Перейти к содержанию

Recommended Posts

PR55.RP55

В списке могут быть два файла с разной кодировкой.

Имя файла может содержать как символы Кириллицы так и Латиницы.

Оператор не знает есть ли в системе Известный\Системный файл с таким именем, или файл был удалён ?

т.е. как минимум _4_ варианта.

Если в результатах поиска ( фильтр ) будут отображены все результаты это позволит оператору увидеть картину в целом.

Например в списке есть: amdxata.sys

Как его искать ?

Например первая буква это Кириллический символ а все последующие Латиница.

Здесь четыре символа которые могут быть заменены ( умышленно или случайно )

Программа должна выдать все варианты.

Оператор должен видеть всю картину - не заморачиваясь.

т.е. оператор вообще не должен обращать внимание на раскладку. ( если что-то требуется уточнить - то вся информация должна быть в Инфо. файла )

Оператор вбивает запрос и получает результат.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

если я вижу символы в китайской кодировке, при том что у меня расклад клавиатуры en-ru, с таким же успехом я могу видеть символ A в немецкой кодировке.

(а в поиск не смогу вбить этот символ, точнее вбить то смогу в англ. или русской кодировке, но он не будет найден в результате твоего запроса.)

E:\Coding\xmrig\SuperMiner\定制功能\SuperMiner\SuperMiner\Release\pdb\SuperXmr.pdb

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

Может отказаться от поиска, как такового...

Кто-то ищет символы прописанные в немецкой кодировке, или Китайской ?

Не будет результата  - значит не судьба.

Оператор сам посмотрит и найдёт\увидит.

Идеально не бывает.

Оператор работает в: en < > ru

-----------

Ещё раз.

Оператор не должен заморачиваться и думать какую ему выбрать раскладку.  en  или  ru

И не более того.

-----------

Задал фильтр\поиск > Получил результат, или два результата ( если таковые будут )

или не получил. ( но на два варианта он должен\может рассчитывать )

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

uVS не проводит проверку связанности файлов.

Как минимум нужно в Инфо. файла писать перечень исполняемых файлов созданных в это же время.

------------

По отдельному запросу от Оператора из Инфо. проводить сопоставление: Имени файла; ЭЦП; SHA1

Оператор получит возможность найти все схожие\идентичные\взаимосвязанные файлы.

-------------

Реализовать команду:

Добавить все файлы с данной ЭЦП в очередь на удаление.

Добавить все файлы с данной SHA1 в очередь на удаление.

Удалить файл и все файлы с данной SHA1

Удалить файл и все файлы с данной ЭЦП

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Цитата

 

В Chrome появится журнал активности расширений

Компания Google планирует интегрировать систему мониторинга активности расширений в собственный браузер Chrome. В журнале активности будут фиксироваться все действия расширений во время установки и работы в браузере.

 

https://www.comss.ru/page.php?id=5828

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

По vtcache

В каталоге сохраняются файлы.

Но можно пойти дальше.

И вести лог. ( единый файл с записями )

00ab6ed9a9b6e09f3091d2569e460995d5ef****

1Дата: 2017-12-16 [n/a]
2www.virustotal.com    2017-12-16
1Детектов: 0 из 68
2-    Файл был чист на момент проверки.
1Файл был чист на момент проверки.
4VTOK [2017-12-16]

----------------

00ab6ed9a9b6e09f3091d2569e460995d5ef****

1Дата: 2018-12-19 [n/a]
2www.virustotal.com    2018-12-19
1Детектов: 0 из 68
2-    Файл был чист на момент проверки.
1Файл был чист на момент проверки.
4VTOK [2018-12-19]

--------------

Как мы видим по логу прошёл год...

Файл чист.

Файл может быть автоматически добавлен в базу:  VT1 или ( VT2 )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Например есть рекламное окно...

По образу автозапуска можно будет определить какой программе оно принадлежит.

Например смещается фокус окна программы - чтобы пользователь перешёл к просмотру рекламы.

Определять окно и его владельца. ( при смене фокуса ! )

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
6 минут назад, PR55.RP55 сказал:

Определять окно и его владельца. ( при смене фокуса ! )

такая функция есть уже много лет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
19 минут назад, demkd сказал:

такая функция есть уже много лет

Я знаю.

Однако речь не об этом.

Функция реализованная в uVS нацелена на определение блокирующего окна...

А я говорю о смещении окна ввода текста, смещении курсора мыши на рекламную ссылку в окне, выделение из нескольких окон именно окна с рекламой.

Push реклама и т.д.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

загрузочный режим PreOS в программе AOMEI Partition Assistant

т.е. можно запустить программу и без всяких загрузочных дисков загрузить PC в режим PreOS

А всего несколько мегабайт...

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Если без радикализма.

" Добавить все файлы подписанные данной ЭЦП в очередь команд с #  "

" Добавить все файлы данного Производителя в очередь команд с #   "

Это будет как:

;uVS v4.1.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
# %Sys32%\DRIVERS\ASWARPOT.SYS
#  %Sys32%\DRIVERS\ASWBIDSDRIVER.SYS
#  %Sys32%\DRIVERS\ASWBIDSH.SYS
#  %Sys32%\DRIVERS\ASWBLOG.SYS
#  %Sys32%\DRIVERS\ASWBUNIV.SYS
#  %Sys32%\DRIVERS\ASWHDSKE.SYS
#  %Sys32%\DRIVERS\ASWKBD.SYS
#  %Sys32%\DRIVERS\ASWMONFLT.SYS
#  %Sys32%\DRIVERS\ASWRDR2.SYS
#  %Sys32%\DRIVERS\ASWSNX.SYS
#  %Sys32%\DRIVERS\ASWSP.SYS
# %Sys32%\DRIVERS\ASWVMM.SYS
deltmp
restart

На втором этапе оператор открывает вкладку: " Очередь команд "

и отдаёт нужную команду:

" Применить для всех объектов с # команду: delref "

" Применить для всех объектов с # команду: delall "

" Применить для всех объектов с # команду: dell "

( само собой - можно работать, как с группой объектов, так и с одиночным объектом )

Этапность позволит оператору не совершить ошибки и выбрать нужную команду.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Нашёл программу для работы с Push уведомлениями браузеров.

Программа: Рубильник

Но как и что не проверял. ( боюсь )  ;)

rubilnik-mid-2.jpg

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Фиксировать время доступа к файлу.

В случае большой задержки оправлять данные http://dsrt.dyndns.org:8888

смотреть и оптимизировать...

2) Если удаляемый файл содержит ЭЦП - предупреждать оператора: "В списке найдены другие файлы с данной ЭЦП" > автоматически помечать все файлы с  ЭЦП  как Подозрительные.

3) Добавить в меню команду: "Все файлы с данной ЭЦП - Подозрительные"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

возможно, имеет смысл ввести пятую колонку в таблицу (после "производитель": цифр. подпись, со всеми атрибутами: сортировкой по данному полю).

+ это (это актуально, только для работы с образом автозапуска)

Цитата

3) Добавить в меню команду: "Все файлы с данной ЭЦП - Подозрительные"

но против функции "удалить все файлы с данной цифровой подписью".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
В 07.11.2019 at 6:12 PM, santy сказал:

возможно, имеет смысл ввести пятую колонку в таблицу (после "производитель": цифр. подпись, со всеми атрибутами: сортировкой по данному полю).

Компания Nirsoft разработала новую программу для поиска файлов.

https://www.comss.ru/page.php?id=6713

Можно включать\отключать отображение тех или иных столбцов.

т.е. оператор получает возможность настроить программу под свои требования.

mobilefilesearch_5.png

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

В  Инфо.  файла добавлять: 

Пример:

Цифр. подпись  |  120  |  Действительна, подписано "ESET, spol. s r.o."

где запись |  120  |  это число обнаруженных файлов с данной цифровой подписью.

т.е. Легальных - подписанных файлов в системе как правило много.

У вирусов файлов значительно меньше.

т.е. речь идёт не просто о файле - речь идёт о группе файлов.

+

Это подстраховка оператора от ошибки.

Оператор удалил два файла, но в Инфо. оператор видит |  3  |

-----------

Дополнительный анализ может проходить на стороне оператора ( для экономии времени на создание образа )

По настройке: settings.ini или командой меню.

------------

Можно добавить в лог уведомление:

Операция удаления объекта добавлена в очередь: C:\WINDOWS\RSS\CSRSS.EXE

! Файл подписан AtuZi всего удалено файлов  _3_  из | 4 |

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) В uVS есть:  известные файлы.

А если известный файл проявляет сетевую активность этому файлу не свойственную...

т.е. это нужно обязательно учитывать.

2) Если сетевую активность проявляет файл с нестандартным расширением.

3) Файл на данный момент не проявляет сетевой активности...

Но есть ли у него такая возможность в принципе ?

по возможности это должно быть отражено в Инфо. ( для стандартных случаев ) - только для ( объектов автозапуска )

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Реализовать возможность добавлять произвольную информацию в Инфо.

Информация добавляется в Инфо. аналогично тому, как это реализовано с критериями поиска, но без влияния на статус файла\объекта.

Например оператор произвёл замену\обновление ряда системных файлов\драйверов с версии ??? на версию ???

Оператор работая с системой может зайти в Инфо. прописать информацию и затем при необходимости посмотреть всю историю того, или иного файла - что с ним происходило.

т.е. Можно создать себе некую памятку.

Например оператору не хватает информации которую предоставляет ему UVS по умолчанию.

Оператор может добавить данные по времени создания\изменения файла. Сравнительную информацию одного файла с другим. Какие записи в реестре были и какие новые появились, была у файла ЭЦП или её изначально не было, Оригинальный это файл или это патч.  и т.д.

+ Возможность сохранить не отдельную строку, а всю информацию из окна Инфо.

т.е. делать быстрые записи\сохранение информации.

Актуально, как при работе с системой, так и при работе с образами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

если есть или будет время,

предлагаю, улучшить работу по критериям:

1. в форме редактирования критерия добавить список полей из uVS (которые можно добавить в критерий), чтобы можно было выбирать (помимо того механизма в инфо) из списка нужное поле_аргумент, и создавать комбинированный критерий. (не вручную писать имя поля).

Snap1.jpg.5f399e579a767d9c514c59cebb8d9047.jpg

2. добавить возможность фильтровать список по одному единственному критерию из списка snms (из списка критериев по контекстным функциям или другим способом выбирать нужный критерий для фильтра.

3. на базе формы со списком полей, то, что запланировано в 1, можно создавать сложный фильтр для отбора по всему списку, без применения к объектам списка действий и команд;

4. в списке критериев добавить возможность быстрого поиска не только по именам критериев, но и по строке условий. (это второе поле)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Santy пишет: добавить возможность фильтровать список по одному единственному критерию из списка snms (из списка критериев по контекстным функциям или другим способом выбирать нужный критерий для фильтра.   

+ сделать возможность задать _временный критерий такой критерий  сохраняется только до завершения работы uVS  ( можно добавить чек-бокс ): Задать временный критерий [v]

А затем должна быть возможность: "фильтровать список по одному единственному критерию из списка"

Бывает, что нужно что-то найти - но нет смысла сохранять этот мусор в настройках.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

следует добавить (для 2 и 3), что при фильтрации по одному критерию из списка статус объекта не меняется. (т.е. не присваивается, и не пере_присваивается статус ?ВИРУС?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Интегрировать в меню команду: " Добавить сигнатуры всех файлов каталога в скрипт и вирусную базу. "

Примерно для таких случаев:

https://forum.esetnod32.ru/messages/forum3/topic15563/message107797/#message107797

Например есть каталог и в нём 10-20 файлов.

Добавлять поочерёдно сигнатуры долго... Удалять по одному файлу - без сигнатур, если это вирус удаление может быть не эффективно.

Название сигнатуры _автоматически по имени каталога + дата добавления сигнатуры.

Если есть ложное срабатывание, или файл подписан известной ЭЦП  - файл пропускается.

* Для всех каталогов _кроме системных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
1 час назад, PR55.RP55 сказал:

Добавлять поочерёдно сигнатуры долго... Удалять по одному файлу - без сигнатур, если это вирус удаление может быть не эффективно.

Название сигнатуры _автоматически по имени каталога + дата добавления сигнатуры.

если лень добавить сигнатуры, можно и через deldir зачистить.

а название сигнатуры должно иметь смысл, соответствующий угрозе, а не от каталога.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Оператор проверяет файлы > файлы получают соответствующий вердикт по результату V.T. > тип угрозы пишется в имя сигнатуры > сигнатура всех файлов каталога добавляется в скрипт и вирусную базу. Если в каталоге есть файл подписанный известной ЭЦП  - файл пропускается.

Можно одной командой добавить и 10 и 20 сигнатур.

Мы же за автоматизацию.

Какой смысл добавлять по одной сигнатуре за раз ?

Ложные срабатывания, как и раньше в ручную обрабатывает оператор.

Или, как я уже предлагал добавить команду: " Ограничить действие сигнатуры данным каталогом "

тогда любое срабатывание на файл вне каталога - ложное.

Цитата

Santy пишет:  можно и через deldir зачистить.

А для чего тогда сигнатуры.

У оператора должен быть выбор - свобода действия.

Цитата

название сигнатуры должно иметь смысл, соответствующий угрозе, а не от каталога.         

А если файл не проверен на V.T., или нет доступа к сети. Оператор может позже в свободное время вернуться к сигнатуре и переименовать её. ( что имеет смысл только при аналогичном\повторном случае ) т.е. пролечили РС, на другом РС тот же вирус - пишем верное наименование угрозы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
16 минут назад, PR55.RP55 сказал:

Какой смысл добавлять по одной сигнатуре за раз ?

смысл в том, что приходится настраивать длину активной части сигнатуры, а так же ее параметры (выгрузки из памяти, удаления  ссылок, и удаления тела).

17 минут назад, PR55.RP55 сказал:

Ложные срабатывания, как и раньше в ручную обрабатывает оператор.

.

17 минут назад, PR55.RP55 сказал:

Или, как я уже предлагал добавить команду: " Ограничить действие сигнатуры данным каталогом "

а имя каталога, которым ограничивается поле деятельности сигнатуры тоже потом добавлять и хранить в сигнатуре?

17 минут назад, PR55.RP55 сказал:

А для чего тогда сигнатуры.

У оператора должен быть выбор - свобода действия.

а у него и так есть свобода выбора: удалять через сигнатуру, удалить просто файл или вместе с ссылкой, удалить файл через удаление исполняемых в данном каталоге....

17 минут назад, PR55.RP55 сказал:

А если файл не проверен на V.T., или нет доступа к сети. Оператор может позже в свободное время вернуться к сигнатуре и переименовать её. ( что имеет смысл только при аналогичном\повторном случае ) т.е. пролечили РС, на другом РС тот же вирус - пишем верное наименование угрозы.

если потом возвращаться и править, перенастраивать, и переименовать сигнатуры, то где же здесь автоматизация. потом еще надо найти эту сигнатуру с обезличенным именем в списке сигнатур.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×