Новые функции в Universal Virus Sniffer (uVS) - Страница 37 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

PR55.RP55

Чем VTOK/JTOK/VSOK ( vtcache )

Лучше статуса присвоенного самим оператором ?

Смысл такой же...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

Открыл оператор новый образ... ( А в образе уже отмечен статус файлов ... )

Оператор экономит время на проверке...

проверка по кэшу VT всех файликов из образа возможно займет еще больше времени, чем если проверить подозрительные из текущего списка на VT.( с учетом кэша).

т.е. выигрыша все равно никакого нет по времени.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Santy пишет:

Проверка по кэшу всех файликов из образа возможно займет еще больше времени, чем если проверить подозрительные из текущего списка на VT.( с учетом кэша).

т.е. Смысл найден - он есть ?

Скорость обработки данных это уже из другой области.

Значит нужно менять механизм.

Не хранить в vtcache тысячи файлов - а создать ОДИН файл.

С примерной структурой:

46EBD42422342CBCE601F6F7BAF28F37D6EDFB98 ; D 15.02.14 ; OP.VTOK.

DBAFFF0D6A588E33D7AD3C960ACE459EEA4F8C82; D 15.02.14 ; OP.VTOK.

8B9994EFB9131935AA54C2BAA83970211E70329C ; D 15.02.14 ; OP.VTOK.

И ещё раз...

Одно дело проверен на V.T.

И совсем другое когда файл/объект проверен оператором.

т.е. Оператор Может посмотреть ИНФО. файла; может посмотреть результаты на: V.T; JT; VIRSCAN; herdProtect ;К/advisor ...

И только после этого, исходя из полученных данных - исходя, из своего практического опыта, дать/присвоить файлу статус: OP.VTOK.

Разница очевидна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

PR55.RP55

разницы нет, или файл проверен или нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55, по этим сервисам (VIRSCAN; herdProtect ;К/advisor) нет автоматики.

а добавлять вручную результат проверки по отдельному файлу - это рутина. Будет автоматическая проверка по этим сервисам, тогда можно думать, как объединить результаты проверок этих сервисов с результатом проверок VT/JT.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Demkd пишет:

Разницы нет, или файл проверен или нет.

" o Добавлено автоматическое кэширование запросов к VT.

Кэш работает в функциях массовой проверки. "

А если файл прошёл проверку по/на V.T. ?

Но при этом файл как был вирусом - так он им и останется...

Это не проверка !

--------

"Проверка носит массовый характер"

--------

А если файл НЕ найден на V.T. -

Что сохраниться - какая информация ?

---------

А отдельно, проверенный, оператором, файл - это отдельно проверенный перфоратором файл ...

--------

За каким лешим оператору тратить время и повторно проверять файл, если он его проверил.

По объективным причинам он в базу проверенных его вносить не будет...

А так результат СОБСТВЕННОЙ проверки перед глазами - с указанием ( ТЫ ЕГО СЕГОДНЯ САМ ПОСМОТРЕЛ И ПРОВЕРИЛ - НЕ СМОТРИ ЕГО СЕГОДНЯ ВТОРОЙ РАЗ - НЕ ТРАТЬ ВРЕМЯ ! )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
А если файл НЕ найден на V.T. -

Что сохраниться - какая информация ?

ничего

А отдельно, проверенный, оператором, файл - это отдельно проверенный перфоратором файл ...

вот и место ему в базе проверенных.

За каким лешим оператору тратить время и повторно проверять файл, если он его проверил.

совершенно согласен.

По объективным причинам в базу проверенных его вносить не будет...

причин не вижу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Лично у меня добавление файлов из образов в проверенные отключено - по известной причине.

так, что...

Santy пишет:

Будет автоматическая проверка по этим сервисам, тогда можно думать, как объединить результаты проверок этих сервисов с результатом проверок VT/JT.

Я не предлагаю объединять данные.

-------

Demkd

Да...

Одни файлы можно добавить в проверенные - другие нельзя.

Если файл новый и его первый раз проверили три дня назад - и больше НЕ проверяли...

Файл VTOK но...

Можно ли его добавить в проверенные ?

Сомневаюсь.

А присвоить ему временный статус - и держать перед глазами в списке... ( это отложенное решение или действие )

----------

Santy пишет:

Добавлять вручную результат проверки по отдельному файлу - это рутина.

Это решать оператору.

По хорошему, нужно проверить на практике - провести практические испытания.

И если функция лишняя - убрать.

----

ЭТО ТЕСТИРОВАНИЕ - т.е. версия программы для экспериментов - добавили...

Оценили...

И в зависимости от результата оставили функцию или на убрали из программы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Это решать оператору.

По хорошему, нужно проверить на практике - провести практические испытания.

я считаю, что в списке предложений есть более полезные вещи, которые необходимо реализовать, чем заниматься реализацией и тестированием механизма хранения промежуточных результатов проверок.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Santy пишет:

В списке предложений есть более полезные вещи, которые необходимо реализовать, чем заниматься реализацией механизма хранения промежуточных результатов проверок.

Конечно есть.

---------

Я присвоил файлу/объекту статус _ПРОВЕРЕН_ и хочу сохранить результат этой проверки.

Если результат сохраняется на время сессии при работе с образом - почему бы мне его не сохранить и для работы с новым/другим образом ?

При том, что я вижу - файл, вижу его статус - вижу, что это я проверял, вижу дату когда...

Чем РЕАЛИЗОВАННЫЙ vtcache лучше ?

Да НЕ чем.

ОН НЕ ЛУЧШЕ он уступает !

-------

Можно запустить массовую проверку по V.T. > После чего посмотреть ИНФО. по файлу...

И _ПЕРЕБИТЬ_ статус соответствующей командой с V.T. VTOK на OP. VTOK...

т.е. файл прошёл проверку не только на сервисе - но он проверен мной...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Чем РЕАЛИЗОВАННЫЙ vtcache лучше ?

лучше тем, что поддерживается автоматически.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

В общем, что я хотел сказать по данной теме - то сказал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) "Отключить фильтр ПОДОЗРИТ. / Включить фильтр ПОДОЗРИТ. "

Т.е. Оператор получает список АВТОЗАПУСКА как есть.

Пример: Оператор открывает образ - видит, что все объекты в категории "Подозрительные и вирусы " попали в него (зря)...

В списке файлы с аннулированными сертификатами, системные модифицированные умельцами файлы, и те файлы у которых не удалось проверить ц.подпись.

При этом, у оператора настроены и эффективно работают поисковые критерии... >

Все угрозы списка получают соответствующий им статус !!

Значит - собственный uVS фильтр файлов на выявление ПОДОЗРИТ. в данном случае НЕ НУЖЕН !

Оператор в зависимости от ситуации может БЫСТРО ИЗ МЕНЮ, как включить так и отключить фильтр.

Что это даёт ?

Это позволит оставить в списке только подлежащие обработке файлы/объекты.

Позволит сократить число отдаваемых оператором команд = экономия времени.

На примере: "Все файлы в каталоге и под каталогах проверенны ... "

" Сбросить статус "подозрительный" у всех известных файлов..."

Сократить время проверки на V.T. "Проверить все не проверенные файлы в текущей категории "

и т.д...

-------

Даже странно, что раньше до такого решения не додумались.

В ряде случаев эти ПОДОЗРИТ. просто неимоверно мешают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) _Режим запуска uVS 3 _

Ряд надстроек заданных оператором в/для settings.ini = sgnz; snms; sha1 ...

Может существенно увеличить время старта/обработки.

Нужна возможность для чистого старта - старта без надстроек.

Для чего добавить в окно запуска соответствующею команду.

------

Актуально на слабых машинах.

Актуально при недостатке времени.

Актуально при тестировании новых версий программы.

... для уточнения некоторых данных по системе/объектам автозапуска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

PR55.RP55

1. могу сделать команду в меню для сноса сатуса "подозрительный", вкл. выкл делать лень.

2. отклоняется, проще сделать отдельный каталог без snms и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Demkd пишет:

могу сделать команду в меню для сноса сатуса "подозрительный"

Хорошо- пусть так будет.

С возможностью применения Ctrl+Z ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

PR55.RP55

скорее всего да

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
В ряде случаев эти ПОДОЗРИТ. просто неимоверно мешают.

имхо, фишка со сбросом статуса "подозрительный" практически бесполезна (лишь для количества), поскольку после сортировки по полю СТАТУС основное внимание объектам ?ВИРУС? и sign detected...

подозрительные все внизу, хотя в их списке могут быть объекты не попавшие под критерии или сигнатуры,

потому чтобы сбрасывать статус подозрительный, надо быть уверенным, что там нет объектов для удаления. (А если в этом уверен, то его можно просто игнорировать.... в автоскрипте они все равно не обрабатываются)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Santy пишет:

имхо, фишка со сбросом статуса "подозрительный" практически бесполезна (лишь для количества), поскольку после сортировки по полю СТАТУС основное внимание объектам ?ВИРУС? и sign detected...

подозрительные все внизу, хотя в их списке могут быть объекты не попавшие под критерии или сигнатуры,

потому чтобы сбрасывать статус подозрительный, надо быть уверенным, что там нет объектов для удаления. (А если в этом уверен, то его можно просто игнорировать.... в автоскрипте они все равно не обрабатываются)

-----

У всех свой алгоритм проверки.

Кто смотрит по статусу - кто по дислокации.

-----

Я не зря просил режим ВКЛ/ВЫКЛ

Убрали из списка объекты: ПОДОЗРИТ.

Что останется в списке ?

только объекты со статусом ВИРУС...

------

Что бы, что-то игнорировать - нужно чтобы это, что-то не мешало работать.

А когда в списке под 100 файлов и 90% из них мусор...

Это мешает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Команда: "Удалить все файлы в текущей категории "

Логика: В списке 10 файлов/объектов.

Из них 2 легальные.

Применяем команду: Статус > Проверенный. ( в отношении этих двух. )

В списке/категории остаются только нежелательные объекты...

Применяем команду: "Удалить все файлы в текущей категории "

--------

Команда на удаление отдаётся в соответствии с настройкой по settings.ini ( Считывается по настройке для автоскипта )

--------

Выполнение полной версии Автоскрипта - подходит не всегда - не всегда приемлемо.

P.S. Само собой - предложение только для/при работе с образом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

PR55.RP55

не вижу смысла в простом удалении тем более всего в категории.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Demkd пишет:

не вижу смысла в простом удалении тем более всего в категории.

А так видно ? :huh:

5000.jpg

post-8956-1398697421_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

PR55.RP55

ну, может быть

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Аркалык

Сегодня обновил uVS и первое впечатление. Надо убрать этот сервис: virscan.org Это какой-то посмещище. :)

1) Virustotal: https://www.virustotal.com/ru/file/48b6c849...6b86f/analysis/ 24/51

2) virscan.org: http://r.virscan.org/063a21543365fd12d36a73876d383a14 4/37

Хотел сравнить еще с jotti, но, походу он сегодня отдыхает.

+

Слишком распух этот меню, можно еще удалить этот сервис runscanner.net, им тоже никто не пользуется. Для меня хватает и systemexplorer.net.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Аркалык

удалять смысла нет, скорее сделаю подменю для онлайновых сервисов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×