Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 82]

По одному пути трёх FIREFOX.EXE быть не может.

Значит, человек работает с несколькими версиями браузера.

Пути разные.

Создать ярлыки

Ярлык (14) для firefox.exe

Ярлык (26) для firefox.exe

Ярлык (31) для firefox.exe

Где ( * ) Указана версия браузера.

Версию считываем с файла.

----

Просто нужно искать варианты - не подходит один...

Придумаем другой вариант.

---

Только нужен чёткий ответ - чем не устраивает этот вариант...

И перейдём к следующему.

[demkd 590]

PR55.RP55

мне не нравится сама идея создания ярлыков без ведома пользователя, пользователь и сам может создать ярлык без проблем причем на то что ему нужно.

[PR55.RP55 82]

Demkd пишет:

мне не нравится сама идея создания ярлыков без ведома пользователя, пользователь и сам может создать ярлык без проблем...

А спросить пользователя ?

При удалении программ - задаётся вопрос... вы хотите удалить программу ?

Можно спросить: " Ваши ярлыки повреждены - их нужно восстановить - приступить к их восстановлению? "

И, если человек даст согласие - только тогда будет применён твик из скрипта !!

[demkd 590]

PR55.RP55

вот в этом и вопрос какие ярлыки и нужны ли они ему вообще, нет это не метод, пользователю будет проще создать нужные ручками, не думаю что кликнуть правой кнопкой по рабочему столу очень трудно, предложение по созданию ярлыков отклоняется, а твик по починке скорее всего будет.

[santy 151]

А спросить пользователя ?

офтоп, но я думаю, если человек не знает, как создать ярлык к программе, которой он пользуется, то ему нечего делать за компьютером.

[PR55.RP55 82]

поле #FILE#. (до 2k размером).

Дело в том, что строка в инфо. может иметь протяжённость выходящею за границы экрана.

И просмотреть её всю проблематично...

---

Предложение: _ВСЕ_ строки не поместившиеся в видимой части экрана переносить в следующую строку.

[demkd 590]

PR55.RP55

отклоняется, эта строчка есть собственно сам файл, строчку можно скопировать и получить исходный файл 1:1 со всеми переводами строк и т.п. конечно если размер позволяет.

[PR55.RP55 82]

1) Автоматическое пополнение для: "Белый список ЭЦП"

Логика:

- Есть база проверенных файлов SHA1 | MAIN - База основная, или оператора.

Оператор добавил файл в базу - значит, он доверяет производителю этого файла.

Чем больше файлов от данного производителя в базе - тем выше уровень доверия к нему.

Есть файл _ N _ его SHA1 есть в базе проверенных > У файла _ N _ есть ЭЦП

- Автоматически - при работе с образом автозапуска проверяется список файлов по базе проверенных.

При Условии, что пять и более файлов ( их SHA1 ) с одной ЭЦП есть/найдены в базе пров.

данная ЭЦП автоматически помещается в Белый список ЭЦП.

[demkd 590]

PR55.RP55

отклоняется, автоматически это делать нельзя.

[PR55.RP55 82]

Demkd

Есть settings.ini - и есть настройки.

Если оператор хочет - пусть будет автоматическое добавление.

А не захочет...

- Кроме того в чём проблема ?

Можно сбросить статус проверенного для всех файлов списка - при возникновении сомнения.

- Если оператор добавил файлы в базу- он им доверяет и доверяет данному производителю = ЭЦП

- В случае чего это его проблемы.

Можно сделать добавление _только_ из пользовательской базы.

[demkd 590]

PR55.RP55

проблема в том, что у меня не так много времени на добавление неразумного функционала.

[PR55.RP55 82]

Demkd

А кто сейчас работает с Белым списком ЭЦП ?

2 - 3 человека - и то... в пробном режиме.

---

Неделю назад этого списка ЭЦП вообще не было...

И что ?

_ВСЕ_ файлы с легальной подписью получали и получают статус ПРОВЕРЕН.

И при сомнении оператор сбрасывает статус...

Проверяет список.

---

Белый список ЭЦП это, что некая панацея ?

Нет - это геморрой.

ЭЦП - тысячи и глаза на лоб полезут пока все чистые не добавишь в wdsl

[demkd 590]

PR55.RP55

раз геморрой то его можно просто отключить

[PR55.RP55 82]

Demkd

Раз сделали функцию - с ней нужно работать.

Да, функция - геморрой - но потенциально полезный.

----

А ЭЦП действительно много...

И я считаю, что предложение стоящее - не идеальное - но стоящее.

------

И потом можно так:

Есть ЭЦП.

ЭЦП - автоматически помещается в КОНТРОЛЬНЫЙ СПИСОК.

После этой ЭЦП идут все ЕЁ SHA1 из всех открытых образов...

Когда наберётся 1000 SHA1 с одной ЭЦП - только тогда ЭЦП - Автоматически помещается в список белых.

[demkd 590]

PR55.RP55

перждем чем там наберется 1000 оператор добавит запись за полсекудны

любой промежуточный вариант и есть настоящий геморрой, в белый список на мой взгляд стоит добавлять только крупных подписчиков, а их вообще меньше 100 то что остальных не будет в списке это даже хорошо, список же формируется по ходу работы, причем на его формирование практически не тратится время.

[santy 151]

RP55,

Есть ЭЦП.

ЭЦП - автоматически помещается в КОНТРОЛЬНЫЙ СПИСОК.

После этой ЭЦП идут все ЕЁ SHA1 из всех открытых образов...

Когда наберётся 1000 SHA1 с одной ЭЦП - только тогда ЭЦП - Автоматически помещается в список белых.

лозунг - "ни дня без нового предложения по uVS" не приведет к качественным предложениям.

белый список - это по сути список надежных критериев. Мы же не создаем автоматически тысячи критериев по факту того что в образе много чистых файлов. Раз это критерии, значит и создаваться они должны в интерактивном режиме, с добавлением исключительно надежных поставщиков ПО.

Смысл этого списка в том, чтобы в будущем исключить ложный детект (сигнатуры, критерии) по заведомо чистым файлам.

+ автоматически отсеять из проверенных как раз недобросовестных поставщиков АДВАРЕ. (это уже работает сейчас, даже если в списке всего один поставщик).

Количество чистых записей в белом списке не влияет на отсев недобросовестных поставщиков адваре. в этом его главный смысл.

[PR55.RP55 82]

o Добавлена возможность вычислять и помещать в базу проверенных хэши

объектов. (ссылки, guid-ы и т.п.)

Применить расчёт хэша при коррекции сигнатуры.

Пример: Есть данные ( данные одной строкой )

EXE* : Banner LLC : Паковка: Ресурсы +

Для полученной строки производиться расчёт хэша.

В итоге:

addsgn

{1ACE709A5583508FF42B624E4148F6962575D98A6D691FF37A964E50AFA365B356073C2232AAE84

143343C16467E654E82DF00FE52DAB0AFE96FF9ECAD0E9AFF 8 # 648049918E20B5EB63789DE64E5D2525B9A81DB2 # DWARE.MED }

т.е. Сейчас добавлена возможность вычислять хэши объектов. (ссылки, guid-ы и т.п.)

Значит можно выполнить расчёт для суммирующей строки ( EXE* : Banner LLC : Паковка: Ресурсы + ) = SHA1

----

Модель авто.коррекции сигнатуры. ( продолжение/дополнение )

http://www.anti-malware.ru/forum/index.php...st&p=179800

11) Применяется да/нет упаковщик.

[PR55.RP55 82]

1) Бывают такие случаи, когда постоянно перебрасывает на один ресурс и невозможно качественно решить проблему.

Когда на решение = точное выяснение причины требуется время.

А работать то с браузером нужно...

см. предложение на фото.

[santy 151]

1) Бывают такие случаи, когда

"опустишь руки, и нет ни слов, ни музыки, ни сил.... в такие дни я был с собой в разлуке, и никого помочь мне не просил..."

RP55, на кого рассчитано это решение? на человека, который не знаком с hosts?

будет жаловаться все равно, что открываются левые страницы, адрес не найден, или соединение с сервером невозможно...

отсюда сделает вывод, что у него не работает интернет.

[PR55.RP55 82]

1) Запретить применение сигнатуры - для Всех известных/системных файлов.

Для файлов с наличием ЭЦП , и без ЭЦП.

- Оператор может работать с сигнатурой известного/системного файла исключительно для выявления его модификации/подмены.

------

Фильтр работает просто:

Есть список известных/системных файлов - также, информацию содержит ИНФО. файла.

т.е. известно какой файл системный, а какой нет.

------

Оператор работает со списком - После проверки списка он видит - есть срабатывание на системный файл, или нет.

Если есть - то, на какой.

------

Сигнатура системного файла в скрипт не добавляется - и не может быть добавлена.

Сигнатура работает - только в списке, как индикатор.

[santy 151]

1) Запретить применение сигнатуры - для Всех известных/системных файлов.

а если подмена системного файла (и не одного), и все моды в образе находятся именно по сигнатуре? как это было с известным winlock. вот с этим: virus\Winlock\22CC6C32.vEXE по сигнатуре будешь детектировать, а удалять через delall? смысл? значит, детекту по сигнатуре доверяем, а удалять будем другим способом.

проблема с hide не такая уж горячая. Да удобно бывает иногда не удалить сигнатуру, или увеличивать длину активной части, а просто скрыть файл. а уж если надежная ЭЦП у файла, то 100% его можно автоматически скрыть от детекта. Это уже сделано. надо этим пользоваться в полной мере.

а не выворачивать все наоборот.

[PR55.RP55 82]

Да вы чего, в самом то деле ?

Есть постулаты:

Если есть заражение/подмена системного файла...

Что происходит ?

а) Очистка файла/кода ( файловое заражение )

б) Замена заражённого файла на чистый/оригинальный.

в) Удаление _только самого файла_ т.е. удаление файла, если он не критически важен и не влияет на запуск системы.

г) Удаление системного файла возможно - но удаляется только сам файл - ВСЕ ссылки на него сохраняются и в дальнейшем файл можно будет

вылечить ( если он был помещён в карантин/ZOO ) или заменить на чистый.

-------------

во ВСЕХ случаях СИГНАТУРА работает ТОЛЬКО как маркер.

Сигнатура позволяет найти/выявить УГРОЗУ.

т.е. Сигнатура нужна только для выявления.

----

Выявленный с её помощью объект оператор видит в СПИСКЕ !

и далее... принимает решение - как работать с файлом.

а - б - в - г.

----

Для чего сигнатура на стороне оператора - понятно - она нужна чтобы найти угрозу.

Вопрос: для чего сигнатура на стороне пользователя ?

[santy 151]

б) Замена заражённого файла на чистый/оригинальный.

в) Удаление _только самого файла_ т.е. удаление файла если он не критически важен и не влияет на запуск системы.

г) Удаление системного файла возможно - но удаляется сам файл - ВСЕ ссылки на него сохраняются и в дальнейшем файл можно будет

по разному бывает. тот же корк прописывает себя в реестр в службы например, вместо чистого файла. при этом чистый файл остается на месте.

здесь и delall, и delvir (по сигнатуре) удаляет только сам файл, не удаляет ссылки(защищенные ссылки), мало того восстанавливает правильное значение.

------------

подмена системных файлов на моей памяти была дважды:

taskmgr.exe, userinit.exe в случае с Winlock, и rpcss.dll.

как известно, после подмены taskmgr.exe была создана в uVS технология восстановления системных файлов из STORE. и лечение выполнялось с LIVE.CD через команду rknown. Никто при этом, из известных мне хелперов не удалял системные файлы через delall.

[PR55.RP55 82]

по разному бывает. тот же корк прописывает себя в реестр в службы например, вместо чистого файла. при этом чистый файл остается на месте.

здесь и delall, и delvir (по сигнатуре) удаляет только сам файл, не удаляет ссылки(защищенные ссылки), мало того восстанавливает правильное значение.

Да.

Но... речь идёт не об удалении системного файла ?

речь идёт об удалении вируса - точнее о удалении вируса и восстановлении повреждённых/изменённых значений.

Сигнатура какого файла добавлена в скрипт ?

Сигнатура - вируса !

----

МЫ не можем удалять системные файлы по сигнатуре !

ещё раз _СИСТЕМНЫЕ_

НЕ Winlock НЕ корк-в.

Я говорю о ИЗВЕСТНЫХ СИСТЕМНЫХ файлах.

вроде ясно написано ?

---

Как вы это себе представляете ?

Был создан образ > Оператор посмотрел образ > Увидел подмену/модификацию ряда системных файлов > Добавил сигнатуру/сигнатуры в скрипт >

Передал скрипт на выполнение...

И крышка системе...

За прошедшее с момента создания образа время могли быть изменены и другие системные файлы.

Да и вообще.

---

Сигнатура ПРИ РАБОТЕ С СИСТЕМНЫМИ файлами - только для выявления/обнаружения угрозы.

Пример: RPCSS.DLL

Все _нормальные_ антивирусы говорили: Найдена угроза ХХХ - Сообщите в компанию.

( или лечили, если могли )

Для чего была реализована команда: o Ctrl+Del - удалить только сам файл ?

[santy 151]

RP55, это называется ложное срабатывание. сигнатрура была снята с другого файла. и hide здесь как раз решает проблему, и не только для известных системных, но и для всех файлов с надежной ЭЦП из WS.