Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 83]

1) Возможность задать очерёдность выполнения команд скрипта.

Путём назначения последовательности.

Пример:

;uVS v3.76 script [http://dsrt.dyndns.org]

;Target OS: NTv6.1

1; zoo %SystemDrive%\USERS\DEN\DOCUMENTS\ITERRA\CVWFICN.DLL

2; czoo

5; delref %SystemDrive%\USERS\DEN\DOCUMENTS\ITERRA\CVWFICN.DLL

3; deltmp

4; delnfr

restart

т.е. Нет необходимости редактировать сам скрипт - достаточно назначить очерёдность/последовательность применения команд.

*При формировании скрипта нумерация строки задаётся автоматически.

2) Настраиваемое меню подсказок.

т.е. Оператор задаёт для себя корректирующие подсказки.

Например при удалении файла с параметрами:

\Windows\Appinit_Dlls - через delall - Выдавать сообщение: "***********************" которое сам для себя задаст оператор.

Что несомненно будет полезно как для человека который проходит курсы по работе с uVS, так и для опытного оператора имеющего дело

с редко встречающимся типом заражения.

Подсказки реформируются на базе поискового критерия.

т.е. Создали критерий поиска и в меню критерия УВЕДОМЛЕНИЕ выбрали: Уведомление активно.

При применении команды по типу: delall %SystemDrive%\USERS\DEN\DOCUMENTS\ITERRA\CVWFICN.DLL

uVS автоматически выдаст предупреждение.

3) При формировании/написании скрипта нужна возможность отменить отданную команду.

В меню uVS добавить: "Отменить последнее действие"

так, при ошибочно отданной команде нет необходимости производить полную отмену действий и нет необходимости

ручной корректировки уже готового скрипта.*

*Ручная корректировка может привести к нарушению логики скрипта - кода.

4) Наименование сигнатуры указывать не после, а до.

Пример:

;uVS v3.76 script [http://dsrt.dyndns.org]

;Target OS: NTv6.1

addsgn ITERRA.DLL.Vir; A7679BCC06E1397E8089A6E6EFB50280D3FFF575B47EA678F5C32E9AD328733826943D564B773CB5

9580F41A866240AD2B8C17A2D01AC4207A21F7C720F8DD8C 64

Это необходимо при работе на ряде форумов - где окно ввода данных/кода имеет ограничение по размеру.

Видно, что есть добавление сигнатуры - однако НЕ видно её наименования, что в свою очередь затрудняет анализ сложившейся в теме ситуации.

Для просмотра скрипта тратится время.

Анализ скрипта необходим, как при оценке действий стажера/учащегося работе с uVS так и по прошествии времени - чтобы оператор мог быстро сориентироваться - какие команды/решения были им уже приняты/применены в теме, и какие дальнейшие действия могут потребоваться для окончательного решения проблемы.

5) Сохранять файл/список файлов с присвоенным статусом: "ПРОВЕРЕН"

Логика применения: Обрабатывается образ/система проверенным файлам задаётся статус "ПРОВЕРЕН"

После выхода из uVS результат т.е.: файл/список файлов с присвоенным статусом: "ПРОВЕРЕН"

Сохраняется.

И при повторной работе с данным образом/системой файл автоматически подгружается.

Автоматически ( по настройке в settings.ini ) происходит проверка/отсев списка.

* Где файл/список имеет имя равное имени образа.

Сохранятся такие чёткие данные по файлу как имя/директория, SHA1...

Что позволяет при повторном анализе образа/системы не тратить время на повторную проверку файла.

Также данный подход/метод эффективен и при просмотре повторного < > контрольного образа данной системы.

** Также в данном файле сохраняются результаты проверки объекта на V.T.

6) К команде по типу:

;uVS v3.76 script [http://dsrt.dyndns.org]

;Target OS: NTv6.1

bl 312D99CB54686F8C06215ABC820C59C6 47104

Автоматически добавлять имя файла в отношении которого была применена команда.

;uVS v3.76 script [http://dsrt.dyndns.org]

;Target OS: NTv6.1

CVWFICN.DLL; bl 312D99CB54686F8C06215ABC820C59C6 47104

7) Возможность по выбору перенести/переместить ВСЕ объекты из выбранной категории в категорию: "Подозрительные и вирусы"

8) Возможность блокировать доступ к файлу/файлам реестра.

по типу HIPS-а

На время выполнения скрипта.

Или по команде из контекстного меню файла/объекта.

uVS автоматически определяет какой раздел/лы подлежат блокировке.

[santy 153]

1; zoo %SystemDrive%\USERS\DEN\DOCUMENTS\ITERRA\CVWFICN.DLL

addsgn ITERRA.DLL.Vir; A7679BCC06E1397E8089A6E6EFB50280D3FFF575B47EA678F5C32E9AD328733826943D564B773CB5

9580F41A866240AD2B8C17A2D01AC4207A21F7C720F8DD8C 64

CVWFICN.DLL; bl 312D99CB54686F8C06215ABC820C59C6 47104

имхо, это все лишнее, что делает скрипт менее читабельным. значимые параметры команды должны быть впереди, информационные менее важны.

-----------

предложение:

скорректировать автоматическое действие при отдаче команды delall при установленном параметре

; Автоматически копировать в zoo файл, удаляемый с помощью команды delall (кроме сетевого режима)

bAutoZooOnDelAll = 1 (0 по умолчанию)

если файл не найден.

т.е. не добавлять в скрипт команду ZOO file not found

[alamor 69]

1) Возможность задать очерёдность выполнения команд скрипта.

Путём назначения последовательности.

и каждый раз в скрипте назначать очерёдность команд ? имхо было бы лучше, если бы эта последовательность была бы заложено в uVS. У каждой команды был бы определённый приоритет и она автоматически вставлялась бы в скрипт в последовательности зависящей от приоритета, к примеру czoo после всех команд карантина, restart в самом конце, если оператору по какой-либо причине надо изменить порядок выполнения команд, то оператор меняет их последовательность вручную в скрипте.

делает скрипт менее читабельным. значимые параметры команды должны быть впереди, информационные менее важны.

+1

[PR55.RP55 83]

alamor пишет: Цитата(PR55.RP55 @ 08.12.2012, 17:05) *

1) Возможность задать очерёдность выполнения команд скрипта.

Путём назначения последовательности.

И каждый раз в скрипте назначать очерёдность команд ?

Вы Вообще читаете написанное ?

Написано: "ВОЗМОЖНОСТЬ"

т.е. Это некая свобода действия.

Написано: "*При формировании скрипта нумерация строки задаётся автоматически."

2) Менее читабельным скрипт делают разные форумы - где невозможно понять сигнатура чего была добавлена.

И сейчас невозможно понять ( не прибегая к сравнению ) какой файл был блокирован по bl**************, а какой соответственно НЕ был.

Santy пишет: Значимые параметры команды должны быть впереди.

Можно и так: bl CVWFICN.DLL; bl 312D99CB54686F8C06215ABC820C59C6 47104

Видно какая команда применена, видно имя файла.

ПРЕДЛОЖЕНИЕ.

1) Закладка - Поиск.

uVS Фиксирует поисковые запросы.

До 10 запросов.

Возможность быстрого повторного поиска/перехода к выбранному объекту.

На постоянной основе поиск закреплён для:

.EXE

.DLL

.SYS

*Что позволяет произвести мгновенную фильтрацию списка по выбранному типу расширения.

[santy 153]

Вы Вообще читаете написанное ?

Написано: "ВОЗМОЖНОСТЬ"

возможность для одного не должна создавать проблемы с читабельностью для многих;

на мой взгляд, это внесет путаницу, далее, последуют предложения создать условные переходы GOTO 10 и т.п., что некрасиво будет с точки зрения структурного программирования.

Можно и так: bl CVWFICN.DLL; bl 312D99CB54686F8C06215ABC820C59C6 47104

Видно какая команда применена, видно имя файла.

вообще то в языках программирования принято в конце комментировать строки.

(обрати внимание как в разных языках добавляются комментарные строки)

код для читабельности и понимания программы важнее чем комментарии.

2) Менее читабельным скрипт делают разные форумы - где невозможно понять сигнатура чего была добавлена.

И сейчас невозможно понять ( не прибегая к сравнению ) какой файл был блокирован по bl**************, а какой соответственно НЕ был.

я считаю главным, чтобы "понимал" uvS что там написано в скрипте.

[PR55.RP55 83]

Santy

Я согласен - скрипт должен быть таким, чтобы uVS правильно его читала.

Однако и про Оператора нужно помнить.

Если вариант не проходит - значит вариант не проходит.

[santy 153]

предложение в 3.77:

добавить в "инфо" информацию по детекту сигнатурой (полное наименование сигнатуры), если есть подобный детект.

(чтобы все возможные методы детектов были отражены.)

+

при просмотре списка объектов в основном окне uVS

при наведении курсора мыши (типа обработки события on mouse) на статус текущей записи высвечивать

(или на полупрозрочном фоне, или по типу подсказок tooltiptext)

полное имя объекта;

инфо по детектированию сигнатурой, если есть;

инфо по детектированию критериями, если есть

инфо по детектированию антивирусами на VT&jotti

убирать краткое инфо, при перемещении курсора в другие поля.

[PR55.RP55 83]

1) Возможность совершать переход/просматривать Инфо. по файлу/объекту по типу.

Информация < > Информация < > Информация < > Информация < >

Так:

Выбрали файл/объект открыли контекстное меню > выбрали: ИНФОРМАЦИЯ.

Открыли ИНФОРМАЦИЯ и ....

И прямой переход от одного окна Инфо. к другому.

1.1 ) Объединение ЧАСТИ МЕНЮ в рамках одного окна.

т.е. в "Информация" будут доступны избранные команды из контекстного меню файла.

* Например: " Проверка по V.T. "

2) В новых версиях созданный образ имеет приличный вес.

Вероятно, со временем будет происходить дальнейшее увеличение веса.

Соответственно предлагаю провести оптимизацию данных образа.

Сейчас данные сохраняются так, как есть.

Пример:

C:\Program Files\7-Zip

C:\Program Files\K-Lite Codec Pack

Предлагаю ввести КРАТКОЕ обозначение каталогов.

Пример:

C:\&P&\7-Zip

C:\&P&\K-Lite Codec Pack

ЭТО ТОЛЬКО ДЛЯ ОПТИМИЗАЦИИ ХРАНЕНИЯ ДАННЫХ ! !

ДАННЫЕ БУДУТ ОТОБРАЖАТЬСЯ ДЛЯ ОПЕРАТОРА СТАНДАРТНО - т.е: \Program Files\

Или, необходимо использовать математические модели.

Аналог того, как данные сжимают/оптимизируют архиваторы.

В данном случае, зная структуру данных можно провести идеальную оптимизацию.

3) Оптимизация обработки файлов MSI при создании базы проверенных файлов SHA1.

Можно значительно сократить время проверки/обработки путём исключения ранее обработанных

MSI пакетов.

т.е. В меню uVS появляется команда: "Добавить все исполняемые файлы каталога в список + msi"

Логика такая: Можно по базе проверенных выяснить обрабатывался ли данный объект ранее.

т.е. фактически производилась ли его инсталляция с добавлением файлов в базу.

Если SHA1 msi файла есть в базе...

Значит его обработка уже проводилась.

Пропускаем...

И переходим к тому/тем объектам которых нет в базе.

* Добавили в список, отфильтровали по F4 - далее, работаем с оставшимися объектами списка/каталога.

Можно привести пример насколько часто такие объекты часто встречаются:

PhysX_9.10.0514_SystemSoftware.msi

SMathStudioDesktop.0_75.Setup.msi

Eav_nt32_RUS.4.2.71.3.msi

sw_lic_full_installer.msi

PredatorPackage.msi

HiJackThis.msi

calibre-0.8.52.msi

7z464-x64.msi

DB9_Spec_ru.msi

NETCFSetupv35.msi

Между тем, на данный момент uVS их НЕ обрабатывает.

Что вполне логично при борьбе с вирусами.

И НЕ логично для вышеописанного примера.

Применение данной методики обработки/предварительного отсева позволит значительно сократить

время проверки группы файлов и тем самым позволит ускорить пополнение базы SHA1 проверенных.

т.е.Необходима возможность сохранять SHA1 msi в базе проверенных.

+ Опционально возможность добавления их в список.

4) Примечание.

Применение технологии CUDA.

Когда это эффективно/практично ?

После установки системы и дополнительных программ имеющих большой вес файлов.

Пакетов драйверов; Антивируса; Офиса и т.д.

Также при массовом добавлении файлов каталога в список - каталога, который может содержать программы - установщики.

5) В окно Информация добавить запись:

" Файл создан в течении 10 дней "

Что позволит, при формировании сложного/составного критерия применить эту информацию в качестве добавочного критерия.

Что эффективно при поиске угроз не применяющих маскировку до дате/Времени создания.

6) ПРЕДЛОЖЕНИЕ.

ПРЕДЛАГАЮ ПЕРЕЧИТАТЬ ВСЕ ПРЕДЛОЖЕНИЯ

+

ЗАМЕЧАНИЯ ПО ОШИБКАМ ПРОГРАММЫ.

ЗА ВСЁ ВРЕМЯ ПРОШЕДШЕЕ ПОСЛЕ ВЫХОДА uVS 376 версии.

Как правило при первом/однократном прочтении информация НЕ воспринимается.

7) Седьмое предложение:

ХОРОШО ВСТРЕТИТЬ НОВЫЙ ГОД,

С НАСТУПАЮЩИМ !

И ВСЕГО САМОГО ЛУЧШЕГО !

[demkd 636]

добавить в "инфо" информацию по детекту сигнатурой (полное наименование сигнатуры), если есть подобный детект.

(чтобы все возможные методы детектов были отражены.)

А оно и сейчас есть.

при наведении курсора мыши...

Скорее всего подобное поведение программы надоест через 30 сек. терпеть дольше всплывающие без конца подсказки вряд ли выйдет.

Файл создан в течении 10 дней "

вверху фильтр по дате, его достаточно.

Оптимизация обработки файлов MSI при создании базы проверенных файлов SHA1.

не видел я чтоб msi попадали в список, соотв. не понятен смысл

с наступающим!

в шапку добавил нек. предложения.

[PR55.RP55 83]

Demkd пишет: Не видел я чтоб msi попадали в список, соотв. не понятен смысл.

Ещё раз.

Добавление в список MSI необходимо при формировании/составлении базы SHA1 проверенных файлов.

Только для этого ! !

Если файл/лы будет попадать в список - ПО ЗАПРОСУ оператора.

т.е.: "Добавить в список все файлы каталога + msi "

С возможностью сохранить в базе проверенных SHA1 данного файла.

То, в дальнейшем при составлении базы появляется возможность узнать > обрабатывался ли файл раньше.

Соответственно, если обрабатывался - он пропускается/игнорируется оператором.

Что экономит время.

Интерес в плане составления базы представляет начинка файла которого ещё нет в базе...

Смотрим фото пример.

[santy 153]

А оно и сейчас есть.

сейчас так

?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

предлагается так

?ВИРУС? ВИРУС (SpyEye.1224(64)) ПОДОЗРИТЕЛЬНЫЙ в автозапуске

т.е. имени сигнатуры нет в инфо.

Скорее всего подобное поведение программы надоест через 30 сек. терпеть дольше всплывающие без конца подсказки вряд ли выйдет.

лень иногда бывает двойное нажатие сделать, чтобы посмотреть в инфо: кто детектирует данный объект по ВТ, или под какой критерий попал данный объект.

тут подсказка должна всплыть при фокусировке курсора на поле "статус".

Но не настаиваю.

Ибо лень разработчика имеет более высокий приоритет, чем лень пользователя.

С Наступающим!

[demkd 636]

santy

есть и имя сигнатуры с глубиной совпадения есть и имя критерия с условиями, ниже в окне информации смотри.

[santy 153]

вроде замечал, что имя сигнатуры попадает в инфо, но воспроизвести не могу при каких условиях.

(с критериями все ок!)

из проверки образа вроде не попадает имя сигнатуры.

-------------

Полное имя C:\SYSTEMHOST\24FC2AE32BE.EXE

Имя файла 24FC2AE32BE.EXE

Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям

SPYEYE (ПОЛНОЕ ИМЯ ~ SYSTEMHOST)(1)

Сохраненная информация на момент создания образа

Статус в автозапуске

Размер 335872 байт

Создан 04.08.2004 в 02:56:38

Изменен 09.12.2010 в 18:15:09

Тип файла 32-х битный ИСПОЛНЯЕМЫЙ

Цифр. подпись Отсутствует либо ее не удалось проверить

Доп. информация на момент обновления списка

SHA1 71E5FCC37D409CD0D1AC0CAF57156BAFE3BB49E0

MD5 19BA33348A23362FA5D668D6A8AB7530

Ссылки на объект

Ссылка HKEY_USERS\S-1-5-21-1787129984-3472257021-3128328180-1129\Software\Microsoft\Windows\CurrentVersion\Run\YI9B2F0F3EXHXU1I

YI9B2F0F3EXHXU1I C:\systemhost\24FC2AE32BE.exe

[PR55.RP55 83]

1) Меню команда/закладка.

т.е. при необходимости отдать команду: Открываем заранее созданный/подготовленный список.

Выбираем команду.

Команда применяется = добавляется в скрипт.

2) Возможность переключится в 2-х оконный режим.

см.фото.

3) Добавить команду меню: "Удалить все задачи"

4) Запрос/поиск по базе проверенных SHA1

т.е. при помощи сторонней программы получили MD5 | SHA1 подозрительного объекта.

Появилась возможность проверить файл.

Проверить без обращения к V.T. и т.д.

[Аркалык 19]

Здравствуйте demkd! Возник одна идея по поводу uVS:

- С повышением тем по поводу баннеров в браузерах, мы часто начали принимать код для сброса DNS-кэша и в скрипте приходится писать это вручную (EXEC cmd /c"ipconfig /flushdns"). И что бы улучить нашу работу, автоматизировать этот код в uVS. Например так:

[demkd 636]

Аркалык

добавлю, кстати flushdns не всегда помагает, нужно еще dnscache перезапускать чтоб заработало на лету, глюки винды бесконечны.

PR55.RP55

исправил, выложил в ветке тестирования.

[santy 153]

Аркалык

добавлю, кстати flushdns не всегда помагает, нужно еще dnscache перезапускать чтоб заработало на лету, глюки винды бесконечны.

+

имеет смысл в дальнейшем ее (flushdns) автоматически добавлять в скрипт, если были отданы команды по очистке левого DNS (setdns)

[PR55.RP55 83]

1) Пример

;uVS v3.77.2 script [http://dsrt.dyndns.org]

;Target OS: NTv5.1

; С:\ВАСЯ\ВАСЯ.EXE

zoo D:\ВАСЯ\ВАСЯ.EXE

; zoo D:\ВАСЯ\ВАСЯ.EXE

Есть мнение, что комментирование операции для ZOO лишнее.

2) settings.ini

По завершению работы с Образом...

По настройке settings.ini

Файл Образа автоматически перемещать в указанный каталог...

3)

PR55.RP55 пишет:

Меню команда/закладка.

т.е. при необходимости отдать команду: Открываем заранее созданный/подготовленный список.

Выбираем команду.

Команда применяется = добавляется в скрипт.

Данный вариант более практичен.

Оператор самостоятельно может составить список необходимых при работе команд.

Это может быть: EXEC cmd /c"ipconfig /flushdns"

Или любая другая возможная команда: cmd...

[santy 153]

по сути предложений 1-4 из 418.

совершенно ненужные для реализации предложения, которые к тому же задвигают сейчас важную и актуальную задачу - реализацию автоскрипта.

[PR55.RP55 83]

По Автоскрипту.

Складывается впечатление, что идея Автоскрипта провалилась с треском.

Там, где стояли три сосны теперь шумит лес.

Фактически появление одной идеи по автоскрипту влечёт за собой появление целого набора команд.

И края этому НЕвидно.

Может ещё 20 команд добавить ?

Их сочетание и последовательность применения разработать, да реализовать.

Вот...

Радость будет большая...

[santy 153]

Фактически появление одной идеи по автоскрипту влечёт за собой появление целого набора команд.

пока что можно реализовать в рамках тех команд, которые есть... а вот предложения, типа двух_оконного интерфейса, удаления всех задач, закладок, комментариев к ZOO, BL и прочее, как раз ничего не дают в плане реализации автоматического создания скрипта.

[PR55.RP55 83]

Santy пишет: ничего не дают в плане реализации автоматического создания скрипта.

15.12.2012, 14:20

Santy пишет:

при просмотре списка объектов в основном окне uVS

при наведении курсора мыши (типа обработки события on mouse) на статус текущей записи высвечивать

(или на полупрозрочном фоне, или по типу подсказок tooltiptext)

полное имя объекта;

инфо по детектированию сигнатурой, если есть;

инфо по детектированию критериями, если есть

инфо по детектированию антивирусами на VT&jotti

убирать краткое инфо, при перемещении курсора в другие поля.

В общем ограничиваем Юпитер ?

Про подсказки значит можно...

А, вот ПЕРЕКЛЮЧЕНИЕ в полноценный режим 2-х оконного просмотра предлагать нельзя...

И вообще.

[santy 153]

И вообще.

Актуально сейчас работа со списком программ. постоянно приходится контролировать установлена ли та или иная программа. Иногда список программ бывает внушительным.

1. Нужен поиск по списку программ, аналогично поиску в списке объектов, сигнатур, критериев.

2. необходима возможность создавать критерии по некоторым нежелательным программам, с возможностью переноса записей в подозрительные при срабатывании критерия и контекстными функциями деинсталляции, удаления из списка (если файл не найден)

[PR55.RP55 83]

1) По настройке в settings.ini автоматически отображать данные в соответствии с предпочтением оператора.

т.е.например по имени файла, или статусу...

Пример: Открыли образ...

Данные автоматически отображены в соответствии с...

2) По сигнатурам.

Команда меню: "Проверить список только по добавленным сигнатурам"

т.е. НЕ проверять список по всей базе сигнатур.

Проверяем только по добавленным - для исключения ложного срабатывания.

3) Браузеры.

Команда меню: " Удалить все HTTP "

* Кроме известных для /Explorer.

4) По автоскрипту.

Помещать/добавлять автоматически инициированные команды в начало скрипта.

Пример:

;uVS v3.77.4 script [http://dsrt.dyndns.org]

;Target OS: NTv6.1

czoo

restart

deltmp

delnfr

zoo %Sys32%\BTASYNCEX.AX

bl 63D0E921C242CF3A8AC969F5071E6C31 197120

delall %Sys32%\BTASYNCEX.AX

Таким образом...

5) Окно сохранения скрипта.

По настройке в settings.ini автоматически сохранять написанный скрипт в файл = каталог.

т.е. по окончанию работы с образом uVS НЕ открывает окно с предложением: СОХРАНИТЬ.

Файл скрипта автоматически сохраняется в каталог заданный по settings.ini.

Имя скрипта = имени образа.

USER-ПК_2012-10-21_21-59-40.7z = USER-ПК_2012-10-21_21-59-40.script

6) В окно/на сохранения скрипта добавить детский ползунок.

Чтобы можно было в окне увидеть > прокрутить весь текст скрипта.

Сейчас часть написанного скрипта можно посмотреть...

Зачем скрывать остальное ?

Зачем стесняться ?

7) Автоскрипт

Пример: Есть критерий на нежелательную программу.( Из списка установленных программ )

Критерий сработал.

АВТОМАТИЧЕСКИ в скрипт/е прописываются команды на удаление.

Пример:

;uVS v3.77.4 script [http://dsrt.dyndns.org]

;Target OS: NTv6.1

czoo

restart

exec MSIEXEC.EXE /X{1E03DB52-D5CB-4338-A338-E526DD4D4DB1}

deltmp

delnfr

* Команды скрипта: deltmp; delnfr - выполняются перед командой restart.

[santy 153]

exec MSIEXEC.EXE /X{1E03DB52-D5CB-4338-A338-E526DD4D4DB1}

при срабатывании критерия автоматически как раз не надо формировать команду удаления программы.

инициировать только перенос объекта из списка программ в список подозрительные со статусом ?ВИРУС? с контекстными функциями:

- удалить из списка программ

- деинсталлировать

- деинсталлировать с ключом /quiet

--------------

автоматически формировать полностью скрипт по всем объектам автозапуска только после исключения ложных срабатываний по сигнатурам (hide, увеличить длину сигнатуры) и критериям (hide).

отдельной функцией (отдельным нажатием) - автоскрипт/оптимизация