Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 83]

Да я к тому что если уж удалять так удалять !

Капитально.

[PR55.RP55 83]

1) Список критериев поиска.

В меню добавить команду.

Вкл/Выкл для выбранного критерия.

Например есть критерии информационного/уведомительного плана.

Критерий предупреждение...

Таким образом, в зависимости от задачи стоящей перед оператором, можно оперативно подключить дополнительный поисковый критерий.

* Есть библиотека - и с полки берётся именно та книга которая нужна сейчас.

[PR55.RP55 83]

1) Критерии поиска.

НЕ содержит ровно _ЭТО_

т.е. не просто не содержит, а не содержит точно, как цитату.

см.фото.

2) Номерной критерий.

Единая настройка для группы.

Что позволит на порядок быстрее произвести настройку.

см.фото.

3) Удалить все файлы каталога по производителю.*

* Данные по производителю получаем из инфо. файла.

Команда отдаётся посредством контекстного меню.

3.1) Удалить все файлы каталога по цифровой подписи производителя.

4) С какой версией 7zip. сейчас работает UVS. ?

Есть версия 9.32

http://sourceforge.net/p/sevenzip/discussi...hread/49e6a4d4/

5) В силу того, что невозможно прикрепить фото/файлы на форуме.

Фото здесь: http://forum.esetnod32.ru/messages/forum17...6/#message76206

[PR55.RP55 83]

1) Файл > "Создать образ автозапуска предварительно применив deltmp & delnfr."

Пояснение: Зачастую готовый образ забит всяким мусором.

Объектами temp/a, ссылками на отсутствующие.

Оператор вынужденно тратит время на разгребание этого мусора.

А, как известно эмуляции очистки temp при работе с образом нет.

Предварительно применив deltmp & delnfr оператор будет иметь дело только с устойчивыми к удалению объектами.

Оператор будет работать именно с теми объектами которые требуют к себе повышенного внимания.

Что это даст ?

Минимизируется список "подозрительные и вирусы"

Сокращается время создания скрипта.

Меньше нагрузка на оператора.

Оператор работает по предпочтительному/оптимальному по его мнению варианту > он может выбрать подходящий вариант создания образа.

* Этапы:

Происходит построение списка > Применяется последовательность команд - deltmp & delnfr. > Пауза 20 секунд > Обновление списка >

Генерация образа.

[santy 153]

1) Файл > "Создать образ автозапуска предварительно применив deltmp & delnfr."

Пояснение: Зачастую готовый образ забит всяким мусором.

пошла писать губерния....

в образе автозапуска для первоначального анализа как раз важно все, в том числе ссылки на отсутствующие файлы, для понимание проблемы, потому как часто юзер даже не формулирует четко проблему, а передает образ: проверьте, глючит, тормозит и .т.п.

-----

а если уж хочется получить подобный образ, пишем рекомендации:

Alt+Del + сохранить полный образ автозапуска.

[PR55.RP55 83]

Santy пишет:

в образе автозапуска для первоначального анализа как раз важно все, в том числе ссылки на отсутствующие файлы, для понимание проблемы, потому как часто юзер даже не формулирует четко проблему,

Чётко было сказано:

Оператор работает по предпочтительному/оптимальному по его мнению варианту > он может выбрать подходящий вариант создания образа.

В том числе и в варианте когда проблема чётко сформулирована.

Речь о расширении функционала программы.

Кроме того: Регулярно применяется такой скрипт как: "Для тех у кого подглючивает система, притормаживает инет."

;uVS v3.75 BETA1 script [http://dsrt.dyndns.org]

;Target OS: NTv6.1

deltmp

delnfr

restart

или его не применяют ?

[santy 153]

RP55, функционала (дополнительного) здесь нет никакого. Вообщем, псевдофункционал.

А вот вред очевиден. так можно и файлы-шифраторы затереть, и следы заражений...

по указанному скрипту, да, скрипт используется (на форуме), но только после анализа существующего образа.

а не в такой последовательности: выполните этот скрипт, а потом создайте новый образ автозапуска.

А кто его использует регулярно для профилактики своей системы, то ему при этом и не надо создавать образ.

----

[PR55.RP55 83]

santy

Значит обсудили.

Всё верно - может быть такое, что оператор не получит при этом варианте всех данных, не увидит всей полноты картины.

[santy 153]

demkd,

можно в список установленных программ добавить такие фишки:

1. скопировать имя программы в буфер обмена (в контекстном меню)

2. выделять (каким-то образом) все программы в списке, которые попали под критерии поиска типа uninstall.

[PR55.RP55 83]

+

1) Поиск по имени программы.

2) Поиск из установленных программ с временным критерием поиска.

т.е. В меню задаём: Поиск по имени программы например: MediaPlayer

И uVS ищет и всё найденное отображается в подозрительных.

Результат такого поиска:

C:\Program Files (x86)\MediaPlayerV1

C:\Program Files (x86)\MediaPlayerV2

C:\Program Files (x86)\MediaPlayerV****

Временный потому, что не сохраняется - и существует только на время сессии.

Что особенно полезно если файлы имеют цифр.подпись.

3) в меню инфо. ФАЙЛА: "Создать критерий на время сессии "

т.е. нашли то, что нужно - по всему списку - после чего критерий сам удаляется.

Ведь все создавали такие временные критерии ?

[santy 153]

т.е. В меню задаём: Поиск по имени программы например: MediaPlayer

имхо, поиск в списке программ удобнее здесь сделать стандартным: фильтрующим, как в списках объектов, сигнатур и др.

[PR55.RP55 83]

Santy пишет:

имхо, поиск удобнее здесь сделать стандартным: фильтрующим, как в списках объектов, сигнатур и др.

т.е. по выбору Оператора.

Да, метод поиска по выбору оператора.

Но, не только по файлам, но и по директориям.

Нашёл в списке подозрительную программу/=/подозрительное название.

Решил посмотреть, какие объекты/файлы из списка с ней связаны.

Задал значение поиска > нашёл файлы/директории > проверил найденное на V.T. = вывод.

После чего можно задать устойчивый/постоянный критерий: По наименованию программы; директории или цифр. подписи !

[santy 153]

т.е. по выбору Оператора.

Да, метод поиска по выбору оператора.

Но, не только по файлам, но и по директориям.

Нашёл в списке подозрительную программу/=/подозрительное название.

Решил посмотреть, какие объекты/файлы из списка с ней связаны.

Задал значение поиска > нашёл файлы/директории > проверил найденное на V.T. = вывод.

После чего можно задать устойчивый/постоянный критерий: По наименованию программы; директории или цифр. подписи !

это уже будет значительным усложнением работы со списком программ.

с другой стороны это предложение можно реализовать как новую функцию селектирования:

т.е. временный запрос по списку полей, и вывод всего что попадет из данного образа (или списка) в отдельную секцию "селектированные"

для анализа, формирования критериев, добавления новых сигнатур.

список селектированных сохранять до нового селекта. при новом селекте можно его полностью обновить.

[PR55.RP55 83]

список селектированных сохранять до нового селекта. при новом селекте можно его полностью обновить.

Поддерживаю.

+ Предложение

1) Команда: "Сброс статуса ?Вирус? для всех известных.

т.е. если под определение критерия поиска попадает группа известных файлов оператор проверяет файлы и:

РАЗОМ ДЛЯ ВСЕХ ИЗВЕСТНЫХ применяет Сброс...

т.е. отпадает необходимость отдавать отдельную команду по каждому из файлов, что резко снизит время _отработки_ списка.

[PR55.RP55 83]

Вдруг пригодиться: http://www.anti-malware.ru/forum/index.php...st&p=176996

Чтобы все предложения в одном месте были.

[PR55.RP55 83]

1) Чтобы избежать пробелов.

Пусть uVS при создании критерия или редактировании выделяет область редактирования.

чтобы оператор видел - выделено по контуру или есть выход за пределы.

[santy 153]

demkd,

можно еще в логи добавить секцию (после браузеров, например) секцию контроля установленных антивирусных программ?

поскольку нередко получается, что проблему юзеру (тормоза, медленный инет или его полное отсутствие, не открываются сайты) создают именно установленные в N-ом количестве антивирусы, или оставшиеся от них "рожки да ножки".

------

причем не все установленные антивиры светятся в списке установленных программ.

может в settings добавить список типичных каталогов, или цифровых подписей по которым автоматически будет выполнен поиск.

[demkd 638]

santy

подумаю

Завтра 03/22 сервер на тех. обслуживании, так что какое-то время он будет недоступен, походу винт загибается, по результатам тестирования будет видно то ли в даун до покупки нового винта пока совсем не сдох или еще поработает.

[PR55.RP55 83]

1) Предложение по проверке Цифровых подписей.

На машине X Не работает проверка подписей.

Какой есть вариант альтернативной проверки ?

Прошлый раз мы пришли к выводу, что можно проверять по SHA1 файла путём обращения к V.T. - И таким образом получать данные по ц.подписи.

----------

Ситуация: На части машин проверка ц.подписей функционирует, а на части нет...

Как же можно проверить подписи на проблемных машинах ?

Ответ очевиден !

Путём переноса данных-результата проверки с одной мамины на другую т.е. путём Экстраполяции.

Пример: Есть _2_ ИДЕНТИЧНЫХ системы - с идентичным же перечнем установленных программ.

На одной системе проверка ц.подписей функционирует, а на другой нет...

Как проверить ц. подписи на проблемной машине ?

Думаю вывод очевиден...

Проверяем подписи на машине №1 > Сохраняем результат проверки > Переносим результат на машину №2 = сравнение данных/результата.

т.е. достаточно сохранить SHA1 файла на машине №1 и задать имя/идентификатор для базы/хранилища.

При работе с образами/системами будет происходить накопление данных по SHA1|подпись - с последующим переходом количества в качество.

Таким образом, частично проверка ц.подписей будет перенесена на сторону оператора.

Также, к положительным моментам предложения относиться работа с неактивными системами - когда не удаётся получить полноценный доступ к

данным системы.

------

Из важных моментов: Учесть работу с объектами типа: "Цифровая подпись аннулирована"

т.е. периодически очищать базу данных - путём очистки части данных.

[santy 153]

demkd,

полезно добавить функцию в секцию статус

"все файлы по текущему критерию проверены"

[alamor 69]

полезно добавить функцию в секцию статус

"все файлы по текущему критерию проверены"

Для того чтобы посмотреть по какому критерию подозревается файл надо посмотреть каждый файл в отдельности. Думаю такая функция лишняя, Shift+Space достаточно.

[santy 153]

Для того чтобы посмотреть по какому критерию подозревается файл надо посмотреть каждый файл в отдельности. Думаю такая функция лишняя, Shift+Space достаточно.

некоторые критерии срабатывают на целую группу файлов, и бывает достаточно беглого взгляда на список этих файлов чтобы увидеть, что ни один из них не может быть удален. следовательно надо исключить эту группу со статусом ?ВИРУС? из списка "вирусы и подозрительные", чтобы они не попали под нож автоскрипта.

shift+space - это макрос команды hide... нет смысла отдавать 10-15 команд hide в скрипт.

[alamor 69]

Если попадает целая группа файлов и тем более регулярно, то нужно корректировать критерий, а не придумывать костыли.

[PR55.RP55 83]

Santy пишет:

полезно добавить функцию в секцию статус

"все файлы по текущему критерию проверены"

Это: "все файлы по текущему критерию проверены"

НЕ верно в принципе - ложное определение по критерию это одно, а присвоение статуса ПРОВЕРЕН - это совсем другое.

Я бы это так перефразировал: "Ложное определение по критерию, сброс статуса на время сессии."

[santy 153]

речь идет о критериях например "сертификат аннулирован".

полезно посмотреть какие файлы попадут под критерий, возможно какой-то из файлов будет небезопасен для системы,

но бывает, что вся группу файлов с подобным детектом надо исключить из автоскрипта.

--------

аналогично, той же функции: все файлы в каталоге и подкаталогах проверены.