Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 82]

чем это отличается от просто delref?

Тем, что не зависит от имени файла и пути до файла.

чем фильтрующее выражение EXE не устраивает?

Надеюсь что скорость проверки увеличится.

Зачем дополнительный анализ при создании образа? если он может быть выполнен на стороне хелпера.

На стороне Хелпера в раках данного предложения он не может быть выполнен !

Так, как я предлагаю сделать: Активный, эвристический компонент - который способен собирать дополнительную информацию непосредственно в системе.

Создать новый критерий и удалить прежний, если он не нужен.

Критерий нужен...

Зачем, создавать всё время новые, если можно один раз задать произвольное значение для Атрибута ?

[santy 151]

Тем, что не зависит от имени файла и пути до файла.

скорее всего, полумера.

активный троян или вирус с самозащитой не позволит убить свою ссылку, значит его надо выгружать из памяти, а это уже функция delvir (delall)

а те, что на сегодня исключаются из автозапуска: tr.majachok, tr.winsock, mkdrv в автозапуске всегда в единичном экземпляре. не надо посигнатурно прокручивать весь список в цикле, чтобы их отыскать и убить одну ссылку а автозапуске.

На стороне Хелпера в раках данного предложения он не может быть выполнен !

Так, как я предлагаю сделать: Активный, эвристический компонент - который способен собирать дополнительную информацию непосредственно в системе.

эдак в в эвристику можно будет натолкать и такого, что он и пароли с сертификатами начнет собирать на стороне юзера. (в том случае если предполагается сделать ее настраиваемой.)

[PR55.RP55 82]

На сегодня исключаются из автозапуска:

На сегодня - да !

А на завтра ?

Вот и будет такая возможность...

Кроме того - это расширит диапазон применения команд.

Эдак в эвристику можно будет натолкать и такого, что...

А так праздника хотелось !

Такая идея... Эх !

[demkd 590]

2. Добавить возможность переключения просматриваемых файлов по типу их расширения.

лень, да и фильтра по дате хватит.

4. Категория " Все" В конце то концов !

а это смотря какой объект и смотря что было удалено, нужен конкретный пример.

7.Возможность создания переменного критерия для значения: " Атрибут "

В смысле чтоб под любой атрибут значение подходило или редактирование сделать?

остальное отклоняется.

[santy 151]

В смысле чтоб под любой атрибут значение подходило или редактирование сделать?

здесь если редактирование атрибута делать, то лучше через раскрывающийся список с полями из структуры образа автозапуска, чтобы не руками прописать в это поле. (во избежание ошибок)

[demkd 590]

то лучше через раскрывающийся список с полями из структуры образа автозапуска

Да кто их знает какие там поля будут если лимитировать небольшой кучкой стандратных то смысл сего действия теряется.

[Angel-iz-Ada 0]

Очень не хватает группового выделения файлов (с зажатой Ctrl, а также Shift) для их добавления в ZOO или чтобы запретить запуск по хэшу. А то иногда очень запаривает 10-20 файлов по одному щелкать правой кнопкой - добавить - запретить ...

[akoK 75]

Angel-iz-Ada, допиши в settings.ini при добавлении сигнатуры, чтоб добавлялась блокировка.

[g0dl1ke 26]

есть два мбр локера, оба не дают запустить систему и портят таблицу разделов

первый mbr.lock, что просит денег, после восстановления загрузчика в uvs- проблема не решается и система вообще перестает загружаться

лог uvs

пытаемся восстановиться

перезагружаем и приехали

проблему решил при помощи TestDisk c последующим восстановлением mbr через uvs

второй "просто" убивает таблицу разделов:

лог uvs

пытаемся восстановиться

перезагружаем и тоже самое

проблему решил при помощи TestDisk

в обоих случаях TestDisk восстанавливал таблицу разделов.

в первом случае после этого без проблем восстановился mbr

во втором восстановление mbr не потребовалось, хватило восстановления таблицы разделов

если нужно пришлю образцы заразы, для аналица и/или тестирования

[Angel-iz-Ada 0]

akoK

Все дописано. Но очень часто при открытии образа сигнатуры уже присутствуют и нужны сами сэмплы - вот и приходится кучу файлов вручную добавлять в карантин и остальные действия производить одиночными кликами. Думаю функция не будет лишней

g0dl1ke

если не сложно, то отправь в личку первый блокер - который просит денег и таблицу разделов портит

[santy 151]

Да кто их знает какие там поля будут smile.gif если лимитировать небольшой кучкой стандратных то смысл сего действия теряется.

визуально (из окна инфо) все таки удобнее создавать критерий, поскольку виден тип значения, который должен быть в правиле.... хотя и ручное редактирование атрибута видимо имеет смысл. Но все таки жду пояснений RP55, что он имеет ввиду под переменным значением атрибута: возможность вручную менять значение поля, или что то метафизическое и перспективное.

Все дописано. Но очень часто при открытии образа сигнатуры уже присутствуют и нужны сами сэмплы - вот и приходится кучу файлов вручную добавлять в карантин и остальные действия производить одиночными кликами. Думаю функция не будет лишней

поясни, что имеешь ввиду. если файл в образе попал под сигнатуру, то если включено bAutoZooOnF7, по нему автоматически будет добавлена команда ZOO в скрипт,

точно также и BL

; Автоматически добавлять команду "ZOO" в скрипт для всех найденных вирусов (по F7).

; Команда НЕ добавляется если она уже присутствует в скрипте для данного файла.

bAutoZooOnF7 = 1 (0 по умолчанию)

; Автоматически блокировать запуск файла по MD5, удаляемого с помощью команды delall или

; при добавлении сигнатуры файла в _базу_

; Автоматически добавлять команду "BL" в скрипт для всех найденных вирусов (по F7).

bAutoBLOnF7 = 0 (0 по умолчанию)

[Angel-iz-Ada 0]

Да, это работает, но приходится порядок наводить в конечном скрипте - не особо нравится что идет в таком порядке:

zoo

bl

addsgn

zoo

bl

addsgn

Бывает что куча файлов туда попадает и приходится кучу времени тратить на порядок:

addsgn

addsgn

zoo

zoo

bl

bl

И помимо этого убирать ненужную блокировку (нужных файлов) и удалять команду ZOO нужных файлов. Думаю удобнее было бы зажать Ctrl, выделить нужные вирусы - и добавить их сразу все в ZOO и точно также списком заблокировать. И так не мало времени тратится на удаление сигнатур на легитимные файлы.

[santy 151]

есть два мбр локера, оба не дают запустить систему и портят таблицу разделов

первый mbr.lock, что просит денег, после восстановления загрузчика в uvs- проблема не решается и система вообще перестает загружаться

да по первому восстанавливает нормальную работу связка: testdisk+WinPe&uVS

testdisk восстанавливает таблицу разделов, uVS вылечивает MBRLock.6

https://www.virustotal.com/file/c565afc2558...d1f4f/analysis/

[PR55.RP55 82]

Demkd пишет:

В смысле чтоб под любой атрибут значение подходило или редактирование сделать?

1) Чтобы под любой ПЕРЕМЕННЫЙ АТРИБУТ подходило постоянное значение !

Например при изменении имени Производителя.

2) Чтобы критерий работал ПАРАЛЛЕЛЬНО для: производителя; продукта и т.д...

т.е. Задаём ПОСТОЯННОЕ значение и оно работает для любого Атрибута !

http://www.anti-malware.ru/forum/index.php...ost&id=7558

Santy пишет:

Возможность вручную менять значение поля, или что то метафизическое и перспективное.

На кой, оно мне нужно, его менять ?

Всё, чего я хочу, это один единственный раз написать как на фото: http://www.anti-malware.ru/forum/index.php...ost&id=7559

И, чтобы при любой метаморфозе данный поисковый критерий работал !

Подробнее: Я хочу чтобы была реализована настройка по типу Фаервола !

При смене значения/Имени.

Вот как Вы доступ к VirusTotal для uVS настроили - ?

Если, при каждом новом старте/запуске имя исполняемого файла изменяется !

Вот и я Хочу, чтобы поисковый критерий МОГ работать при смене, или изменении Атрибута !

[santy 151]

И, чтобы при любой метаморфозе данный поисковый критерий работал !

ну, понятно теперь.

необходимо вводить дополнительный признак: для всех полей проверять_применять правило, или для текущего атрибута в данном правиле. Возможно это не лишним будет, при том что необходимо вносить изменение в структуру базы критериев. + подобные критерии наверняка будут вносить изменение в производительность поиска: вместо проверки по одному полю будет проверка подвум десяткам полей. (и так по каждому объекту автозапуска)

--------

только лучше если дефолтное значение при создании нового критерия будет "для текущего атрибута", т.е. триггер "для всех" включать по желанию.

[g0dl1ke 26]

реально ли в uvs встроить механизм восстановления таблиц разделов?

[demkd 590]

Очень не хватает группового выделения файлов

Может быть когда-нибудь, сейчас этим заниматься желания нет.

Задаём ПОСТОЯННОЕ значение и оно работает для любого Атрибута !

подумаю.

реально ли в uvs встроить механизм восстановления таблиц разделов?

это далеко выходит за пределы проекта, для восстановления испорченных разделов лучше использовать специальные утилиты, которые доводились до рабочего состояния годами, например тот же testdisk.

[g0dl1ke 26]

там какой то хитрый принцип работы, по анализу структуры/восстановлению? (как то быстро восстанавливает, буквально пару секунд)

[PR55.RP55 82]

1. Объединить в одну категорию I/Windows Explorer & Другие браузеры.

Причина: Зачастую проверяется не всё... браузеры...

В результате чего происходят ошибки при проверке/чистке.

см.образ = WEBALTA.

К какому из браузеров имеет отношение объект - можно посмотреть в его свойствах.

Можно для наглядности - чётко разграничить объекты по их принадлежности - в рамках одной категории.

2.Убрать/перенести в Настройки: "Список критериев поиска"

- Нечего им делать в Категориях !

- Да и "Список сигнатур вирусов" - Перенести...

По той, простой причине, что к Категориям они отношения не имеют !

3.В категории: I/Windows Explorer

Прослеживается явная дискриминация.

Например для объекта: MAILRUSPUTNIK.DLL можно применить:

" Удалить все ссылки на объект" или "Удалить все ссылки вместе с файлом".

А для объекта: WEBALTASEARCH.DLL применимо исключительно: "Удалить все ссылки вместе с файлом"!

Спрашивается, как же так - ?

* см. образ.

[santy 151]

1. Объединить в одну категорию I/Windows Explorer & Другие браузеры.

Причина: Зачастую проверяется не всё... браузеры...

имхо, то что не все проверяется, это ведь не проблема UVS, а конкретного хелпера.

А так... если следовать подобной логике, можно все категории объектов слить в один список и все проверять. (Но и это не будет ноу-хау, поскольку автор благоразумно предусмотрел подобную логику).

[santy 151]

предложение в v3.76

----------------------------

составные критерии становятся актуальнее, нужны в том числе для того чтобы уточнит существующие критерии.

скажем уточнить критерий для детектирования Corkow:

HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\LANMANSERVER\PARAMETERS\SERVICEDLL

в качестве второго условия можно было бы прописать, что значение servicedll <> SRVSVC.DLL

или

добавить к входимости в ссылку HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SysTray

объекта <> STOBJECT.DLL

аналогично можно уточнить критерии

лишнее в WINLOGON\USERINIT

или ЛИШНЕЕ В WINLOGON\SHELL

по маячку уточнить критерий входимости в ссылку APPINIT_DLLS

....

чтобы избежать лишних записей ?ВИРУС? в списке подозрительных.

при использовании большего списка критериев, необходимых для автоматического отлова

файликов, не попадающих под сигн. детект, в списке подозрительных формируется внушительный список объектов

со статусом ?ВИРУС?

часть отсеется, если попадет под хэши проверенных файлов (после F4), другая часть отсеется,

если будут добавлены более точные критерии поиска.

-------------------

порядок формирования составных критериев ранее был описан.

(в форму создания критерия добавить кнопку "+", что будет означать включение дополнительного условия)

удобнее всего формировать в блоке информация об объекте.

хранить по идее можно в той же структуре, что и простые критерии, лишь добавить поле ссылки на следущее условие составного критерия,

в это же поле можно вносить метку(признак) завершения составного условия критерия.

редактировать в списке можно одну ветку составного критерия.

(при удалении отдельной записи критерия желательно полностью удалить все строки данного критерия)

пока, по моему, достаточно будет связующего "И" между простыми условиями.

для удобства отображения в списке критериев... все простые условия составного критерия идут друг за другом.

имя критерия можно формировать например: как

tr.majachok

и далее уже автоматически заполнять для следующих строк

tr.majachok-1, -2 в зависимости от кол-ва простых условий.

[PR55.RP55 82]

1.По критериям поиска - ввести чек- боксы.

В режиме: Вкл/Выкл.

Для той, или иной опции.

2.Возможность ориентированной работы с A.V. продуктами. ( cmd )

Например - при файловом заражении.

т.е.

На системном диске имеем 98% чистых файлов - входящих в базу проверенных Sha1.

Добавляем все файлы C:\ в список и производим фильтрацию по F4.

Как правило это занимает +- 10 -ть минут.

Оставшиеся - 2% объектов проверяются/чистятся при помощи A.V. продуктов.

= Минимизация времени проверки/лечения.

3.Работа по таймеру.

Например: uVS автоматически запускается раз в час и производит проверку системы по F4.

При этом срабатывает: "Копировать все неизвестные - "не имеющие цифровой подписи" файлы в Zoo"

т.е. при обнаружении неизвестных исполняемых файлов программа автоматически сохраняет их копии.

+ Работа с критериями поиска.

+ База sgnz

+ Отправка уведомления по локальной сети. ( Обнаружен объект подпадающий под... )

( программа в данном режиме работает без видимого окна и по завершении вышеперечисленных операций происходит завершение работы.)

( Без резкой нагрузки на процессор = плавно. )

Что это даст: Своевременное обнаружение угрозы ( При том, что заранее все файлы системы были проверенны и добавлены в Sha1 )

Получение работоспособной копии вируса ( например вируса шифратора ).

* С возможностью настройки параметров.

[demkd 590]

А для объекта: WEBALTASEARCH.DLL применимо исключительно: "Удалить все ссылки вместе с файлом"!

потому что только так и не иначе для этого типа объектов,

а предложения отклоняются.

составные критерии становятся актуальнее

я пока не решил в каком виде оно будет.

[santy 151]

вернуться к идее селектирование записей.

-----------

1. добавить селектирование отдельного объекта через контекстное меню. (если запись селектирована, показать - снять селектирование).

2. возможно, добавить новую категорию - селектированные

3. добавить функции над селектированными:

- проверить все селектированные на VT, jotti

- исключить из проверки chklst все селектированные

- включить в проверку chklst только селектированные записи.

[Smit 29]

несколько раз попадался винлок один и тотже на вирус тотал отсылал ни кто его не видет в базу программы добавить не могу нет статуса вируса

предлогаю изменить политику создания пользовательской базы вирусов хотябы с грифом "возможно вирус" а то ждать пака их добавят на вирус тотал долго и только после этого прога соизволит его добавить ...

также не мешало бы микробраузер ... по сколько в WIN PE программа отказываться проверять кеш в интернете даже после указания встроенного в WIN PE

фото прилагаться