Новые функции в Universal Virus Sniffer (uVS) - Страница 25 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

demkd

santy

скачать файл не выйдет, id у него п.н. будет левый

а замена тут надо какой-то универсальный механизм придумать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
JunDF

1. А если обнаружен зловредный днс , то можно через скрипт его убрать или заменить на гугловский?

2. И если зловредный днс в роутере, то будет ли он отображён в логе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

JunDF

1. можно установить любой dns статикой для нужного подключения скриптовой командой, что и следует всегда делать от этого будет только лучше в любом случае, поскольку dns-ы провайдеров обычно просто никакие

2. если dns прописан в роутере для отдачи через dhcp то его будет видно если роутер отдает свой ip в качестве dns то и будет виден ip роутера, тут опять же стоит для профилактики установить статический dns.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

santy

скачать файл не выйдет, id у него п.н. будет левый

а замена тут надо какой-то универсальный механизм придумать.

а если через функцию ВОССТАНОВИТЬ отсутствующие файлы из хранилища?

из под live.cd конечно не будет проблемы: и файл зараженный можно удалить, и STORE добавлен на диск.

а для работы с активной системой, мы обычно STORE не распространяем. rpcss.dll из активной системы дает себя переименовать, затем уже на "пустое место" можно скопировать чистый файл из STORE. Но здесь uVS должен выбрать подходящий файл из библиотеки.

JunDF

2. если dns прописан в роутере для отдачи через dhcp то его будет видно если роутер отдает свой ip в качестве dns то и будет виден ip роутера, тут опять же стоит для профилактики установить статический dns.

да, это надо потестировать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Demkd пишет: Cкачать файл не выйдет, id у него п.н. будет левый

1 ) Создать: список/базу-справочник ID

Алгоритм: Нужно заменить/восстановить файл - открываем ID справочник > выбираем > применяем.

( Справочник доступен из контекстного меню ( по имени файла ) )

DATACLEN.DLL

File_Id 4803819611000

Тип файла 32-х битный

Размер 54272 байт

Версия файла 6.00.2900.5512 (xpsp.080413-2105)

Описание: Очистка диска для Windows

* Выбирается наиболее подходящий файл - исходя из полученных данных.

2 ) В меню добавить: "Работа с образом завершена" _ "Работа с образом завершена - удалить образ" _ Работа с образом завершена переместить образ в базу образов + 1 < > 9 " ( где число + 1 < > 9 номер каталога )

* По применению: "Работа с образом завершена" - данные образа выгружаются - до состояния чистого списка - uVS ожидает загрузки нового образа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

santy

через store можно

PR55.RP55

1. а кто будет вести этот справочник? да и совместимость dll для разных sp под большим вопросом.

2. не вижу смысла

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Вообще конечно я могу сделать скриптовую команду для восстановления системного файла с параметрами путь\имя id

а вот нужно ли оно и где будете брать id чистых файлов подумайте, на мой взгляд отдать со скриптом нужный файл гораздо проще и надежней.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
santy

через store можно

архив с STORE вместо 2 Мб(без STORE) будет уже 30. проблема, скорее всего в спешке, когда выдается по ссылке файл не в той разрядности, или версии. видимо лучше отдельный файл выдавать по ссылке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Demkd пишет: а кто будет вести этот справочник?

Как кто ! ;)

Ограничиться на данный момент справочником для: rpcss.dll

Santy пишет: архив с STORE вместо 2 Мб(без STORE) будет уже 30

Тоже самое: ограничиться STORE для rpcss.dll

да и совместимость dll ...

А кто отменял работу с: Sys ; EXE ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Меню Файл.

" Переместить открытый образ в каталог... "

* Соответственно файл перемещается, а данные образа выгружаются - до состояния чистого списка - uVS ожидает загрузки нового образа.

2) В плане безопасности.

Перед открытием/распаковкой образа проверять содержимое архива с выводом уведомления/предупреждения.

Уведомление по типу:

" Архив содержит исполняемый объект "

" Архив содержит более одного файла - образа "

" Архив содержит дополнительные txt файлы "

3) По параметрам/настройке встроенного брандмауэра Windows.

В инфо. по сети выводить данные: работает ли брандмауэр, что заданно в ИсключенияХ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

:unsure:

http://forum.esetnod32.ru/messages/forum6/...0/#message70640

Может наведёт на полезные мысли.

На альтернативные варианты удаления/очистки. :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

предлагаю добавить список белых критериев.

для автоматического отсева ложных статусов ?ВИРУС? и ложных детектов по сигнатурам.

при условии, что объект с данным статусом (?ВИРУС?, sign_name) удовлетворяет одному из условий белого списка.

проверка по белым критериям запускается вручную из контекстного меню (и по горячей клавише), например:

проверить все подозрительные и вирусы по белым критериям.

объекты со статусом ?ВИРУС? при срабатывании белого критерия получают статус ПРОВЕРЕННЫЙ и уходят из списка подозрительных.

по умолчанию, приоритет сигнатур выше детекта белого критерия, но можно добавить в settings.ini параметр, который устанавливает приоритет белого критерия над сигнатурным детектом. объект при этом из списка подозрительных не уходит (поскольку висит на нем детект сигнатуры),

но

в этом случае в скрипт автоматически добавлять команду hide file

критерии формируются аналогично поисковым критериям в окне ИНФО.

-------------

пример белого критерия:

(ПОЛНОЕ ИМЯ ~ \WEBMONEY.EXE)(1) AND (ЦИФР. ПОДПИСЬ ~ ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО CJSC COMPUTING FORCES)(1) AND (ПРОИЗВОДИТЕЛЬ ~ CJSC "COMPUTING FORCES")(1) AND (ОРИГИНАЛЬНОЕ ИМЯ ~ WEBMONEY.EXE)(1)

проверку по белым критериям рекомендуется проводить перед запуском автоскрипта.

соответственно (при удачных и продуманных белых критериях), должно положительно влиять на время составления скрипта.

видимо удобнее будет хранить белые критерии в отдельном (от snms) файле.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

santy, если вам нужны "белые" критерии для того чтобы исключить фолсы со срабатыванием "вирусного" критерия, то почему бы не приписать исключения прямо в "вирусном" критерии?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

alamor,

santy, если вам нужны "белые" критерии для того чтобы исключить фолсы со срабатыванием "вирусного" критерия, то почему бы не приписать исключения прямо в "вирусном" критерии?

не только фолсы вирусных критериев, но и фолсы сигнатур.

более точные критерии можно писать по известным вариантам троянов, но они не охватят максимально поток возможных вариантов запуска, потому приходится добавлять общие (приближенные) критерии, которые с большей вероятностью отфильтруют неизвестные варианты в подозрительные. Но при этом попадают и чистые объекты в силу приближенности общих критериев.

в белые критерии будут добавляться максимально точные правила. потому, часть списка подозрительных со статусом ?ВИРУС? и ложным sign- детектом отфильтруется автоматически. (после выполнения данной функции). Сейчас это приходится делать руками: через shift+space и через статус hide.

---------

т.е. более точное решение (детект) стремимся получить не за один шаг, а в несколько итераций (последовательным приближением): вначале получаем максимальную выборку подозрительных вариантов.... затем в этом списке убираем (автоматически), то что попало в него случайно (за компании с другими подозрительными.). это можно делать вручную, конечно, но можно и автоматизировать подобным образом отсев.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Как оказалось я уже предлагал год назад: http://www.anti-malware.ru/forum/index.php...st&p=163277

Но не читают, не читают предложений от RP55.

Вот я бы их все перечитал ! :unsure:

И это: http://www.anti-malware.ru/forum/index.php...st&p=163772

4) Позитивный критерий поиска.

т.е. В данном случае файл/объект будет скрываться из списка.

Пример:

=

GO.MICROSOFT.COM/FWLINK/?LINKID=54896

GO.MICROSOFT.COM/FWLINK/?LINKID=69157

WWW.MICROSOFT.COM/ISAPI/REDIR.DLL?PRD=IE&AR=IESEARCH

или

\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS

Действительна, подписано Duplex Secure Ltd

HKLM\System\CurrentControlSet\Services\sptd\ImagePath

\SystemRoot\System32\Drivers\sptd.sys

Аналогично, можно настроить и для ряда системных файлов.

В данном случае файл будет не просто известным, он ещё и будет соответствовать целому ряду надёжных критериев.

+

Фото.

4543666.jpg

post-8956-1376313105.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55, в данном случае белый список будет работать не только на автоматический отсев из категории подозрительные, но и на автоматическое формирование скрипта. ЛИчно для меня приоритетна автоматизация создания скрипта, а не просто голый отсев безопасных файлов.

то, что предлагает alamor (добавить исключения в общие критерии) с одной стороны усложнит конструкцию критерия, с другой стороны замедлит проверку, поскольку предполагается автоматическая проверка и по основному (вирусному) критерию, и в случае его выполнения - проверка по исключениям, и в третьих, создаст избыточность исключений, поскольку при наличии нескольких общих критериев надо будет в каждый из них прописывать одни и те же исключения.

========

вопрос в том: каким образом лучше хранить белые критерии: либо в отдельном файле (по аналогии с snms), либо в общем списке критериев с меткой :белый, позитивный , пушистый, еще какой-нибудь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Всё таки рекомендую перечитать предложения.

А Автоскрипт это новая функция.

Соответственно следует рассматривать ранние высказанные предложения с учётом того, что была реализована функция автоскрипта.

----

По предложению от alamorа - это к нему доп.вопросы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55, если они соответствуют концепции автоскрипта, то можно их и переформулировать. Чем проще - тем лучше. Лучше для понимания, для программирования, для контроля ошибок.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
1) Поисковый Критерий

Настройка глубины поиска в зависимости от: \

\

\\

\\\

\\\\

т.е. задаём число Леших.

\WINDOWS

\WINDOWS\system32

\WINDOWS\system32\drivers

\WINDOWS\system32\drivers\

Думаю, иногда было бы полезно указать, чтобы критерий действовал только для определённой папки без проверки на подпапки. Только проверять, конечно, не слешами, а устанавливать какой-то флаг с рекурсией или без. А также чтобы можно было использовать макросы для указаний пути к системной папке, к папке пользователя и т.д.

Думаю иногда было бы полезно указать, чтобы критерий действовал только для определённой папки без проверки на подпапки. Только проверять конечно не слешами, а устанавливать какой-то флаг с рекурсией или без. А также чтобы можно было использовать макросы для указаний пути к системной папке, к папке пользователя и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Это так - для размышления.

555666.jpg

post-8956-1376483840_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

могу просто сделать зависмость от имени критерия,

скажем если имя критерия начинается на + то результатом попадания объекта под критерий будет присваивание статуса проверенного файла,

на мой взгляд идея не слишком хорошая, вряд ли будет это востребовано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
могу просто сделать зависмость от имени критерия,

скажем если имя критерия начинается на + то результатом попадания объекта под критерий будет присваивание статуса проверенного файла,

на мой взгляд идея не слишком хорошая, вряд ли будет это востребовано.

В таком варианте мне это тоже НЕ нравиться.

------

Что касается: "Белого критерия"

Настройка - формирование критерия должны происходить так, как это происходит сейчас.

Только файлы попавшие под определение "белого критерия" в отличие от "Чёрного критерия" должны получить статус ?Проверен? и по соответствующей настройке в settings.ini автоматически скрываться.

+ Доп команда: "Скрыть все файлы со статусом ?Проверен?

+

Возможность задействовать в процессе работы механизм автоматизации = автоскрипт.

Вот это ВАЖНО !

------

Если есть вопросы - сомнения это нужно обсуждать !

А так непонятно, как рассматривается данный вопрос.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

PR55.RP55

если нет доверия собственно ручно сделанному критерию то зачем вообще огород городить? :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Demkd пишет: если нет доверия собственно ручно сделанному критерию то зачем вообще огород городить?

Доверяй - но проверяй !

Дело не в доверии - дело в проверке работоспособности критерия.

Как это лучше оценить ?

Создал/настроил > Посмотрел на результат > Скрыл.

Должен же быть контроль.

-----

Можно создавать надёжные "белые критерии" что значительно ускорит обработку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
могу просто сделать зависмость от имени критерия,

скажем если имя критерия начинается на + то результатом попадания объекта под критерий будет присваивание статуса проверенного файла,

на мой взгляд идея не слишком хорошая, вряд ли будет это востребовано.

имхо, не очень хорошо, смешать белые и поисковые критерии в один файл, поскольку назначение их прямо противоположное. хотя и механизм создания одинаков будет.

опять же, придется подправлять алгоритм фильтрации: в одном случае пропускать белые, в другом наоборот серые записи.

возможно, белые списки нужны не столько чтобы отменять статус ?ВИРУС? сколько через hide автоматически обходить ложное срабатывание.

но на свой страх и риск через добавлении соотвествующего параметра в settings.

поскольку детект сигнатур имеет самый высокий приоритет. и это правильно.

чистый webmoney.exe довольно часто попадает под сигнатуру, наверняка еще есть некоторые чистые файлы, которые попадают под детект.

и жаль бывает удалить полезную и рабочую сигнатуру.

если проверка по белым спискам будет удачной, можно будет включить ее в автоскрипт.

отсканировать список подозрительные и вирусы по белым исключениям, подправить статусы, добавить нужные хиды, а затем уже формировать команды на удаление файлов, записей реестра, унинсталы и проч.....

------------

по сути - белые списки - это критерии исключений из проверки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×