Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 82]

Чем VTOK/JTOK/VSOK ( vtcache )

Лучше статуса присвоенного самим оператором ?

Смысл такой же...

[santy 153]

RP55,

Открыл оператор новый образ... ( А в образе уже отмечен статус файлов ... )

Оператор экономит время на проверке...

проверка по кэшу VT всех файликов из образа возможно займет еще больше времени, чем если проверить подозрительные из текущего списка на VT.( с учетом кэша).

т.е. выигрыша все равно никакого нет по времени.

[PR55.RP55 82]

Santy пишет:

Проверка по кэшу всех файликов из образа возможно займет еще больше времени, чем если проверить подозрительные из текущего списка на VT.( с учетом кэша).

т.е. Смысл найден - он есть ?

Скорость обработки данных это уже из другой области.

Значит нужно менять механизм.

Не хранить в vtcache тысячи файлов - а создать ОДИН файл.

С примерной структурой:

46EBD42422342CBCE601F6F7BAF28F37D6EDFB98 ; D 15.02.14 ; OP.VTOK.

DBAFFF0D6A588E33D7AD3C960ACE459EEA4F8C82; D 15.02.14 ; OP.VTOK.

8B9994EFB9131935AA54C2BAA83970211E70329C ; D 15.02.14 ; OP.VTOK.

И ещё раз...

Одно дело проверен на V.T.

И совсем другое когда файл/объект проверен оператором.

т.е. Оператор Может посмотреть ИНФО. файла; может посмотреть результаты на: V.T; JT; VIRSCAN; herdProtect ;К/advisor ...

И только после этого, исходя из полученных данных - исходя, из своего практического опыта, дать/присвоить файлу статус: OP.VTOK.

Разница очевидна.

[demkd 622]

PR55.RP55

разницы нет, или файл проверен или нет.

[santy 153]

RP55, по этим сервисам (VIRSCAN; herdProtect ;К/advisor) нет автоматики.

а добавлять вручную результат проверки по отдельному файлу - это рутина. Будет автоматическая проверка по этим сервисам, тогда можно думать, как объединить результаты проверок этих сервисов с результатом проверок VT/JT.

[PR55.RP55 82]

Demkd пишет:

Разницы нет, или файл проверен или нет.

" o Добавлено автоматическое кэширование запросов к VT.

Кэш работает в функциях массовой проверки. "

А если файл прошёл проверку по/на V.T. ?

Но при этом файл как был вирусом - так он им и останется...

Это не проверка !

--------

"Проверка носит массовый характер"

--------

А если файл НЕ найден на V.T. -

Что сохраниться - какая информация ?

---------

А отдельно, проверенный, оператором, файл - это отдельно проверенный перфоратором файл ...

--------

За каким лешим оператору тратить время и повторно проверять файл, если он его проверил.

По объективным причинам он в базу проверенных его вносить не будет...

А так результат СОБСТВЕННОЙ проверки перед глазами - с указанием ( ТЫ ЕГО СЕГОДНЯ САМ ПОСМОТРЕЛ И ПРОВЕРИЛ - НЕ СМОТРИ ЕГО СЕГОДНЯ ВТОРОЙ РАЗ - НЕ ТРАТЬ ВРЕМЯ ! )

[demkd 622]

А если файл НЕ найден на V.T. -

Что сохраниться - какая информация ?

ничего

А отдельно, проверенный, оператором, файл - это отдельно проверенный перфоратором файл ...

вот и место ему в базе проверенных.

За каким лешим оператору тратить время и повторно проверять файл, если он его проверил.

совершенно согласен.

По объективным причинам в базу проверенных его вносить не будет...

причин не вижу.

[PR55.RP55 82]

Лично у меня добавление файлов из образов в проверенные отключено - по известной причине.

так, что...

Santy пишет:

Будет автоматическая проверка по этим сервисам, тогда можно думать, как объединить результаты проверок этих сервисов с результатом проверок VT/JT.

Я не предлагаю объединять данные.

-------

Demkd

Да...

Одни файлы можно добавить в проверенные - другие нельзя.

Если файл новый и его первый раз проверили три дня назад - и больше НЕ проверяли...

Файл VTOK но...

Можно ли его добавить в проверенные ?

Сомневаюсь.

А присвоить ему временный статус - и держать перед глазами в списке... ( это отложенное решение или действие )

----------

Santy пишет:

Добавлять вручную результат проверки по отдельному файлу - это рутина.

Это решать оператору.

По хорошему, нужно проверить на практике - провести практические испытания.

И если функция лишняя - убрать.

----

ЭТО ТЕСТИРОВАНИЕ - т.е. версия программы для экспериментов - добавили...

Оценили...

И в зависимости от результата оставили функцию или на убрали из программы.

[santy 153]

Это решать оператору.

По хорошему, нужно проверить на практике - провести практические испытания.

я считаю, что в списке предложений есть более полезные вещи, которые необходимо реализовать, чем заниматься реализацией и тестированием механизма хранения промежуточных результатов проверок.

[PR55.RP55 82]

Santy пишет:

В списке предложений есть более полезные вещи, которые необходимо реализовать, чем заниматься реализацией механизма хранения промежуточных результатов проверок.

Конечно есть.

---------

Я присвоил файлу/объекту статус _ПРОВЕРЕН_ и хочу сохранить результат этой проверки.

Если результат сохраняется на время сессии при работе с образом - почему бы мне его не сохранить и для работы с новым/другим образом ?

При том, что я вижу - файл, вижу его статус - вижу, что это я проверял, вижу дату когда...

Чем РЕАЛИЗОВАННЫЙ vtcache лучше ?

Да НЕ чем.

ОН НЕ ЛУЧШЕ он уступает !

-------

Можно запустить массовую проверку по V.T. > После чего посмотреть ИНФО. по файлу...

И _ПЕРЕБИТЬ_ статус соответствующей командой с V.T. VTOK на OP. VTOK...

т.е. файл прошёл проверку не только на сервисе - но он проверен мной...

[santy 153]

Чем РЕАЛИЗОВАННЫЙ vtcache лучше ?

лучше тем, что поддерживается автоматически.

[PR55.RP55 82]

В общем, что я хотел сказать по данной теме - то сказал.

[PR55.RP55 82]

1) "Отключить фильтр ПОДОЗРИТ. / Включить фильтр ПОДОЗРИТ. "

Т.е. Оператор получает список АВТОЗАПУСКА как есть.

Пример: Оператор открывает образ - видит, что все объекты в категории "Подозрительные и вирусы " попали в него (зря)...

В списке файлы с аннулированными сертификатами, системные модифицированные умельцами файлы, и те файлы у которых не удалось проверить ц.подпись.

При этом, у оператора настроены и эффективно работают поисковые критерии... >

Все угрозы списка получают соответствующий им статус !!

Значит - собственный uVS фильтр файлов на выявление ПОДОЗРИТ. в данном случае НЕ НУЖЕН !

Оператор в зависимости от ситуации может БЫСТРО ИЗ МЕНЮ, как включить так и отключить фильтр.

Что это даёт ?

Это позволит оставить в списке только подлежащие обработке файлы/объекты.

Позволит сократить число отдаваемых оператором команд = экономия времени.

На примере: "Все файлы в каталоге и под каталогах проверенны ... "

" Сбросить статус "подозрительный" у всех известных файлов..."

Сократить время проверки на V.T. "Проверить все не проверенные файлы в текущей категории "

и т.д...

-------

Даже странно, что раньше до такого решения не додумались.

В ряде случаев эти ПОДОЗРИТ. просто неимоверно мешают.

[PR55.RP55 82]

1) _Режим запуска uVS 3 _

Ряд надстроек заданных оператором в/для settings.ini = sgnz; snms; sha1 ...

Может существенно увеличить время старта/обработки.

Нужна возможность для чистого старта - старта без надстроек.

Для чего добавить в окно запуска соответствующею команду.

------

Актуально на слабых машинах.

Актуально при недостатке времени.

Актуально при тестировании новых версий программы.

... для уточнения некоторых данных по системе/объектам автозапуска.

[demkd 622]

PR55.RP55

1. могу сделать команду в меню для сноса сатуса "подозрительный", вкл. выкл делать лень.

2. отклоняется, проще сделать отдельный каталог без snms и т.п.

[PR55.RP55 82]

Demkd пишет:

могу сделать команду в меню для сноса сатуса "подозрительный"

Хорошо- пусть так будет.

С возможностью применения Ctrl+Z ?

[demkd 622]

PR55.RP55

скорее всего да

[santy 153]

В ряде случаев эти ПОДОЗРИТ. просто неимоверно мешают.

имхо, фишка со сбросом статуса "подозрительный" практически бесполезна (лишь для количества), поскольку после сортировки по полю СТАТУС основное внимание объектам ?ВИРУС? и sign detected...

подозрительные все внизу, хотя в их списке могут быть объекты не попавшие под критерии или сигнатуры,

потому чтобы сбрасывать статус подозрительный, надо быть уверенным, что там нет объектов для удаления. (А если в этом уверен, то его можно просто игнорировать.... в автоскрипте они все равно не обрабатываются)

[PR55.RP55 82]

Santy пишет:

имхо, фишка со сбросом статуса "подозрительный" практически бесполезна (лишь для количества), поскольку после сортировки по полю СТАТУС основное внимание объектам ?ВИРУС? и sign detected...

подозрительные все внизу, хотя в их списке могут быть объекты не попавшие под критерии или сигнатуры,

потому чтобы сбрасывать статус подозрительный, надо быть уверенным, что там нет объектов для удаления. (А если в этом уверен, то его можно просто игнорировать.... в автоскрипте они все равно не обрабатываются)

-----

У всех свой алгоритм проверки.

Кто смотрит по статусу - кто по дислокации.

-----

Я не зря просил режим ВКЛ/ВЫКЛ

Убрали из списка объекты: ПОДОЗРИТ.

Что останется в списке ?

только объекты со статусом ВИРУС...

------

Что бы, что-то игнорировать - нужно чтобы это, что-то не мешало работать.

А когда в списке под 100 файлов и 90% из них мусор...

Это мешает.

[PR55.RP55 82]

1) Команда: "Удалить все файлы в текущей категории "

Логика: В списке 10 файлов/объектов.

Из них 2 легальные.

Применяем команду: Статус > Проверенный. ( в отношении этих двух. )

В списке/категории остаются только нежелательные объекты...

Применяем команду: "Удалить все файлы в текущей категории "

--------

Команда на удаление отдаётся в соответствии с настройкой по settings.ini ( Считывается по настройке для автоскипта )

--------

Выполнение полной версии Автоскрипта - подходит не всегда - не всегда приемлемо.

P.S. Само собой - предложение только для/при работе с образом.

[demkd 622]

PR55.RP55

не вижу смысла в простом удалении тем более всего в категории.

[PR55.RP55 82]

Demkd пишет:

не вижу смысла в простом удалении тем более всего в категории.

А так видно ?

[demkd 622]

PR55.RP55

ну, может быть

[Аркалык 19]

Сегодня обновил uVS и первое впечатление. Надо убрать этот сервис: virscan.org Это какой-то посмещище.

1) Virustotal: https://www.virustotal.com/ru/file/48b6c849...6b86f/analysis/ 24/51

2) virscan.org: http://r.virscan.org/063a21543365fd12d36a73876d383a14 4/37

Хотел сравнить еще с jotti, но, походу он сегодня отдыхает.

+

Слишком распух этот меню, можно еще удалить этот сервис runscanner.net, им тоже никто не пользуется. Для меня хватает и systemexplorer.net.

[demkd 622]

Аркалык

удалять смысла нет, скорее сделаю подменю для онлайновых сервисов.