Перейти к содержанию

Recommended Posts

PR55.RP55

Если в Инфо. не указан производитель,  в колонке:    I  Производитель       I   

Указывать ЭЦП.

Сейчас колонка просто пуста...

Пример:

----------------                  
Цифр. подпись               Действительна, подписано LLC Mail.Ru    
                            
Оригинальное имя            WMPSPY.DLL
Версия файла                     1, 0, 0, 12
Описание                             Mail.RU модуль для windows media
Производитель               
Комментарий                 
                            

                            

                            

                            

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
В 07.02.2021 at 8:48 PM, PR55.RP55 сказал:

Если в Инфо. не указан производитель,  в колонке:    I  Производитель       I   

Указывать ЭЦП.

цифровая подпись может не соответствовать производителю,

так что не стоит добавлять недостоверную информацию о производителе вместо незаполненного поля.

например:

файл: C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\7Z.DLL

цифровая: Действительна, подписано Malwarebytes Inc

производитель: Igor Pavlov

 

или

C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\QT5WINEXTRAS.DLL

Действительна, подписано Malwarebytes Inc

The Qt Company Ltd.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Поле нужно заполнять.

Можно заполнять с пометкой: I  >> The Qt Company Ltd.  <<    I   

Пустое поле когда есть реальная\полезная информация ? Это не дело.

От пустого поля польза = 0.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Предлагаю в меню:  Подпись/Хэш 

> Установить статус проверенного файла для всех файлов в текущей категории с VTOK

Для всех файлов типа: 

2020-01-01 00:00 [2019-01-01] + 2020-01-01 00:00 [2018-01-01] + 2020-01-01 00:00 [2017-01-01] + 2020-01-01 00:00 [2016-01-01] + 2020-01-01 00:00 [2015-01-01] + .  .  .

Так, как сам по себе вердикт:  VTOK мало, что значит. Но вот файлы проверенные: год;  два;  три и т.д. и сохранившие свой статус - это уже другое дело.  ( про автоматическое добавление таких файлов в базу VT1 - ( VT2 ) пользователя больше не прошу :)  ( но напоминаю )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

В ряде случаев вирусы вызывают системные ошибки с соответствующей записью в журнал.

Если имя в журнале  будет соответствовать имени файла\процесса из списка... То в Инфо. файла добавлять соответствующую запись из журнала.

Error: (03/25/2021 04:26:00 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Имя сбойного приложения: exUpd.exe, версия: 0.0.0.0, метка времени: 0x60566260
Имя сбойного модуля: KERNELBASE.dll, версия: 10.0.19041.804, метка времени: 0x0e9c5eae
Код исключения: 0xe0434352
Смещение ошибки: 0x000000000002d759
Идентификатор сбойного процесса: 0x31fc
Время запуска сбойного приложения: 0x01d72182c72bbd15
Путь сбойного приложения: C:\Users\Asus\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds\exUpd.exe
Путь сбойного модуля: C:\WINDOWS\System32\KERNELBASE.dll
Идентификатор отчета: ff70bc1c-b22e-4e91-8f1b-ecae072e5661
Полное имя сбойного пакета:
Код приложения, связанного со сбойным пакетом:

Error: (03/25/2021 04:26:00 PM) (Source: .NET Runtime) (EventID: 1026) (User: )
Description: Приложение: exUpd.exe
Версия платформы: v4.0.30319
Описание. Процесс был завершен из-за необработанного исключения.
Сведения об исключении: System.BadImageFormatException

Сведения об исключении: System.BadImageFormatException
   в System.Reflection.RuntimeAssembly.nLoadImage(Byte[], Byte[], System.Security.Policy.Evidence, System.Threading.StackCrawlMark ByRef, Boolean, Boolean, System.Security.SecurityContextSource)
   в System.Reflection.Assembly.Load(Byte[])
   в <Module>.wWinMain(HINSTANCE__*, HINSTANCE__*, Char*, Int32)
   в <Module>.wWinMainCRTStartup()

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Добавить в меню команду:

Создать полный образ автозапуска с отслеживанием процессов.

2) Если файл в  _ автозапуске - добавлять в список все файлы из каталога в котором данный файл находиться.

( если каталог содержит не более 15 исполняемых файлов )

3) Реализовать возможность: обнаружение объекта, на стороне пользователя, по заданным критериям...

При работе со скриптом...

В скрипт прописываются критерии:  А и В и С + команда.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

При работе с образом в меню файла _всегда должна быть доступна команда: Выгрузить из памяти.

Например: вирус запускается через задачу > запустился > выполнил задачу >  его нет в памяти ( на момент создания образа ) ...   А вот на момент выполнения скрипта он может быть в памяти...

А команды в меню нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

В отслеживание процессов и задач - добавить отслеживание по заданному ( известному ) признаку.

Например известно, что некий процесс\объект создаёт в реестре\задачах запись типа:

Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\ZHASHCALCULATOR
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{52C2A9C4-0ABF-44C8-9D82-F6A4D882DB23}\Actions
Actions                     "C:\Users\Вадик\AppData\Roaming\Microsoft\HashCalc\MD5\HashCalc.exe"
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{52C2A9C4-0ABF-44C8-9D82-F6A4D882DB23}\

И не просто отслеживание - по заданному ( известному ) признаку, но и автоматическое удаление записи.

т.е. отслеживание позволит увидеть - какой процесс\объект  вносит изменения и одновременно сразу после того, как это изменение было произведено - отменить его.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

uVS - не мониторит процессы и задачи. (как Procmon, например),

для расширенного отслеживания процессов и задач используются только журналы системы, если предварительно расширенное отслеживание включено через настройки системы. Не для того включается отслеживание, чтобы сразу "убить" все внесенные изменения. Прежде всего нужен анализ внесенных изменений.

А механизм очистки системы в uVS по тому слепку, которые uVS получает в теч нескольких минут далее уже использует арсенал поиска по внесенных сигнатурам, по добавленных критериям поиска.

Какой смысл искать изменения по критериям в журналах, если эти изменения в любом случае попадают в образ и после этого поиск изменений выполняется в образе автозапуска? более того, добавленный режим filtered позволяет отфильтровать изменения в отдельном окне, а далее уже "любой оператор" может действовать как ему угодно: снять сигнатуры с обнаруженных файлов, добавить правило фильтрования  в список критериев обнаружения с указанием автоматического действия. (для автоскрипта), или сразу добавить удаление через delall в скрипт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

если только sysmon использовать для получения расширенных журналов и последующего анализа данных в uVS

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Добавить в программу Категорию: ЭЦП

"Adobe Systems, Incorporated"  [14]

"BlueStack Systems, Inc." [ 22]

Babylon Ltd.  [2]

"Cisco Systems, Inc." [ 17 ]

"DivX, Inc." [ 40 ]

"GIGA-BYTE TECHNOLOGY CO., LTD."  [ 70 ]

--------

Открыв категорию оператор может видеть список ЭЦП и число файлов подписанных данной ЭЦП

И статус данной ЭЦП - в белом списке, или нет.

Имеют ли файлы с данной ЭЦП сетевую активность.  (  т.е. один любой файл с сетевой активностью )

Или ( один любой файл с повышенной нагрузкой на ( CPU ) \ ( GPU )

Открыв Инфо - оператор может получить общую информацию по данной ЭЦП

Оператор может обнаружить подозрительные объекты.

Может пополнить белый список.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55, критерии filtered для чего? создается критерий по интересующей ЭЦП, фильтруется список объектов автозапуска, и получаешь все файлы, подписанные данной ЭЦП в отдельной категории. такие вещи стоит реализовывать только через настраиваемые фильтры.

 

входит или нет ЭЦП в белый список (в Инфо)? может и стоит показать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Всё дело в принципиально ином подходе.

В новой Категории - анализируется не файл\объект -  А его ЭЦП.

Рассматривается не отдельный файл, а группа файлов, поведение группы файлов.

Критерий не будет создан... не будет работать - пока ЭЦП  неизвестна...

т.е. речь о ПЕРВОНАЧАЛЬНОМ обнаружении аномалии.

т.е. Если программа работает - то с чем она работает ?

Программа должна работать  с другими файлами.

А если в системе всего 1-2 файла с некой ХХХ. ЭЦП...

Это уже должно настроить оператора ?

Неизвестная ЭЦП ( её нет в белом\чёрном списке\ списке известных  и т.д. ) > Всего 1-2 файла подписаны данной ЭЦП, сетевая активность и т.д.

т.е. Оператор анализирует ( концентрирует своё внимание именно на ЭЦП )  ЭЦП и становиться объектом при\для первоначального обнаружения.

Это как анализ в таких категориях как: Сетевая Активность; WMI; Задачи.

Анализ данных - которые могут привести  оператора к некому объекту...

------

+ Информировать:  "Процесс с данной ЭЦП инициирует не подписанный... процесс "

 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

а чем тебе не нравится такая подача:

есть процесс с действующей цифровой (не входит в WDSL), загружает неизвестные (значит не проверенные, без цифровой, dll)

Цитата

Полное имя                  C:\PROGRAM FILES (X86)\TRANSMISSION\TRANSMISSION-DAEMON.EXE
Имя файла                   TRANSMISSION-DAEMON.EXE
Тек. статус                 АКТИВНЫЙ сервис в автозапуске Фильтр
                           
Удовлетворяет критериям    
SIGN.NOT.IN WHITE LIST      (ССЫЛКА ~ \IMAGEPATH)(1)   AND   (ЦИФР. ПОДПИСЬ ~ ДЕЙСТВИТЕЛЬНА)(1)   AND   (ЦИФР. ПОДПИСЬ !~ WDSL)(1) [auto (0)]
FLOCK (FILTERED)            (ПРОИЗВОДИТЕЛЬ ~ TRANSMISSION PROJECT)(1) [filtered (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПРОВЕРЕННЫЙ сервис в автозапуске
Процесс                     32-х битный
File_Id                     5EC7A34817F000
Linker                      14.25
Размер                      1558232 байт
Создан                      05.12.2020 в 21:56:44
Изменен                     22.05.2020 в 07:05:52
                           
TimeStamp                   22.05.2020 в 10:02:48
EntryPoint                  +
OS Version                  6.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано SignPath Foundation
                           
Оригинальное имя            transmission-qt.exe
Версия файла                3.00 (bb6b5a062e)
Описание                    Transmission Qt Client
Производитель               Transmission Project
                           
Доп. информация             на момент обновления списка
pid = 3932                  NT AUTHORITY\СИСТЕМА
CmdLine                     "C:\Program Files (x86)\Transmission\transmission-daemon.exe" -run-instance
Процесс создан              23:11:58 [2021.06.24]
С момента создания          00:21:25
CPU                         0,09%
CPU (1 core)                0,34%
parentid = 744              C:\WINDOWS\SYSTEM32\SERVICES.EXE
SHA1                        E2325342A56423D628556549C56B7F4435AD276E
MD5                         7F8E96F120678508C58810F8A77F603B
                           
Ссылки на объект           
Ссылка                      HKLM\System\CurrentControlSet\Services\Transmission\ImagePath
ImagePath                   "C:\Program Files (x86)\Transmission\transmission-daemon.exe" -run-instance
DisplayName                 Transmission Daemon
Description                 Background BitTorrent service accessible with Qt client, web UI, or remote CLI tool.
Transmission                тип запуска: Авто (2)
Изменен                     03.05.2021 в 21:29:35
                           
Образы                      EXE и DLL
TRANSMISSION-DAEMON.EXE     C:\PROGRAM FILES (X86)\TRANSMISSION
                           
Загруженные DLL             НЕИЗВЕСТНЫЕ
LIBCRYPTO-1_1.DLL           C:\PROGRAM FILES (X86)\TRANSMISSION
LIBCURL.DLL                 C:\PROGRAM FILES (X86)\TRANSMISSION
LIBSSL-1_1.DLL              C:\PROGRAM FILES (X86)\TRANSMISSION
QT5CORE.DLL                 C:\PROGRAM FILES (X86)\TRANSMISSION
QT5DBUS.DLL                 C:\PROGRAM FILES (X86)\TRANSMISSION
QT5GUI.DLL                  C:\PROGRAM FILES (X86)\TRANSMISSION
QT5NETWORK.DLL              C:\PROGRAM FILES (X86)\TRANSMISSION
QT5WIDGETS.DLL              C:\PROGRAM FILES (X86)\TRANSMISSION
QT5WINEXTRAS.DLL            C:\PROGRAM FILES (X86)\TRANSMISSION
QWINDOWS.DLL                C:\PROGRAM FILES (X86)\TRANSMISSION\PLATFORMS
ZLIB.DLL                    C:\PROGRAM FILES (X86)\TRANSMISSION
                           
Загруженные DLL             ИЗВЕСТНЫЕ и ПРОВЕРЕННЫЕ

SNWDSL.JPG.d390817f7ea3ecc3e6a218922488f4ef.JPG

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

--------

Речь не о критериях.

Речь о функционале uVS

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

не буду категорично утверждать, что такой режим (в виде отдельной категории по цифровым) не нужен в uVS.

может быть и нужен. чтобы получить инфо о состоянии системы под углом цифровых. например получить сколько цифровых в среднем используется в системе, в системе, и сколько из них входит в WDSL

но даже с помощью простейшего отбора, ты можешь получить все файлы, которые имеют действительную цифровую, не входящую  WDSL

(ЦИФР. ПОДПИСЬ ~ ДЕЙСТВИТЕЛЬНА)(1)   AND   (ЦИФР. ПОДПИСЬ !~ WDSL)(1) [auto (0)]

и далее уже проанализировать данный отбор файлов. в том числе, из данного отбора, что-то добавить дополнительно в файл WDSL

sgnfiles.jpg.800773ea0d143ca4550a2d6c52b50589.jpg

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

Можно на базе критериев реализовать много полезного.

Но это нагромождение одного на другое.

+  Дело в принципе  :)

Можно реализовать поиск информации по ЭЦП

и тогда будет поиск не только по SHA1,  но и по ЭЦП   :)

https://www.virustotal.com/gui/file/d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e/details

https://www.virustotal.com/gui/file/8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd/details

Предлагаю работать именно с ЭЦП и на это ориентировать категорию.

Было бы интересно видеть появились ли файлы в системе одновременно, или нет, интервал появления файлов - ( в таблице ? )

Поиск именно по ЭЦП на ресурсах типа V.T.  ( ведь SHA1 ) вещь непостоянная...

Когда файл с данной ЭЦП впервые попал на V.T. ? ; Когда файл оказался в системе?

Если это организация - есть ли файлы с данной ЭЦП на других PC.

и т.д.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
27 минут назад, PR55.RP55 сказал:

Можно на базе критериев реализовать много полезного.

Но это нагромождение одного на другое.

и т.д.

это не нагромождение, это осознанный поиск. который не требует дополнительного программирования новых функций.

Цитата

 

Можно реализовать поиск информации по ЭЦП

и тогда будет поиск не только по SHA1,  но и по ЭЦП   :)

https://www.virustotal.com/gui/file/d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e/details

https://www.virustotal.com/gui/file/8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd/details

 

пока что на VT видим, что функция поиска выполняется по хэшу. Если в API на VT есть возможность поиска по цифровой, почему бы и нет. + надо смотреть другие базы с сэмплами, которые предоставляют функции поиска через API public - есть там возможность поиска по цифровой или тоже только по хэшу, а пока что только поиск через Google.

Цитата

 

Предлагаю работать именно с ЭЦП и на это ориентировать категорию.

Было бы интересно видеть появились ли файлы в системе одновременно, или нет, интервал появления файлов - ( в таблице ? )

Поиск именно по ЭЦП на ресурсах типа V.T.  ( ведь SHA1 ) вещь непостоянная...

 

SHA1 как раз вещь постоянная для файла, а вот цифровые левые быстро отзываются. (и злоумышленники будут вынуждены подписывать свои файлы уже другой цифровой). если найден вредоносный файл с некоторой цифровой, и так уже понятно, что цифровую заносить в blacklist, и далее, уже все файлы с данной цифровой попадут в подозрительные и вирусы на других машинах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Предлагаю создать новую базу  SHA1(+ ) <   > ЭЦП

Это не база проверенных файлов... Это база проверенных файлов с ЭЦП.

т.е. На системе №1 Проверяем файл ( ЭЦП - проходит проверку ) > SHA1 файла добавляется в базу  SHA1(+ ) > Оператор переходит к системе №2 и проверяет ЭЦП ... по базе SHA1(+).

Почему по базе... Возможна ли проверка SHA2  на WINDOWS XP  и  т.д ;  На системах без обновлений с повреждённым каталогом ЭЦП ?

А так...  Программа вычисляет SHA1 файла  > SHA1  проверяется по базе SHA1(+ ) ... > ЭЦП есть в базе = подтверждение цифровой.

+ Выигрыш по времени при проверке.

Да,  подпись могут отозвать и т.д.  Но...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Есть такая опция как: " Защита Windows 11 с помощью автономного модуля Microsoft Defender"

Запуск из доверенной среды без загрузки операционной системы...

https://www.comss.ru/page.php?id=9368

Можно ли в этот процесс интегрировать uVS ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, PR55.RP55 сказал:

Можно ли в этот процесс интегрировать uVS ? 

запуск дефендера?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
1 час назад, demkd сказал:

запуск дефендера?

Раз доверенная среда запускается без загрузки собственно операционной системы...

Можно ли вместо дефендера аналогичным образом работать с uVS ?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, PR55.RP55 сказал:

Можно ли вместо дефендера аналогичным образом работать с uVS ?

на то она и защищенная, что только дефендер и запустится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Так как в образе нет сводной  % таблицы практически невозможно понять какой _СИСТЕМНЫЙ процесс нагружает gpu и cpu.

Если есть нагрузка на  gpu и cpu - то, должно _автоматически включаться\отключаться отслеживание.

2) Нужен лог нагрузки на gpu и cpu.

2.1) К логу должна быть возможность применить фильтр.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 05.08.2021 at 4:24 PM, PR55.RP55 сказал:

Нужен лог нагрузки на gpu и cpu.

в логе указываются процессы действительно нагружающие cpu и gpu, а изучать низкую загрузку стоит другим средствами, непонятно зачем правда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×