Перейти к содержанию

Recommended Posts

demkd

В данной теме вы можете высказывать свои пожелания и предложения по функционалу, который бы вы хотели увидеть в будущих версиях uVS.

Сообщения не относящиеся непосредственно к теме обсуждения будут удаляться.

Принятые к реализации:

1. отображать дополнения браузеров [v?.??]

2. очистка кэша java [v?.??]

3. добавить в лог uVS информацию о состоянии функции восстановления системы, наличие последних точек восстановления, если есть. [v?.??]

4. расширение функционала в окне установленных прогамм: поиск, копирование имени, оторбражение попадающих под критерии. [v?.??]

5. выводить в лог список установленных антивирусов [v?.??]

6. доработка критериев: белые, назначение действия [v?.??]

7. выводить информацию о том упакован ли исполняемый файл [v?.??]

8. добавить поддержку utf16/uft8 для отображения содержимого текстовый файлов в окне информации о файле [v?.??]

(в скобках указана версия в которой будет реализована данная функция, если указано ?.?? то реализация функции отложена на неопределенный период времени)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
В данной теме вы можете высказывать свои пожелания и предложения по функционалу, который бы вы хотели увидеть в будущих версиях uVS.

может стоит добавить команду SCAN dir? сканировать каталоги, подкаталоги с возможностью использования сокращенных путей, отключением или включением рекурсии по сигнатурам, добавленным в базу юзера, эффектвно будет при заражении папок жесткого или съемного диска однотипными файлами червя или трояна.

---

или все таки правльнее будет использовать adddir с добавлением файлов новый образ, и тогда уже наверняка прибивать с помощью chklst&delvir?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
или все таки правльнее будет использовать adddir с добавлением файлов новый образ, и тогда уже наверняка прибивать с помощью chklst&delvir?

Добавить то не трудно, но я думаю adddir - это пока наиболее правильный вариант, особенно если получить образ с уже добавленными каталогами то можно держать лечение под полным контролем. Бесконтрольное же лечение черевато массовыми чистками безвинных файлов. :) Лучше уж тогда оставить _неактивные тела вирусов дожидаться всплеска гиперактивности обновившегося антивируса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hitman_007

Есть немного необычная задумка, которая рассчитана для не очень опытных пользователей uvs, ну и для тех у кого нет возможности зайти под live-cd:

Попался заблокированный комп, с баннером, на win 7, 32х. Антивирусник спокойно «жил» с ним, не вопил. Ни запускалось ничего, но заходило в безопасном режиме. В безопасном uvs ничего подозрительного не находил, в автозапуске глазами лишнего не увиделось. В последствии оказалось что он каждый раз меняет фирму-производителя. (тут вот видимо сказывается неопытность в использовании программы).

В общем помыкавшись туда-сюда, убил в безопасном режиме стандартный таск-менеджер (тут хорошо что оказался файловый менеджер, а то вроде по другому никак не удалить защищенный файл?), скинул все файлы uvs в папку, переименовал start.exe в taskmgr.exe, поставил что бы было поверх окон, и запустился в обычном режиме. Там вызвал таск, вылез uvs, начал выгружать по-одиночке все незнакомые процессы, так в общем и нашёл. Ну а дальше все подчистилось в общем то.

Вот отсюда и возникла мысль – можно ли добавить конфиг/параметр, что бы автоматом ставилось в автозагрузку, или заместо стандартного таск-менеджера? Ну или еще какие-либо варианты?

Понимаю что мысль полностью дилетантская, но однако помогло :) .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

hitman_007

Никогда не требуется включать uVS в автозапуск, смысла в этом нет.

Лучше изучить способы фильтрации информации в uVS, начинающим хватит фильтра по примерной дате заражения и проверки по базе проверенных (F4), проверки эцп (F6)... впрочем даты почти всегда достаточно.

Но если таки очень хочется включить в автозагрузку uVS то можно воспользоваться следующим файлом.

uVS будет доступен по Win+U там же можно настроить автозапуск.

winu.zip

winu.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Для uVS выделен отдельный подфорум

постепенно буду добавлять справочные темы, а эту тему со временем постараяюсь превратить в FAQ убрав все лишнее и добавив рубрикатор. smile.gif

Надо понимать, что все предложения по функционалу следует теперь писать в новой теме ?

-----------------------------------------------------------------------------------------------------------------------

1.

В SYSTEM.INI и Загрузчики.

IPL NTFS ( SHA1 79D7DA3273882A67F5131AF99C1D7AB22950B693)

MBR (SHA1 DA38B874B7713D1B51CBC449F4EF809B0DEC644A )

VBR NTFS (SHA1 A9523B6CBA7954202BC72A605250C1819BB64424)

Получается, что данные по SHA1 есть - а вот проверки на VirusTotal нет...

Правда предложение спорное...

2. Если, моё предложение по сравнению по SHA1 & Сигнатурам не проходит...

То, предлагаю другой более простой подход/вариант.

Последовательность действий:

1.Очистить Temp*

2.Добавить, все восстановленные исполняемые файлы в список/категорию.

"Файлы Temp"

Получаем, одну команду с двумя действиями.

* Исполняемые файлы добавляются после очистки всех временных каталогов с 65-й секундной задержкой по времени.

** Если, есть вирус тело которого было удалено в результате этой операции - то оно будет восстановлено, и с вероятностью 70% эта процедура будет связанна с Temp* объектами...

*** Соответственно, мы сможем просмотреть/проверить данную категорию и принять решение по добавлению сигнатур

данных объектов в базу.

Для, чего ?

Например, если нет связи и доступа к VT. или есть сомнение, или для изучения зловреда.

В любом случае это дополнительная опция - хуже от которой точно никому не будет.

Отредактировал demkd
Перенес сообщение

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Надо понимать, что все предложения по функционалу следует теперь писать в новой теме ?

Именно так чтоб все предложения были в одной теме и я их не забывал.

Получается, что данные по SHA1 есть - а вот проверки на VirusTotal нет...

Можно добавить, но я таки рекомендую обратить внимание на возможность полного извлечения загрузчиков из образа и соотв. возможность залить их на VT... другое дело что не каждый антивирус поймет что это дампы загрузчиков.

2.

Смысл действий от меня ускользнул.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

довольно часто в последнее время в темах заражений встречается подмена системной сервисной dll на левую. удаление левой dll приводит к очистке значения параметра реестра, в итоге не работает какая либо служба системы. Может добавить восстановление значения параметра из копии реестра, если она будет найдена?

например:

в

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\ServiceDll

значение

C:\Program Files\Common Files\msdao23.tlc

заменить на

%SystemRoot%\System32\srvsvc.dll

если будет найдено значение в копии реестра.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
добавить восстановление значения параметра из копии реестра, если она будет найдена?

Надо посмотреть как оно выглядит в разных версиях windows, возможно и не нужна будет копия, реализую восстановление дефолтного значения, хотя можно и в 20-й твик добавить, подумаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

При проверке Одиночного файла по SHA1 на Vir.Total при отдаче команды Esc прерывать операцию проверки немедленно.

*При невозможности получить ответ от сервера операция чрезмерно затягивается.

Способствует, ли тому низкая скорость соединения, или перегрузка сервера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
при отдаче команды Esc прерывать операцию проверки немедленно

да, надо бы доделать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

По поводу проверки загрузчиков на VT... идея принята к реализации.

В принципе нашлось целых 3 антивируса способных правильно проверять дампы загрузчиков: Avira AntiVir, Avast, GData.

Соотв. будет реализовано:

проверка загрузчика по хэшу и возможность заливать его на VT без предварительного извлечения из образа.

К сожалению более серьезные антивирусы (Dr.Web & Kaspersky) себя в деле проверки дампа IPL зараженного Cidox-ом никак не проявили, впрочем по скорости пополнения баз они очень заметно (в последнее время по данным shadowserver-а) уступают авире, так что проблем быть с опознанием не должно, хватит одной авиры :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
По поводу проверки загрузчиков на VT... идея принята к реализации.

В принципе нашлось целых 3 антивируса способных правильно проверять дампы загрузчиков: Avira AntiVir, Avast, GData.

1.В таком случае во избежание путаницы предлагаю отображать результат детекта по VT. только для этих

трёх антивирусов.

Все остальные результаты не отображать.

А, в случае, если производители антивирусов решат стать хорошими ( т.е. исправить свои недоработки ) тогда в одной из последующих версий uVS можно будет внести соответствующее дополнение.

2.Цитата:

; Автоматически проверять список по базе проверенных файлов при открытии образа

ImgAutoF4 = 1 (1 по умолчанию)

Сразу возникает закономерный вопрос, а почему только при работе с образом ?

Данная функция может быть не менее полезна и при работе с реальной системой.

3.Идеальный вариант, если максимальное число загрузчиков будут добавлено в базу SHA1

Соответственно, если Вам их вышлют, то вы их сможете добавить в базу проверенных и посмотреть, что там и как ???!

*Это, такой тонкий намёк для читателей форума. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В таком случае во избежание путаницы предлагаю отображать результат детекта по VT. только для этих

трёх антивирусов.

Зачем же так, а вдруг начнутся подвижки в этом плане :) в любом случае раз детекта нет, то очевидно и в списке лишнего не будет.

Сразу возникает закономерный вопрос, а почему только при работе с образом ?

Потому что при работе с образом это всегда имеет смысл, при работе с активной системой не всегда и забытый флаг будет мягко говоря... раздражать, вполне возможно был нужен лишь твик или очистка от мусора или... а тут понимаешь на 5 минут встала проверка, в случае же с удаленной системой автоматика всегда вредна.

Соответственно, если Вам их вышлют, то вы их сможете добавить в базу проверенных и посмотреть, что там и как ???!

Мне мое свободное время дорого, поэтому я добавляю только то что нужно мне лично то с чем я работаю, в принципе 0.5 хэшей в базе даже для меня много, поддержание базы в актуальном виде и так отнимает огромное количество времени.

Не стоит приравнивать возможности одного человека к возможностям антивирусной компании с десятками специалистов. Хочется добавить что-то добавляйте в свою личную базу, выкладывайте ее, поддерживайте ее и если народу понравится то базу будут качать и использовать наряду с моей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

уточняющие вопросы:

Принятые к реализации:

3. Поддержка сигнатур для MBR/VBR/IPL [v3.69]

допустим я ранее добавил сигнатуры MBR (mbrlock) или VBR (cidox), и она сработала при проверке последующих образов, полученных от юзеров из под winpe.

Какие действия uVS может сделать по данным сигнатурам?

chklst&delvir будет что то делать с MBR/VBR при выполнении скрипта на зараженной машине?

если нет,

то может следуют дополнительно добавлять (автоматически добавлять) команду fixmbr исходя из сигнатурного детекта особенного объекта, как MBR?

для VBR в случае сигнатурного детекта, например cidox - добавлять команду fixvbr.

mbrlock.jpg

post-1135-1312909581_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
В любом случае раз детекта нет, то очевидно и в списке лишнего не будет.

В том, то и дело, что он может быть даже в том случае когда AV продукт НЕ способен корректно обработать данный файл.

Просто ложное срабатывание.

Зачем пугать мирное гражданское население, оно и так запуганное и пугливое. ;)

*Просто может быть путаница...

Раз... и нашёл Malware !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
1.В таком случае во избежание путаницы предлагаю отображать результат детекта по VT. только для этих

трёх антивирусов.

Все остальные результаты не отображать.

а что мешает тебе оставить в списке

; Фильтр по производителю антивируса через запятую.

vFilter=эти заявленные антивирусы?

или предлагаешь отдельный vfilter_два ввести для подобного детекта? опять создание лишних сущностей будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
а что мешает тебе оставить в списке

; Фильтр по производителю антивируса через запятую.

vFilter=эти заявленные антивирусы?

или предлагаешь отдельный vfilter_два ввести для подобного детекта? опять создание лишних сущностей будет.

Всякая лишняя активность с загрузчиками может иметь негативные последствия.

Фильтр предлагаю встроенный в uVS.

Без дополнительных vFilter...

И пусть программа сама отсевает лишнее из данной категории.

* Ложные детекты, явно тут не нужны - А всегда помнить, какой антивирус может корректно отработать, а какой нет...

Это точно путаница может быть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Всякая лишняя активность с загрузчиками может иметь негативные последствия.

надо просто помнить, что детект ВТ - это как помощь друга в "кто хочет стать миллионером", помощь квалифицированная, но решение все равно принимать тебе. (Я уже запомнил, что детект загрузчиков будет отличаться от детекта tr/worm/virus. Скажем, для меня всегда важен результат проверки DrWeb, Kaspersky, Eset NOD32, Avira.) Два списка настраиваемых фильтров - это перебор. Встроенный в UVS фильтр чреват претензиями к разработчику - почему моего любимого антивируса нет в списке. Настраиваемый фильтр - это то, что соответствует концепции uVS: гибкость, адаптивность программы чрезвычайна важна для исследователя, для заинтересованного пользователя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
chklst&delvir будет что то делать с MBR/VBR при выполнении скрипта на зараженной машине?

Ничего.

то может следуют дополнительно добавлять (автоматически добавлять) команду fixmbr исходя из сигнатурного детекта особенного объекта, как MBR?

Я думаю что пока стоит оставить подобные действия на усмотрение хелпера, захочет вылечить выберет соотв. команду, автоматика тут может оказаться вредной.

В том, то и дело, что он может быть даже в том случае когда AV продукт НЕ способен корректно обработать данный файл.

А не известно не способен или просто не хочет, фолс может быть у каждого, соотв. не вижу ни малейших причин ограничивать полезный функционал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
К сожалению более серьезные антивирусы (Dr.Web & Kaspersky) себя в деле проверки дампа IPL зараженного Cidox-ом никак не проявили,

В проверке дампа MBR (mbrlock) отметились все таки Dr.Web & Kaspersky

http://www.virustotal.com/file-scan/report...389-1312917558#

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

santy

А я про MBR и не говорил с ним у них проблем нет, ибо считай это обычный com файл :) я говорил про IPL, скорее всего они с ним не работают в отрыве от vbr, надо будет попробовать скормить все в месте возможно и будет эффект.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1.Если в скрипт добавлена сигнатура.

Однако скрипт НЕ содержит команд/ы:

chklst

delvir

Дать - соответствующее предупреждение при сохранении скрипта.

* Периодически подобная ошибка имеет место быть порядка 2% от всех скриптов.

2. При открытии образа.

При автоматическом добавлении сигнатур/ы в скрипт!

( В случае, когда речь идёт о ложном сигнатурном детекте на файл.)

Получается, что Ложная сигнатура уже автоматически добавляется/добавлена в текст скрипта...

*При соответствующей настройке.

И даже, если при работе с объектом увеличить длину сигнатуры и тем самым избежать ложного детекта...

То, скрипт по прежнему будет содержать ошибочные команды на удаление!

Соответственно - при коррекции длинны сигнатуры необходимо Автоматически переписывать текст скрипта

с учётом обновлённых данных.

Выдавать предупреждение в лог, или же при сохранении скрипта:

"Вами была произведена коррекция длинны сигнатуры - Что привело к исключению файла из списка "Подозрительные и вирусы" Все команды скрипта будут отменены"

*Да в uVS есть команда "Отменить всё"

Однако, есть высокая вероятность того, что оператор устранив ложный детект пропустит этап очистки, от

предыдущих команд...

А, с учётом того, что команды были отданы/записаны автоматически вероятность ошибки резко возрастает.

В связи с чем считаю, необходимым скорректировать данную операцию.

Также скорректированный вариант предложения №1 от:

"Santy:

На этот случай неплохо бы задействовать проверку скрипта....

если есть в скрипте команды addsgn+zoo, то при проверке неплохо бы сигналить, что нет завершающей конструкции chklst, delvir"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

как тяжко прорываться сквозь дебри предложений RP55!

------------------------

предлагаю перенести проверку скрипта в тестовый режим с разбором завершающих конструкций....

На этот случай неплохо бы задействовать проверку скрипта....

если есть в скрипте команды addsgn+zoo, то при проверке неплохо бы сигналить, что нет завершающей конструкции chklst, delvir"

только проверку делать не из файла, а из того, что попало в буфер обмена (или то, что отображается по alt+S) по ходу автоматического составления скрипта.

---------

результат проверки выводлить в лог uVS

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1.Если в скрипт добавлена сигнатура.

Если учесть осбенности работы uVS с образом то наличие такого скрипта означает что именно такой скрипт хелпер и хотел получить, а вот склероз тут явно не причем. Доплнительное предупреждение будет лишь раздражать.

Однако, есть высокая вероятность того, что оператор устранив ложный детект пропустит этап очистки, от

предыдущих команд...

Тут уже он сам себе злобный буратино, вполне логично сперва выявить всех зловредов, снять сигнатуры, убрать фолсы, а затем лечить все скопом и уже потом делать твики и прочее. Короче не вижу смысла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×