Новые функции в Universal Virus Sniffer (uVS) - Страница 65 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

PR55.RP55

1) Автоматически помечать как подозрительные все файлы где в качестве ЭЦП прописано числовое значение.

типа:

Действительна, подписано "8.8.8.8"

Действительна, подписано 70166A21-2F6A-4CC0-822C-607696D8F4B7

Или Комбинация:

Действительна, подписано Copyright © 2022

2) В Инфо. изменить порядок подачи информации - первыми\верхними строками должны быть строки с наиболее важной информацией. ( непосредственно под критерием поиска ) т.е. ( ЭЦП и т.д )

3) Нужна нормальная подача информации ( при работе с образами ) По нагрузке на процессор\видеокарту.

Возможно оператор должен решать какую колонку с информацией ему нужно видеть: Производитель или нечто другое...

4) Если есть запись какое приложение было заблокировано фаерволом - будь то фаервол Windows или Ф v1.11

Отображать эту информацию.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Определять время применения GPO

Определять время применения GPO - с привязкой к событию. ( например запуск... скрипта )

Писать в Инфо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

В окнах -  появилась реклама. ( ожидаемо )

uVS этого не видит.

------------

New-Item -Path "HKCU:\Software\Policies\Microsoft\Windows" -Name "Explorer" -force New-ItemProperty -Path "HKCU:\Software\Policies\Microsoft\Windows\Explorer" -Name "DisableNotificationCenter" -PropertyType "DWord" -Value 1 New-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\PushNotifications" -Name "ToastEnabled" -PropertyType "DWord" -Value 0

-----------------

# Add HKEY_Users as a PS Drive New-PSDrive -PSProvider Registry -Name HKU -Root HKEY_USERS # Add the default user's registry hive so it is viewable/browsable by PowerShell Start-Process -FilePath 'CMD.EXE' -ArgumentList '/C REG.EXE LOAD HKU\AllUsers C:\Users\Default\NTUSER.DAT' -Wait -WindowStyle Hidden | Out-Null # Remove notification group policies from current user Remove-ItemProperty 'HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer' -Name 'TaskbarNoNotification' -Force Remove-ItemProperty 'HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'ToastEnabled' -Force Remove-ItemProperty 'HKCU:\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'NoToastApplicationNotification' -Force # Remove notification group policies from local machine Remove-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer' -Name 'TaskbarNoNotification' -Force Remove-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'ToastEnabled' -Force Remove-ItemProperty 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'NoToastApplicationNotification' -Force Remove-ItemProperty 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\Explorer' -Name 'DisableNotificationCenter' -Force # Remove notification group policies from default user Remove-ItemProperty 'HKU:\AllUsers\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer' -Name 'TaskbarNoNotification' -Force Remove-ItemProperty 'HKU:\AllUsers\SOFTWARE\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'ToastEnabled' -Force Remove-ItemProperty 'HKU:\AllUsers\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'NoToastApplicationNotification' -Force # Remove default user's registry hive Start-Process -FilePath 'CMD.EXE' -ArgumentList '/C REG.EXE UNLOAD HKU\AllUsers C:\Users\Default\NTUSER.DAT' -Wait -WindowStyle Hidden | Out-Null # Remove HKU_Users from PowerShell Remove-PSDrive -Name HKU

---------------

Disable Security and Maintenance Notifications

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Notifications\Settings\Windows.SystemToast.SecurityAndMaintenance

Value Name: Enabled (DWORD)
Value: 0

Disable OneDrive Notifications

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Notifications\Settings\Microsoft.SkyDrive.Desktop

Value Name: Enabled (DWORD)
Value: 0

Disable Photos Notifications

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Notifications\Settings\Microsoft.Windows.Photos_8wekyb3d8bbwe!App

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Думаю стоит добавить твик:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1" [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1"

-------------------

https://www.comss.ru/page.php?id=11668

Бывают всякие непонятные неясные случаи - возможно это в ряде случаев поможет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Руководство по расследованию атак с использованием CVE-2022-21894 BlackLotus campaign

https://www.microsoft.com/en-us/security/blog/2023/04/11/guidance-for-investigating-attacks-using-cve-2022-21894-the-blacklotus-campaign/

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

NVIDIA Power Management - приложение с открытым исходным кодом...

Для управления настройками электропитания приложение использует System Management Interface. Это утилита командной строки NVIDIA, которая позволяет запрашивать и изменять состояния видеокарт. Инструмент поддерживает графические процессоры NVIDIA Tesla, GRID, Quadro и Titan X, а также может работать с ограничениями с другими видеокартами NVIDIA.

NVIDIA Power Management имеет графический интерфейс. Пользователям доступны создание ограничений мощности для отдельных приложений, создание профилей мощности для нескольких приложений, базовый мониторинг производительности, адаптивное энергопотребление и другие функции.

https://www.comss.ru/page.php?id=11792

Фактически это не только позволит получать информацию и вести мониторинг.

Но и добавить в меню\скрипт uVS новые команды.

 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

в Windows 11

Отображать сжатые или зашифрованные файлы NTFS другим цветом

Раздел реестра:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Найдите параметр ShowEncryptCompressedColor. Если он не существует, кликните правой кнопкой мыши по разделу Advanced и выберите Создать > Параметр DWORD (32-бита), назовите его ShowEncryptCompressedColor.

Установите для параметра значение 1, чтобы показывать выделять сжатые или зашифрованные файлы NTFS другим цветом или 0, чтобы отключить эту опцию.

-------

Если система Windows - определяет сжатые или зашифрованные файлы NTFS  - хорошо бы чтобы эти данные шли в Инфо. uVS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Предлагаю автоматически менять статус файла на подозрительный при:

c:\users\$printer_maestro$\contacts\taskhostw.exe

c:\users\$printer_maestro$\pictures\runtimebroker.exe

и т.д.

https://virusinfo.info/showthread.php?t=228232&s=7d17632bc8272697c9cd8b33ac2e6829

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Хакеры использовали политику Microsoft для изменения даты подписи вредоносных драйверов

https://habr.com/ru/news/747692/

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Эксперты из компании Security Joes представили новую технику внедрения кода в процессы, которая получила название Mockingjay.

https://xakep.ru/2023/06/28/mockingjay/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Особенности выполнения атаки и возможные варианты детектирования.

и т.д.

https://habr.com/ru/companies/rvision/articles/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Пользователи Firefox теперь могут импортировать расширения из Chrome

https://www.comss.ru/page.php?id=12244

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Можно добавить в uVS Категорию:

Автоскрипт: "Вариант"

т.е. оператор пишет скрипт > отдаёт команду - запомнить. Команда запоминаться. ( записывается в файл ) ( или это происходить автоматически по настройке - settings.ini )

В конце концов формируется файл с сотнями команд. ( команды - дубли исключаются )

Оператор может открыть Категорию и посмотреть что ему предлагается = Вариант...

Фактически Оператору  предлагаться сырой вариант скрипта ( на основе предшествующего... опыта )

Но всё это сразу не идёт  в сам скрипт. А отображается в Категории - "Вариант"

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Желательно чтобы uVS проверял записи защитника и помечал все файлы в исключениях как подозрительные.

Если есть информация почему она не используется?

https://forum.kasperskyclub.ru/uploads/monthly_2020_12/1607963082071-1990362701.thumb.jpg.fce65d13df469559a736960ab2de447a.jpg

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Сейчас есть проблемы с проверкой состояния UEFI

Предлагаю добавить в uVS возможность копирования\бекап BIOS\UEFI

Или как минимум получение информации. ( Версия; дата и т.д. )

Для последующего анализа\передачи файла на V.T. и вир. лабы.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Здесь 212 сборок Windows 11

https://www.comss.ru/page.php?id=10053

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

В  FRST добавлена функция:

" Startup folders redirection added under Registry "

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Было бы неплохо выделять ( зелёным цветом ) даты, если с момента первой проверки прошёл год +

VTOK [2024-01-12]2022

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

По поводу документации к uVS ( Doc )

У меня есть Уроки по работе с программой. Всё это можно конвертировать в подходящий формат и добавить к документации. ( если уроки будут сочтены достойными )

https://forum.esetnod32.ru/forum8/topic15785/

А то получается - программа отдельно уроки отдельно.

Так сказать всё для народа - всё для победы :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

uVS не видит расширений  Edge  хотя браузер на Chromium

----------

А ведь могло - бы пригодиться  :)

Edge Extension: (WinSafe - быстрый доступ к сайтам!) - C:\Users\aleks\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bgnodfikjoihkcjjnefbjkeclamhipak [2023-08-26]

Kaspersky: AdWare.Script.ChromeExt.gen

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

По расширениям.

Пример: Человек обращается за помощью - говорит, что в браузерах реклама, он все расширения отключал\удалял но это не помогло.  Да... но пользователь в браузере видит только часть расширений. Хотелось бы в Инфо. иметь информацию о статусе расширения - видит его пользователь или оно от него скрыто.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Сделать чтобы start.exe  мог запускаться как firefox.exe; opera.exe и т.д.

т.е. чтобы отслеживал в этом режиме перехват; внедрение и т.д.

Пример: Есть проблема с отображением рекламы; накрукта роликов на youtube и т.д. в браузерах.

И нам нужно видеть именно то, что реагирует на запуск браузеров.

* При работе в данном режиме предварительно выгружать все браузеры.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Предлагаю автоматически ( при формировании скрипта  ) удалять  идентичные расширения браузеров по ID

т.е. удаляем расширение из одного браузера = автоматически  удаляем это расширение из всех браузеров.

https://www.comss.ru/page.php?id=12970

---------------

Возможно в Категориях по браузерам стоит собирать\ консолидировать все доступные данные по этому браузеру.

т.е. не только данные о расширениях, но и назначенные задания; все подписанные или не подписанные файлы; Все файлы _которые есть в каталогах браузеров_; скрипты; ярлыки; групповые политики; сетевая активность и т.д.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

.xml  файлы taskschd.msc

Могут быть подписаны  цифровой подписью.

Думаю будет нелишним, если uVS будет это фиксировать.

т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи.

и писать в ИНфО .

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Предлагаю добавлять в лог - информацию по пользователям типа:

Account: (Hidden) User 'John' is invisible on logon screen

Account: (RDP Group) User 'John' is a member of Remote desktop group

и т.д.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×