ?

4. CD Легко повредить - Записал, проверил, всё ОК. Через месяц Ставиш - А он НЕ работает !

Делать кучу копий...

* Кроме того ( Как мне представляется это будет значительный вклад в распространение uVS ! )

** От Себя Лично: Если это будет реализовано - Я Сразу Поставлю в Автозапуск и у себя и всем знакомым буду рекомендовать + NOD32 Форум.

[demkd 636]

Если это будет реализовано - Я Сразу Поставлю в Автозапуск и у себя и всем знакомым буду рекомендовать.

По мне так плохая идея, да и лень писать, могу предложить прописать StartF в меню по Win+U, может полезно будет... а может и нет

[PR55.RP55 83]

Могу предложить прописать StartF в меню по Win+U, может полезно будет... а может и нет

Хорошая идея - И так, Оно проще будет.

Стоит попробовать! В разных вариантах! А, там И видно будет.

[santy 153]

По мне так плохая идея, да и лень писать, могу предложить прописать StartF в меню по Win+U, может полезно будет... а может и нет

если только через твик, но тогда и путь к uVS должен быть постоянным .

еще обратил внимание, что uVS нормально обрабатывает файл hosts, если измененн стандартный путь хранения %systemdir%\drivers\etc, но может быть, в этом случае выдавать предупреждение в логе, что изменен путь размещения hosts, а вдруг была фарминг-атака? .

===

Avira выпустила свою утилитку для сбора инфо о системе.

опять в качестве обработчика html-логов выступает браузер.

http://dlpro.antivir.com/package/package/s...ollector_en.exe

[demkd 636]

что изменен путь размещения hosts, а вдруг была фарминг-атака?

Давно надо... но я то забуду, то мне лень, хотя может в 3.40 включу... который может на этой неделе таки доделается.

Avira выпустила свою утилитку для сбора инфо о системе.

опять в качестве обработчика html-логов выступает браузер.

Чисто для галочки "чтоб как у всех".

[PR55.RP55 83]

1. Сейчас так: " Удалить ссылки на Все Отсутствующие Объекты"

Изменить на: "Удалить ссылки на Все Отсутствующие Объекты" > "ВЫБРАТЬ и ИСКЛЮЧИТЬ"

Т.е. Иметь возможность, Выбрать из списка ссылки на определённые Отсутствующие Объекты и сохранить текущее состояние.

Смысл: Скажем на USB носителе есть программа и ссылка отвечает за её автозапуск.

Риска при этом нет - ведь мы выбираем конкретный/определённый объект.

[demkd 636]

Т.е. Иметь возможность, Выбрать из списка ссылки на определённые Отсутствующие Объекты и сохранить текущее состояние.

Уже есть опция удалить все ссылки в контекстном меню любого файла/объекта.

И релиз v3.40.

Мелкий багфикс + управление удаленным рабочим столом и приделал кое-что из того, что народ хотел.

По поводу управления: фича не быстрая и любит широкий канал, однако она НЕ требует открытых портов, т.е. если uVS подключился к машине то бонусом получаете вполне сносное удаленное управление.

Потребление трафика достаточно умеренное, используется сжатие данных.

o Добавлена функция управления удаленным рабочим столом.

Поддерживается 6 мониторов, клавиатура, 3-х кнопочная мышь

с колесиком.

Функция оптимизирована для 32/24/16-х битных режимов, дополнительно поддерживаются

8/4-х битные режимы.

(!) Функция предназначена для условий в которых использования полноценной программы удаленного

(!) управления невозможно.

(!) НЕ_рекомендуется использовать на машинах со старыми видеокартами.

Гор. клавиша Alt+V.

(подробнее см. файл "удаленный рабочий стол.txt")

o Оптимизирована функция обмена данными по сети.

o Модифицирован твик #11, дополнительно сбрасываются параметры:

LegacyAuthenticationLevel и LegacyImpersonationLevel

o Теперь при открытии окна твиков производится проверка необходимости в применении некоторых твиков.

Кнопки с излишними твиками (по итогам проверки) будут недоступны.

o В лог добавлен путь до файла hosts.

o Устранена утечка памяти при файловых операциях.

o Исправлены ошибки при работе с файлами AUTORUN.INF.

o Исправлена функция антисплайсинга при работе с удаленной системой.

[PR55.RP55 83]

Уже есть опция удалить все ссылки в контекстном меню любого файла/объекта.

Уточняю: Например такая ситуация - На машине есть 40. Отсутствующих Объектов.

Нам Требуется Сохранить ссылки например на 2. Объекта, из тех,что вошли в список отсутствующих

( Например Это программы/файлы которые на момент проверки находятся на USB диске )

Т.е. В данном случае Речь идёт об обратной ситуации !

Нам намного удобнее сохранить эти 2.ве Ссылки чем Обрабатывать Другие 38 файлов/объектов.

В Данном случае требуется Исключающая функция...

Вот...

Решил Подумать и о поиске _ по Файловым Дубликатам.

Поиск дубликатов файлов - имеющих разные имена но одинаковое или совпадающие/схожее значения контрольных сумм/сигнатур.

Проверка всех файлов по "Весу" = "вес" менее 1mb.

Выборочная АВТОМАТИЧЕСКАЯ - ограниченная, проверка в рамках с генерированного списка: Активен/Подозрителен.

+ Поиск По типу файлов, их точному или приблизительному размеру, времени создания/изменения, размещению, версии,

аналоговой/цифровой подписи производителя,использованию общих ресурсов. ( В том числе сравнение - по Схожим данным/параметрам реестра.)

*Наверняка это в той или иной мере - реализовано но вот решил написать!

СПАСИБО ЗА НОВЫЙ РЕЛИЗ uVS !!!!

[demkd 636]

Т.е. В данном случае Речь идёт об обратной ситуации !

А... так а реальный пример когда это необходимо? Про usb я не понял, если файла нет то зачем на него ссылка в autorun.inf.

Решил Подумать и о поиске _ по Файловым Дубликатам.

Для этого полно всяких программ и не вписывается это в рамки uVS.

Проверка всех файлов по "Весу" = "вес" менее 1mb.

А это бесполезная штука.

Поиск тоже ни разу не требовался.

И забыл включить в список изменений:

Скрытые настройки в файле setting.ini

[settings]

; при добавлении сигнатуры добавлять в скрипт полный путь до файла в виде комментария

bAddComment = 0 (1 по умолчанию)

; Автоматически копировать в zoo файл, удаляемый с помощью команды delall (кроме сетевого режима)

bAutoZooOnDelAll = 1 (0 по умолчанию)

; Автоматически блокировать запуск файла по MD5, удаляемого с помощью команды delall или

; при добавлении сигнатуры файла в _базу_

bAutoBL = 1 (0 по умолчанию)

[ShIvADeSt 15]

Чегой то со включенным антисплайсингом у меня в ошибку программа падала, при этом процесс оставался висеть и потреблять процессорное время (обнаружил позже). Пробовал под LocalSystem и текущим пользователем (я локальный админ). Стоит правда СЕП последний со включенной проактивкой, но я у него в детектах ничего не нашел. Если нужно могу снять логи (только как).

[demkd 636]

Стоит правда СЕП последний со включенной проактивкой

А что такое СЕП и какая версия? Если он использует сплайсинг то может и падать, сплайсинг вещь нехорошая.

[santy 153]

И релиз v3.40.

Мелкий багфикс + управление удаленным рабочим столом и приделал кое-что из того, что народ хотел.

...

Управление удаленным рабочим столом в локалке по скорости нормальное для нетормозных машин, будем испоьзовать. Может и передачу файлов на удаленную машину приделать тогда уже для полного счастия? .

Спасибо за релиз!

[PR55.RP55 83]

А... так а реальный пример когда это необходимо?

А пример такой:

USB Диск.

Windows Registry Editor Version RP55.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"STARTF"="Z:\\Program Files\\uVS Ver.3.33\\startF.exe"

( Как борьба с блокираторами ) Или какой другой Софт...

Или USB Модем - У меня он постоянно слетает ( Безобразная вещь! от "Связного" ) + Влияние ? uVS.

*Кроме того файл может быть в системе - но uVS его не видит ( Например это модуль Антивируса ? )

Думаю это будет полезно ( Если...невредно )

""Решил Подумать и о поиске _ по Файловым Дубликатам.""

Для этого полно всяких программ и не вписывается это в рамки uVS.

Я это к тому, что есть ли возможность использования, применения данного алгоритма для поиска вирусных дубликатов ?

( Разные Имена - Но совпадение На Уровне 90% и > ).

Хотя бы для файлов попавших в список подозрительных!

Попал в список, И раз Прогнали HDD на предмет совпадения !

* Возможно следует создавать отдельный список " Сиамские Файлы "

А в качестве примера ( не совсем верного - но примера ) есть Библиотека разработанная одним производителем - и есть цифровые подписи

И вообще с файлами всё в порядке в плане их безопасности!

Но вот "Проблема" Один из файлов повреждён... Или " Цифровая подпись отсутствует"...

Но ПО ВСЕМ Другим параметрам Совпадение порядка 90%. ( примерно... по каким критериям, я давал описание выше )

Вот я и предлагаю - Заносить в Общий список - По общему сходству В том числе по схожести Имени ( Совпадение подряд 3-х и более символов )

И т.д.

** Да... И ещё Допускаю Конфликт с Компонентами последней версией NOD32. (4.2.67.10 ) ( Но я не уверен - Накрутил у себя всякого с три

хрена ) !

[demkd 636]

Может и передачу файлов на удаленную машину приделать тогда уже для полного счастия?

Скорее я сделаю чтоб файловый менеджер по Alt+F сразу запускался со списком шар удаленного компьютера, просто удобней и быстрее FAR-а тут ничего для передачи файлов по сети не придумать

И в планах автосинхронизация буфера обмена.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"STARTF"="Z:\\Program Files\\uVS Ver.3.33\\startF.exe"

StartF в ключе Run?? Короче я не вижу смысла в таких извращениях.

Я это к тому, что есть ли возможность использования, применения данного алгоритма для поиска вирусных дубликатов ?

Для поиска дубликатов или похожих файлов есть сигнатуры.

[santy 153]

Скорее я сделаю чтоб файловый менеджер по Alt+F сразу запускался со списком шар удаленного компьютера, просто удобней и быстрее FAR-а тут ничего для передачи файлов по сети не придумать

И в планах автосинхронизация буфера обмена.

Отличное решение. Товарищу показал сегодня uVS, в частности удаленное управление, так он (!!!) сразу захотел увидеть шары на удаленной машине. . Думаю, одним пользователем uVS стало сегодня больше. .

Автосинхронизация буфера обмена... Что это будет за функция? передача буфера обмена на удаленную машину?

Потестировал сегодня еще раз функции breg, sreg, areg - жду подходящего случая для использования.

StartF в ключе Run?? Короче я не вижу смысла в таких извращениях.

К тому же startf разрывает сетевой сеанс. Как то промахнулся по start.exe и запустил startf.exe на удаленной машине, так потерял управление рабочим столом через радмин. .

Для поиска дубликатов или похожих файлов есть сигнатуры.

RP55, проще простого - создать сигнатуру файла по имени w_file, дубликаты которого вам нужны - ПРОВЕРИТЬ СПИСОК - далее можно удалить сигнатуру, сли планируете использовать chklst+delvir.

[demkd 636]

так он (!!!) сразу захотел увидеть шары на удаленной машине

Да, многие их зачем-то отрубают (тут можно конечно затянуть песню про безопасность, но как-то это... смешно) ...А потом топают ножками к компу, поскольку потеряли над ним контроль.

Автосинхронизация буфера обмена... Что это будет за функция? передача буфера обмена на удаленную машину?

Типа того, буфер обмена станет как бы единым для обоих машин, т.е. скажем в Radmin-е нужно давить соотв. кнопочки для передачи буфера, а здесь все будет автоматизировано, например так сделано в PocketController-е и это реально удобно.

К тому же startf разрывает сетевой сеанс.

Он не разрывает, он просто убивает все, что нащюпал включая и радмина. Я вот все думаю, переписать его чтоб щадил тех кто есть в базе проверенных... или нет. И всегда склоняюсь к тому что не стоит

Т.е. скажем для адм. целей можно внести программы удаленного администрирования/любимый антивирус и т.п. в известные и тогда StartF их не тронет.

[PR55.RP55 83]

StartF в ключе Run?? ohmy.gif Короче я не вижу смысла в таких извращениях.

ВОТ !!!

Так Я И ЗНАЛ !

Зачем всё воспринимать буквально ? Просили как пример я и скопировал, из того что было выше.

А функцию Выборочного исключения По прежнему считаю необходимой.

Для поиска дубликатов или похожих файлов есть сигнатуры.

Я имел Ввиду при создании/генерации Образа.

Активировал Пользователь: "Сохранить полный образ авто запуска..."

Сформировался список: " Подозрительные и Вирусы " И !!!

Далее... Происходить дополнительная проверка ( Этап №2 ) Поиск дубликатов ! ( Описано Мною выше.)

Для поиска дубликатов или похожих файлов есть сигнатуры.

И какие в данном варианте работы программы могут быть Сигнатуры !

Я Говорю - О дополнительной проверке каталогов Системы при генерации Образа!

RP55, проще простого - создать сигнатуру файла по имени w_file, дубликаты которого вам нужны - ПРОВЕРИТЬ СПИСОК - далее можно удалить сигнатуру, если планируете использовать chklst+delvir.

Это элементарная логика с Этим не поспоришь ! ( но я про генерацию образа ) - Это вроде как само собой должно восприниматься ?

* Пойду в Китайское Консульство - Может Мне как Китайцу Паспорт Дадут ?

А то, Я Как Китаец... ( И , что самое Странное! Из зеркала на меня Смотрит Вполне Русский Человек ! Просто Удивительная История ! )

[santy 153]

Да, многие их зачем-то отрубают (тут можно конечно затянуть песню про безопасность, но как-то это... смешно) ...А потом топают ножками к компу, поскольку потеряли над ним контроль.

по крайней мере, админ-шара нужна для удаленной установки программ - без антивирусного сервера вообще не мыслю работы в сети. у себя же можно шару на чтение открыть для тех, кто в доверенной зоне.

Т.е. скажем для адм. целей можно внести программы удаленного администрирования/любимый антивирус и т.п. в известные и тогда StartF их не тронет.

понятно.

[santy 153]

Я Говорю - О дополнительной проверке каталогов Системы при генерации Образа!

Это элементарная логика с Этим не поспоришь ! ( но я про генерацию образа ) - Это вроде как само собой должно

смысл? то что в автозапуске - убьется через chklst+delvir, то что не попало в автозапуск - убьется сигнатурами антивируса при сканировании, при условии, что они из ZOO uVS попадут в вирлаб.

[PR55.RP55 83]

< Я Говорю - О дополнительной проверке каталогов Системы при генерации Образа! >

Cмысл? то что в автозапуске - убьется через chklst+delvir, то что не попало в автозапуск - убьется сигнатурами антивируса при сканировании, при условии, что они из ZOO uVS попадут в вирлаб.

1.Смысл: Это ( Возможно ) Рост/Увеличение Эффективности uVS при обнаружение подозрительных/угроз ! ?

2.chklst+delvir Что будет Удалено этими командами, если Объект не попал в список ?

А команда DELALL вообще бесполезна в данном варианте !

3.Убьется сигнатурами Антивируса при сканировании.

Далеко не все машины имеют выход в сеть - И возможность произвести обновление Антивирусных баз.

Или доступ в сеть невозможен по техническим причинам. ( Отказ Оборудования, ремонт и т.д )

Кроме того - Известная Вещь - У человека проблема с Заражением его PC.

В uVS Делается снимок ( Снимок на USB... ) - и с этим снимком Обращаюся в техподдержку ! ( Сети Нет... И Обновления ! )

4.Идеально если uVS Полностью заменит - Исключит необходимость в применении Malwarebytes' Anti-Malware.

Я понимаю, что создать идеальный инструмент невозможно но Стремится Нужно ?

Malwarebytes' Anti-Malware - Ещё и базы содержит - Но это не профиль uVS ( Что и верно )

В Общем так вот...