Перейти к содержанию

Recommended Posts

santy

demkd,

можно добавить сообщение в логи, если обнаружена групповая политика для Chrome?

и желательно чтобы в этом случае твик 27 попал в автоматически в скрипт через ALT+T

т.е. добавился в эту компанию

Ctrl+T        - Автоматически применить твики #1,2,3,9,28,29 при необходимости.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Добавление комментария к Zoo

 

В скрипт добавляется строка/комментарий.

Комментарий например для вир. лаба.

-------

Кто скрипт выполнил - тот архив и отправит, уже с комментарием.

Комментарий прописывается в текстовый файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Есть несколько копий uVS

С разными настройками для решения разных задач.

 

База vtcache может содержать несколько тысяч файлов.

Её копирование/перемещение  отнимает  много времени - особенно на слабых PC.

-------

Предложение: возможность прописать путь к одной общей базе vtcache

это даст:

1) Экономию времини

2) Экономию места на диске

3) База пополняется от/из нескольких источников.

4) База всегда в актуальном состоянии.

 

--------------

2) Создать файл/базу в каталоге uVS присвоить базе имя SHA2

 

По своей структуре это стандартная база проверенных но...

База содержит _временно проверенные sha1 / файл.

 

Принцип: Оператор работает с образом.

Во время работы присваивает статус _ПРОВЕРЕН ряду файлов.

В основе стандартные команды меню СТАТУС:  "Проверенный"  и т.д.

 

это даст:

 

1) Экономию времени при повторной работе с образом.

2) Экономию времени при работе с новым образом.

---------

Почему sha нужно добавлять именно в базу SHA2  ?

Причина проста  - Оператор проверяет файлы, и это поверхностная проверка - она основана на субъективной оценке которая зависит от опыта оператора; результата проверке на VT. и т.д.

У оператора нет самого файла и нет времени на его углубленное изучение.

- Значит это временная база проверенных.

Файлы в ней хранятся  временно ( по настройке settings.ini )

Например  раз в 30 дней _вся база SHA2 будет  обнулена ( если есть соответствующая настройка )

------

Проверка списка по этой базе осуществятся по отдельной команде.

Пример работы: Список проверяется по основной/пользовательской базе проверенных

после чего оператор  может проверить список по базе SHA2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Уточнение по базе SHA2

В базу добавляются все объекты которым оператор присвоен статус ПРОВЕРЕН

кроме объектов:

 

HTTP://******

 

-------------------

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Сейчас эпидемия, ( подсыпали в смазку алмазную пыль ;)  ) с вирусами-шифраторами.

 

Некоторые виды всё таки поддаются расшифровке.

- Важно знать тип. расширения.

- Можно отдельно давать информацию например по:

 

C:\WINDOWS\Web\Wallpaper

C:\Documents and Settings\!User!\Мои документы\Мои рисунки

-----

Таким образом не задавая лишних вопросов можно определить тип шифратора.

И сразу дать рекомендации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Эпидемия шифраторов продолжается.

И судя по всему эффективного решения по защите не предвидится.

Если только...

 

---------

 

В settings.ini  выставляется таймер и...

Скажем раз в 10 секунд проверяется список процессов по базе проверенных.
При нахождении неизвестного на @ оправляется сообщение + в трее всплывает табличка/уведомление.
+ запись в лог/журнал. + копия файла в Zoo. ( для последующего анализа, что это )

И дальше в зависимости от установок.
Если файл имеет ЭЦП  и данная ЭЦП есть в списке белых - файл игнорируется.
( но уведомление/я + запись в лог/журнал + копия файла в Zoo всё одно идёт )

При прочих переменных:  файл удаляется, его повторный запуск блокируется, копия файла идёт в Zoo.
+
Файл  ( по настройке ) передаётся на анализ V.T.

Через 12/24 - Часа файл проверяется повторно.
Отчёт по результату анализа пишется в лог/журнал.
------

uVS работает в фоновом режиме - окно отображается по вызову.

------

 

Результат !

 

1) Это решает проблему шифраторов и большинства других вирусов.

2) Минимальная нагрузка на систему.

3) Оперативное реагирование на угрозы.

----------------

Речь не идёт о мониторе.

Речь идёт  об обновлении списка = его проверке по SHA1 / Wdsl

Всё работает на уже реализованных в программе принципах.

Единственно, что нужно это таймер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) uVS  не удаляет системные политики.

Твики не работают.

---------

А вот такой вариант работает:

begin RegKeyDel('HKEY_LOCAL_MACHINE', 'Software\Policies\Google\Chrome'); RegKeyDel('HKEY_CURRENT_USER','Software\Policies\Google\Chrome'); DeleteFile('C:\Windows\system32\GroupPolicy\GPT.ini', '32'); DeleteFileMask('C:\Windows\system32\GroupPolicy\Machine', '*', true); DeleteDirectory('C:\Windows\system32\GroupPolicy\Machine');RebootWindows(false);end.

Предлагаю сделать _усиленный вариант твика !

-----------

2) Команды на удаление программ такие как:

 

exec32 C:\Program Files (x86)\WebBars\uninstall.exe

 

Часто не работают.

 

----------

Предлагаю реализовать принудительное удаление.

В меню uVS добавляется команда: "Принудительное удаление программы "

т.е. Удаление ключей реестра; файлов; каталогов.

-------

Оценивается  есть/нет ЭЦП  у  uninstall.exe//msi

А) Выгружаются все элементы этих программ.

- Учитывается ЭЦП файлов/процессов. ( совпадение ЭЦП )

- Учитывается путь до файла ( например C:\Program Files (x86)\WebBars\***********.exe//dll...

Б) Удаляются ссылки на - как имеющие отношение к самой программе так и к файлам программы.

В) Удаляются сами файлы ( при невозможности удаления - удаление производится после перезагрузки системы )

Г) Удаляются каталоги.

 

3) В списке установленных программ писать ЭЦП/производитель.

инфо. брать из uninstall. и/или файлов каталога где расположен uninstall.

 

4) В конце концов начать работу с toolbars  и расширениями браузеров !

сейчас 50% всех проблем связано с ними.

Internet Explorer toolbars

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\%GUID%\
  • \SOFTWARE\Microsoft\Internet Explorer\Toolbar\%GUID%
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\Explorer\%GUID%
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ShellBrowser\%GUID%
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\%GUID%

 

Internet Explorer extensions

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extension\%GUID%
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extension\%GUID%
  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Extension\%GUID%
  • HKEY_CURRENT_USER\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Extension\%GUID%

Поисковые системы Internet Explorer

 

"HKLM/HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes"

 

-------------------------------------------------------------

 

Mozilla Firefox extensions

 

( ну... разные есть версии браузера/движка )

 

 

HKEY_CURRENT_USER\Software\MozillaPlugins\plugin-id
HKEY_LOCAL_MACHINE\Software\MozillaPlugins\plugin-id

 

 

HKEY_CURRENT_USER\Software\Vendor\Name\Extensions
HKEY_LOCAL_MACHINE\Software\Vendor\Name\Extensions

 

 

HKEY_CURRENT_USER\Software\Mozilla\Firefox\Extensions
HKEY_CURRENT_USER\Software\Mozilla\Thunderbird\Extensions

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Thunderbird\Extensions

 

--------------

%appdata%\<vendor>\Extensions\<appid>\

 

%appdata%\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\

 

--------------

 

For x86-based computers:

HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions

For x64-based computers:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions
 
 
For x86-based computers:
reg DELETE "HKLM\SOFTWARE\Mozilla\Firefox\Extensions" /v "{27a82645-c095-46ed-80e3-08825760534b}" /f
For x64-based computers:
reg DELETE "HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions" /v "{20a82645-c095-46ed-80e3-08825760534b}" /f
 
--------------
reg DELETE "HKLM\SOFTWARE\Mozilla\Firefox\Extensions" /v "{27a82645-c095-46ed-80e3-08825760534b}" /f
reg DELETE "HKLM\SOFTWARE\MozillaPlugins@*******.com/WPF,version=3.5" /f
--------------
 

 
 
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mike 1

А вот такой вариант работает:

 

C:\Windows\SysWOW64\GroupPolicy\Machine

 

Тогда нужно добавить удаление и этой папки для 64 разрядных систем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

mike 1

Так напишите !

:)

-----------

 

Если у demkd мало времени нужно найти сведения по всем основанным браузерам их расширениям/поисковым системам.

Значениям реестра и путей до файлов.

И здесь написать.

- Может ещё чего...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mike 1

PR55.RP55 я uVS не так часто использую в лечении. Я просто немного дополнил ваш пост, потому что мне встречались темы, где политика для Chrome была прописана в этой папке. Да и я все таки больше предпочитаю использовать Farbar чем uVS. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

mike 1

 

------

Я тут

Написал статейку по Farbar +

http://forum.esetnod32.ru/messages/forum9/topic11806/message83547/?result=edit#message83547

- Может будет полезна - ?

--------

 

Было бы хорошо реализовать закладки и в uVS 

 

Для чего:

1) Удалить выделенные объекты. ( команда на удаление - только для скрипта !! )

2) Обратить в. объекты.

3) Проверить в. на V.T.

4) Все в.проверенны.

 

5) Добавить сигнатуры в.  в базу ( под одним наименованием )

6) Проверить ЭЦП

 

и т.д.

Такой подход значительно ускоряет обработку списка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mike 1

Может будет полезна - ?

Не думаю. У меня все вот так сделано, да и вопрос разработчику Farbar я могу задать если мне что-то непонятно. :)

 

qwkam0M.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Реализовать...

 

------------

В ряде случаев uVS в инфо. пишет:

 

"Сертификат аннулирован"

-------------

Сделать так, чтобы...

Оператор мог _сам подключить файл/ список аннулированных ЭЦП.

и видел в инфо.:  Сертификат аннулирован _оператором.

-----

Соответсвенно файл попадает в подозрительные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Сейчас актуальна проблема шифраторов.
В связи с чем предлагаю...
Оператор должен иметь возможность видеть есть теневые копии, или нет: 
http://www.outsidethebox.ms/13764/#_Toc328869241

cmd:  vssadmin list shadows

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Предложение.

 

Реализовать твик для зачистки от отсутствующих: " Task File "

Пример:

Task: {031EE14D-338E-4272-89F1-352F6EB162A8} - \Driver Booster SkipUAC (user) No Task File <==== ATTENTION
Task: {B247D36B-F9A0-447C-8D37-416782AC6B03} - \WinZipDriverUpdaterRunAtStartup No Task File <==== ATTENTION
Task: {BF944475-693A-443F-B9D6-E77C4261C4EA} - \Uninstaller_SkipUac_user No Task File <==== ATTENTION
Task: {D51C15CA-6CD9-4C2A-994D-95124F56A277} - \VKSaverUpdate No Task File <==== ATTENTION
Task: {E2D75554-F204-4A77-B0E7-5E7A55153BD1} - \{CE0B26D7-A051-4DE9-973F-4B53EDF700AF} No Task File <==== ATTENTION
Task: {01035D09-861D-4474-B628-148CE3D3FA14} - \462b26c4-fed9-4a46-8038-2b960b2536e9 No Task File <==== ATTENTION
Task: {0A605A77-AB74-4E85-BFF2-C63018409852} - \{8DE8B879-4B38-4A12-8AD6-D0FE3E5EE0A2} No Task File <==== ATTENTION
Task: {1122B85A-0249-4F96-9E51-CC0827DB6994} - \db114603-5153-4b2b-9258-f4f9ba957f63-1 No Task File <==== ATTENTION
Task: {47BABECC-0005-4CE4-AF33-F50EA72F91C4} - \db114603-5153-4b2b-9258-f4f9ba957f63-7 No Task File <==== ATTENTION
Task: {4DFB83CC-56B6-45F4-9723-72182F77B835} - \{CCE86799-B1E6-475D-BDC9-FFC234CE96C7} No Task File <==== ATTENTION
Task: {5F4E58EC-56A2-421C-B692-A03E29ADD13B} - \db114603-5153-4b2b-9258-f4f9ba957f63-2 No Task File <==== ATTENTION
Task: {9646F873-9CF6-4BBD-97F6-7ECE22D8AF0B} - \{1B6967E4-F248-430C-990A-7AA58F0A7153} No Task File <==== ATTENTION
Task: {9E057AFA-4F8F-4ED4-AFE9-E89CE56BDE4D} - \db114603-5153-4b2b-9258-f4f9ba957f63-3 No Task File <==== ATTENTION
Task: {AA9E446E-C118-40B5-BB93-84AF4C7463A7} - \db114603-5153-4b2b-9258-f4f9ba957f63-5 No Task File <==== ATTENTION
Task: {B52412F0-4527-49D3-A053-858637FC8E1F} - \{3D268319-A385-4BFD-B921-C8BDC910BFDA} No Task File <==== ATTENTION
Task: {DCA076FC-E3B6-4547-B3D7-FC193F24F931} - \db114603-5153-4b2b-9258-f4f9ba957f63-6 No Task File <==== ATTENTION

 

Чем больше мусора - тем больше тормозов.

------

Или очищать при применении команды: delnfr

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@PR55.RP55,

delnfr это и делает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

Точно ?

----------

Я бы проверил...

Почистил uVS

А потом посмотрел отчёт в: http://www.cyberforum.ru/viruses-faq/thread1362245.html

------

И программу которая отправляет отчёт о падениях uVS стоит проверить.

Умышлено создать ошибку и посмотреть что будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@PR55.RP55,

работает точно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Всё таки критерии нужно разделить.

 

1) Критерии: УВЕДОМЛЕНИЯ.

т.е. файл/объект помечается, как подозрительный...

НО...

При применении Автоскрипта НЕ удаляется.

 

 

2) Критерии  УДАЛЕНИЯ.

т.е. файл/объект помечается, как подозрительный...

И...

При применении Автоскрипта Удаляется.

------

Тогда не будет проблем с: " Ложными определениями "

- так, как если критерий невозможно точно настроить, или это новый критерий и он нуждается в доп.

отладке - то, оператор его переводит в режим УВЕДОМЛЕНИЯ.

Это решает множество проблем и открывает новые возможности.

 

3) По поводу команды: " Удалить все файлы в текущей категории с учётом фильтра "

 

Само собой, что все известные/системные файлы/ссылки  должны быть защищены от действия этой команды.

в uvS уже есть механизм защиты известных/системных файлов.

Реализовать защиту в том числе и от DEL - при применении автоскрипта = УДАЛЕНИЯ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Браузер -расширения; группировка объектов по дате.

пример:
Браузер установлен 20.01.15
В состав Хрома по умолчанию входит ряд расширений.
Значит расширения:
Х1 = 20.01.15
Х2 = 20.01.15
Х3 = 20.01.15
Х4 = 20.01.15
Х5 = 20.01.15
Установлены вместе с браузером.
---
Команда: " Фильтр по дате. ( 20.01.15 ) "
- В списке остаются только предустановленные расширения.
- Далее применяем команду: "Скрыть с учётом фильтра "
- Работаем с оставшимися объектами.
--------
т.е. Оператор открывает инфо. одного из предустановленных расширений.
хлопает мышой по дате и выбирает в меню команду: "Фильтр по дате."

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

фильтр по дате уже сто лет как реализован

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

фильтр по дате уже сто лет как реализован

Да я в курсе.  ;)

Речь о экономии времени.

- Не надо настраивать...

Выбрал в инфо. нужную дату...

и готово.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Минимальный поиск самых подозрительных файлов по дате - искать в папке System32\drivers файлы, созданные за последние полгода.
З.Ы. Слегка подозрительный файл - скан оригинальный мой:

https://www.virustotal.com/ru/file/03cbe6df7f5605a3659ffe27a1184a8d9066436a17d7bac9cceb122de74f69ae/analysis/1429289866/,

и найденный по хешу:

https://www.virustotal.com/ru/file/03cbe6df7f5605a3659ffe27a1184a8d9066436a17d7bac9cceb122de74f69ae/analysis/1425050081/.

Графа "Имена файлов" особенно удивляет, а так это драйвер из SysWOW64\drivers.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) По wdsl = белый список.

 

Предложение.

Если будет совпадение: wdsl   и  " Сертификат аннулирован "

то, автоматически удалять соответствующую запись из wdsl.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@PR55.RP55,

это глупо, тот же рилтек туча чистых рабочих дров с аннулированым сертификатом, кто точно уверен что делает сам удалит, это не трудно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×