Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 82]

1) Создание общей базы: SHA1-Ц.Подпись.

Схема: При проверке по V.T. данные проверки сохраняются в файл.

При запуске uVS-update.exe

т.е. при запуске модуля обновления происходит ( в соответствии с настройкой ) происходит передача данных на сервер в общуюю консолидированную базу/файл - SHA1-Ц.Подпись.

Происходит обмен данными баз = Синхронизация.

На сервер идут данные из локальной базы с сервера данные в локальную базу.*

* Процессы как добавления данных в базу/файл так и передачи данных защищены от внешнего воздействия.

---

Отдельно обрабатываются данные для: "Сертификат аннулирован"*

* Происходит обновление данных - выделение и добавление данных в отдельную категорию.

---

Таким образом при работе происходит значительная экономия по времени проверки.

1.1 ) Элемент базы: " Ц.подпись проверенна = ADWARE "

Каждый оператор ( кто зарегистрирован/подписан на обновление ) Может отправлять данные по ADWARE или по SHA1 вирусов на сервер.

После чего происходит обмен данными/синхронизация по схеме приведённой в пункте (1)

-------

И предложения на будущее.

2) Восстановление системы из - т.в. ( точки во становления )

Система с определённой частотой создаёт ( может создавать ) т. в.

Т.в. могут помочь в решении различных по происхождению проблем: конфликты программ/драйверов; повреждение системных файлов ...

Оператор при работе с uVS получает возможность предварительно проверить точки восстановления на наличае в них вирусов/угроз - и выбрать предпочтительный вариант - выбрать чистую точку, или провести предварительную очистку т.в. и уже после этого восстановить систему.

3) Команда меню: "Восстановить файл из точки восстановления "

Есть системная копия - значит нужно с ней работать !

4) http://www.anti-malware.ru/forum/index.php...st&p=177553

[demkd 622]

PR55.RP55

1. в общую базу передач никаких не будет, в личную онлайновую может быть, во всяком случае это запланировано на далекое будущее.

1.1. будет черный список для подисавших и тоже возможно с синхронизацией через сервер.

2. реестр восстанавливается из точек уже сейчас, а для полного восстановления есть возможность в системе.

3. см. 2.

4. см ответ.

[PR55.RP55 82]

Честно скажу - мне это всё не нравиться.

Думаю, не только мне.

------

Для кого создаётся программа ?

Для тех кто с ней работает.

Соответственно фраза: "это запланировано" мне и не нравиться.

Нужно обсуждение всех заинтересованных сторон - что принимать к реализации, что нет.

------

Часть идей устаревает.

т.е. реализовываются уже НЕ нужные идеи.

И чем дальше тем больше в программе реализовывается всякая беллетристика - оторванная от практики.

-----

[demkd 622]

PR55.RP55

дык обсуждайте, а я почитаю и чего-нибудь сделаю или не сделаю

[PR55.RP55 82]

Demkd

Чтобы обсуждать нужно видеть предмет осуждения.

т.е. здесь в теме должен быть представлен список заявление: "В следующей версии я Demkd реализовываю... "

После чего происходит предметное обсуждение.

[demkd 622]

PR55.RP55

а оно есть в шапке с момента создания топика.

[santy 153]

RP55, список принятых к реализации предложений ведь известен. Если какие-то предложения устарели, то можно их отозвать тем кто их предложил, или другим участникам проекта uVS (но уже по согласованию).

по мне, так это предложение кажется неактуальным

2. разрешить менять размер окна редактирования скрипта [v?.??]

и без кэширования запросов к VT/JT тоже можно жить

1. кэшированием запросов к VT/JT в локальной базе/файле [v?.??]

тем более, что сервис VT развивается, и стал, имхо, более стабильным.

если файл проверен по хэшу (т.е. если доверяем MAIN/SHA1), то то проверка ЭЦП уже менее значима.

ЭЦП важна, если нет файлика в базе проверенных. Поддержание таблицы SHA&sign на локальном уровне будет нетривиальной задачей.

Это надо развернуть несколько систем различной разрядности, и периодически пополнять данную базу, с учетом обновлений для системы, и обновлений приложений.

[PR55.RP55 82]

По предложениям: http://www.anti-malware.ru/forum/index.php...st&p=177506

Каждый работает по своему.

По окну скриптов - поддерживаю - оставить как есть.

Кэширования запросов к VT/JT - реализовать.

[demkd 622]

тем более, что сервис VT развивается, и стал, имхо, более стабильным.

тут дело даже не в стабильности, а в времени затраченном на проверку, с кэшем будет в разы быстрее, особенно при повторной проверке

[santy 153]

По окну скриптов - поддерживаю - оставить как есть.

опять же, на усмотрение разработчика.

если для реализации достаточно дополнительно одну-две команды добавить, то и нет смысла отзывать предложение.

[PR55.RP55 82]

Demkd

По файлам: .msi

Можно сделать так, чтобы и для msi производился расчёт sha1 в uVS с возможностью добавления в базу ?

Для чего: Оператор самостоятельно обновляет/создаёт базу проверенных.

msi файл может весить и 10 - 1000mb...

На установку/распаковку такого объекта может уйти и 40 минут.

Проверка - сравнение по базе секунды...

-------

т.е. Оператор зашёл на сайт разработчика скачал к примеру OpenOffice.

Обработал...

Добавил все файлы в проверенные...

В том числе оператор добавил и файл OpenOffice.msi в базу проверенных SHA

Таким образом...

В последующем К оператору попал диск с программой, или оператор повторно зашёл на сайт разработчика...

Он опять потратит пусть не 40 но минимум 10 минут...

В то время, как находись sha этого msi файла в базе...

Потребуется несколько секунд... " Файл найден в базе, проверенных... "

и всё...

Переходим к другим файлам.

А можно сразу добавить: "Добавить исполняемые файлы каталога в список "

Помещаем в каталог наши msi; exe программы прогоняем через фильтр ( по F4 )...

И для обработки остаётся только часть программ = огромная экономия сил и времени.

[demkd 622]

PR55.RP55

может добавлю функцию внести хэш произвольного файла в базу

[PR55.RP55 82]

o Новый параметр в settings.ini

[settings]

; Время действия VT кэша в днях для хэша файла/объекта.

vtCacheDays (15 по умолчанию)

0 - не использовать кэш

-1 - не ограничивать время действия.

--------

А можно в меню файла добавить команду: " Проверить и сохранить в vtCache " ?

+

Также реализовать доп. настройку для settings.ini

" При < 201* + 2014 VTOK "

т.е. Если первая поверка файла была в 2010 году или раньше...

Последняя в 201* 14 году...

И файл VTOK

то: Для файла очистка данных НЕ происходит и спустя 15 дней...

Или для таких файлов создаётся отдельная доп. база в vtcache

т.е. база №1 Временная база №2 Постоянная - НЕ для сброса.

[demkd 622]

А можно в меню файла добавить команду: " Проверить и сохранить в vtCache " ?

а она уже есть, результат проверки отдельного хэша сохраняется в кэше,

про год первого детекта подумаю может в этом че и есть.

[PR55.RP55 82]

1) Контекстная команда: "Редактировать данные файла из vtcache "

Пример: Проверили файл по SHA1 на другом ресурсе ( ресурс не поддерживается uVS )

Получили результат.

Файл часто фигурирует в образах/списках...

Оператор принимает решение о добавлении файла/данных в каталог vtcache *

* Если файла нет, то по команде: "Редактировать данные файла из vtcache" файл автоматически создаётся.

Где задаётся имя файла = sha1 файла.

--

Вновь созданный файл содержит форму/шапку для заполнения.

По команде: файл XXXXXXXXXXXXXXXXXXXXX.txt открывается и с соблюдением кодировки редактируется оператором.

-------

Как вариант:

Файл редактируется самой программой по команде: "Файл проверен оператором для vtcache "

т.е. В инфо. и в графе статус отображается информация: Operator VTOK

Автоматически прописывается дата проверки файла оператором.

[demkd 622]

PR55.RP55

не имеет смысла, уже есть база проверенных в которую файл можно добавить одним кликом и ничего не заполнять.

[PR55.RP55 82]

Demkd пишет:

есть база проверенных в которую файл можно добавить одним кликом и ничего не заполнять.

Проверенный - это проверенный.

А так видно, что файл прошёл проверку на одном из онлайн сервисов.

_ИЛИ_ оператор по данным из инфо. считает файл безопасным и применяет команду:

"Файл проверен оператором для vtcache "

т.е. В инфо. и в графе статус отображается информация: Operator VTOK

Автоматически прописывается дата проверки файла оператором. " *

( Файл редактируется автоматически самой программой. )

Как оператор может добавить файл в проверенные, если у него нет файла ?

Сомнительная процедура.

А вот присвоить статус: Operator VTOK...

И всегда видеть файл...

Это своего рода ПРОТОТИП белых критериев - где:

Оператор присваивает файлу статус Operator VTOK.

--------------

2) Если файл есть в базе vtcache - значит должна быть команда на его удаление из базы ?

[demkd 622]

PR55.RP55

не имеет смысла ни добавлять руками не удалять.

[PR55.RP55 82]

1) В uVS есть команда: Статус > Проверенный.

Оператор присваивает файлу статус: Проверенный.

Значит файл может сохранить присвоенный статус ?

Что верно для одного образа/системы - то верно и для другого...

Значит файлу можно присвоить статус: OP.VTOK.

т.е. файл проверен оператором*

* время проверки указано в инфо +.

Таким образом, информация сохраняется и может быть повторно использована.*

По команде: "Проверка статуса"

Команда: "Проверка статуса" проверяет и сохранённые данные по: VTOK/JTOK/VSOK ( vtcache )

т.е. проверка по нескольким параметрам для _статус_ .

[demkd 622]

PR55.RP55

смысл сего странного деяния от меня ускальзает, для проверенных файлов есть соотв. база.

[santy 153]

RP55, а смысл? завести еще один список, с тем, чтобы добавить статус VTOK/JTOK/VSOK ( vtcache )

но этот статус не абсолютен. проверен, значит на 100% безопасен. и такой список уже есть. MAIN/SHA1

[PR55.RP55 82]

База проверенных - это база проверенных.

т.е. По логике вещей если файл есть в базе - то файл на 100 % чист.

------

Если файлу присвоен статус OP.VTOK.

Файл _остаётся в списке_ с соответствующим статусом.

Статус может быть изменён.

Файл может быть повторно проверен оператором в любой момент.

Также может идти речь о временной проверке. ( проверен сейчас - я временно доверяю )

Есть же разница ?

Кроме того создан _vtcache_ - пусть там данные добавленные оператором и хранятся.

НЕ НУЖНО создавать новых баз.

[santy 153]

RP55,

Также может идти речь о временной проверке. ( проверен сейчас - я временно доверяю )

временно доверяю, это слышится как про осетрину. доверяю, но не самой первой свежести доверие .

временное доверие, это shift+ SPACE или в статусе выбор функции - проверен. Нет смысла, распространять это доверие на следующий образ.

[demkd 622]

PR55.RP55

отклоняется, смысла нет.

[PR55.RP55 82]

Santy пишет:

Нет смысла, распространять это доверие на следующий образ.

Указана дата проверки - оператор видит когда он проверял этот файл !!

Сегодня или неделю назад...

Если оператор работает в течении дня с одной системой ?

т.е. Посмотрел образ > присвоил статус > написали скрипт лечения > попросили новый образ для контроля, или если проблема не решена.

Открыл оператор новый образ... ( А в образе уже отмечен статус файлов ... )

Оператор экономит время на проверке...