demkd

Новые функции в Universal Virus Sniffer (uVS)

В этой теме 1456 сообщений

В данной теме вы можете высказывать свои пожелания и предложения по функционалу, который бы вы хотели увидеть в будущих версиях uVS.

Сообщения не относящиеся непосредственно к теме обсуждения будут удаляться.

Принятые к реализации:

1. отображать дополнения браузеров [v?.??]

2. очистка кэша java [v?.??]

3. добавить в лог uVS информацию о состоянии функции восстановления системы, наличие последних точек восстановления, если есть. [v?.??]

4. расширение функционала в окне установленных прогамм: поиск, копирование имени, оторбражение попадающих под критерии. [v?.??]

5. выводить в лог список установленных антивирусов [v?.??]

6. доработка критериев: белые, назначение действия [v?.??]

7. выводить информацию о том упакован ли исполняемый файл [v?.??]

8. добавить поддержку utf16/uft8 для отображения содержимого текстовый файлов в окне информации о файле [v?.??]

(в скобках указана версия в которой будет реализована данная функция, если указано ?.?? то реализация функции отложена на неопределенный период времени)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В данной теме вы можете высказывать свои пожелания и предложения по функционалу, который бы вы хотели увидеть в будущих версиях uVS.

может стоит добавить команду SCAN dir? сканировать каталоги, подкаталоги с возможностью использования сокращенных путей, отключением или включением рекурсии по сигнатурам, добавленным в базу юзера, эффектвно будет при заражении папок жесткого или съемного диска однотипными файлами червя или трояна.

---

или все таки правльнее будет использовать adddir с добавлением файлов новый образ, и тогда уже наверняка прибивать с помощью chklst&delvir?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
или все таки правльнее будет использовать adddir с добавлением файлов новый образ, и тогда уже наверняка прибивать с помощью chklst&delvir?

Добавить то не трудно, но я думаю adddir - это пока наиболее правильный вариант, особенно если получить образ с уже добавленными каталогами то можно держать лечение под полным контролем. Бесконтрольное же лечение черевато массовыми чистками безвинных файлов. :) Лучше уж тогда оставить _неактивные тела вирусов дожидаться всплеска гиперактивности обновившегося антивируса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Есть немного необычная задумка, которая рассчитана для не очень опытных пользователей uvs, ну и для тех у кого нет возможности зайти под live-cd:

Попался заблокированный комп, с баннером, на win 7, 32х. Антивирусник спокойно «жил» с ним, не вопил. Ни запускалось ничего, но заходило в безопасном режиме. В безопасном uvs ничего подозрительного не находил, в автозапуске глазами лишнего не увиделось. В последствии оказалось что он каждый раз меняет фирму-производителя. (тут вот видимо сказывается неопытность в использовании программы).

В общем помыкавшись туда-сюда, убил в безопасном режиме стандартный таск-менеджер (тут хорошо что оказался файловый менеджер, а то вроде по другому никак не удалить защищенный файл?), скинул все файлы uvs в папку, переименовал start.exe в taskmgr.exe, поставил что бы было поверх окон, и запустился в обычном режиме. Там вызвал таск, вылез uvs, начал выгружать по-одиночке все незнакомые процессы, так в общем и нашёл. Ну а дальше все подчистилось в общем то.

Вот отсюда и возникла мысль – можно ли добавить конфиг/параметр, что бы автоматом ставилось в автозагрузку, или заместо стандартного таск-менеджера? Ну или еще какие-либо варианты?

Понимаю что мысль полностью дилетантская, но однако помогло :) .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

hitman_007

Никогда не требуется включать uVS в автозапуск, смысла в этом нет.

Лучше изучить способы фильтрации информации в uVS, начинающим хватит фильтра по примерной дате заражения и проверки по базе проверенных (F4), проверки эцп (F6)... впрочем даты почти всегда достаточно.

Но если таки очень хочется включить в автозагрузку uVS то можно воспользоваться следующим файлом.

uVS будет доступен по Win+U там же можно настроить автозапуск.

winu.zip

winu.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Для uVS выделен отдельный подфорум

постепенно буду добавлять справочные темы, а эту тему со временем постараяюсь превратить в FAQ убрав все лишнее и добавив рубрикатор. smile.gif

Надо понимать, что все предложения по функционалу следует теперь писать в новой теме ?

-----------------------------------------------------------------------------------------------------------------------

1.

В SYSTEM.INI и Загрузчики.

IPL NTFS ( SHA1 79D7DA3273882A67F5131AF99C1D7AB22950B693)

MBR (SHA1 DA38B874B7713D1B51CBC449F4EF809B0DEC644A )

VBR NTFS (SHA1 A9523B6CBA7954202BC72A605250C1819BB64424)

Получается, что данные по SHA1 есть - а вот проверки на VirusTotal нет...

Правда предложение спорное...

2. Если, моё предложение по сравнению по SHA1 & Сигнатурам не проходит...

То, предлагаю другой более простой подход/вариант.

Последовательность действий:

1.Очистить Temp*

2.Добавить, все восстановленные исполняемые файлы в список/категорию.

"Файлы Temp"

Получаем, одну команду с двумя действиями.

* Исполняемые файлы добавляются после очистки всех временных каталогов с 65-й секундной задержкой по времени.

** Если, есть вирус тело которого было удалено в результате этой операции - то оно будет восстановлено, и с вероятностью 70% эта процедура будет связанна с Temp* объектами...

*** Соответственно, мы сможем просмотреть/проверить данную категорию и принять решение по добавлению сигнатур

данных объектов в базу.

Для, чего ?

Например, если нет связи и доступа к VT. или есть сомнение, или для изучения зловреда.

В любом случае это дополнительная опция - хуже от которой точно никому не будет.

Отредактировал demkd
Перенес сообщение

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Надо понимать, что все предложения по функционалу следует теперь писать в новой теме ?

Именно так чтоб все предложения были в одной теме и я их не забывал.

Получается, что данные по SHA1 есть - а вот проверки на VirusTotal нет...

Можно добавить, но я таки рекомендую обратить внимание на возможность полного извлечения загрузчиков из образа и соотв. возможность залить их на VT... другое дело что не каждый антивирус поймет что это дампы загрузчиков.

2.

Смысл действий от меня ускользнул.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

довольно часто в последнее время в темах заражений встречается подмена системной сервисной dll на левую. удаление левой dll приводит к очистке значения параметра реестра, в итоге не работает какая либо служба системы. Может добавить восстановление значения параметра из копии реестра, если она будет найдена?

например:

в

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\ServiceDll

значение

C:\Program Files\Common Files\msdao23.tlc

заменить на

%SystemRoot%\System32\srvsvc.dll

если будет найдено значение в копии реестра.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
добавить восстановление значения параметра из копии реестра, если она будет найдена?

Надо посмотреть как оно выглядит в разных версиях windows, возможно и не нужна будет копия, реализую восстановление дефолтного значения, хотя можно и в 20-й твик добавить, подумаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

При проверке Одиночного файла по SHA1 на Vir.Total при отдаче команды Esc прерывать операцию проверки немедленно.

*При невозможности получить ответ от сервера операция чрезмерно затягивается.

Способствует, ли тому низкая скорость соединения, или перегрузка сервера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
при отдаче команды Esc прерывать операцию проверки немедленно

да, надо бы доделать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

По поводу проверки загрузчиков на VT... идея принята к реализации.

В принципе нашлось целых 3 антивируса способных правильно проверять дампы загрузчиков: Avira AntiVir, Avast, GData.

Соотв. будет реализовано:

проверка загрузчика по хэшу и возможность заливать его на VT без предварительного извлечения из образа.

К сожалению более серьезные антивирусы (Dr.Web & Kaspersky) себя в деле проверки дампа IPL зараженного Cidox-ом никак не проявили, впрочем по скорости пополнения баз они очень заметно (в последнее время по данным shadowserver-а) уступают авире, так что проблем быть с опознанием не должно, хватит одной авиры :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
По поводу проверки загрузчиков на VT... идея принята к реализации.

В принципе нашлось целых 3 антивируса способных правильно проверять дампы загрузчиков: Avira AntiVir, Avast, GData.

1.В таком случае во избежание путаницы предлагаю отображать результат детекта по VT. только для этих

трёх антивирусов.

Все остальные результаты не отображать.

А, в случае, если производители антивирусов решат стать хорошими ( т.е. исправить свои недоработки ) тогда в одной из последующих версий uVS можно будет внести соответствующее дополнение.

2.Цитата:

; Автоматически проверять список по базе проверенных файлов при открытии образа

ImgAutoF4 = 1 (1 по умолчанию)

Сразу возникает закономерный вопрос, а почему только при работе с образом ?

Данная функция может быть не менее полезна и при работе с реальной системой.

3.Идеальный вариант, если максимальное число загрузчиков будут добавлено в базу SHA1

Соответственно, если Вам их вышлют, то вы их сможете добавить в базу проверенных и посмотреть, что там и как ???!

*Это, такой тонкий намёк для читателей форума. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В таком случае во избежание путаницы предлагаю отображать результат детекта по VT. только для этих

трёх антивирусов.

Зачем же так, а вдруг начнутся подвижки в этом плане :) в любом случае раз детекта нет, то очевидно и в списке лишнего не будет.

Сразу возникает закономерный вопрос, а почему только при работе с образом ?

Потому что при работе с образом это всегда имеет смысл, при работе с активной системой не всегда и забытый флаг будет мягко говоря... раздражать, вполне возможно был нужен лишь твик или очистка от мусора или... а тут понимаешь на 5 минут встала проверка, в случае же с удаленной системой автоматика всегда вредна.

Соответственно, если Вам их вышлют, то вы их сможете добавить в базу проверенных и посмотреть, что там и как ???!

Мне мое свободное время дорого, поэтому я добавляю только то что нужно мне лично то с чем я работаю, в принципе 0.5 хэшей в базе даже для меня много, поддержание базы в актуальном виде и так отнимает огромное количество времени.

Не стоит приравнивать возможности одного человека к возможностям антивирусной компании с десятками специалистов. Хочется добавить что-то добавляйте в свою личную базу, выкладывайте ее, поддерживайте ее и если народу понравится то базу будут качать и использовать наряду с моей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

уточняющие вопросы:

Принятые к реализации:

3. Поддержка сигнатур для MBR/VBR/IPL [v3.69]

допустим я ранее добавил сигнатуры MBR (mbrlock) или VBR (cidox), и она сработала при проверке последующих образов, полученных от юзеров из под winpe.

Какие действия uVS может сделать по данным сигнатурам?

chklst&delvir будет что то делать с MBR/VBR при выполнении скрипта на зараженной машине?

если нет,

то может следуют дополнительно добавлять (автоматически добавлять) команду fixmbr исходя из сигнатурного детекта особенного объекта, как MBR?

для VBR в случае сигнатурного детекта, например cidox - добавлять команду fixvbr.

mbrlock.jpg

post-1135-1312909581_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В любом случае раз детекта нет, то очевидно и в списке лишнего не будет.

В том, то и дело, что он может быть даже в том случае когда AV продукт НЕ способен корректно обработать данный файл.

Просто ложное срабатывание.

Зачем пугать мирное гражданское население, оно и так запуганное и пугливое. ;)

*Просто может быть путаница...

Раз... и нашёл Malware !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1.В таком случае во избежание путаницы предлагаю отображать результат детекта по VT. только для этих

трёх антивирусов.

Все остальные результаты не отображать.

а что мешает тебе оставить в списке

; Фильтр по производителю антивируса через запятую.

vFilter=эти заявленные антивирусы?

или предлагаешь отдельный vfilter_два ввести для подобного детекта? опять создание лишних сущностей будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
а что мешает тебе оставить в списке

; Фильтр по производителю антивируса через запятую.

vFilter=эти заявленные антивирусы?

или предлагаешь отдельный vfilter_два ввести для подобного детекта? опять создание лишних сущностей будет.

Всякая лишняя активность с загрузчиками может иметь негативные последствия.

Фильтр предлагаю встроенный в uVS.

Без дополнительных vFilter...

И пусть программа сама отсевает лишнее из данной категории.

* Ложные детекты, явно тут не нужны - А всегда помнить, какой антивирус может корректно отработать, а какой нет...

Это точно путаница может быть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Всякая лишняя активность с загрузчиками может иметь негативные последствия.

надо просто помнить, что детект ВТ - это как помощь друга в "кто хочет стать миллионером", помощь квалифицированная, но решение все равно принимать тебе. (Я уже запомнил, что детект загрузчиков будет отличаться от детекта tr/worm/virus. Скажем, для меня всегда важен результат проверки DrWeb, Kaspersky, Eset NOD32, Avira.) Два списка настраиваемых фильтров - это перебор. Встроенный в UVS фильтр чреват претензиями к разработчику - почему моего любимого антивируса нет в списке. Настраиваемый фильтр - это то, что соответствует концепции uVS: гибкость, адаптивность программы чрезвычайна важна для исследователя, для заинтересованного пользователя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
chklst&delvir будет что то делать с MBR/VBR при выполнении скрипта на зараженной машине?

Ничего.

то может следуют дополнительно добавлять (автоматически добавлять) команду fixmbr исходя из сигнатурного детекта особенного объекта, как MBR?

Я думаю что пока стоит оставить подобные действия на усмотрение хелпера, захочет вылечить выберет соотв. команду, автоматика тут может оказаться вредной.

В том, то и дело, что он может быть даже в том случае когда AV продукт НЕ способен корректно обработать данный файл.

А не известно не способен или просто не хочет, фолс может быть у каждого, соотв. не вижу ни малейших причин ограничивать полезный функционал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
К сожалению более серьезные антивирусы (Dr.Web & Kaspersky) себя в деле проверки дампа IPL зараженного Cidox-ом никак не проявили,

В проверке дампа MBR (mbrlock) отметились все таки Dr.Web & Kaspersky

http://www.virustotal.com/file-scan/report...389-1312917558#

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

santy

А я про MBR и не говорил с ним у них проблем нет, ибо считай это обычный com файл :) я говорил про IPL, скорее всего они с ним не работают в отрыве от vbr, надо будет попробовать скормить все в месте возможно и будет эффект.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1.Если в скрипт добавлена сигнатура.

Однако скрипт НЕ содержит команд/ы:

chklst

delvir

Дать - соответствующее предупреждение при сохранении скрипта.

* Периодически подобная ошибка имеет место быть порядка 2% от всех скриптов.

2. При открытии образа.

При автоматическом добавлении сигнатур/ы в скрипт!

( В случае, когда речь идёт о ложном сигнатурном детекте на файл.)

Получается, что Ложная сигнатура уже автоматически добавляется/добавлена в текст скрипта...

*При соответствующей настройке.

И даже, если при работе с объектом увеличить длину сигнатуры и тем самым избежать ложного детекта...

То, скрипт по прежнему будет содержать ошибочные команды на удаление!

Соответственно - при коррекции длинны сигнатуры необходимо Автоматически переписывать текст скрипта

с учётом обновлённых данных.

Выдавать предупреждение в лог, или же при сохранении скрипта:

"Вами была произведена коррекция длинны сигнатуры - Что привело к исключению файла из списка "Подозрительные и вирусы" Все команды скрипта будут отменены"

*Да в uVS есть команда "Отменить всё"

Однако, есть высокая вероятность того, что оператор устранив ложный детект пропустит этап очистки, от

предыдущих команд...

А, с учётом того, что команды были отданы/записаны автоматически вероятность ошибки резко возрастает.

В связи с чем считаю, необходимым скорректировать данную операцию.

Также скорректированный вариант предложения №1 от:

"Santy:

На этот случай неплохо бы задействовать проверку скрипта....

если есть в скрипте команды addsgn+zoo, то при проверке неплохо бы сигналить, что нет завершающей конструкции chklst, delvir"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

как тяжко прорываться сквозь дебри предложений RP55!

------------------------

предлагаю перенести проверку скрипта в тестовый режим с разбором завершающих конструкций....

На этот случай неплохо бы задействовать проверку скрипта....

если есть в скрипте команды addsgn+zoo, то при проверке неплохо бы сигналить, что нет завершающей конструкции chklst, delvir"

только проверку делать не из файла, а из того, что попало в буфер обмена (или то, что отображается по alt+S) по ходу автоматического составления скрипта.

---------

результат проверки выводлить в лог uVS

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1.Если в скрипт добавлена сигнатура.

Если учесть осбенности работы uVS с образом то наличие такого скрипта означает что именно такой скрипт хелпер и хотел получить, а вот склероз тут явно не причем. Доплнительное предупреждение будет лишь раздражать.

Однако, есть высокая вероятность того, что оператор устранив ложный детект пропустит этап очистки, от

предыдущих команд...

Тут уже он сам себе злобный буратино, вполне логично сперва выявить всех зловредов, снять сигнатуры, убрать фолсы, а затем лечить все скопом и уже потом делать твики и прочее. Короче не вижу смысла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • fafa
      А что это совсем за аппарат массунг? Как мне кажется, то любые аппараты совсем являются ремонтируемыми. А все зависит только от того в какую фирму понесете. Так, что все реально сделать в наше время, были бы деньги только.
    • fafa
      Если есть совсем мало места, то почему же не ставить. Если посмотреть, то ни какой вариант с ванной ни как не спасает нас, так как места займет она точно больше, в наше время это решает. Для моей квартиры в 60 квадратов так тем более.
    • Wenderoy
      Скачать Kuranin Anti-Ransomware можно здесь: http://kuranin.ml/ Уникальный файлообменный сервис от Куранина Ильи для безопасного хранения файлов с возможностью шифрования методом AES-256 - https://kur.guru/ Все загружаемые данные хранятся на надежно защищенных нидерландских серверах и хранятся вечно!
    • P1rat
    • klubochek
      Подскажите подлежат ли ремонту смартфоны масунг? В пятницу забрала дочку со школы всю в слезах. В школе не стала уточнять что к чему, на простой вопрос что случилось – только слезы. Дома показывает мне свой телефон – экран разбит. Телефон не включается. Что произошло толком не рассказывает. Но это уже буду говорить с учителем. Самое обидное что это был ее долгожданный подарок. Подарили только на 8 марта. Если ремонт возможен , какая может быть его стоимость?