Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 83]

1. "Поиск по исключению"

т.е. При вводе в поле поиска например символа "e" ... ( или "e +..." )

В списке будут оставлены только те объекты, что Не содержат данный символ.

* Пример совместного применения: "Фильтрующий поиск + Поиск по исключению"

Имя

___________________

AXCMD.EXE

LVAGENT.EXE

BUBBLАS.SCR

WIN32K.SYS

-------------------------

В результате "Поиска по исключению"

В списке остаются:

BUBBLАS.SCR

WIN32K.SYS

_________________

2. Категория:

HOST

Контекстное меню - для IP прописанного в "Host" ;

uVS по запросу открывает в браузере или же логе, информацию по принадлежности данного IP объекта.

3. Категория:

Internet/Windows Explorer

При заполнение чека: "Скрыть известные"

Автоматически скрывать записи по типу:

HTT*://WW*.MICROSOFT.COM/ISAPI/REDIR.DLL?PRD=IE&AR=IESEARCH

HTT*://WW*.MICROSOFT.COM/ISAPI/REDIR.DLL?PRD=IE&PVER=6&AR=MSNHOME

...

т.е. Скрывать стандартные данные/настройки.

[PR55.RP55 83]

При формировании/создании критерия поиска.

Реализовать возможность добавлять комментарий к строке отображения СТАТУСА объекта.

* Что в свою очередь - позволит чётко распределить выявленные объекты списка - по их статусу.

В качестве примера см.фото.

[PR55.RP55 83]

Zoo.

См.фото.

[PR55.RP55 83]

Santy пишет в теме:

http://www.anti-malware.ru/forum/index.php...st&p=147132

1. сбрасываем статус проверенные у всех файлов.

2. находим данный файл в автозапуске,

3. в контекстном меню выполняем проверку хэша файла по базе проверенных.

* это тонкости понимания работы uVS

проделай все по порядку: 1,2,3

и будет результат.

uVS Общий FAQ.txt

F4 - Проверка хэшей файлов в списке по базе проверенных файлов

F6 - Проверка цифр. подписей файлов в списке.

По пунктам № 1. 2. 3.

1. Если, сбросить статус проверенные у всех файлов.

То будут сброшены значения и для файлов прошедших проверку по SHA1 - базе проверенных !

Что, иначе как Абсурдом назвать невозможно !

Зачем же тогда вообще нужна эта база ?

Получается, база есть - но её как-бы и нет совсем ?

Самый натуральный Абсурд.

Можно понять когда произойдёт сброс у файлов прошедших проверку по цифровой подписи.

Но причём же здесь база SHA1 - Зачем сбрасывать результаты её проверки !?!

Если, есть сомнение в самой базе - то её вообще в таком случае нельзя использовать...

Или, если были случайно/самостоятельно в неё добавленных нежелательные Хеши.

То, такую базу, просто следует удалить - и скачать/создать новую.

Что это значит: Это значит, что так делать нельзя !

И тонкости работы с uVS тут совершенно ни причём !

Просто нельзя, где же логика ?

Пункты № 2-3.

"

2. находим данный файл в автозапуске,

3. в контекстном меню выполняем проверку хэша файла по базе проверенных."

В Автозапуске может быть 100 файлов.

И перебирать их все ?...

Что касается контекстного меню...

Если скрупулёзно подойти к делу/задаче - то нужно эти 100 файлов проверить. ( каждый файл проверить ! )

Это 100 раз открыть контекстное меню ?

Это также Абсурд.

---------------------------------------------------------------

Соответственно, должно быть два пункта проверки в Меню при работе с образом:

А) Скрыть проверенные по: Циф.подписи & SHA1

В) Скрыть проверенные по: SHA1

Таким образом, мы ИЗНАЧАЛЬНО можем оставлять в списке файлы прошедшие проверку по определённому типу/критерию.

Что в спорных случаях будет способствовать решению задачи.

--------------------------------------------------------------

P.S. считаю, что проблемы такого рода проверок будут продолжаться/повторяться ещё неоднократно.

Если, не внести в программу соответствующие изменения - Аналогичные тем, что были мной высказаны выше.

Кроме того, законы Эргономики ещё не отменили.

Что самое главное в Эргономике это: "НЕ ПРОВОЦИРОВАТЬ ВОЗНИКНОВЕНИЕ ОШИБОК и НЕШТАТНЫХ СИТУАЦИЙ".

И удобство...

В общем, я свою позицию выразил.

А так, уже, как угодно !

Просто считаю данное положение дел в корне - неверным.

Ну... Вот снова лишнее написал.

Я это всё к тому, что должно быть 1- но действие по выбору - а не последовательность действий.

Последовательность в которой далеко не всегда есть необходимость.

т.е. Если целая группа/последовательность команд может быть заменена 1-й командой.

То так и должно быть !

А всё дополнительные команды - Вот они уже должны быть по желанию и прочее...

[santy 153]

Santy пишет в теме:

http://www.anti-malware.ru/forum/index.php...st&p=147132

uVS Общий FAQ.txt

F4 - Проверка хэшей файлов в списке по базе проверенных файлов

F6 - Проверка цифр. подписей файлов в списке.

По пунктам № 1. 2. 3.

1. Если, сбросить статус проверенные у всех файлов.

То будут сброшены значения и для файлов прошедших проверку по SHA1 - базе проверенных !

Что, иначе как Абсурдом назвать невозможно !

Зачем же тогда вообще нужна эта база ?

Получается, база есть - но её как-бы и нет совсем ?

Самый натуральный Абсурд.

RP55, автор конечно выскажет более корректное мнение, но я скажу так:

если бы ты немного больше занимался практикой лечения то подобные манипуляции тебе не казались бы абсурдом по следующим причинам.

Статус проверенный объект может принимать по трем причинам, я не зря вынес в тему определение статуса.

прошел проверку по цифровой подписи. но ЭЦП может быть и левая, поддельная или купленная. (мало ли кто сейчас раздает сертификаты)

прошел проверку по SHA1. но база по SHA1 общая: авторская+ пользовательская. Мало ли что может добавить в свой SHA "черт" на противоположном конце.

юзер самолично установил статус проверенный, и после этого создал образ автозапуска и отдал его хелперам - пусть поломают голову.

----------

соответственно сбрасываем статус проверенные, чего там напроверял "черт" на противоположном конце, и проверяем по SHA1 весь автозапуск на своей стороне. За свой sha1 ты отвечаешь лично. Никто никого не заставляет делать сбросы на каждой проверке образа, но если есть сомнения как в случае с smaxxi, то следует ДЕЛАТЬ ЭТО.

[PR55.RP55 83]

Моя Позиция:

1. Последовательность из 3-х команд.

F4 + Сброс статуса проверенных у... и снова F4 ?

Это уже и есть Абсурд - Достаточно 1- й Команды.

"Показать/Скрыть все прошедшие проверку по SHA1"

Или : "Показать/Скрыть все прошедшие проверку по SHA1 + Циф. подпись

+ Добавить криптоновою команду.

Удалить данные добавленные пользователем - левые сигнатуры.

Тогда при работе с SHA1 должно быть чётко видно ( в списке ) по какой из баз файл прошел проверку.

Проще нужно быть

В Общем непонятно, что мы вообще обсуждаем.

[santy 153]

Моя Позиция:

1. uVS не должен сохранять данные SHA1 добавленные пользователем.

да, но ты же создаешь свои списки по SHA1 и выкладываешь в сеть, значит есть смысл в таких дополнительных файлах, но это актуально только на стороне хелпера. Который может обеспечить чистоту своего файла sha1 + доверие к авторскому файлу SHA1.

----------

и я создаю дополнительный файл SHA1 чтобы дополнить в список те чистые файлы с которыми работаю постоянно. (в сеть не выкладываю)

[PR55.RP55 83]

Кое что подправил в предыдущих своих сообщениях.

Идея в том, что при работе/проверке по базаМ SHA1 в списке должно быть чётко видно по какой из баз файл прошёл проверку.

И число разовых рабочих команд вполне можно сократить до 1-й.

[santy 153]

Идея в том, что при работе/проверке по базаМ SHA1 в списке должно быть чётко видно по какой из баз файл прошёл проверку.

на стороне юзера с заражением вообще нет базы SHA1, поскольку в архивах, на которые мы даем ссылке нет базы MAIN, поэтому с большой вероятностью - сбросить статус "проверенные" у всех файлов - это отмена проверенных по ЭЦП или самолично установленных статусов "проверенные".

---------

На стороне хелпера я доверяю все базам проверенных, поэтому такой необходимости нет (по чьей базе прошел проверку)

[PR55.RP55 83]

Цитата(PR55.RP55 @ 16.12.2011, 19:03) *

Идея в том, что при работе/проверке по базаМ SHA1 в списке должно быть чётко видно по какой из баз файл прошёл проверку.

на стороне юзера с заражением вообще нет базы SHA1, поскольку в архивах, на которые мы даем ссылке нет базы MAIN, поэтому с большой вероятностью - сбросить статус "проверенные" у всех файлов - это отмена проверенных по ЭЦП или самолично установленных статусов "проверенные".

Значит скорректирую позицию: Если Образ Создан - то ! Должна быть чёткая градация где/что добавлено на стороне - того кто создал

образ.

И, при проверке эти данные АВТОМАТИЧЕСКИ не должны учитываться

Либо же В ОБРАЗЕ чётко должен быть ВЫДЕЛЕН тот файл -

который "ПРОВЕРИЛ " пользователь или тот файл который прошёл проверку по "SHA1 - базе" случайно или намеренно созданной им.

или загруженной из какого либо источника.

Не складывать всех кошек в одно лукошко.

К чему эти странные телодвижения ?

Если это "Мусор" то и статус у него, как у мусора.

А работа с удалёнными системами - Это уже отдельная тема - и там должны быть свои ДОПУСТИМЫЕ параметры работы.

*Ведь возмущение народных масс имеет под собой основание

[PR55.RP55 83]

В uVS есть строка: Скрыть ненайденные и с заполненным производителем.

Непонятно как эти объекты между собой могут быть связанны чтобы их ставит фактически в один ряд !

Не найденные ( это то, что реально отсутствуют или не невозможно найти по той или иной причине. ! )

А какое к этому имеет отношение параметр с заполненным производителем - при том - для РЕАЛЬНО существующего/найденного объекта ?

Как это может взаимодействовать ?

* Должно быть два пункта меню: 1) Скрыть не найденные 2) С заполненным производителем...

Два совершенно отдельных и независимых пункта - так, как по логике вещей оно и есть на самом деле !

Например скрыли не найденные - ( убрав на время! из поля зрения всякий мусор ) после чего поработали/разобрались с реальными объектами...

Например внесли в скрипт сигнатуры и пр...

После этого, при необходимости проверили не найденные и дали команды на их удаление - ( на всякий случай или по другой какой причине - "он хоть и не найден но активен" ) и.т.д...

А так, как оно сейчас это...

Или я опять чего то не понимаю ?

И все эти файлы: Одни, те которые ЕСТЬ и другие коих НЕТ, суть одно и тоже ?

-----------------------------------------------------------------------------------------------------------------

Да !

Сразу хочу извиниться перед Дмитрием.

Всё таки uVS программа бесплатная и всякого рода требования к разработчику, есть маразм в его крайней форме.

Однако, я счёл единственно верным выразить данную точку зрения.

[santy 153]

В uVS есть строка: Скрыть ненайденные и с заполненным производителем.

RP55, впору открыть новый топик, типа майн кампф или философия детектирования, откуда уже можно было бы формулировать четкие предложения к новым версиям.

-----------------------

предложения по uVS в 2012 г.

1. по проблеме заражения MBRlock:

добавить функцию enkoder-а с анализом типичных проблем в случае заражения:

анализ целостности таблицы разделов (если недоступны для чтения разделы диска)

по возможности поиск или подбор пароля для снятия блока

2. по критериям: составные критерии для отбора необходимых записей в образе + селектирование отобранных записей.

3. по сигнатурам: дополнительно экспорт сигнатур из списка в файл (контекстное меню в списке сигнатур)

4. по анализу инфо: использовать для поиска инфо о файлах/процессах дополнительно ресурс runscanner.net

(runscanner - родственная uVS программа и сервис информации по файлам, хотя отстает несколько в развитии.)

5. по созданию образа загрузочного диска: добавить в настройки выбор_установку фонового рисунка для Live.CD.

6. по режиму автоскрипта.

добавить скриптовую команду CLRSGN - очистка начального списка сигнатур.

для исключения возможного ложного срабатывания по раннее добавленным сигнатурам.

(если используется uVS той же версии неоднократно)

7. по автоархивированию.

изменить порядок формирования имени архива.

имя архива с ZOO должно включать текст "ZOO": либо вначале, ZOO_дата-время.7z, либо в конце дата-время_ZOO.7z]

(трудности поиска архива возникают у некоторых юзеров).

8. добавить технологию select (выделения с помощью клавиш + или -) записей, и в контекстное меню операции над выделенными записями.

(селектированные записи выделять при просмотре: или цветом (добавить в настройки цвета), или доп. знаком например * или # последнем поле таблицы.)

при переходах в другие категории автозапуска селектирование сохраняется, до тех пор пока не выполнено действие над селектированными записями, или не выполнена отмена селектирования.

так же включить селектирование при выполнении запроса по составным критериям.

(можно в настройки вынести - селектирование при запросе.)

например:

к селектированным записям можно применить: проверку всех селектированных по хэшам на VT, Jotti,

[Angel-iz-Ada 0]

Хотелось бы еще увидеть простой и удобный менеджер автозапуска

[Vvvyg 12]

Есть ещё такое предложение - сохранять в образе bat/cmd/vbs - часто полезно посмотреть, что там файл вытворяет. Размер у них, как правило, небольшой, раз уж mbr/vbr сохраняем, то и эти файлы стоит.

[PR55.RP55 83]

Скоро новый год, поэтому ещё ряд социалистических предложений.

В том плане, что всё для народа, всё для победы!

ДОЛОЙ ЗЛОКОЗНЕННЫЕ ВИРУСНЫЕ НАПАДЕНИЯ !

1.В случае ошибки возможность: "Отменить крайнюю команду скрипта"

*С повторным отображением тех файлов которые были скрыты/удалены из списка при выполнении данной команды.

** Суть в том, что отменяются не все действия, а именно последняя команда.

Это, как в графическом редакторе - нарисовал на фотографии бяку...

Бяка не понравилась...

Жмём на отмену!

2. Контекстное меню файла: "Поиск по имени файла в реестре"

3.По Live CD добавить в uVS "crashreporter.exe"

т.е при невозможности/ошибке загрузки c диска формировать репортаж с типом ошибки.

Например: Ошибка HDD контроллера; недоступен драйвер...; Ошибка файловой системы...

4.Новая команда в меню:

" Удалить все не найденные - с добавлением команды удаления в скрипт"

т.е. Вместо одной команды: DELNFR

АВТОМАТИЧЕСКИ отдаётся ряд команд по типу:

-------------------------------------------------

;uVS v3.73 script [http://dsrt.dyndns.org]

delref %SystemDrive%\USERS\АР\DOWNLOADS\ANKA_SETUP.EXE

delref %Sys32%\DRIVERS\EWUSBDEV.SYS

--------------------------------------------------

т.е. уже нет необходимости отдавать отдельные команды скажем для 5 -ти файлов.

Отдаётся только одна и для всех разом...

uVS в автоматическом режиме по списку определяет не найденные объекты и даёт по ним команду на удаление.

5.Поисковые критерии.

Добавить команду: "Ограничить действие поискового критерия областью поиска"

Пример: "Ограничить действие поискового критерия областью поиска \%SystemRoot%\"

Пример:

Тип - Имя файла ( и скажем вводиться расширение sys.bat...)

6.Селектирование файлов списка по типу:

Контекстное меню файла: "Исключить файл из данной категории - Добавить файл в категорию "Подозрительные и вирусы"

т.е. Например поверяем категорию "Весь Автозапуск"

И файл. Vasia.exe вызывает у нас подозрение - и мы не углубляясь сразу в проверку - перекидываем его в категорию "подозрительные и вирусы"

И так, формируется группа файлов вызвавших подозрение.

И теперь, есть возможность не рыская по всем категориям проверить эти файлы.

* Желательно иметь примечание/метку из какой категории был экспортирован данный файл/объект.

7. Было бы полезно произвести дополнительную проверку\лечение по типу:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify

и т.д. с сохранением информации в образ.

8. В плане обнаружения файловых вирусов или их последствий.

По дате изменения файлов автозапуска системы.

Сравнение дат...

И если "Все" файлы - дата, их изменения датирована одним числом...

Выдавать предупреждение.

* Сам по себе такой критерий может дать ложное предупреждение... ( и даст )

Однако, данные можно использовать в качестве добавочного критерия при ато. выявлении файлового вируса ?!

9. Цитата: " Операционные системы Windows XP; Vista поддерживаю хранение даты разделов реестра."

Соответственно, есть потенциальная возможность сравнить время создания тела файла и время записи информации в реестр?

И соответственно сравнение/выявление расхождения в данных.

* Насколько это всё реально ?

Или же при Мониторинге в локальной сети ?

10. Изменение данных Реестра.

т.е В контекстное меню файла добавить команду на перезапись имени файла.

Команда:

CHANGE %SystemDrive%\USERS\АР\DOWNLOADS\ANKA_SETUP.EXE

В результате в реестре будет такая запись: \ANKA_SETUP.EXE\uVS.CHANGE

Вся идея сводится к тому, что при наличие подозрительного файла мы ссылку не удаляем а "временно" изменяем её значение.

И, если после этого отдать команду:

CHANGE %SystemDrive%\USERS\АР\DOWNLOADS\ANKA_SETUP.EXE\uVS.CHANGE

то...

uVS считывает данные, после чего сравнивает значение_ И, ЕСЛИ найдено равенство этих значений.

( Запись реестра = \ANKA_SETUP.EXE\uVS.CHANGE = команде ANKA_SETUP.EXE\uVS.CHANGE )

то, значения будут сброшены на дефолтные.

В данном случае получаем одну команду под выполнение двух действий.

[Angel-iz-Ada 0]

4.Новая команда в меню:

" Удалить все не найденные - с добавлением команды удаления в скрипт"

т.е. Вместо одной команды: DELNFR АВТОМАТИЧЕСКИ отдаётся ряд команд по типу

:-------------------------------------------------

;uVS v3.73 script [http://dsrt.dyndns.org]

delref %SystemDrive%\USERS\АР\DOWNLOADS\ANKA_SETUP.EXE

delref %Sys32%\DRIVERS\EWUSBDEV.SYS

--------------------------------------------------

т.е. уже нет необходимости отдавать отдельные команды

скажем для 5 -ти файлов.Отдаётся только одна и для всех разом...

а разве сейчас не так? delnfr ведь так и поступает

[PR55.RP55 83]

а разве сейчас не так?smile.gif delnfr ведь так и поступает

Эх !

РЕАЛЬНЫЕ КОМАНДЫ - ДЛЯ РЕАЛЬНО АКТИВНЫХ! НО НЕ НАЙДЕННЫХ ФАЙЛОВ !

т.е. эти команды идут в скрипт !

В том плане, что сейчас uVS файл не видит - НО потом при выполнении скрипта файл может быть найден !

( например при изменении режима запуска start.F или изменении активности самого вируса)*

Соответственно он будет удалён только по реально отданной команде на удаление.

Файл - то появился! и потому команда DELNFR уже отдыхает !

А - как, что хотели то и удалили !

И сразу ГРУППУ файлов.

Может 5 - 7.

А не тыкаться по каждому.

* = Команда DELNFR = Ссылка на файл. ( по такому типу. )

[santy 153]

6.Селектирование файлов списка по типу:

Контекстное меню файла: "Исключить файл из данной категории - Добавить файл в категорию "Подозрительные и вирусы"

т.е. Например поверяем категорию "Весь Автозапуск"

И файл. Vasia.exe вызывает у нас подозрение - и мы не углубляясь сразу в проверку - перекидываем его в категорию "подозрительные и вирусы"

И так, формируется группа файлов вызвавших подозрение.

И теперь, есть возможность не рыская по всем категориям проверить эти файлы.

* Желательно иметь примечание/метку из какой категории был экспортирован данный файл/объект.

это кстати, лишнее... "селектированные", не есть еще "подозрительные или вирусы" (но могут быть и в списке подозрительные и вирусы).... файлы, требующие внимательного рассмотрения (чтобы они не потерялись в общем списке в разных категориях, переходим в категорию "все", и сортируем по метке "селектированные", вот они все и рядышком будут. А здесь уже ты должен доказать различными методами проверки, что этот файл "подозрителен или вирус")

[omnilynx13 10]

Хотелось бы еще увидеть простой и удобный менеджер автозапуска

Имхо, лишнее. такого рода программ до и больше. uVS и так позволяет работать с автозапуском делать почти что угодно.

[santy 153]

Имхо, лишнее. такого рода программ до и больше. uVS и так позволяет работать с автозапуском делать почти что угодно.

согласен, отдельный менеджер автозапуска (как в ССE) не вписывается в концепцию uVS, да и не нужен как отдельный модуль с "упрощениями и удобствами". (основного автозапуска хватает).

[g0dl1ke 26]

в ссе использовали autoruns от Марка Р., хотя сам по себе autoruns отличная программа

[Angel-iz-Ada 0]

Да причем тут Autoruns? Подобного софта полно. Я ведь про функционал программы говорю - чтобы скриптом можно было на компьютере человека поубирать лишний софт из автозапуска, а то приходится юзать HiJackThis

[omnilynx13 10]

скриптом можно было на компьютере человека поубирать лишний софт из автозапуска

А что тебе uVS не позволяет делать? или что? Честно говоря в моей практике (небольшой) HiJackThis, фактические полностью вытеснился uVS.

p.s. это всё оффтоп. Предлагаю создать кому уж очень хочется топик для сравнения uVS с... :HiJackThis, Autoruns, Process Explorer и прочими интересными программами и утилитами.

[PR55.RP55 83]

А что uVS не позволяет делать?

Ангела так и не поняли...

Впрочем видимо, как и многое из того что я раннее предлагал.

Просто доказывать нет желания.

Кому надо тот разберётся.

uVS не позволяет это сделать по одной простой причине: Речь не идёт о удалении как таковом - речь идёт о исключении из Автозагрузки

Я о той фигне которая появляется при команде msconfig - вкладка Автозагрузка.

Например стоит у вас PuntoSwitcher и прям жить не даёт паразит, при вводе паролей на сайтах или когда вы по китайски общаетесь.

Но и удалять программу совсем нет желания.

И нет желания "удалить все ссылки" на PuntoSwitcher - потому как это программе не понравиться...

Стоит себе программа - и Ярлычок такой - махонький, но симпатичный на рабочем столе есть - и когда надо - раз!

И программку запустили...

А uVS - ей может при нынешнем раскладе только голову как павлину свернуть...

[Angel-iz-Ada 0]

А uVS - ей может при нынешнем раскладе только голову как павлину свернуть...

вот вот. хоть кто-то меня понимает