Новые функции в Universal Virus Sniffer (uVS)

[santy 151]

Мечты !

мечта - это использовать OpenPGP для подписания скриптов.

Для форумов это было бы хорошо.

Хелпер на своей стороне (используя интерфейс uVS или утилитки, которые могут создавать пары ключей) создает секретный и публичный ключи.

в Дальнейшем - секретным будет подписывать свои скрипты, а публичный передает на форум. Публичный ключ может быть подписан другими хелперами, которые доверяют данному ключу.

юзер может скопировать с форума публичные цифровые подписи хелперов и поместить их в специальный подкаталог uVS

В интерфейс uVS добавить функции - импортировать публичный ключ в каталог

При подписании скрипта шифрованный блок ЦП помещается в конце скрипта и является неисполняемым для uVS

При добавлении скрипта из буфера обмена uVS автоматически проверяет ЦП по своей библиотеке public key,

и определяет, кому из хелперов принадлежит данный ключ.

и выдает результат. Скрипт подписан, скрипт неподписан. неизвестная ЦП.

можно жестко ограничить выполнение скрипта, если скрипт неподписан, или неизвестная ЦП,

можно ограничиться предупреждением, и продолжить выполнение.

можно через настройки settings отключать проверку ЦП и работать в привычном режиме.

включить необходимые для этого модули OpenPGP (если есть портабельный OpenPGP) в дистр uVS

-------

пример, работы - это плагин Enigmail (с расширенными функциями по OpenPGP) в thunderbird, он обращается к установленному openPGP в системе,

и берет сохраненные и добавленные ЦП из каталога OpenPGP

[PR55.RP55 82]

Santy

Надежнее будет, если юзеры будут хранить копии таблицы разделов у себя.

Где именно у себя - Записывать на CD|DVD диск ?

Так 50% народонаселения не в курсе, как это сделать или лень или ещё, что.

На форуме ESET 95 % Данных будет сохранено.

Главное, чтобы человек помнил свою тему/имя.

У себя - Эта "надёжность" будет на уровне:

У кошки четыре ноги: вход, выход, земля и питание.

Яхта - углубление в море, выложенное деревом. В него можно без конца бросать деньги.

[santy 151]

Где именно у себя - Записывать на CD|DVD диск ?

Так 50% народонаселения не в курсе, как это сделать или лень или ещё, что.

На форуме ESET 95 % Данных будет сохранено.

Главное, чтобы человек помнил свою тему/имя.

У себя - Эта "надёжность" будет на уровне:

это их проблемы, если они не заботятся (не могут или не знают как) о безопасности системы. На все народоонаселение галактики мы не сможем хранить копии их таблиц разделов.

можно, конечно предложить создать скриптовую команду по инициализации создания файла сверки и просить юзеров передать файл dat на форум на вечное хранение.

[PR55.RP55 82]

RP55.RP55 Пусть, файл сверки будет интегрирован в состав образа.

Тогда, копия файла .dat будет доступна при наличие образа автозапуска на форуме тех поддержки.

и.т.д.

Привязка.

Сопоставление.

Информация.

Привязка файла .dat - к конкретной системе ( Может у человека быть несколько PC/Систем ? )

Могла иметь место переустановка системы - под тем-же именем ?

Установлена другая система - под тем-же именем ?

Пролечена группа систем...

Ошибочное применение файла - система < - > система.

Какие данные необходимы/нужны для идентификации системы/Usera ?

Имя системы; Время обращения за помощью; какая угроза была удалена; информация по дискам; версия системы;

Всё это позволит минимизировать кол- во ошибок.

А для этого нужен образ автозапуска и интеграция с ним .dat файлом.

KAPITANE_2012-03-12_14-29-25.

uVS v3.74: Windows 7 Ultimate x86 (NT v6.1) build 7600 [C:\WINDOWS]

Физической памяти: 3071Mb

32-bit

Список установленного P.O. & Время установки P.O. & Время установки первой программы:

WinRar 4.01 - 2011-08-21 02:58

Так, что сам по себе, без его системной идентификации файл .dat -использовать нежелательно.

->

В общем: KAPITANE_2012-03-12_14-29-25.+ .dat.Zip

[santy 151]

мечта - это использовать OpenPGP для подписания скриптов.

Для форумов это было бы хорошо.

что-то подобное выходит, хотя возможно будут (и есть) всякие проблемы с кодировкой, но более с заворачиванием длинных строк скрипта.

-----BEGIN PGP SIGNED MESSAGE-----

Hash: SHA1

;uVS v3.74 script [http://dsrt.dyndns.org]

;Target OS: NTv5.1

zoo %SystemDrive%\SYSTEMHOST\24FC2AE333B.EXE

addsgn 988C1F92342A4C9AC1DAAEB1DB5C120525013B1E9FF51F780CA62D37A45F4F1ADC02F3377E551607

3B0989D3D65649713BDB4B2AC59AB0A77B7F2D3A9B966273 8 SpyEye

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\NKIDTGEYZB0.EXE

delall %SystemDrive%\SYSTEMHOST\24FC2AE333B.EXE

delall %SystemDrive%\DOCUMENTS AND

SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ

МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\NKIDTGEYZB0.EXE

delall %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\SETUPAPI.DLL

delall %Sys32%\MHXUCL.EXE

deltmp

delnfr

delref HTTP://SEARCH.QIP.RU

regt 12

regt 14

restart

-----BEGIN PGP SIGNATURE-----

Version: GnuPG v1.4.12 (MingW32) - GPGshell v3.78

iEYEARECAAYFAk9oMLgACgkQZ5uGc3GdD0j2QQCeM7iCWdcwNoehPL1j9/DNh9eu

8fkAoNkkLYAVNFkGYVxe89ropW3UnUHb

=3dDm

-----END PGP SIGNATURE-----

здесь подписывает (или шифрует буфер обмена) и расшифровывает утилитка GPGtray с обращением к криптографическому ядру,

но в идеале конечно, это должно выполняться из uVS (при наличии криптографического ядра в подкаталоге) парой команд:

подписать скрипт в буфере обмена,

расшифровать скрипт в буфере обмена.

.

[Vvvyg 12]

подписать скрипт в буфере обмена,

расшифровать скрипт в буфере обмена.

... перевести автору скрипта благодарность на Яндекс-деньги...

[PR55.RP55 82]

Существует проблема выполнения чужих скриптов.

Считаю, что нужно это прекращать !

Было внесено изменение/оповещение ;Target OS: NTv5.1

Предлагаю:

UVS Создаёт идентификатор системы ( по сумме данных ).

Информация/Идентификатор автоматически сохраняется в образе.

При создании скрипта, в текст скрипта добавляется подпись/идентификатор.

Соответственно, перед выполнением скрипта - будет произведено сопоставление данных.

Что, в свою очередь не позволит выполнить чужой скрипт, как и скрипт с отсутствующим идентификатором системы.

Пример:

;uVS v3.74 script [http://dsrt.dyndns.org]

OS: NTv5.1_PC: KFS-5

zoo %SystemDrive%\SYSTEMHOST\24FC2AE3DAD.EXE

bl 8CF0B0939A1563C4D03D08CDB0A7195E 324096

delall %SystemDrive%\SYSTEMHOST\24FC2AE3DAD.EXE

deltmp

delnfr

regt 12

czoo

restart

[Angel-iz-Ada 0]

Это более разумное решение чем шифрование скриптов и т.п.

[demkd 590]

1. Функция сравнения файлов сверки -до/после лечения ?

Есть сравнение образов, зачем еще сверку-то сравнивать?

Выделить найденные объекты - без добавления сигнатуры в скрипт

Что значит выделить? сделать подозрительными?

Поиск критериев - по их имени не работает !

сделаю.

7. Добавить новую категорию: "Исполняемые Файлы с неизвестным типом расширения"

они и так идут в подозрительные, если активны.

В интерфейс uVS добавить функции - импортировать публичный ключ в каталог

тут юзеры кнопку то одну нажать не могут, а ты предлагаешь им еще и с ключами возиться... впрочем и я не хочу.

Существует проблема выполнения чужих скриптов.

а в чем проблема, хотят пусть выполняют.

[akoK 75]

Существует проблема выполнения чужих скриптов.

А в чем проблема то? Если пользователь сам себе злобный буратино....

[PR55.RP55 82]

Что значит выделить? сделать подозрительными?

При соответствующей настройке - например красным цветом.

т.е. Определили объекты при помощи сигнатур.

Но сигнатура не добавляется в скрипт - А просто выделяет/подсвечивает найденные объекты.

И далее с объектами можно работать в соответствии с типом заражения.

Например:

;uVS v3.74 script [http://dsrt.dyndns.org]

;Target OS: NTv6.1

sreg

delref %SystemRoot%\Stuue.sys

areg

------------------------------------------------

А в чем проблема, хотят пусть выполняют.

Это, не проблема.

Это, её решение.

[santy 151]

тут юзеры кнопку то одну нажать не могут, а ты предлагаешь им еще и с ключами возиться... впрочем и я не хочу.

demkd,

не с целью "вода камень точит", поскольку признаю за тобой право как за автором и архитектором утилиты развивать ее с возможной скоростью и в желаемом направлении,

а ради прояснения и расширения вариантов использования утилиты.

привязка скрипта к конкретной машине - это абсурд, поскольку не дает вклад в инфо для контроля выполнения скрипта,

а вот возможность добавить в лог выполнения скрипта информации о том, подписан скрипт или нет, кем подписан, нарушен ли хэш скрипта (был ли изменен) или нет - это может быть не лишней инфо в логе выполнения.

причем ход выполнения скрипта можно не прерывать, а выполнять его в том виде как есть,

лишь добавить в лог выполнения инфо о наличии хорошей подписи или ее отсутствии.

--------

юзеру в основом то ничего и не надо делать, кроме как зайти на страницу форума, где могут быть указаны хелперы и их публичные ключи с указанием доверия, и импортировать их через функцию в uVS. И все. Выполнить чуть больше рекомендаций чем сейчас. Это привычное для него дело. Это все равно, что сделать дополнительный лог с помощью новой утилиты.

основная нагрузка здесь - как всегда, на разработчике. а именно в реализации импорта публичных ключей, и реализации функции проверки подписи из скрипта.

риски - это то, что в составе утилитки появляется дополнительный сторонний exe-модуль, который необходимо использовать для проверки подписи и импорта ключа. (все консольные команды в gpg есть для этого.).

сложности - это подбор необходимых модулей, и настройка путей к ним, и ЦП.

[akoK 75]

santy, поясни, пожалуйста, смысл данной функции.

[santy 151]

santy, поясни, пожалуйста, смысл данной функции.

смысл, думаю, понятен.

это возможность проверки по логу выполнения например, в случае недоразумения: кем подписан скрипт, модифицирован ли он или нет перед выполнением.

------

дополнительные минусы конечно есть:

после выпуска новой версии юзер или должн повторно импортировать ключи хелперов, или скопировать из старой версии те, что уже есть в случае повторных обращений на форум.

[akoK 75]

santy, теперь понятен. Система довольно громоздкая...

[santy 151]

santy, теперь понятен. Система довольно громоздкая...

а чем она гормоздкая.

основной модуль gpg.exe около 1Мб, возможно только он и нужен для проверки public key. (надо проверять).

ключи хелперов (public key) можно предварительно создать и добавить в пакет по ссылке с форума,

тогда юзеру не надо будет даже импорт выполнять, т.е. он даже не заметит наличия подобной проверки.

------

[demkd 590]

santy

по подписи отклоняется, не вижу таки смысла в этом.

PR55.RP55

я не понял чем мешает добавление сигнатуры в скрипт

[santy 151]

demkd,

добавь плиз, в 3.75 возможность перемещения объекта из категории DNS в подозрительные если он попадает под поисковые критерии,

возможно, какой-нибудь левый DNS попадет таки

[demkd 590]

santy

добавлю.

[santy 151]

Дмитрий, можно добавить в лог создания образа запись о Safe mode, если образ был получен из Safe mode?

[demkd 590]

santy

См. в логе строчку, где версия и система:

Boot: Fail-safe

или

Boot: Normal иначе.

[PR55.RP55 82]

Добавить в лог информацию по DNS

Чтобы разом видеть сетевые настройки:

DNS:

HOSTS:

Persistent routes:

------------------------

И как всегда фото....

[demkd 590]

PR55.RP55

Я подумаю.

[PR55.RP55 82]

1. Модификация команды _ Delref*_ :

Команда на удаление ссылок по сигнатуре, без удаления самого файла.

* Это позволит работать с объектами в APPINIT_DLLS, а также .SYS с применением сигнатуры.

В рамках предотвращения сбоя в работе PC.

Пример:

;uVS v3.74 script [http://dsrt.dyndns.org]

;Target OS: NTv5.1

addsgn A7679BC9DE37442480A1A2E6EFB50280D3FFF575B4A6DA7CE9C32E9AD328703826943D554B773C95

E184E81A866240AD2B8C17A2D01AC4207A21F7C720F8DD8C 64 Маяк.Dll.Vir

Delref*

restart

2. Добавить возможность переключения просматриваемых файлов по типу их расширения.

( В том числе при работе с Образом )

Пример: Нам известен тип вируса - это: Spy.Shis.NCE

Расширение: .exe

Предположим, что других угроз в системе нет !

Переключаем просмотр - получаем сокращённый список состоящий исключительно из .exe объектов.

Что позволит быстрее сориентироваться и принять решение.

3. Поисковый критерий.

При создании п.к. реализовать:

"Копия" см.фото

Копия/Дублирование информации по файлу: ( Производитель; Описание; Продукт... )

* Вообще- нужен НЕ отдельный критерий поиска - Нужно реализовать это на уровне эвристики.

Есть повторение/дублирование данных > Автоматически помещать в подозрительные.

4. Категория " Все" В конце то концов !

Если, объект удалён путём применения соответствующей команды пропиСЫВAЕМОЙ в скрипте - то, чего ради ОН "после удаления продолжает мозолить глаза в категории "Все " ! " ...

5.Создать для DNS список "Разрешен"

На базе поискового критерия...

Открываем Категорию: DNS

И...вместо слова "ВИРУС" - видим "Разрешен"

Таким образом - для всех известных DNS - можно сформировать белый список.

6.Применение базы snms - в качестве дополнительного эвристического анализатора.

Главным образом при создании образа !

т.е.Поисковый критерий/ии срабатывают/работают - на стороне пользователя.

* uVS согласовывает поиск объектов с параметрами поиска заложенными в snms.

7.Возможность создания переменного критерия для значения: " Атрибут "

В силу того, что Атрибут/ы постоянно меняются.

Что в свою очередь делает поисковый критерий созданный на его основе бесполезным...

Вот, будет вместо Abobe стоять Sony и всё хана критерию...

см.фото.

[santy 151]

1. Модификация команды _ Delref*_ :

а чем это отличается от просто delref? и главное зачем? чаще всего удаления идут либо по сигнатурам, либо по прямому пути, необходимость delref (просто удаления ссылок минимальная).

2. Добавить возможность переключения просматриваемых файлов по типу их расширения.

а чем фильтрующее выражение EXE не устраивает?

3. Поисковый критерий.

При создании п.к. реализовать:

"Копия" см.фото

есть же функция - новый критерий на базе текущего.

5.Создать для DNS список "Разрешен"

как ты будешь определять - белый это DNS или нет. Не проще ли использовать правило: все что не запрещено - разрешено?

6.Применение базы snms - в качестве дополнительного эвристического анализатора.

Главным образом при создании образа !

т.е.Поисковый критерий/ии срабатывают/работают - на стороне пользователя.

* uVS согласовывает поиск объектов с параметрами поиска заложенными в snms.

Зачем дополнительный анализ при создании образа? если он может быть выполнен на стороне хелпера.

7.Возможность создания переменного критерия для значения: " Атрибут "

В силу того, что Атрибут/ы постоянно меняются.

Что в свою очередь делает поисковый критерий созданный на его основе бесполезным...

Вот, будет вместо Abobe стоять Sony и всё хана критерию...

см.фото.

создать новый критерий и удалить прежний, если он не нужен.