Новые функции в Universal Virus Sniffer (uVS) - Страница 23 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

PR55.RP55

alamor

Речь идёт именно о полезном сегменте/части данных.

Не о том, чтобы всё подряд пихать в инфо...

Кроме того !

Не всё сводиться к работе с образами - есть и реальная система.

Как было сказано, есть возможность ограничить список тех файлов по которым будет собираться дополнительная информация.

Возможно это будут основные системные файлы или только для: "файл + процесс" или для объектов с сетевой активность.

К значительному увеличению веса образа это не приведёт и в тоже время позволит получить ценные данные.

ЦЕННЫЕ как для оператора - так и для/при формировании поисковых критериев.

Структура файла может содержать повторяющиеся/характерные объекту элементы.

Вспомним, что есть вирусы где время/дата создания/изменения файла повторяется - вроде мелочь ?

Однако, если данные ПОСТОЯННЫЕ то для формирования критерия это отличное условие !

Кроме того для чего нужно/необходимо тестирование uVS ?

Реализовать - посмотреть - проверить - сравнить результат/результативность...

Сделать вывод...

На основании результата - вывода принять решение нужна данная функция, или нет !

Не отрицать не отказываться огульно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

PR55.RP55 можете указать, что конкретно ценного добавится ? Большинство файлов, чем-то упакованы и всё что вы увидите это каким пакером они сжаты. Вы будете по пакеру выносить вердикт ? uVS же не знает, какие именно файлы вас потом заинтересуют и в итоге увеличивается время создание лога, а также размер лога. Если есть прямой доступ к системе, то берите PEiD и вперёд.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

alamor

отклоняется, смысла я таки не вижу.

alamor

то что выброшено из автозапуска лишь дует образ, если оно запускалось или еще где-то есть в автозапуске оно и так попадет в образ, если нет то оно и не нужно, соотв. опять же отклоняется.

Бесполезный функционал я не добавляю, а если иногда и добавляю то только по теме проекта и за отдельную плату, время имеет свою цену, поскольку это сильно ограниченый ресурс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

1) На размер образа добавление анализа нескольких ключей реестра практически не повлияют.

2) Если uVS его и увидит, то всё равно не почистит за ним ссылки в этих ключах.

3) Это относится к функционалу программы, всё тут согласились, что после uVS приходится подчищать в другой программе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

alamor,

>>>>всё тут согласились, что после uVS приходится подчищать в другой программе.

согласились вот с чем.

-------------

при работе с uVS практически нет необходимости в дополнительных логах hj, rsit (и во многих случаях в avz (кроме скрипта закрытия уязвимостей)).

дополнительные средства очистки - это уже пошли сканеры малваребайт или adwcleaner (специализированная утилитка по очистке toolbar и проч. нежелательных программ.)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Насчёт RSIT тут где-то писали, что его как раз используют для того чтобы потом по нему удалять эти ключи.

Да даже если на форуме PCHelp поискать можно найти:

http://pchelpforum.ru/f26/t19156/2/

http://pchelpforum.ru/f26/t110435/3/

http://pchelpforum.ru/f26/t110435/3/

http://pchelpforum.ru/f26/t46006/2/

Вот этот пост интересен

хм, а это откуда
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\15906189]

cmd.exe /c copy C:\Temp\15904114FdOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /f []

добавьте еще образ автозапуска

а в новом образе это снова не видно :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel-iz-Ada

очень старые темы вы показали для примера. и uVS тогда действительно не все видел. сейчас ситуация иная.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Angel-iz-Ada ситуация в отношение этих ключей не изменилась (можете проверить сами), а новых тем с этими ключами нет, так как вы полностью перешли на uVS который их не видит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel-iz-Ada

покажите тему с подобной проблемой которая не решилась с помощью uVS

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg

Одна вещь, которой не хватает в uVS, приходится запрашивать лог MiniToolbox: показ DNS-серверов, выданных по DHCP. Думаю, не так сложно реализовать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Насчёт RSIT тут где-то писали, что его как раз используют для того чтобы потом по нему удалять эти ключи.

alamor, а вы какое отношение имеете к форуму pchelpforum? просто мониторить темы.

по ссылке - это просто ступор, т.е. запись исключена из автозапуска, потому нет ее в образе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Вот этот пост интересен

Angel-iz-Ada вы можете запросто воспроизвести ситуацию у себя и убедиться, что uVS до сих слеп в этом отношение и не чистит эти ключи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Angel-iz-Ada вы можете запросто воспроизвести ситуацию у себя и убедиться, что uVS до сих слеп в этом отношение и не чистит эти ключи.

как раз малоинтересна, потому что запись исключена из автозапуска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel-iz-Ada

а какая опасность от этой записи?

1. зараженного hosts в темпе нет - то есть оригинал заменять нечем.

2. юзер не идиот чтоб залезть в msconfig и включить хз что за программу.

уже поднимался вопрос о отображении в логе uVS отключенных записей msconfig

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Vvvyg

это да, надо бы сделать, бывает подмена dns произведена на роутере.

а пока можно просто запрашивать скриптом ipconfig /all

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

santy, Angel-iz-Ada тогда почему вы раньше их вычищали ?

http://pchelpforum.ru/f26/t32606/#post266700

http://pchelpforum.ru/f26/t46006/2/#post384247

http://pchelpforum.ru/f26/t19156/2/#post149808

http://pchelpforum.ru/f26/t50665/#post420862

Теперь похоже считаете, что если проблемы не видно её нет ;).

P.S. а если на вашем компьютере будет такая строчка, тоже её ставите со словами из темпа ведь почистили, а тут не мешает.

По сабжу:

Возможность добавлять для файла hosts составные критерии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Возможность добавлять для файла hosts составные критерии.

Это обычный критерий почему бы его не отредактировать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

alamor,

>>>santy, Angel-iz-Ada тогда почему вы раньше их вычищали ?

мы на PCHF с 2011 г, по тем ссылкам, что приведены, uVS еще не использовался на форуме. в настоящее время RSIT входит в чисто необязательных логов для пользователя. обязательны только uVS и(или) AVZ, остальные по мере необходимости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel-iz-Ada

alamor

может вы еще темы за прошлый век покажите?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Это обычный критерий почему бы его не отредактировать?

demkd,

да, это работает

пример из лога:

Host detected: 66.85.174.29 my.mail.ru

[HOSTS.OK] (↓HOST↓ ~ ODNOKLASSNIKI.RU)(0) OR (↓HOST↓ ~ OK.RU)(0) OR (↓HOST↓ ~ VK.COM)(0) OR (↓HOST↓ ~ MAIL.RU)(1)

Host detected: 66.85.174.29 ok.ru

[HOSTS.OK] (↓HOST↓ ~ ODNOKLASSNIKI.RU)(0) OR (↓HOST↓ ~ OK.RU)(1) OR (↓HOST↓ ~ VK.COM)(0) OR (↓HOST↓ ~ MAIL.RU)(0)

+

тело автоскрипта

;uVS v3.80.10 [http://dsrt.dyndns.org]

;Target OS: NTv5.1

OFFSGNSAVE

;------------------------autoscript---------------------------

chklst

delvir

delref HTTP://WWW.APEHA.RU

delhst 66.85.174.29 my.mail.ru

delhst 66.85.174.29 m.my.mail.ru

delhst 66.85.174.29 vk.com

delhst 66.85.174.29 vk.com

delhst 66.85.174.29 ok.ru

delhst 66.85.174.29 ok.ru

delhst 66.85.174.29 m.vk.com

delhst 66.85.174.29 odnoklassniki.ru

delhst 66.85.174.29 www.odnoklassniki.ru

delhst 66.85.174.29 www.odnoklassniki.ru

delhst 66.85.174.29 m.odnoklassniki.ru

delhst 66.85.174.29 m.ok.ru

; Java 6 Update 37

exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216035FF} /quiet

deltmp

delnfr

;-------------------------------------------------------------

restart

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

demkd вручную редактировать критерий ? Через GUI всё-таки удобней было бы.

по тем ссылкам, что приведены, uVS еще не использовался на форуме. в настоящее время RSIT входит в чисто необязательных логов для пользователя.

По этой причине ссылки на свежие темы с pchelp нету, вы просто не замечаете, что у юзера там есть подобные вирусные записи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
По этой причине ссылки на свежие темы с pchelp нету, вы просто не замечаете, что у юзера там есть подобные вирусные записи.

alamor,

нам лучше судить о проблемах юзеров на pchf, поскольку мы там хелперы. и на этом точка.

Через GUI всё-таки удобней было бы.

составной критерий по hosts и сделан через GUI. а не в текстовом редакторе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel-iz-Ada

alamor

По этой причине ссылки на свежие темы с pchelp нету, вы просто не замечаете, что у юзера там есть подобные вирусные записи.

что за глупости вы пишите?

http://pchelpforum.ru/f26/t122054/ - здесь не помогло?

или можешь здесь - http://pchelpforum.ru/f26/t122813/

а может тут? http://pchelpforum.ru/f26/t122944/

а отсюда можете образ скачать чтоб посмотреть что такое /C - http://forum.esetnod32.ru/forum6/topic9457/

Полное имя /C

Имя файла /C

Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям

COPY (ЗНАЧЕНИЕ ~ CMD.EX)(1)

Сохраненная информация на момент создания образа

Статус в автозапуске

Ссылки на объект

Ссылка C:\WINDOWS\TASKS\AT1.JOB

Значение "cmd.exe" "/c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Users\8523~1\AppData\Local\Temp\7505218aq C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts"

Ссылка C:\WINDOWS\SYSTEM32\TASKS\AT1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

santy я про это

fd0a1c7a16b87911b088feb32927435d.jpg

как видно по скрину критерий на эту строчку уже есть, но из этого окна добавить ещё одно условие к нему нельзя.

Angel-iz-Ada лучше ответьте на вопрос

а если на вашем компьютере будет такая строчка, тоже её ставите со словами из темпа ведь почистили, а тут не мешает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel-iz-Ada

вы знаете сколько ненужного мусора в реестре? каждую запись чистить запаритесь.

и та запись от msconfig именно к мусору и относится. они ничем не вредна, но и пользы нет.

ведь uVS это не CCleaner чтоб чистить весь (!!!) мусор в системе

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×