Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 82]

1) Я уже предлагал.

Если системный/известный файл подписан не Microsoft автоматом помещать файл в подозрительные.

http://www.anti-malware.ru/forum/index.php?showtopic=16702

Полное имя C:\WINDOWS\SYSTEM32\SRVSVC.DLL

Имя файла SRVSVC.DLL

www.virustotal.com 2013-01-01 [2011-01-02 12:31:25 UTC ( 2 years, 10 months ago )]

- Файл был чист на момент проверки.

Сохраненная информация на момент создания образа

Статус АКТИВНЫЙ ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ сервисная_DLL в автозапуске [sAFE_MODE] [sVCHOST]

File_Id 4C7754AB1B000

Linker 7.10

Размер 99840 байт

Создан 15.04.2008 в 22:00:00

Изменен 15.04.2008 в 22:00:00

Тип файла 32-х битный ИСПОЛНЯЕМЫЙ

Цифр. подпись Действительна, подписано simplix

Оригинальное имя SRVSVC.DLL

Версия файла 5.1.2600.6031 (xpsp_sp3_qfe.100826-1642)

Версия продукта 5.1.2600.6031

Описание Server Service DLL

Продукт Microsoft® Windows® Operating System

Copyright © Microsoft Corporation. All rights reserved.

Производитель Microsoft Corporation

Доп. информация на момент обновления списка

SHA1 DEE70759B2BB8FCB021B78742A0C319C5347043B

MD5 01D791DB47BA0D92B447AE07728FFEC1

Процессы на момент обновления списка

Процесс C:\WINDOWS\SYSTEM32\SVCHOST.EXE

Ссылки на объект

Ссылка HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\ServiceDLL

ServiceDLL %SystemRoot%\System32\srvsvc.dll

2) Как напоминание: http://www.anti-malware.ru/forum/index.php...st&p=174225

___3_2013_11_20_19_02_30.7z

___3_2013_11_20_19_02_30.7z

[santy 153]

demkd,

предложение: добавить в uVS разбор URL-файлов, если они есть в автозапуске и попадают в образ, +

если эти файлы добавлены в образ через adddir

чтобы в инфо была видна ссылка перехода на страницу.

[PR55.RP55 82]

Поддерживаю предложение:

Предложение: добавить в uVS разбор URL-файлов, если они есть в автозапуске и попадают в образ, +

если эти файлы добавлены в образ через adddir

чтобы в инфо была видна ссылка перехода на страницу.

-----------------------------------------

1) Команды:

Применить скрипт из буфера обмена к данному образу.

Применить скрипт из файла к данному образу.

т.е.Открыли образ ; есть готовый скрипт ; применяем команду.

На выходе видим к какому результату приведёт применение данного скрипта.

Какие объекты будут/НЕ/будут удалены.

Для чего ?

Проверка скриптов на: безопасность и эффективность.

Контроль собственных в запарке написанных скриптов.

Контроль в процессе обучения.

Взаимо - проверка, подстраховка действий на форумах поддержки.

[santy 153]

-----------------------------------------

Для чего ?

Проверка скриптов на: безопасность и эффективность.

Контроль собственных в запарке написанных скриптов.

Контроль в процессе обучения.

Взаимо - проверка, подстраховка действий на форумах поддержки.

RP55, есть уже режим - "проверить скрипт", его и надо доводить до ума.

[PR55.RP55 82]

Предложение.

uvs это unicode приложение какие символы прописаны те и вошли в образ, а вот вопрос читабельности набора unicode символов...

Пример:

C:\Program Files\MSN Games\?ї?-?ї ?R R<Ї - '«цR «. ?R<<?т¦рR--R? рэя-р?\Base\Game\Textures\Settings\Winter\ComAgent.exe"

Где:

ВЕРНО РАЗОБРАНА ЧАСТЬ пути:

C:\Program Files\MSN Games\

И

\Base\Game\Textures\Settings\Winter\

И

Имя

ComAgent.exe

Поиск по пути:

C:\Program Files\MSN Games\?ї?-?ї ?R R<Ї - '«цR «. ?R<<?т¦рR--R? рэя-р?\Base\Game\Textures\Settings\Winter\ComAgent.exe

НЕ будет иметь успеха.

Как же объект/файл найти и считать его данные ?

Автоматически применяется adddir

В данном случае для: C:\Program Files\MSN Games\

Или adddir + Автоматический поиск по имени в подкаталогах.

[PR55.RP55 82]

К выше написанному.

Дело не unicode конечно.

Ситуация: ошибка разбора пути.

Применимо в тех случаях когда часть пути разобрана ошибочно !!

Часть верно.

Речь идёт о попытке восстановления истинного пути и получения данных файла.

Фильтрующий поиск по известной части пути.

Начальной или финальной части. ( на примере приведенном выше )

Через adddir.

Или

Через:

Поиск файлов на NTFS разделах.

За счет прямой работы с таблицей MFT раздела.

Что будет на порядок быстрее adddir

Путём сравнения сходных фрагментов/отрезков директорий.

Стандартный метод разбора разбора путей в uVS > генерация списка в uVS > Сравнение списка с таблицей MFT раздела.

= Восстановление директории до файла путём сравнения и сопоставления данных таблиц.

[PR55.RP55 82]

Статус.

см.фото.

Также можно по производителю и другим параметрам.

Или ОДНОЙ командой разом по группе устойчивых признаков таких, как: SHA1; ID.

+

Обратный эффект.

все файлы с расширением: *** в данной категории проверенны.

Например есть куча файлов - НО вирусы имеют расширение только .EXE

Значит можно выборочно убрать все .Sys; Dll объекты категории.

[PR55.RP55 82]

1) Проявить патриотизм.

И для категории DNS добавить работу с DNS Яндекса.

Где:

Без фильтрации: 77.88.8.8 и 77.88.8.1

Безопасный режим: 77.88.8.88 и 77.88.8.2 ( Сайты проходят антивирусную проверку на серверах Яндекса )

Семейный это Аналог родительского контроля = антивирусная проверка: 77.88.8.7 и 77.88.8.3

Подробности на:

dns.yandex.ru

dns.yandex.ru/advanced/

2) Вариант работы с файлами и категориями.

пример см. на фото.

В Категории под. и вирусы мы видим, что все DLL файлы чисты.

Можно одной командой убрать их из списка.

---

По типу: Работаем в категории под. и вирусы =отданная команда работает для категории под. и вирусы.

P.S. по дизайну окна.

по умолчанию.

1 - exe

2 - dll

3- sys

4 - exe; dll ; sys

т.е. применили _2_ из списка просматриваемой категории скрываются все dll

На фото примере мы видим два варианта.

Вариант когда команда была применена и когда её не применяли.

И какая это экономия по времени...

[Smit 29]

Проявить патриотизм.

И для категории DNS добавить работу с DNS Яндекса.

ага точно вдырочку!

"при использовании Сервиса Яндексу в автоматическом режиме, в обезличенном виде (без привязки к Пользователю), может передаваться следующая информация: тип и модель устройства Пользователя, тип операционной системы устройства Пользователя, перечень доменных имен веб-сайтов, посещаемых Пользователем, а также иная статистическая информация об использовании Сервиса и техническая информация. Указанная информация хранится и обрабатывается Яндексом в соответствии с Политикой конфиденциальности[8]. Указанная информация может также храниться и обрабатываться аффилированными компаниями Яндекса, и Пользователь настоящим дает согласие на передачу такой персональной информации таким лицам.

— Условия использования сервиса "Яндекс.DNS". Пункт 2.8"

[PR55.RP55 82]

google видимо не передаёт !

" Как ошибалась Таймс вызывая Вас лучшим инспектором Скотленд-Ярда !!

[Smit 29]

не уважаемый с какого перепуга ,вы тыкаете меня своим гуглом? я ни чего такого не говорил! что за наглая лож!? от куда вы его вообще взяли? хотя не важно! откуда взяли туда себе и засуньте обратно. очевидно чтобы отмазаться от своего дерьма, вы мажете других!

хватит тролить тему своими изобридеями! загадили весь форум своими постами .

[santy 153]

1) Проявить патриотизм.

И для категории DNS добавить работу с DNS Яндекса.

вначале проявляем патриотизм, а потом добавляем DNS Яндекса в критерии, чтобы автоматически его фиксить, как это сейчас происходит через сигнатуры.

bl 059FFB75D74173521F4E3BEC425D8E7F 1534976

addsgn 1AD78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D49

2B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 16 Praetorian

bl 9CC5C24E0BCB282202C633F16402E3E1 795960

addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C2

29BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP

bl 4ACC7E29ACFF27CE9552CCBD1F5F3E59 1057792

bl E1F8FCCA6D172E6B7681710412F91015 404992

addsgn 1A8BAA9A5583E98CF42B254E3143FE8E60827936FDE89C908D42FD618DD6713924472B15DBAA6210

76430F60139DA5AB2E89638366018BDF58694CEFFF062219 16 FixUPDYandex

bl E7AD9EE4529B2EBF90C14D23B04ECD3D 493936

addsgn 1AE7909A5583358CF42B254E3143FE86C99EAFC552AC940D8D4A9844D98B85C57EEBF8A44B4B7573

D97F7BF550481AA92E8CBBFB65328BF1D28827EBD38DE49A 8 YandexUpdater

[mike 1 57]

А не проще реализовать удаление Яндекса через установка и удаление программ? Чем сигнатурно удалять относительно легальное ПО.

[santy 153]

разные подходы есть, но лучше об этом в другой теме, например, в вопросах разработчику спрашивать.

[Smit 29]

в программе реализована функция просмотра текстовых файлов бат ини хост и тд в принципе вещь хорошая но недостаточная к примеру что хорошего:

если видно что в хосте кроме моих запретов есть еще и вирусные? программа может предложить только полный кердык!

предлагаю функцию просмотра превратить в просмотр и редактирование переделки минимальные польза очевидна.

также в программе не хватает таймера :

к примеру на живой системе я втыкаю диск запускается программа и висит окошко, а выбрать режим и запустить дальше мешает зловред!

так вот при наличии таймера (5-10 сек к примеру) включается анти слайсинг + выгрузка всех неизвестных процессов.

и если это уже не сработает тогда уже перезагрузка и вход из под win pe

PS при этом предполагаю у программы должны быть права выше админа (народ уже давно пользуется правами скрытого пользователя нт ауторити)

[santy 153]

Smit,

в программе реализована функция просмотра текстовых файлов бат ини хост и тд в принципе вещь хорошая но недостаточная к примеру что хорошего:

в каком режиме это реализовано? что-то не замечал, чтобы в uVS можно было редактировать bat, ini

а hosts ведь можно чистить отдельно по строкам, чем не редактирование?

к примеру на живой системе я втыкаю диск запускается программа и висит окошко, а выбрать режим и запустить дальше мешает зловред!

так вот при наличии таймера (5-10 сек к примеру) включается анти слайсинг + выгрузка всех неизвестных процессов.

а startf чем не устраивает?

[PR55.RP55 82]

     с какого перепуга ,вы тыкаете меня своим гуглом?

вы не тыкайте и вам тыкать не будут.

К.

Заболевание наблюдается в ряде гористых мест европы, связано с местным недостатком содержания йода в воде и почве.

Да по той, что это реализовано в uVS...

Что и видно на фото.

________________________________________________________

Santy

Одно дело локально установленные программы от Яндекса.

И совсем другое дело его DNS.

Если в определённой ситуации будет необходимо включить функцию родительского контроля = фильтрации.

DNS от Яндекса в таком случае это рабочий вариант.

Мной НЕ было написано что это супер, или что данный DNS Яндекса способен вызывать оргазм у неживой материи.

Или, что всем подряд его нужно...

[santy 153]

Santy

Одно дело локально установленные программы от Яндекса.

И совсем другое дело его DNS.

RP55, кому нужен родительский контроль, можно и без uVS прописать, а вообще-то замена DNS на гугловский или другой используется как временная мера, чтобы заменить левый DNS (банеры, реклама и проч.), а далее (после решения проблемы) юзер может уже прописать, какой ему нужен. от провайдера, или красивый с восьмерками и четверками.

Я думаю, не надо перегружать тему новых предложений выяснением личных отношений, остротами, а так же набросками и рисунками, тема становится нечитабельной.

[PR55.RP55 82]

Я стараюсь говорить по делу.

Однако...

_____________________

Santy пишет:

а вообще-то замена DNS на гугловский или другой используется как временная мера, чтобы заменить левый DNS (банеры, реклама и проч.), а далее (после решения проблемы) юзер может уже прописать, какой ему нужен.

Всё так на 100% !

Именно это я и подразумевал когда предлагал добавить в меню uVS Возможность установить DNS от Яндекса.

В качестве временного фильтра.

[PR55.RP55 82]

Реализовать работу по проверке файлов по SHA1 на virscan.org

Примеры:

Собственно: запрос по типу ; адрес сайта; контрольная сумма.

Открывается станица с вариантами проверки ( первая - крайняя )

Вирусы:

http://sha1.virscan.org/78CBF6AB404DEB7364...136AF284498F1BF

http://sha1.virscan.org/C9B21CD938174F7480...8CFF96B0E4B7F64

Чистые:

http://sha1.virscan.org/529439656B329A08A3...97D37FC114C4B35

http://sha1.virscan.org/5AD5897BDF26F32BFD...EE276449817A228

Кто работает с AVZ проверять так:

http://MD5.virscan.org/c4810ceefbe04c6a6bb0124799d89248

http://MD5.virscan.org/438393cc0b5122b5d988bd7ba05fe3c9

Это не V.T. Однако с сервисом работают.

Твёрдо можно рассчитывать, что каждый четвёртый файл был проверен.

Думаю в сочетании с перекрёстной проверкой на V.T. эффективность возрастёт.

По

Copy to clipboard ( внизу страницы )

Можно получить отчёт.

[Smit 29]

чтобы в uVS можно было редактировать bat, ini

ни где! я именно об этом и написал, и что вместе с просмотром сделать и редактирование

PR55.RP55

а в вас никто гуглой и не тыкал! у вас болезненные фантазии , это вам к доктору...

[santy 153]

Smit, я возможно не точно высказал, то что хотел сказать. Я не увидел в uVS просмотра содержимого bat, ini

насколько помню были предложения раскрывать содержимое небольших bat файлов, но есть ведь риск, что будет раскрыта информация об учетных записях, паролях, если они напрямую прописываются в батниках, например, через команды net use

и прекращайте ругаться с RP55, понятно, что нет какой-то совместимости, но можно ведь и через личные сообщения выяснить природу несовместимости, зачем это делать на виду у всех.

[demkd 622]

santy

ну, просмотр таки есть в окне информации, правда не при работе с образом

что касается редактирования то никто не запрещает редактировать файл в открывшемся блокноте или что там у вас вместо него.

[santy 153]

demkd, а при работе с удаленным компьютером это тоже работает?

(чаще всего так и работаю: или с образом, или с удаленным компом.)

[demkd 622]

santy

вроде должно, правда я не помню точно, попробовать надо...

uvs-ом то я сам уже практически не пользуюсь, "безработный" образ жизни сказывается , но может к нг новую версию таки релизну если время на него появится или творческий порыв неожиданно нахлынет