Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 82]

1)

СТАТУС > "Все файлы каталога подозрительные."

Пример: Оператор работает с образом.

Ему попадается файл, который кажется подозрительным.

Оператор задаётся вопросом - какие ещё есть файлы в данном каталоге, что это за файлы ?

В случае когда файл подписан - нужно выполнить целую последовательность действий - что отнимает время.

А так, команда доступна из контекстного меню.

Сейчас доступна команда: СТАТУС > Подозрительный.

Это касается одного файла/объекта.

А ведь можно ...

-----------

2) При отдаче таких команд как: "Все файлы в каталоге и подкаталогах провереНЫ "

"Добавить все исполняемые файлы каталога в список"

Открывать окно редактирования.

Пример:

C:\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.5\

C:\PROGRAM FILES\GOOGLE\UPDATE\2.2.2.2.2\

C:\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.5\

C:\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.5\

C:\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.5\

C:\PROGRAM FILES\GOOGLE\UPDATE\8.8.8.8.8\

Если выбрать команду: "Все файлы в каталоге и подкаталогах провереНЫ "

то, что получим ?

Будет скрыто только часть файлов...

Ведь числовые значения отличаются...

Если открыть окно редактирования ( ИЛИ ВЫБРАТЬ ИЗ СПИСКА автоматически предложенные программой ВАРИАНТЫ )

То можно выбрать:

C:\PROGRAM FILES\GOOGLE\

или

C:\PROGRAM FILES\GOOGLE\UPDATE\

Тогда команда будет применена ко всем файлам.

[santy 153]

А ведь можно ...

-----------

2) При отдаче таких команд как: "Все файлы в каталоге и подкаталогах провереНЫ "

RP55, здесь лучше использовать идею, что уже была у тебя выше:

(для adddir, для функции статус - каталог с подкаталогами, для deldirex.... но опять же, только при работе с образами)

дополнительное меню:

\ - текущий каталог

\.. - каталог - родитель

\..\.. - каталог - про_родитель.

по моему, достаточно будет подняться вверх на два уровня.

[PR55.RP55 82]

Santy

Когда идею не реализуют приходиться искать другой вариант.

Часто от такого мазохизма польза бывает

Santy пишет:

дополнительное меню:

\ - текущий каталог

\.. - каталог - родитель

\..\.. - каталог - про_родитель.

по моему, достаточно будет подняться вверх на два уровня.

Так лучше:

...ВЫБРАТЬ ИЗ СПИСКА автоматически предложенные программой ВАРИАНТЫ )

То можно выбрать:

C:\PROGRAM FILES\GOOGLE\

или

C:\PROGRAM FILES\GOOGLE\UPDATE\

Тогда команда будет применена ко всем файлам.

Сколько будет \... столько и вариантов автоматически предложит программа.

Наглядно...

[santy 153]

Когда идею не реализуют приходиться искать другой вариант.

всему свое время.

Сколько будет \... столько и вариантов автоматически предложит программа.

Наглядно...

судя по исследованным ранее образам, достаточно будет двух-трех уровней.

[PR55.RP55 82]

По:

\ -

\.. -

\..\..

Предлагаю остановиться на окне поиска.

Оператор выбирает из списка:

C:\PROGRAM FILES\GOOGLE\UPDATE\3.11.4.2

Выбранное-Выделенное автоматически отображается на экране - в строке поиска.

Оператор применяет <-- Backspase

И может срезать \ до необходимого значения.

Поддержка для всех команд которые работают с \

adddir; deldir; deldirex; dirzoo; Все файлы в каталоге и подкаталогах проверены ...

Таким образом, не нужно создавать/открывать отдельное окно или предлагать варианты автоматически.

[santy 153]

+

предложение: добавить контекстную функцию в список программ:

проверить по хэшам на VT/jotti исполняемые файлы (те, что добавлены в образ) из текущего каталога....

если в строку uninstall действительно входит путь программы. (а не msexec)

[PR55.RP55 82]

1) Оператор просматривая список установленных программ видит, что все нежелательные программы есть в списке критериев.

- По | статусу | оператор определяет, будет ли программа удалена в случае применения автоскрипта.

Статус, его значение, позволяет оператору точно определить: требуется от него какое либо действие или нет ...

т.е. Нужно или нет отдавать доп. команду на удаление; нужно ли создавать новый критерий, или нет, будет программа удалена при работе с автоскриптом или... ?

Сейчас оператор вынуждено перепроверят и теряет на проверке время.

+ фото пример.

2) Команда.

Оператор просматривая список установленных программ может отдать команду:

" Все исполняемые файлы данной программы в подозрительные..."*

* Если в строку uninstall действительно входит путь программы. (а не msexec)

3) Команда.

Оператор просматривая список установленных программ может отдать команду:

" Удалить все исполняемые файлы данной программы..."*

* Если в строку uninstall действительно входит путь программы. (а не msexec)

[PR55.RP55 82]

Все исполняемые файлы данной программы в подозрительные...

В принципе достаточно одной этой команды.

т.е. Если файлы добавлены в подозрительные - то их и на V.T.- JT.- herdprotect можно проверить.

И Удалить все исполняемые файлы данной программы...

[santy 153]

В принципе достаточно одной этой команды.

т.е. Если файлы добавлены в подозрительные - то их и на V.T.- JT.- herdprotect можно проверить.

И Удалить все исполняемые файлы данной программы...

имхо, здесь не помешают все три функции:

1. проверка на VT/Jotti,

те файлы, которые засветятся по хэшам автоматически получат статус ?ВИРУС? и окажутся в подозрительных и вирусах.

2. перенос файлов из списка (данной программы) в подозрительные, (если их там еще нет) для анализа инфо и всевозможных проверок;

3. deldirex для исполняемых файлов данной программы, поскольку uninstall.exe для некоторых адварных программ фейковый.... ничего он не удаляет при деинсталлации.

поэтому для них удобнее будет сразу отдать deldirex + uidel

[demkd 622]

herdprotect посмотрел, пусть делают api, желания возиться с тучей параметров в их post запросах нет.

а virscan реализовать можно, ничего сложного там нет.

[PR55.RP55 82]

У herdprotect есть Контакты.

http://www.herdprotect.com/contact.aspx

ПРОШУ всех, кто заинтересован в развитии uVS написать разработчикам по API http://ru.wikipedia.org/wiki/API

[PR55.RP55 82]

Demkd

По поводу herdprotect можно же аналогично systemexplorer.net сделать ?

т.е. "Открыть в браузере отчёт по sha1 файла. "

---

А если добавят поддержку API то - тогда...

[demkd 622]

PR55.RP55

нет, там поиск идет через post запрос с тучей непонятных параметров, слишком большие затраты времени будут.

[PR55.RP55 82]

Demkd

А если так:

Одна команда И два этапа.

Sha1 копируется и открывается станица...

http://www.herdprotect.com/knowledgebase.aspx

А оператор просто помещает скопированное sha1 в поле запроса ?

Всё лучше для оператора.

[PR55.RP55 82]

1) Команда: "Удалить все объекты по заданному критерию."

Например заданно: _url_

У человека может быть установлено 5 браузеров + доп. программы.

Таким образом, отдав одну команду мы удалим все объекты.

пример: http://pchelpforum.ru/f26/t136676/#post1186143

delall %SystemDrive%\OPERA\OPERA.URL

delall %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\CHROME.URL

delall %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.URL

delall %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.URL

delall %SystemDrive%\PROGRAM FILES\OPERA\OPERA.URL

delall %SystemDrive%\PROGRAM FILES\OPERA NEXT\LAUNCHER.URL

delall %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\YANDEX\YANDEXDISK\YANDEXDISKSTARTER.URL

[alamor 69]

Например заданно: _url_

У человека может быть установлено 5 браузеров + доп. программы.

Таким образом, отдав одну команду мы удалим все объекты.

Из того же лога легал

C:\PROGRAM FILES\EXPERTOOL\TBPANEL.URL

Есть риск не глядя так по критерию удалить нужные файлы, если это просто ярлык ещё не страшно, а так команда опасная. Лучше перепроверить и отдать команду самому.

[PR55.RP55 82]

alamor

Удалить все файлы каталога команда тоже опасная - но её реализовали.

Что касается url объектов можно так настроить критерий поиска - что ложных определений не будет.

CHROME + url

MOZILLA + url

и т.д.

------

В принципе можно ограничить команду в контекстном меню _до_: "Удалить все url объекты по заданному критерию."

-----

В то же время, если реализовать команду по первому варианту - без изменений, появляется возможность удалить все объекты по цифровой подписи.

Если цифровая подпись была задана как условие - При работе с ADWARE будет полезной опцией.

В конце концов опасны не команды сами по себе.

Опасно их бездумное применение.

Кроме того - Команда: "Удалить все объекты по заданному критерию."

Доступна в меню только при наличии этих самых критериев...

---------

И да !

Команда доступна только при работе с образом системы.*

* Что позволяет оператору видеть скрипт/список объектов на удаление.

[santy 153]

RP55,

1) Команда: "Удалить все объекты по заданному критерию."

Например заданно: _url_

это частности,

двигаться надо к стандартному решению (при работе с образом), когда в таблице критериев (при создании), или редактировании

отдельному критерию можно сопоставить настраиваемое действие:

SETSTAT, deldirex, hide, del, delall, delref, delhost и т.д.

alamor,

Есть риск не глядя так по критерию удалить нужные файлы, если это просто ярлык ещё не страшно, а так команда опасная. Лучше перепроверить и отдать команду самому.

нет критерия, нет опасности. если хелпер создает и настраивает список критериев и команд, значит, знает что делает. к тому же рекомендуется практиковать проверки критериев по тестовой базе образов автозапуска полученных с форумов. Которые наверняка есть у каждого, кто занимается этой работой на форумах. Контролировать, что за скрипт генерируется при названных критериях.

И да, этому есть альтернатива. Не создавать критерии. Искать подозрительные файлы с помощью просмотра всего списка. (в традиции avz). Вручную (точнее, через контекстное меню) отдавать каждую команду в скрипт.

[santy 153]

двигаться надо к стандартному решению (при работе с образом), когда в таблице критериев (при создании), или редактировании

отдельному критерию можно сопоставить настраиваемое действие:

SETSTAT, deldirex, hide, del, delall, delref, delhost и т.д.

+

если, действие по критерию (в таблице критериев) не определено,

то в этом случае uVS (в режиме автоскрипта) может назначить действие на основе выбранного метода из настроек settings.ini

; Значение управляет методом удаления файлов со статусом "?ВИРУС?" в функции

; автоскрипта.

ImgAutoDelMethod1=1 (по умолчанию 1)

; 0 - игнорировать

; 1 - применить delall

; 2 - применить delref

; 3 - применить delref+del

таким образом мы сможем автоматически добавить некоторые другие команды в автоскрипт (deldirex для некоторых приложений),

+ формировать белый список исключений с рекомендацией hide

и др.

[PR55.RP55 82]

Santy

Со всем вышеперечисленным согласен и поддерживаю.

------

1) Команда: "Удалить все объекты данного производителя по ц.подписи."

На тот случай, если критерий ещё не создан, или для удаления легитимных программ вызывающих сбои в работе системы, для оперативного

вмешательства.

[santy 153]

1) Команда: "Удалить все объекты данного производителя по ц.подписи."

На тот случай, если критерий ещё не создан, или для удаления легитимных программ вызывающих сбои в работе системы, для оперативного

вмешательства.

delsignex? при ее выполнении ведь придется еще раз весь список автозапуска перепроверить по цифровому каталогу...

+

добавить функцию (можно в секцию СТАТУС) все исполняемые из текущего каталога и подкаталогов в подозрительные.

как пример - образ из вложения.

USER_PC_2014_04_12_00_24_25.7z

Здесь дроппер bitminer (C:\NVIDIА\CATALYSTLOADER.EXE) попал в подозрительные,

а исполняемый файл (C:\NVIDIА\GCM\CATALYST.EXE) - нет.

понятно, что исполняемый файл должен быть где то в образе, но логично предположить, что он есть в текущем каталоге или подкаталогах.

------------

USER_PC_2014_04_12_00_24_25.7z

[PR55.RP55 82]

Santy пишет: delsignex? smile.gif при ее выполнении ведь придется еще раз весь список автозапуска перепроверить по цифровому каталогу...

Но ведь лучше и быстрее проверить именно так, чем искать файлы по всему списку - особенно когда есть и sys и exe и dll файлы.

т.е. они находятся в разных директориях...

И имеют статус: Проверенный.

Это ещё нужно сбрасывать статус...

А так, как я предлагаю - одна команда отдана - получаем результат.

------

Все исполняемые из текущего каталога и подкаталогов в подозрительные.

Сегодня хотел предложить тоже самое

Небольшая ремарка -

Скажем в образе есть:

C:\NVIDIА\GCM\CATALYST.EXE

C:\NVIDIА\CATALYSTLOADER.EXE

И так мы это и видим.

Соответственно, при применении команды: "Все исполняемые файлы из текущего каталога и подкаталогов в подозрительные. "

Мы будем вынужденно выбирать из тех вариантов которые присутствую в списке...

Предлагаю чтобы uVS автоматически создавала _пустые_ директории выбора.

Пример:

; C:\NVIDIА

C:\NVIDIА\GCM\CATALYST.EXE

C:\NVIDIА\CATALYSTLOADER.EXE

т.е. оператор получает возможность работать со всем каталогом !!

Поместить одной командой все файлы в подозрительные;

Удалить все файлы каталога;

Проверить все файлы каталога на V.T.

Сбросить цифровую подпись для всех файлов каталога;

Все файлы каталога проверенные.

и т.д.

[santy 153]

Но ведь лучше и быстрее проверить именно так, чем искать файлы по всему списку - особенно когда есть и sys и exe и dll файлы.

т.е. они находятся в разных директориях...

И имеют статус: Проверенный.

Это ещё нужно сбрасывать статус...

А так, как я предлагаю - одна команда отдана - получаем результат.

одна команда в скрипте, а в uVS - целая подпрограмма + по времени выполнения будет занимать даже больше времени чем виртуализация реестра + выполнять ее скорее всего придется в безопасном режиме, если будут затронуты активные драйвера.

имхо, лучше реализовать режим селектирование, о которым мы периодически говорим и возвращаемся, и который бы интегрировал многие функции:

выделить записи из образа по созданному условию + выполнить определенный набор действий над выделенными записями.

если это действие над каталогами, то может быть лучше удалить через deldirex,

если это действие над файлами, то лучше через удаление каждого файла в отдельности.

как то так.

------

Сегодня хотел предложить тоже самое

это потому что сближаются позиции.

Если раньше мы развивали два подхода: поиск вредоносных записей по критериями и сигнатурам и отсев из общего числа записей заведомо чистых объектов, + автоматическое формирование скрипта, то сейчас с обеих сторон подходим к той группе записей, которая не детектируется сигнатурами и критериями (или детектируется, но не подтверждается внешними сканерами) и не подтверждается списками чистых файлов.

Небольшая ремарка -

Скажем в образе есть:

C:\NVIDIА\GCM\CATALYST.EXE

C:\NVIDIА\CATALYSTLOADER.EXE

И так мы это и видим.

Соответственно, при применении команды: "Все исполняемые файлы из текущего каталога и подкаталогов в подозрительные. "

Мы будем вынужденно выбирать из тех вариантов которые присутствую в списке...

Предлагаю чтобы uVS автоматически создавала _пустые_ директории выбора.

Пример:

; C:\NVIDIА

C:\NVIDIА\GCM\CATALYST.EXE

C:\NVIDIА\CATALYSTLOADER.EXE

т.е. оператор получает возможность работать со всем каталогом !!

Поместить одной командой все файлы в подозрительные;

Удалить все файлы каталога;

Проверить все файлы каталога на V.T.

Сбросить цифровую подпись для всех файлов каталога;

Все файлы каталога проверенные.

и т.д.

возможно, да,

удобнее было бы распределить функции в секции СТАТУС и КАТАЛОГ.

вместо удалить каталог.

и при выборе секции каталог поместить группу функций над файлами каталога.

тут семь раз отмерь - один раз запрограммируй.

скажем, из 6 функций проверить все ***************, я использую только одну: проверить все непроверенные файлы из текущей категории на ВТ.

[PR55.RP55 82]

Santy

Опять же с вышесказанным согласен.

[demkd 622]

просмотрел предложения, шапку обновил.