Новые функции в Universal Virus Sniffer (uVS) - Страница 15 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

demkd

и без или внутри критерия хорошо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Demkd пишет: И без или внутри критерия хорошо.

Я хочу, чтобы одному вирусу соответствовал один Сложный критерий.

1=1.

Больше просто будет НЕ нужно !

К примеру задаём первый/начальный критерий.

Полное имя: Не содержит .Dll

Далее, следуют дополнительные Условия.

Условий может быть хоть 100 !

Вирус может менять записи - параметры, что угодно может менять...

Мы просто задаём/добавляем новые, дополнительные Условия.

Для того, чтобы это работало необходима обработка условий через: ИЛИ

Как это работает: Проверяется список.

Находятся объекты подпадающие под определение: "Не содержит .Dll"

Далее идёт проверка по Условию/ям.

Проверяется первое условие списка...

Нет совпадения...

Оно пропускается/игнорируется > переходим к проверке следующего.

№2

Есть совпадение...

Проверяется...

№3

№4 ...

Далее, когда количество совпавших условий достигает 5. ( по умолчанию )

Проверка останавливается.

_______________________________

Ниже два образа.

Как по существующей схеме создать для них один сложный критерий.

Создать так, чтобы это реально работало и без ложных определений ?

По моей схеме это будет элементарно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Вирус может менять записи - параметры, что угодно может менять...

это неразумный подоход, это уже будет другой мод. зловреда вполне возможно с другим способом лечения соотв. один и тот же критерий лишь будет вводить в заблуждение, никто не мешает заводить критерии с именами конкретного мод. зловреда а вот там и будет это самое или.

Да и отноститься к критериям как к панацее не стоит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Я хочу, чтобы одному вирусу соответствовал один Сложный критерий.

не факт, что это хорошо, по нескольких причинам.

во первых, не так просто будет найти базовый критерий для конкретного вируса исходя из ограниченного описания.

во вторых, совсем неплохо.... если по какому то объекту сработает несколько критериев....

вот здесь, на основании схождения нескольких критериев и можно будет искать универсальные закономерности для конкретного зловреда.

---------------------

demkd,

и предложение.

может, стоит добавлять в критерий еще и условие существования какого либо атрибута?

в этом случае атрибут может принимать различные значения, но его имя остается неизменным.

хотя, часто такой атрибут - это просто значение ключа из ссылки (т.е. его производное).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Вирус может менять записи - параметры, что угодно может менять...

это неразумный подоход, это уже будет другой мод. зловреда вполне возможно с другим способом лечения соотв. один и тот же критерий лишь будет вводить в заблуждение, никто не мешает заводить критерии с именами конкретного мод. зловреда а вот там и будет это самое или.

Да и отноститься к критериям как к панацее не стоит.

Подход разумен при:

1) Изменении условий работы uVS = тип запуска = права доступа к файлам/реестру и т.д.

На выходе получаем разные данные.

2) В момент эпидемиями - когда вирус изменяет данные ежедневно.

НЕ разумно:

Плодить десятки критериев когда должно создать один критерий.

( После завершения: удаляем весь критерий или доп.условия.)

НЕ разумно раздувать базу критериев.

НЕ разумно создавать путаницу.

Замедлять проверку из-за десятков отдельных критериев.

Не...

Создавать риск условия/ситуацию когда Критерий не сработал в результате возможен пропуск угрозы.

...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
НЕ разумно:

Плодить десятки критериев когда должно создать один критерий.

RP55, разницы особой нет, или ты в один критерий добавляешь с десяток условий по идентификации всех на свете модов вируса,

или создаются несколько критериев, содержащих два-три условия.

количество проверок от этого не изменится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Santy пишет:

Во вторых, совсем неплохо.... если по какому то объекту сработает несколько критериев....

Вот здесь, на основании схождения нескольких критериев и можно будет искать универсальные закономерности для конкретного зловреда.

Да...

Сработает несколько УСЛОВИЙ...

Где будет схождение НЕСКОЛЬКИХ УСЛОВИЙ.

Их показ в окне: "Информация" этих критериев/УСЛОВИЙ ( о чём мной уже было сказано )

Я предлагаю гибкую схему, где ВЫБЫВШИЕ УСЛОВИЯ игнорируются.

Нет этого условия для модифицированного вируса ?

Условие пропускается...

Происходит переход к следующему...

А, вы ПРОТЕЗ готовите.

ПРОТЕЗ по одному образцу.

А, у ! всех разный рост/возраст.

Как это решить подходы:

1) Индивидуальные протезы - под заказ каждому. ( Европа )

2) Один протез на всех. ( СССР )

3) УНИВЕРСАЛЬНЫЙ - с изменением/регулировкой длинны. ( RP55 )

С изменением/регулировкой его массы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Я предлагаю гибкую схему, где ВЫБЫВШИЕ УСЛОВИЯ игнорируются.

только давай без истерик, я опасаюсь полагаться на твою гибкость после краткой беседы о логике.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Santy пишет:

Разницы особой нет, или ты в один критерий добавляешь с десяток условий по идентификации всех на свете модов вируса,

или создаются несколько критериев, содержащих два-три условия.

Разница - Это время затраченное на проверку.

Есть шапка.

Есть, первое совпадение по этой шапке - Тогда и ТОЛЬКО тогда идёт дальнейший поиск по Условиям.

А у вас этих шапок может быть: 3-5-10.

И нет должной гибкости...

Одна ошибка в условиях и хана Тузику = проверке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Разница - Это время затраченное на проверку.

я особой разницы во времени не заметил, когда тестировал выход из цикла при срабатывании одного критерия, и при полном цикле проверок.

Одна ошибка в условиях и хана Тузику = проверке.

гиперболы хороши в другом месте и исполнении, например рассказах Салтыкова-Щедрина.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Santy пишет:

Только давай без истерик, я опасаюсь полагаться на твою гибкость после краткой беседы о логике.

Всё OK.

Бесед о логике не было.

С моей стороны Был монолог/цитата: "Все Условия внутри сложного Критерия равны"

С другой, была логика ради логики и всё во имя логики.

Santy пишет:

Цитата(PR55.RP55 @ 18.09.2012, 18:56) *

Разница - Это время затраченное на проверку.

я особой разницы во времени не заметил, когда тестировал выход из цикла при срабатывании одного критерия, и при полном цикле проверок.

Цитата(PR55.RP55 @ 18.09.2012, 18:56) *

Одна ошибка в условиях и хана Тузику = проверке.

Гиперболы хороши в другом месте и исполнении, например рассказах Салтыкова-Щедрина.

Разница будет когда сложных критериев будет не 1-2, а 40-50.

Гипербола была применена, как эмоциональный усилитель.

Работает разом несколько когнитивных функций.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Разница будет когда сложных критериев будет не 1-2, а 40-50.

Гипербола была применена, как эмоциональный усилитель.

Работает разом несколько когнитивных функций.

их уже около полусотни.

по гиперболам. логика Тузика здесь не работает. на критериях поиска работает только мат_логика с ограниченным набором операндов.

вот и проявляй свою гибкость в рамках этой логики.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
и предложение.

может, стоит добавлять в критерий еще и условие существования какого либо атрибута?

в этом случае атрибут может принимать различные значения, но его имя остается неизменным.

хотя, часто такой атрибут - это просто значение ключа из ссылки (т.е. его производное).

условие существования поля (аргумента) в описании можно создать на основе этой модели.

например,

test_atrib=пустое значение

test_atrib<>пустое значение

test_atrib содержит пустое значение

test_atrib не содержит пустое значение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Первый человек предлагает критерий сравнимый с работой сигнатуры:

Когда не срабатывает один её участок, срабатывает другой.

Парадигма.

Второй предлагает поиск/аналог по Sha1.

т.е. некий неизменный/цельный критерий.

Догма.

Логическая задача: Какое решение будет более эффективно работать при известных условиях ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Логическая задача: Какое решение будет более эффективно работать при известных условиях ?

RP55, я думаю это уже офтоп. Если хочется поговорить в частности на эту тему, то здесь.

http://www.anti-malware.ru/forum/index.php?showtopic=19512

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) o Теперь при массовой проверке по базе проверенных (F4)

пропускаются файлы размером более 300mb с выдачей соотв. сообщения в лог.

Аналогично сделать при формировании образа.

2) При расчёте SHA1 файлов весом более 50 mb применять технологию CUDA и пр.

т.е.задействовать мощности процессоров видеокарт.

Что ускорит формирование образа и снизит нагрузку на систему.

3) По критериям поиска.

Сделать возможным чёткое ограничения действия критерия по каталогу.

т.е. например критерий работает для: "WINDOWS"

и НЕ работает для подкаталогов...

Возможность задать чёткие границы.

4) При: "Добавить сигнатуру файла в вирусную базу"

Предлагать имена.

Имена наиболее часто встречающиеся в Списке сигнатур вирусов.

Предлагать в поле комментария.

т.е. выбираем подходящее название и вставляем.

т.е. Столбиком идут:

Carbepr

Spy.shis

Majachok

Dorkbot

Corkow

Нет необходимости набирать текст.

Просто копируем нужную строку в поле имени.

5) Для settings.ini

Возможность задать список объектов исключений.

т.е. есть настройка:

; Автоматически копировать в zoo файл, удаляемый с помощью команды delall

&

bAutoZooOnF7 = 1

В списе исключений например можно добавить:

PRAETORIAN.EXE

и пр.

т.е. файл удаляется но его копия в Zoo не помещается.

И в скрипте такой команды нет.

6) Добавить в меню команду:

"Удалить все файлы каталога"

Хороший пример это борьба с Dorkbot.B

Где есть каталог & файлы:

\APPDATA\ROAMING\ZFYOYN.EXE

\APPDATA\ROAMING\45.

\APPDATA\ROAMING\14.

\APPDATA\ROAMING\70.

\APPDATA\ROAMING\54.

Разом удаляем/чистим все.

&

Поместить в Zoo.

Понимаю, что радикально.

Можно так: " Удалить все файлы каталога, без цифровой подписи"

ИЛИ: Сделать команду с возможностью её применения только для некоторых каталогов.

APPDATA и пр.

т.е. для рабочих/системных каталогов команда работать НЕ будет.

И для любых других НЕ будет.

Будут только те каталоги которые по умолчанию задаст разработчик.

+

Если идеи понравились поддерживаем.

Нечего молчать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) При работе поискового критерия файл X получает статус ?Вирус?

Есть информация по SHA1.

Собственно предложение: Проводить проверку для всех файлов списка по SHA1

Алгоритм:

Критерий > Файл получает статус ?Вирус? > Считывается его SHA1 > Проверяется весь список* > При совпадении

найденные объекты получают статус...

?Вирус 1?

?Вирус 2?

?Вирус 3?

?Вирус 4?

Пример применения:

pchelpforum.ru/f26/t107681/

pchelpforum.ru/f26/t107677/

2)

Добавить в меню команду:

"Удалить все файлы каталога"

* Например удаление по типу расширения.

Пример:

Удалить все файлы каталога: .ААС

т.е. uVS автоматически подставляет расширение - при отданной команде из контекстного меню файла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Добавить проверку дублирующих команд, если эта команда уже есть в скрипте, чтобы не вставлялась повторно. Удобно если вставляется команда из разных разделов лога.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel-iz-Ada

demkd как-то обещал подумать о создании дополнительного ключа запуска start.exe чтоб сразу открывалось окно с выбором образа автозапуска

также хотелось бы видеть в разделе Список сигнатур вирусов - дату добавления сигнатуры, а то бывает добавишь сигнатуру не очень длинной длины и с частым названием - virus или carberp, а потом при проверке списка обнаруживается что еще десяток системным файлов подходят по сигнатуре и приходится лезть в сигнатуры и искать из сотен сигнатур с таким названием самые короткие и увеличивать ее длину

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
и приходится лезть в сигнатуры и искать из сотен сигнатур с таким названием самые короткие и увеличивать ее длину

можно использовать контекстную функцию - ложное срабатывание, увеличить длину сигнатуры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Angel-iz-Ada не факт, что ложные срабатывания будут у самой старой сигнатуры или у самой короткой ;). Просто ПКМ по системному файлу, который ложно задело и увеличиваем длину сигнатуры :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel-iz-Ada

ну и чего мы добьемся этим? при выборе этой функции программу тупо удаляет сигнатуру из базы. или у кого-то предлагает ввести новую длину сигнатуры?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
ну и чего мы добьемся этим? при выборе этой функции программу тупо удаляет сигнатуру из базы. или у кого-то предлагает ввести новую длину сигнатуры?

не предлагает, а автоматически увеличивает длину активной части текущей сигнатуры. на единицу.

(удаляет только в том случае, если было полное совпадение 64 байта).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

И Всё таки подход к сигнатурам нужно менять, слишком много ложных срабатываний.

В том числе и без возможности их корректировки.

Что 8, что 64 один результат.

Пример: rghost.ru/40975443

+ Фото.

Например формировать сигнатуру по 2-м алгоритмам.

И затем на их основе создавать/формировать 1-ну. СОСТАВНУЮ.

Sg.jpg

post-8956-1350467999_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
И Всё таки подход к сигнатурам нужно менять, слишком много ложных срабатываний.

RP55, а как много ложных срабатываний? скажем, сколько это будет процентов тем (образов) от общего количества рассмотренных?

под ложным срабатыванием здесь надо понимать полное совпадение с сигнатурой по 64байтам. В остальных случаях можно накручивать на единицу длину активной части.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×