Новые функции в Universal Virus Sniffer (uVS) - Страница 27 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

PR55.RP55

Суть предположения: Есть некий файл, имя файла совпадает с именем известного/системного файла, но есть расхождение в пути.

У Оператора возникает сомнение...

Вдруг это реальный системный файл и его удаление приведёт к...

Просто это очень, очень, весьма кривая сборка системы.

Если сделать, как показано на фото Оператор будет уверен в своих действиях и спокойно сможет удалить подозрительный файл.

444_cr.jpg

post-8956-1378308788_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55, если есть сомнения, то достаточно фильтра по тому же EXPLORER, чтобы убедиться, что настоящий EXPLORER сидит на своем месте, и никуда не уходил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Если есть сомнения, то достаточно фильтра по тому же EXPLORER, чтобы убедиться, что настоящий EXPLORER сидит на своем месте, и никуда не уходил.

Я знаю про фильтр и понимаю, что можно так проверить.

Только вот для чего проверять, если всё сразу будет видно, как это показано на фото.

т.е. проверка будет АВТОМАТИЧЕСКОЙ !

Автоматическая проверка при условии: "Имя файла совпадает с именем известного/системного файла, но есть расхождение в пути."

Мы же к автоматизации процесса стремимся ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55, на основании расхождения путей между известными/системными файлами никто ведь и не предлагает удалять файлы. Самое место таким файлам в категории подозрительных. Все равно этот файл придется проверять, даже если найдется (или не найдется) ему автоматически оригинал на правильном месте.

т.е. расхождение в путях - не повод для удаления, но симптом для проверки, независимо от того, есть оригинал или нет его.

достаточно глянуть на ссылки, по которым он стартует из автозапуска.

-------

а делать скидки и допуски под сборки систем, думаю - это неправильный будет путь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Santy

Важно учитывать уровень знаний/подготовки оператора.

На что ему стоит обратить внимание в первую очередь.

Важно знать/видеть, есть ли необходимый для работы системы файл в списке.

Да это не отменяет проверки подозрительного объекта, но избавит оператора от лишних сомнений.

Вся необходимая для орг. выводов информация будет перед глазами.

А причин "Дублирования" файла может быть множество: Авторские сборки; Системный файл - например cmd.exe запущен/запускался с USB диска или рабочего стола; Вирусы маскирующее своё имя под имя известного объекта но стартующие из другой директории.

+ Информацию о наличии легитимного файла можно выводить и в случае схожести имён. ( например когда имена отличаются на 1 символ )

Да...

Я понимаю, что Оператор должен разобраться.

И вероятно разберётся в ситуации.

Но !

На поиск/проверку нужно время.

Зачем доп.телодвижения делать ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Зачем доп.телодвижения делать ?

не знаю, не знаю,

лично я предпочту визуально увидеть легальный объект в списке, просмотреть его полное описание: ссылки, наличие цифровой подписи, контрольные суммы и т.д.

в вопросах жизни и смерти системы лучше сделать доп. движение, чтобы действовать наверняка, а не по косвенному поиску, из за того, что вероятно в системе появился двойник.

+

эта оптимизация в целом ничего не решает, все равно надо проверять объект по VT.

-------

админы, например, любят переименовать r_server в близкий к svchost.exe, чтобы юзера не прибивали процесс r_server

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Лично я предпочту визуально увидеть легальный объект в списке, просмотреть его полное описание: ссылки, наличие цифровой подписи, контрольные суммы и т.д.

Можно ведь и переход сделать.

т.е. Выдать в инфо. так так это на фото показано + реализовать возможность перехода к самому объекту.

Получаем автоматически данные от uVS и возможность удостовериться.

Эта оптимизация в целом ничего не решает, все равно надо проверять объект по VT.

Для левого объекта НЕ решает.

А по известному получим информацию - есть такой в системе или нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit

demkd

есть предложение по поводу работы программы из win_pe :

при выборе "мертвой" системы каждый раз приходиться набирать путь : "C:\WINDOWS"

хотелось бы его видеть по умолчанию... и если токовой нас устраивает просто нажать enter , а в случае если такого нет пути или он нас не устраивает так уж и быть искать вручную. если эта идея понравиться автору , то можно ее дополнить выпадающим меню с сохраненными другими путями в какой нибудь (lnk_os.ini) или типо того.

а также кто подскажет :

по работе с удаленной системой по сети, выбрал комп и включил удаленный рабочий стол ... радости нет придела! но как без танцев с бубном запустить работу uVS на этом удаленном компе?! :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

Smit,

как часто приходится заходить с козырного туза в игре с вирусняком?

....эта рационализация может внести путаницу. придется проверять на всех разделах и дисках наличие каталога системы.

даже если добавить в list popup найденные каталоги системы, как это сделано в ERD commander 2005, все равно надо точно знать, какая система из списка является рабочей.

аналогично, и с lnk.os.ini. как говорится, пути системы неисповедимы.

-------------

по подключениям к удаленному компутеру, быстрее всего вбить IP. (если он неизвестен, тогда предварительно пропинговать имя компьютера в локальной сети)

но как без танцев с бубном запустить работу uVS на этом удаленном компе?! facepalm.gif

здесь лучше уточнить, что имеется ввиду... подключение к удаленному рабочему столу, минуя построение списка автозапуска?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit

santy что то вы все не о том говорите... я в карты не играю это для дебилов и катал!

объясняю подробно: загрузился с win_pe для ремонта "убитой" системы жму выбрать каталог (в 99% это "C:\WINDOWS") чего тут не ясного и сложного? забить эту позицию вместо "весь компьютер" остается только согласиться или выбрать свой путь например :"D:\WINDOWS" и совсем не нужно ни каких проверок для этого делать ... а как это сделано в ERD commander 2005 меня как то не беспокоит

"по подключениям к удаленному компьютеру, быстрее всего вбить IP" как то опять не в ту степь!!! меня интересует как запустить сам uVS на компе а не службу удаленного доступа!

ПОДРОБНЕЕ: мне надо подключиться к реестру удаленной машины , а не щелкать мышкой по чужому рабочему столу и каталогам!

пака получается два варианта: или я должен где то на расшареном ресурсе сбросить программу и потом через удаленный доступ жертвы запустить uVS или скинуть его же на компьютер жертву (а комп зараженный) и запускать его там со всеми отягчающими , а после лечения удалить все следы программы (дистрибутив) при всем таком маразме зачем мне тогда сетка???!!!

надеюсь теперь проблема разжевана?

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Smit

Смените тон.

Вы кому предъявляете претензии ?

Вам тут обязаны ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
santy

объясняю подробно: загрузился с win_pe для ремонта "убитой" системы жму выбрать каталог (в 99% это "C:\WINDOWS") чего тут не ясного и сложного?

Smit, о том и вопрос: как часто вы это делаете: один раз в день, один раз в неделю, один раз в месяц... намного чаще, намного реже...

судя по темам на форумах с winlock, mbrlock самые разные могут быть каталоги: win, wind, win8, windows.0, windows.1

"по подключениям к удаленному компьютеру, быстрее всего вбить IP" как то опять не в ту степь!!! меня интересует как запустить сам uVS на компе а не службу удаленного доступа!

а этот режим вы не используете? чем он не устраивает? uVS запускается на удаленной в сети машине (без подключения к рабочему столу), и весь список автозапуска у вас в кармане (на вашем рабочем столе), делайте с ним что хотите. через интерфейс uVS.

Start.exe имеет ключи запуска:

/с (указать имя компьютера)

Пример:

start.exe /c computername

start.exe /c computername /p user password

на рисунке этот режим показан как "выбрать удаленный компьютер"

start2.jpg

или опять не то?

post-1135-1378691591_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer]

\BackupPath]

ntbackup.exe

\cleanuppath]

cleanmgr.exe

Если изменить ***.exe

То, после нажатия кнопки выполнить будет выполнено...

А если файл ещё и будет иметь цифровую подпись. ( Смотрим фото результат )

Думаю нужно внести изменения.

Хотя бы в плане того, что все системные файлы с цифровой подписью НЕ от microsoft "+", а от Васей Пупкиных считать подозрительными.

2) Категория: "подозрительные и вирусы"

Автоматическая группировка объектов списка по группам ( по настройке settings.ini )

Например по: " Ключ реестра = или содержит значение ХХХ "

т.е. Фактически проводить авто. группировку объектов по данным из Инфо.

Задаётся некое характерное, отличительное/объединяющее свойство для...

* Группы визуально разделять пробелом.

4434.jpg

post-8956-1378828440_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Например по: " Ключ реестра = или содержит значение ХХХ "

т.е. Фактически проводить авто. группировку объектов по данным из Инфо.

RP55, объясни, зачем нужна (чего особенного дает) эта группировка? какие есть плюсы в этом?

(помимо минусов создания параллельной структуры критериев в settings.)

то что со статусом ?ВИРУС? и с детектом сигнатур и так все время наверху.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Santy

Группировка по объектам реестра:

Например:

Все объекты: WINLOGON ; RUN ; APPLICATION DATA...

Или

Все объекты типа: ADWARE ; BAR ; SECURITY SCAN ...

Все объекты сгруппированы...

Плюсы в поочерёдной обработке.

Посмотрели и обработали объекты одного типа, затем другого.

uVS сейчас работает именно так - разбивает объекты на КАТЕГОРИИ т.е. на группы по признаку.

В settings.ini следует реализовать на уровне Активно/НЕактивно.

А так, есть база критериев поиска где фильтр можно добавить по имени критерия.

т.е. имя критерия + комментарий = автоматическая разбивка списка " ПОДОЗРИТЕЛЬНЫЕ И ВИРУСЫ" на группы.

Сейчас есть ограничение по группировке списка это: Имя; Каталог; Статус ; Производитель.

Значит реализовав данное предложение появляется возможность структурировать список образом наиболее удобным для оператора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55, плюсов в упор не вижу в поочередности обработки объектов....

достаточно деления подозрительных по статусам. будь хоть адваре, хоть zbot, если попал под сигнатуру, значит будешь удален...

если попал на статус ?ВИРУС? по критериям, значит будешь удален из автозапуска согласно выбранному в settings методу удаления.

другое дело, что в рамках текущей модели uVS нужны категории критериев жестко определенные в самой программе:

1. поисковые критерии

2. критерии uninstaller

3. критерии delhost

4. белые списки

возможно другие добавятся

которые uVS обрабатывает различным образом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Santy

Просто можно чётко дифференцировать по типу запуска.

По типу сопутствующих объектов.

Чётко увидеть: что, как и где.

* Может народ что скажет ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

А дифференциации по категориям автозапуска сейчас недостаточно?

процессы,

сервисы,

сервисные модули,

модули в памяти

и т.к.

все, что попадает в подозрительные и вирусы относится к определенной категории автозапуска.

может отсюда имеет смысл и отталкиваться, не создавая лишних сущностей?

--------------------

скажем, для той же статистики:

выгружено столько то (вредоносных) процессов,

удалено столько то сервисов,

деинсталлировано столько то приложений,

и т.д.

как итог в конце выполнения скрипта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Santy пишет:

Все, что попадает в подозрительные и вирусы относится к определенной категории автозапуска.

Может отсюда имеет смысл и отталкиваться, не создавая лишних сущностей?

Да, это верная мысль.

Можно разделить по группам в зависимости от того из какой категории данный объект был добавлен.

Только не будет той дифференциации которая нужна оператору.

В моём предложении можно задать чёткие рамки границы.

-------

По Статистике - это явно лишнее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) По критериям поиска.

Возможность быстрого подключения блока критериев.

Для увеличения скорости создания критерия.

Пример блока:

ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО MICROSOFT WINDOWS; ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО MICROSOFT CORPORATION; ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО NVIDIA CORPORATION; ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО SYMANTEC CORPORATION; \KASPERSKY LAB\AVP

Зачем набирать блок исключения вручную и тратить время, если по команде можно добавить разом весь нужный блок данных.

Соответственно добавить в меню доп команду: "Подключить блок"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) В меню добавить команду: "показать ресурсы файла"

Ресурсы типа: "Dialog" ; "Manifest" ; "Menu" и т.д.

Кириллица; Латиница.

Наличие/отсутствие иконок; количество иконок; их тип.

Посмотрим ресурсы РЕАЛЬНОГО TASKMGR.EXE

см. фото.

Очевидно, что при банальной подмене файла типичных для файла ресурсов присутствовать не будет.

Появляется возможность быстро оценить ситуацию.

------

Оптимально в дальнейшем реализовать автоматическую проверку _сличение_ на наличие Типичных файлу ресурсов.

При отсутствии типичных файлу ресурсов - файл получает статус подозрительного - Оператор получает соответствующее информационное уведомление.

( перечень ресурсов; тип и т.д )

111.jpg

444.jpg

post-8956-1379846063_thumb.jpg

post-8956-1379846075_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Меню.

" Проверить все файлы каталога и подкаталоги "

см. фото.

* С последующим автоматическим добавлением исполняемых файлов каталога в список.

555.jpg

post-8956-1380284198_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

можно скорректировать реакцию uVS на объекты автозапуска со статусом ?ВИРУС? ?

типа файл, который детектируется на VT или JT, но по которому не извлекается сигнатура (или в общем случае просто нет на этот файл сигнатурного детекта)

например:

Полное имя C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\APPLICATION DATA\FLASH\UPDATE.VBS

Имя файла UPDATE.VBS

Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

www.virustotal.com 2013-07-27 [2013-05-10 04:27:12 UTC ( 4 months, 3 weeks ago )]

DrWeb Trojan.BtcMine.87

Microsoft Trojan:VBS/Cominer.A

ESET-NOD32 VBS/CoinMiner.E

Сохраненная информация на момент создания образа

Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Размер 202 байт

Создан 05.05.2013 в 16:58:28

Изменен 29.04.2013 в 01:13:24

Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Путь до файла Типичен для вирусов и троянов

Доп. информация на момент обновления списка

SHA1 BDC96DD5CAB08F7F9502B752E20655CF49F19F67

MD5 E1E0814B08507078E8A0819914ACAD62

Ссылки на объект

Ссылка C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\FLASHUPDATE.LNK

т.е. если мы выбираем метод удаления 2

2 - применить delref

то, в этом случае в автоскрипт до проверки на VT добавляется команда

delref C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\APPLICATION DATA\FLASH\UPDATE.VBS

но если мы сделали предварительно проверку на VT и получили что один или несколько антивирусов из списка vFilter детектирует файл,

то в этом случае в автоскрипт будет добавлена команда

delall C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\APPLICATION DATA\FLASH\UPDATE.VBS

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

В продолжение темы по фал/ресурс/просмотр.

Вот реальная программа с возможностью просмотра.

Не так чтобы детально - Однако сам факт.

444.jpg

post-8956-1380558332_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Аркалык

demkd, Возможно ли добавить в образ автозапуска список установленных плагинов в браузерах? И дать возможность управлять им (отключить/удалить). Против рекламных баннеров в браузерах в самый раз.

+

Добавить возможность почистить кэш java: Пример Тоже нужная фиша против баннеров в браузерах. Можно поставить рядом с чисткой HOSTS (твики)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×