Перейти к содержанию

Recommended Posts

PR55.RP55

Да, согласен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

предлагаю добавить (в новые версии) функционал UVS Prevent.

данный функционал сейчас есть в виде блокировки по хэшам, но можно было бы добавить блокировку запуска программ по относительным путям, типа %UserProfile%, %appdata%, %programdata%, Startup folder и маскам файлов, с указанием расширений. (*.js, *.bat, *.cmd и другие)

подобного функционала сейчас не хватает в HIPS от вендоров, по крайней мере, в правилах невозможно указать относительные пути и маски расширений файлов.

 

аналоги программ есть. CryptoPrevent free и Premium (15$). free версия ограничена тем, что используется только базовый набор правил, который не редактируется и не дополняется через интерфейс программы.

можно было бы в будущем добавить в uVS так же обновление правил, через механизм обновлений (аналогично, main, store и др)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@santy,

подумаю

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Предлагаю реализовать поиск по сайту.

 

Типа: http://netload.biz/2010/04/10/insitesearch/

* Кстати у этого расширения тоже интересный тип установки :)

 

Для поиска работать с: V.T.  &  herdprotect.com

 

Например поиск из Инфо. файла.

Оператор может выбрать любой элемент из Инфо. поиск по: (  имени; производителю; sha1 и т.д )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Фильтр

В каталоге uVS создаётся файл.

В файл оператор прописывает выражение/я с которым/и он хочет работать в режиме скрыть/показать.

-----

Пример таких выражений:

C:\WINDOWS\INSTALLER\{

C:\PROGRAM FILES\D-LINK\

C:\PROGRAM FILES\AUTOCAD 2010\

C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V4

C:\PROGRAM FILES\NVIDIA CORPORATION\3D

C:\PROGRAM FILES\COMMON FILES\AUTODESK SHARED\

и т.д.

--------------

Логика такая.

_на время убрать из списка часто встречающиеся - отвлекающие объекты...

Обработать список, после чего снять фильтр и просмотреть оставшиеся объекты.

--------

преимущество в скорости и в том, что не нужно набирать поисковый запрос.

Оператор может прописать в файле как несколько выражений - так и одно.

например: VTOK.

или ?ВИРУС?

 

 

 

 

877689.jpg

post-8956-0-53725900-1430139431_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

 

1) Фильтр В каталоге uVS создаётся файл. В файл оператор прописывает выражение/я с которым/и он хочет работать в режиме скрыть/показать. ----- Пример таких выражений:

 

RP55,

мутно это все.

подобные предложения следовало бы вначале обсудить, хотя бы в тестировании, прежде чем добавлять в новые предложения.

это ж сколько в данный файл придется писать выражений, целый настоящие теневой snms-обоз получается.

который надо возить за uVS-ом.

 

проще как раз зафильтровать то, что ты хочешь выделить, и добавить в выделенную группу.

а затем уже работать с выделенной группой,

после нескольких наложений фильтров.

 

тем более, что в будущем возможны и другие способы добавления в выделенную группу.

например: через запрос, или через комбинацию клавиш: shift +стрелки

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

 

Здесь важен режим работы: Скрыть/Показать.

А сейчас нет такой возможности.

----

На время убрал отвлекающие объекты из списка...

Обработал основные объекты.

После чего вернулся - к второстепенным.

Например оператор ищет определённый вирус...

И ему точно известно, что в \PROGRAM FILES\  он не гнездиться...

Оператор на время скрывает ВСЕ \PROGRAM FILES\***

Находит вирус - удаляет...

И потом - до проверяет оставшиеся объекты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

если искать определенный вирус, то зачем заниматься исключениями?

фильтруем список по его известным признакам (если он определенный), пишем запрос по тем полям (их инфо), которые не входят базовые (имя, каталог, статус, производитель).

--------

добавляем все в выделенную группу: изучаем ее.

если нет в этом необходимости -  возвращаемся в "подозрительные и вирусы"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Здесь важен режим работы: Скрыть/Показать. А сейчас нет такой возможности.

Есть.

 

Например оператор ищет определённый вирус... И ему точно известно, что в \PROGRAM FILES\  он не гнездиться... Оператор на время скрывает ВСЕ \PROGRAM FILES\***

Фильтруешь по \PROGRAM FILES\  а потом инвертируешь фильтр.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

фильтруем список по его известным признакам

 

Например критерий одного трояна - файлы с одинаковым (но случайным) названием:

SysWOW64\tpuuhmi.dll;

AppData\Local\Temp\tpuuhmi.dll;

AppData\Local\Temp\tpuuhmi.exe.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Ну хорошо...

Тогда такое предложение.

 

1) В меню добавить команду: " Временно скрыть файлы в текущей категории с учётом фильтра"

 

т.е. применили фильтр и _временно...  убрали объекты из списка.

потом применили второй фильтр, третий...

Фильтр можно применить столько раз сколько нужно.

- А потом фильтр по команде можно сбросить и продолжить работу с файлами.

-----

Смысл в том, чтобы разделить объекты на группы.

На условно опасные и условно безопасные объекты.

Отработать одну группу и перейти к другой.

Можно вначале отработать безопасные, а можно наоборот рассчитаться с условно опасными и... до проверить условно безопасные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

хайд зафильтрованных - не единственный метод отбора, который здесь предлагают.

тут по крайней мере три альтернативы.

1. хайд выделенных (через фильтр) объектов (то что ты предлагаешь)

2. простое выделение (через Ctrl или Shift + стрелки) + в дальнейшем (любые возможные) функции с выделенными, то что выше уже предлагал alamor и  другие,

3. фильтрование + добавление в выделенную группу + дальнейшая манипуляция с выделенными.

--------

нет смысла реализовать только хайд, когда есть возможность добавить более универсальный механизм работы:

а. выделение группы объектов

б. выбор возможных функций над выделенной группой. (повторяю, что это может быть не только хайд)

------------

мне это видится, как введение дополнительного флага для объекта автозапуска, состояние которого будет меняться.

выделен или нет.

 

т.о. флаг можно поменять: через Shift (Ctrl) + стрелки, через добавить зафильтрованные в группу, через запрос по условию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Я в своё время предлагал создать совместный анализ логов

лог создаёт одна программа - другая его анализирует.

= сравнивает результаты на расхождение в данных.

= использует возможности других программ.

- создаёт общий Образ/лог.

 

Например uVS + ESET SysInspector

SysInspector создаёт лог - uVS его преобразует/трансформирует и данные отображаются в привычном для uVS виде.

 

Но это проигнорировали...

 

В вот человек  сам пришёл к аналогичной идее и реализовал: http://idsmonitor.narod.ru/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

Я в своё время предлагал создать совместный анализ логов лог создаёт одна программа - другая его анализирует. = сравнивает результаты на расхождение в данных. = использует возможности других программ. - создаёт общий Образ/лог.

RP55, если бы ты когда-нибудь писал программы, то  знал бы наверняка, что самые муторные задачи в программировании связаны с привязкой своей программы к чужим  структурам (спроектированным иным мышлением) данных.

вот чего там особенного может быть в логе AVZ или ESET sysinspector, чего бы следовало добавить в структуру uVS?

--------

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

sysinspector

 

Разрабатывает компания ESET.

 

1) Сравнение результатов.

 

Пример, есть файл:   C:\WINDOWS\system32\atrake.dll

sysinspector  его видит...

А uVS нет.

О чём это говорит ?

Вот в подозрительные и попадёт файл найденный sysinspector

 

2) Можно не всё подряд анализировать/сопоставлять, а сопоставлять только избранную часть данных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

В процессе работы периодически появляется необходимость загружать скрипт на ф.обменник.

Это связано с длинной скрипта и невозможностью его публикации в связи с ограничением форума на количество символов сообщения.

Что отнимает время.

-------

Предложение:

 

Добавить новую команду в меню Скрипт: " Скрипт сохранить на сервер"

 

Это может быть сторонний ф. обменник, или http://dsrt.dyndns.org/files

 

Функционал загрузки файлов уже реализован ( анализ образов автозапуска )

Скрипты небольшие - что позволяет быстро отравить на сервер.

на самом сервере места также много не занимает.

- Ограничить срок хранения файла/скрипта = 5 дней.

-----

Ссылка для скачивания выводиться в Лог ( см. фото пример )

 

 

01351.jpg

post-8956-0-53755800-1431790007_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

В uVS нет онлайн проверки ЭЦП.

В том смысле что невозможно понять ёжик это или лиса. ;)

----

Предлагаю добавить проверку.

Пример проверки ЭЦП.

 

Sale Charger

https://www.reasoncoresecurity.com/signer-sale-charger-2e1496934e342efe74bc793c8acaa746.aspx

 

Fragile Fixer

https://www.reasoncoresecurity.com/signer-fragile-fixer-5be44c05d936a3d821c784427126ccaa.aspx

 

Sharp Angle

https://www.reasoncoresecurity.com/signer-sharp-angle-4fb63c66d49cc670d253c301f93c575b.aspx

 

-------

Логика такая.

Оператор открывает инфо.

и применяет команду: " Найти данные по ЭЦП на https://www.reasoncoresecurity.com "

--------

Кстати говоря работает поиск и по SHA1.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Хм...

И на самом http://www.herdprotect.com

Добавили поиск по ЭЦП ( был поиск только по sha1 )

Пример: http://www.herdprotect.com/signer-edu-app-2a116e4ddae4eb2c28f70fbc481d3e94.aspx

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Нужна команда.

 

Скрыть, для: действительна, однако сертификат устарел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

как вариант, использовать настроенное действие skip для критерия

действительна, однако сертификат устарел

 


demkd,

возвращаясь к работе с критериями хорошо бы реализовать такую возможность

поясню на примере инфо.

 

Полное имя                  C:\WINDOWS\SYSTEM32\DRIVERS\BD0001.SYS
Имя файла                   BD0001.SYS
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                            
Удовлетворяет критериям     
FALSE.SIGN.LIST             (ЦИФР. ПОДПИСЬ ~ BEIJING BAIDU)(1) [auto]
DEL.DRIVERS.NON.ACTIVE      (ПОЛНОЕ ИМЯ ~ \DRIVERS\)(1)   AND   (ИМЯ ФАЙЛА ~ .SYS)(1)   AND   (СТАТУС ~ ЗАПУСКАЛСЯ НЕЯВНО)(1) [del]
                            
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ [Запускался неявно или вручную]
File_Id                     537EAE451D000
Linker                      9.0
Размер                      70984 байт
Создан                      28.12.2014 в 20:29:22
Изменен                     17.09.2014 в 05:37:36
                            
TimeStamp                   23.05.2014 в 02:11:17
EntryPoint                  +
OS Version                  6.0
Subsystem                   No subsystem required (device drivers and native system processes)
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Beijing baidu Netcom science and technology co.ltd
                            
Оригинальное имя            bd0001.sys
Версия файла                2, 0, 1, 4 built by: WinDDK
Описание                    bd0001
Производитель               Baidu
                            
Доп. информация             на момент обновления списка
SHA1                        CFFE28F4C4D4C8B17259AEA6733F9EAB1DE072F7
MD5                         04116475CFF6D3305A8233C8342FFA88
                            
Ссылки на объект            
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini

 

видим, что uVS накапливает критерии, по которым объект попадает под детект и добавляет в автоскрипт настроенное действие из последнего критерия.

DEL.DRIVERS.NON.ACTIVE      (ПОЛНОЕ ИМЯ ~ \DRIVERS\)(1)   AND   (ИМЯ ФАЙЛА ~ .SYS)(1)   AND   (СТАТУС ~ ЗАПУСКАЛСЯ НЕЯВНО)(1) [del]

 

так вот, последний критерий хотелось бы записать в таком виде:

 

DEL.DRIVERS.NON.ACTIVE      (FALSE.SIGN.LIST) AND (ПОЛНОЕ ИМЯ ~ \DRIVERS\)(1)   AND   (ИМЯ ФАЙЛА ~ .SYS)(1)   AND   (СТАТУС ~ ЗАПУСКАЛСЯ НЕЯВНО)(1) [del]

 

 

 т.е. uVS здесь проверяет, сработал ли определенный критерий (указано его имя) для данного объекта или нет и добавляет этот факт в логический результат.

 

 

--------

при условии конечно, что на момент проверки объекта по указанному второму критерию, проверка по первому критерию уже была выполнена.

(т.е. не инициировать заново проверку по первому критерию).
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

но в данном случае нужен механизм изменения порядка критериев в списке snms, чтобы была возможность нужный критерий поднять вверх или опустить вниз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

(ПОЛНОЕ ИМЯ ~ \DRIVERS\)(1)   AND   (ИМЯ ФАЙЛА ~ .SYS)

Но это же не единственное место, где может спрятать себя драйвер трояна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

(ПОЛНОЕ ИМЯ ~ \DRIVERS\)(1)   AND   (ИМЯ ФАЙЛА ~ .SYS)

Но это же не единственное место, где может спрятать себя драйвер трояна.

да, но это не единственный критерий в базе snms.

т.е. можно добавить почти афористичное: одним критерием всех троянов не переловишь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Думаю нужно обновить собственную эвристику uVS.

 

В том плане, что в подозрительные нужно добавлять объекты:

 

( привожу по минимуму )

--------------

 

Имя файла:

 

SYSTEM.EXE

MACHINEUPDATE32.EXE

TOOLBAR.EXE

 

--------------

Путь:

 

\APPDATA\LOCAL\00000
\APPLICATION DATA\00000
\APPDATA\ROAMING\00000

 

\BROWSER HELPER
\BrowserHelper

 

\HELPER OBJECTS\

 

\GLOBALUPDATE\

 

\SHOPPERPRO\

 

\WEBPROTECTOR

\WEBSEARCH\

 

 

Здесь мой полный список: http://www.anti-malware.ru/forum/index.php?showtopic=23751&page=9#entry185142

 

файловые критерии - составлены на базе  статистики.

Просмотрено порядка 500 тем/образов/скриптов за 2013; 14; 15 годы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

Думаю нужно обновить собственную эвристику uVS. В том плане, что в подозрительные нужно добавлять объекты: ( привожу по минимуму )

RP55, смысла нет тащить эти записи внутрь uVS, для того и создан сервис критериев, чтобы можно было без изменения кода программы создавать дополнительные эвристические правила для детектирования вредоносных программ.

----------

 

 

 

возвращаясь к комбинированным критериям, можно заметить, что использование подобных критериев позволяет создать многомерную эвристическую сеть состоящую из простых (списков: цифровые, каталоги, сервисы, и проч.) и составных критериев.

+

в зависимости от определенных условий прописать разные реакции_настроенные действия на детектируемые объекты.

 

например:

"объект содержит \SHOPPERPRO\" можно прописать реакцию deldirex

но если

"объект содержит \SHOPPERPRO\ и файл не найден", то можно в настраиваемые действия добавить deldir

 

т.е. комбинируя списки (однородные критерии) и составные критерии можно в настраиваемые действия добавлять более точные действия.

 

каким образом uVS определит что в качестве условия используется ссылка на критерий из списка SNMS?

по имени критерия.

+

можно добавить к имени критерия алиас файла критериев.

 

DEL.DRIVERS.NON.ACTIVE      (SNMS.FALSE.SIGN.LIST) AND (ПОЛНОЕ ИМЯ ~ \DRIVERS\)(1)   AND   (ИМЯ ФАЙЛА ~ .SYS)(1)   AND   (СТАТУС ~ ЗАПУСКАЛСЯ НЕЯВНО)(1) [del]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×