Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 83]

1) Добавить в меню uVS команду: "Java - кэш - очистка"

C:\Documents and Settings\<имя пользователя>\Application Data\Sun\Java\Deployment\cache\N-версия.

Для решения проблем по типу:

"В каталоге кэш-памяти платформы Java обнаружены вредоносные апплеты."

"Каталог кэш-памяти — это каталог для временного хранения данных.

Когда браузер запускает апплет или приложение, Java сохраняет файлы в каталоге кэш-памяти для повышения производительности."

"Рекомендуемое РЕШЕНИЕ проблем с вирусами:

В случае обнаружения в системе одного из вышеупомянутых вредоносных апплетов следует удалить его средствами антивирусной программы, также рекомендуем очистить каталог кэш-памяти."

Жду поддержки данного предложения.

2) Повторно обращаю внимание на вопрос по БЕЛЫМ критериям поиска.

Данный метод позволит оператору сформировать надёжные критерии, критерии которые будут однозначно идентифицировать файл/объект

как легальный/проверенный.

Подробно по предложению информация изложена в предыдущих страницах темы.

[PR55.RP55 83]

1) В uVS есть две основные базы проверенных файлов.

Это база оператора SHA1 и соответственно SHA\MAIN

При условии, что оператор добавил все файлы своей системы в свою базу SHA1

логично производить проверку по F4 только по SHA1

Что напрямую влияет на скорость проверки.

Предложение: Реализовать механизм - переключатель, позволяющий при проверки по F4 производить выборочную/ускоренную поверку.

2) Что часто видит оператор при работе с программой ?

Оператор часто видит такие информационные строки:

" Отсутствует либо ее не удалось проверить"

"При проверке цифровой подписи произошла ошибка"

и пр. подобного типа.

Можно поступить следующим образом:

uVS копирует данный файл в Temp*.

Файл/копию лишить статуса исполняемого.

После того, как файл скопирован - осуществляется проверка цифровой подписи.

В информации по файлу/подписи появляется комментарий: "проверка подписи файла реализована по типу F."

Объект проверки оставляется в категории Подозрительных.

3) Добавить механизм проверки по типу: h t t p://internet.yandex.ru/

также см. "Показать подробную информацию"

Что будет полезно, при выявлении...

[PR55.RP55 83]

1) В меню добавить команду.

"Все файлы КАТЕГОРИИ проверены"

Алгоритм работы такой: Оператор открывает к примеру вкладку: "Подозрительные и вирусы"

После проверки файлов - ( там всё чисто )

Оператор отдаёт команду: "Все файлы КАТЕГОРИИ проверены"

И переходит/открывает категорию: "ВСЕ"

СООТВЕТСТВЕННО, если ранее была отдана команда: "Все файлы КАТЕГОРИИ проверены" для файлов...

Оператор открыв категорию: "ВСЕ" - НЕ видит ТЕ файлы, что им были проверены в категории: "Подозрительные и вирусы"

т.е список проверки сокращается...

И нет необходимости повторно проверять/просматривать файлы.

это важно.

2) В Контекстное меню файла добавить команду:

"Выделить файл"

Оператор определяет какие файлы подлежат дальнейшей обработке, а какие нет.

Соответственно, файлы подлежащие обработке выделяются им из списка.

2.1) В Контекстное меню файла добавить команду:

"Скрыть файлы списка НЕ выбранные оператором"

Значит, при применении этой команды, в списке остаются только те объекты, что выбрал оператор.

т.е. Небольшая группа которую легко обработать.

3) Команда: "Отменить Всё" - НЕ сбрасывает результат проверки V.T...

4) Практически у всех современных HDD дисков есть режим самопроверки/самодиагностики.

Процедура занимает минимум времени.

Предлагаю проводить опрос - самодиагностику в процессе формирования образа или по запросу оператора.

Тем самым мы имеем возможность чётко дифференцировать проблему - локализовать её.

Не искать отсутствующие вирусы/угрозы, а решать реальную проблему.

5) Предложение: Ответить на предложения.

P.S. Народ - поддерживаем предложения !

[alamor 69]

3) Команда: "Отменить Всё" - НЕ сбрасывает результат проверки V.T...

учитывая, что проверка на VT идёт относительно долго, то это довольно актуально.

[santy 153]

2) В Контекстное меню файла добавить команду:

"Выделить файл"

Оператор определяет какие файлы подлежат дальнейшей обработке, а какие нет.

Соответственно, файлы подлежащие обработке выделяются им из списка.

1. cелектирование должно выполняться быстро, через нажатие горячей клавиши, через контекстное меню будет неудобно, поскольку селектировать возможно? придется? внушительный список записей.

2. желательно добавить фильтр по селектированным.

3. желательно продумать спектр возможных действий по селектированным объектам.

(хм, в истории об этом есть упоминание).

[PR55.RP55 83]

Santy пишет: желательно продумать спектр возможных действий по селектированным объектам.

1) Значит идея нашла поддержку ?

2) Главное реализовать саму возможность > посмотреть...

Сразу всё сложно продумать.

Будет реализация - будет и проработка/улучшение.

Сейчас главное каркас идеи реализовать.

[PR55.RP55 83]

1) Ведение лога - статистики.

uVS отслеживает команды на удаление.

Записывает/сохраняет данные.

По команде оператора - после накопления статистических данных происходит их автоматический анализ/сравнение/сопоставление.

Цель: Обнаружение совпадающих данных.

*Переменные данные ещё при формировании лога заменяются на стандартные значения.

Под переменными данные подразумевается имя пользователя...

Для Temp не учитывается полный путь.*

*т.е. Temp - это Temp... и пр.

В результате на выходе мы получаем рабочую схему/логику/алгоритм работы.

С последующей автоматизацией.

uVS - получает функциональную возможность работать в полу-автоматическом режиме.

Обнаружения < > Удаления.

Генерации скрипта.

*Оператор имеет возможность корректировать алгоритм.

2) Макет окна программы.

Для разных рабочих моментов/ситуаций требуется разные настройки.

Предлагаю реализовать возможность быстрого переключения между заданными макетами.

Параметры сохраняются/настраиваются по settings.ini

Что по мере необходимости обеспечит оператору возможность быстро переключиться на оптимальный рабочий режим.

Подстраивая окно под конкретную задачу.

3) Комплексная проверка.

Одна команда = проверка файла по всем сервисам.

Как сейчас работает оператор ?

Оператор проверяет по V.T. ЕСЛИ нет результата...

Он начинает поиск по другим ресурсам...

4) Критерии поиска.

В момент создания добавить в меню:

Выбор: ЗАПИСЬ или ФАЙЛ.

т.е. Оператор получает возможность ввести чёткое разграничение по типу данных.

При каком типе данных работает критерий.

5) Для команды: "Все файлы в каталоге и подкаталогах проверенные"

Добавить команду - "Применить заданный список"

т.е. Оператор задаёт список директорий.

Пример:

C:\Program Files\Intel

C:\PROGRAM FILES\WINAMP

C:\Program Files\NVIDIA Corporation

C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V2.0.50727_32

C:\PROGRAM FILES (X86)\ASUS\AI SUITE II\ASUS MOBILINK\IPHONE SIMULATOR

C:\PROGRAM FILES (X86)\ATI TECHNOLOGIES\ATI.ACE\BRANDING\BRANDINGRESOURCES.DLL

Для заданных оператором директорий по команде: "Применить заданный список"

Все файлы в заданных каталогах и подкаталогах получают временный статус проверенные.

* Критерий поиска - определение по нему имеет приоритет перед данной командой.

[PR55.RP55 83]

1) "Подготовить файлы для добавления в проверенные - sha1"

Создаётся папка - в папку помещается файлы/программы.

После применения данной команды: "Подготовить..."

Происходит отбор/отсев тех файлов которых ещё нет в базе проверенных.

Для таких файлов создаётся отдельная под-папка куда автоматически перемещаются файлы/программы.

Таким образом далее оператор работает только с новыми, ещё не прошедшими обработку программами.

К примеру первоначально в папке было 100 программ - после применения данной команды в папке остаётся 42.

Что даёт значительную экономию времени на - отсев & пополнение.

* Поддержка для: EXE; MSI

2) Команда для HOSTS

"Извлечь HOSTS - и отправить на V.T."

Что, позволит антивирусным компаниям оперативно получать данные и принимать по ним решение.

3) Автоматически проверять не только наличае файла в системе - но и его версию.

Если версия не соответствует системе - давать предупреждение в лог.

Файл помечать, как подозрительный.

4) Категория: "Общие ресурсы"

С возможностью применения команд: "Отменить общий доступ" & "Только для чтения"

5) Скрыть все известные - кроме > Задать список исключений.

* Пример: Задать список исключений > RPCSS.dll

Думаю пояснения излишними будут ?

6)

[PR55.RP55 83]

1) Команда: "Запись действий"

т.е. при работе с uVS при отданной команде: "Запись действий"

Оператор осуществят: Выбор объекта > Х.

Записываются действия оператора ( например редактирование параметров реестра )

Последовательность: Выбор объекта > Запись действия.

Выбор > Запись.

При работе с образом - образ выступает в качестве контрольно-отправной точки отданных команд.

( в качестве - базы данных )

Осуществляется, как запись основных/базовых скриптовых команд так и дополнительных команд/действий оператора.

( например редактирование параметров реестра и т.д. )

Таким образом: На стороне пользователя выполняется не только скипт - но и запланированная последовательность команд.

2) Реестр > Закладки.

Переход к заданному значению реестра.

Пример:

Реестр > Закладки >

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls

Появляется возможность быстрого перехода к заданному значению реестра.

3) Индекс.

Построение функции на: Изменении свойств/а известных файлов.

В данном случае на примере расчёта сигнатуры:

"Добавить сигнатуру файла в вирусную базу"

Есть две позиции: Сигнатура Файла может быть добавлена, или НЕ может быть добавлена в базу.

На это влияют свойства файла.

т.е Извлечение сигнатуры поддерживается или НЕ поддерживается.

Это ключевое свойство файла Х.

Логика: а) Для всех известных случаев верно: "Извлечение сигнатуры для файла Х1. Поддерживается"

или

б) Для всех известных случаев верно: "Извлечение сигнатуры для файла Х1. НЕ поддерживается"

Если в отношении объекта Х1 верно утверждение *) то не верно утверждение *)

Таким образом, при наличии индекса можно выявить отклонение свойств объекта от типичного значения.

Операция/и проверки осуществляются автоматически.

"Свойства... известного файла изменены" - статус: подозрительный файл.

[PR55.RP55 83]

1) Создать "облако"

Оператор заходит на сайт: dsrt.dyndns.org/

В разделе критерий поиска выбирает: Задать новый критерий.

Открывается стандартная форма для создания/заполнения - форма аналог из uVS.

+ Форма < > Комментарий.

Таким образом задаются критерии поиска.

Создаётся общая накопительная база.

После чего АВТОМАТИЧЕСКИ происходит сравнение данных/значений/параметров заложенных/заданных

при заполнении формы.

Поле чего происходит отбор данных по частоте повторения - встречаемости.

Оптимизированный вариант и есть облачная база.

В меню uVS появляется опция: "Применить оболочную базу критериев"

Соответственно реализовать функцию обновления по средством: update.exe

2) Включить по умолчанию в эвристику программы определение устойчивых значений.

по типу: 24FC2 ; mkdrv и пр.

И по мере необходимости при обновлении обновлять данные.

3) По команде: delnfr

Удалять ВСЕ записи для объектов: Размер 0 байт.

* Кроме системных/известных.

4) Вести лог.

Образ: ХХ-ХХ-ХХ_2011-11-30_21-21-54.

Открыт: 1.

Открыт: 2. ...

т.е. Выбрали образ - открыли и в строке поиска видим: ХХ-ХХ-ХХ_2011-11-30_21-21-54> [1]

Имя; дата; + [1]

Для чего ?

Часто скрипты ошибочно создаются на базе образа из другой темы.

Таким образом можно видеть - отрывался ли образ и сколько раз.

* На поиск это не влияет сброс соответственно по Esc.

** Автоматическая очистка данных раз в 168 часов.

5) Обратить внимание на программу: AdwCleaner

esetnod32.ru/forum9/topic7084/

Которую применяет в темах лечения всё прогрессивное человечество.

И по возможности перенять опыт разработчиков - изучить логи < > темы.

6) По обновлению uVS - $

У Оператора должен быть стимул произвести обновление.

т.е. Оператор нажимает : обновить - и видит список доступных обновлений.

7) adddir

АВТОМАТИЧЕСКИ для: \APPDATA\ROAMING

При создании образа.

При выполнении скрипта.

Есть сотни примеров...

[Vvvyg 12]

7) adddir

АВТОМАТИЧЕСКИ для: \APPDATA\ROAMING

При создании образа.

При выполнении скрипта.

Есть сотни примеров...

Пожалуй, соглашусь. И предлагаю расширение команды adddir для добавления в образ файлов не старше заданной даты:

adddir путь xx.xx.xxxx

[santy 153]

1. по экспорту сигнатур и критериев добавить контекстные функции в категории: список сигнатур и список критериев.

экспортировать (добавить) в глобальный список (сигнатур),

экспортировать (добавить) в глобальный список (критериев)

сигнатуры должны уходить с автоматическим комментарием, например "добавлено, дата"

также в имя критерия можно добавить текст // добавлено //. причем данный коммент не должен влиять на имя критерия при поисковых операциях.

соответственно,

файл- импорт - импортировать базу сигнатур (или импротировать базу поисковых критериев) - из файла; из глобального списка

т.е. импорт из глобального списка не автоматический (вместе спрочими апдейтами), а диалоговый.

2. flushdns

3. добавить элементы автоматизации при работе со списком программ / критерии по списку программ / автоматический переброс записи о программе в подозрительные при срабатывании критерия с контекстными функциями: деинсталлировать/ деинсталировать с ключом /quiet / удалить из списка /

[santy 153]

+ 4. подумать над реализацией рекурсивных критериев, когда в качестве одного из условий сложного критерия может выступать отдельный (уже добвленный в список) критерий (по имени).

[PR55.RP55 83]

1) Поисковые критерии.

Ряд данных в поисковых критериях дублируется.

Например: Цифровая подпись: Отсутствует;

И: AppData\Roaming; \WINLOGON\SHELL; USERINIT.EXE\DEBUGGER ; \RUN\USERINIT

т.е. Зачем дублировать одни и тоже данные, если можно создать общую дополнительную структуру.

Общий локальный банк данных*.

* Причём часть условий может работать, часть нет.

По типу: Или<>Или<>Условие Не соответсвует-0 <>Или<>Условие не соответсвует-0 <>Или<>Или<>Или<>Или

И доп. индивидуальные - корректирующие условия.

Как одна леска - на которой крючки разных типов - для ловли разных видов рыбы.

Общее условие/условия/критерии подключаются/НЕ подключаются при формировании критерия.

т.е. Создаётся критерий и выбирается опция: "Подключить/Отключить общий банк данных"

[PR55.RP55 83]

1) При регистрации на сайте - dsrt.dyndns.org.

uVS - если есть вход - должен быть и выход: "Выйти"

2) Цифр.подпись - Действительна.

Писать какая именно подпись прошла проверку Внешняя/внутренняя.

Это может иметь значение при формировании критерия.

3) Сопоставление цифровых подписей.

Скажем группа файлов подписанных одной компанией.

9 -ть файлов из 10- ти подписаны идентично, 1 отличается.

И чтобы жить стало лучше и веселее предложение !

4) По поводу $ обновления.

Создать привязку код/идентификатор системы.

На Примере: Unreal Commander.

Сайт: x-diesel.com/?keys&a=work

Примерно такой:

"Для создания/обновления ключей Вы должны обладать идентификатором системы (создается Unreal Commander'ом через мастер управления лицензией). "

Получаем на вроде этого:

----------BEGIN UNCOM 0.96 LICENSE KEY---------

-

TA0

MTc4N

zg0MA0K

VXNlcg0KM

Q0KMA0KNjk5

NjQzMzE0ODUxO

DkxNTQ1Njk4MzQ0

MTA1ODA5OTQ2NTYwO

TcyNzgzNDE3MzANCg0K

DQpJc0M0K1JLUHVCQ05pZ

Dk3VURWMWFXdjdNNEU9DQpO

MWFIK0xoZzdqdmtsYWQ2V3ZNW

DZERVovSW89#MTA0MTc4Nzg0MAJ

-------------END UNCOM LICENSE KEY-------------

5) update.exe

Обновление > написать автору программы сообщение.

т.е. информация не только от Автора, но и обратная связь от зарегистрированного и получающего обновления пользователя.

[PR55.RP55 83]

1) Сбросить данные файла.

* Для системных - модифицированных файлов.

Типа: RPCSS.dll

т.е. Сброс версии +...

Что позволит установить обновление системы даже если версия файла изначально равна, или старше.

Сбросили данные + Restart > Установка обновления.

** Соответственно функция доступна через контекстное меню файла.

+

Авто. - restart

[alamor 69]

PR55.RP55 а что вам мешает с помощью того uVS просто скриптом заменить эту dll на чистую .

[PR55.RP55 83]

alamor

Замена файла скриптом в ряде случаев приводит к неработоспособности системы.

В данном случае установление системного обновления предпочтительнее.

Кроме того - речь идёт о принципиально ином подходе.

Принципиально ином решении проблемы - ситуации.

Что расширяет рабочий функционал программы.

[alamor 69]

Замена файла скриптом в ряде случаев приводит к неработоспособности системы.

В данном случае установление системного обновления предпочтительнее.

а вы уверены, что после таких манипуляций с системными файлами потом не будет никаких проблем после установки обновления ? Тот же апдейт он же не только эту dll заменяет. Так что фича довольно сомнительная.

[alamor 69]

Хотелось бы

добавить удаление группы файлов из каталога по маске, в скрипт

а также карантин файлов из каталога по маске.

[santy 153]

alamor,

Хотелось бы

а также карантин файлов из каталога по маске.

честно говоря, я сейчас склонен к концепции автора - через команды uVS удалять только то, что есть (или попало) в образе.

т.е. предварительно использовать adddir, а потом уже delall или chklst&delvir того, что это заслуживает.

т.е. "не казнить без суда и следствия", а иссследовать то, что есть в автозапуске.

[alamor 69]

т.е. "не казнить без суда и следствия", а иссследовать то, что есть в автозапуске.

именно поэтому предложил

а также карантин файлов из каталога по маске.

сначала суд по анализу карантина, а потом по результатам удаление. Не все останки вируса будут светиться в автозапуске, но это не повод оставлять там останки вируса (пускай он даже уже не сможет запуститься).

[Vvvyg 12]

Пара предложений.

1. Добавить скриптовую команду для выгрузки приложения из памяти. Полезно перед чисткой кэшей и стартовых страниц броузеров, поскольку рекомендацию закрыть все броузеры перед выполнением скрипта не все пользователи учитывают. И какой-нибудь Гуард нейтрализовать перед чисткой hosts тоже не помешает. Название команды - скажем, unload.

2. Не настаиваю, но и не отказался бы от команды некой эмуляции delnfr по образу - чтобы выдавал в скрипт последовательность delref, чтобы потом вручную можно было поправить. Связано с особенностью применения uVS на некоторых ресурсах.

3. Пока в качестве направления для обсуждения - необходима система бэкапа веток реестра и файлов, чтобы после удаления по delnfr, delref/delall можно было бы вернуть, всё взад, если что не так.

[santy 153]

Пара предложений.

2. Не настаиваю, но и не отказался бы от команды некой эмуляции delnfr по образу - чтобы выдавал в скрипт последовательность delref, чтобы потом вручную можно было поправить. Связано с особенностью применения uVS на некоторых ресурсах.

имхо, если делать развертку delnfr для анализа, "а чего там будет удалено", то лучше это делать не в тело скрипта, а в тело лога, чтобы не засорять скрипт. а из лога уже можно будет откопировать в скрипт, то что посчитается полезным для удаления.

[Vvvyg 12]

имхо, если делать развертку delnfr для анализа, "а чего там будет удалено", то лучше это делать не в тело скрипта, а в тело лога, чтобы не засорять скрипт.

Вариант. Но тогда уж с логированием того, что в реестре удаляется, чтобы можно было предугадать варианты типа crexv.ocx.