Новые функции в Universal Virus Sniffer (uVS) - Страница 11 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

PR55.RP55
чем это отличается от просто delref?

Тем, что не зависит от имени файла и пути до файла.

чем фильтрующее выражение EXE не устраивает?

Надеюсь что скорость проверки увеличится.

Зачем дополнительный анализ при создании образа? если он может быть выполнен на стороне хелпера.

На стороне Хелпера в раках данного предложения он не может быть выполнен !

Так, как я предлагаю сделать: Активный, эвристический компонент - который способен собирать дополнительную информацию непосредственно в системе.

Создать новый критерий и удалить прежний, если он не нужен.

Критерий нужен...

Зачем, создавать всё время новые, если можно один раз задать произвольное значение для Атрибута ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Тем, что не зависит от имени файла и пути до файла.

скорее всего, полумера.

активный троян или вирус с самозащитой не позволит убить свою ссылку, значит его надо выгружать из памяти, а это уже функция delvir (delall)

а те, что на сегодня исключаются из автозапуска: tr.majachok, tr.winsock, mkdrv в автозапуске всегда в единичном экземпляре. не надо посигнатурно прокручивать весь список в цикле, чтобы их отыскать и убить одну ссылку а автозапуске.

На стороне Хелпера в раках данного предложения он не может быть выполнен !

Так, как я предлагаю сделать: Активный, эвристический компонент - который способен собирать дополнительную информацию непосредственно в системе.

эдак в в эвристику можно будет натолкать и такого, что он и пароли с сертификатами начнет собирать на стороне юзера. (в том случае если предполагается сделать ее настраиваемой.)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
На сегодня исключаются из автозапуска:

На сегодня - да !

А на завтра ?

Вот и будет такая возможность...

Кроме того - это расширит диапазон применения команд.

Эдак в эвристику можно будет натолкать и такого, что...

А так праздника хотелось !

Такая идея... Эх !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
2. Добавить возможность переключения просматриваемых файлов по типу их расширения.

лень, да и фильтра по дате хватит.

4. Категория " Все" В конце то концов !

а это смотря какой объект и смотря что было удалено, нужен конкретный пример.

7.Возможность создания переменного критерия для значения: " Атрибут "

В смысле чтоб под любой атрибут значение подходило или редактирование сделать?

остальное отклоняется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
В смысле чтоб под любой атрибут значение подходило или редактирование сделать?

здесь если редактирование атрибута делать, то лучше через раскрывающийся список с полями из структуры образа автозапуска, чтобы не руками прописать в это поле. (во избежание ошибок)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

то лучше через раскрывающийся список с полями из структуры образа автозапуска

Да кто их знает какие там поля будут :) если лимитировать небольшой кучкой стандратных то смысл сего действия теряется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel-iz-Ada

Очень не хватает группового выделения файлов (с зажатой Ctrl, а также Shift) для их добавления в ZOO или чтобы запретить запуск по хэшу. А то иногда очень запаривает 10-20 файлов по одному щелкать правой кнопкой - добавить - запретить ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Angel-iz-Ada, допиши в settings.ini при добавлении сигнатуры, чтоб добавлялась блокировка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
g0dl1ke

есть два мбр локера, оба не дают запустить систему и портят таблицу разделов

первый mbr.lock, что просит денег, после восстановления загрузчика в uvs- проблема не решается и система вообще перестает загружаться

f9e15215b6e552a6ea93d6c4317dc868.png

лог uvs

4784ffc479da1a1e26508215dcff4e2a.png

пытаемся восстановиться

1c863d2859b6dc3c002bf1511d45358d.png

перезагружаем и приехали

84e483dfb8016aba7d791ba0b227847a.png

проблему решил при помощи TestDisk c последующим восстановлением mbr через uvs

второй "просто" убивает таблицу разделов:

0306beae20bbb35ef5f631c964160583.png

лог uvs

d9e5066b2afdc9fbdaaa4c7e2fcfd4df.png

пытаемся восстановиться

1c863d2859b6dc3c002bf1511d45358d.png

перезагружаем и тоже самое

0306beae20bbb35ef5f631c964160583.png

проблему решил при помощи TestDisk

в обоих случаях TestDisk восстанавливал таблицу разделов.

в первом случае после этого без проблем восстановился mbr

во втором восстановление mbr не потребовалось, хватило восстановления таблицы разделов

если нужно пришлю образцы заразы, для аналица и/или тестирования

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel-iz-Ada

akoK

Все дописано. Но очень часто при открытии образа сигнатуры уже присутствуют и нужны сами сэмплы - вот и приходится кучу файлов вручную добавлять в карантин и остальные действия производить одиночными кликами. Думаю функция не будет лишней

g0dl1ke

если не сложно, то отправь в личку первый блокер - который просит денег и таблицу разделов портит

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Да кто их знает какие там поля будут smile.gif если лимитировать небольшой кучкой стандратных то смысл сего действия теряется.

визуально (из окна инфо) все таки удобнее создавать критерий, поскольку виден тип значения, который должен быть в правиле.... хотя и ручное редактирование атрибута видимо имеет смысл. Но все таки жду пояснений RP55, что он имеет ввиду под переменным значением атрибута: возможность вручную менять значение поля, или что то метафизическое и перспективное.

Все дописано. Но очень часто при открытии образа сигнатуры уже присутствуют и нужны сами сэмплы - вот и приходится кучу файлов вручную добавлять в карантин и остальные действия производить одиночными кликами. Думаю функция не будет лишней

поясни, что имеешь ввиду. если файл в образе попал под сигнатуру, то если включено bAutoZooOnF7, по нему автоматически будет добавлена команда ZOO в скрипт,

точно также и BL

; Автоматически добавлять команду "ZOO" в скрипт для всех найденных вирусов (по F7).

; Команда НЕ добавляется если она уже присутствует в скрипте для данного файла.

bAutoZooOnF7 = 1 (0 по умолчанию)

; Автоматически блокировать запуск файла по MD5, удаляемого с помощью команды delall или

; при добавлении сигнатуры файла в _базу_

; Автоматически добавлять команду "BL" в скрипт для всех найденных вирусов (по F7).

bAutoBLOnF7 = 0 (0 по умолчанию)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel-iz-Ada

Да, это работает, но приходится порядок наводить в конечном скрипте - не особо нравится что идет в таком порядке:

zoo

bl

addsgn

zoo

bl

addsgn

Бывает что куча файлов туда попадает и приходится кучу времени тратить на порядок:

addsgn

addsgn

zoo

zoo

bl

bl

И помимо этого убирать ненужную блокировку (нужных файлов) и удалять команду ZOO нужных файлов. Думаю удобнее было бы зажать Ctrl, выделить нужные вирусы - и добавить их сразу все в ZOO и точно также списком заблокировать. И так не мало времени тратится на удаление сигнатур на легитимные файлы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
есть два мбр локера, оба не дают запустить систему и портят таблицу разделов

первый mbr.lock, что просит денег, после восстановления загрузчика в uvs- проблема не решается и система вообще перестает загружаться

да по первому восстанавливает нормальную работу связка: testdisk+WinPe&uVS

testdisk восстанавливает таблицу разделов, uVS вылечивает MBRLock.6

https://www.virustotal.com/file/c565afc2558...d1f4f/analysis/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Demkd пишет:

В смысле чтоб под любой атрибут значение подходило или редактирование сделать?

1) Чтобы под любой ПЕРЕМЕННЫЙ АТРИБУТ подходило постоянное значение !

Например при изменении имени Производителя.

2) Чтобы критерий работал ПАРАЛЛЕЛЬНО для: производителя; продукта и т.д...

т.е. Задаём ПОСТОЯННОЕ значение и оно работает для любого Атрибута !

http://www.anti-malware.ru/forum/index.php...ost&id=7558

Santy пишет:

Возможность вручную менять значение поля, или что то метафизическое и перспективное.

На кой, оно мне нужно, его менять ?

Всё, чего я хочу, это один единственный раз написать как на фото: http://www.anti-malware.ru/forum/index.php...ost&id=7559

И, чтобы при любой метаморфозе данный поисковый критерий работал !

Подробнее: Я хочу чтобы была реализована настройка по типу Фаервола !

При смене значения/Имени.

Вот как Вы доступ к VirusTotal для uVS настроили - ?

Если, при каждом новом старте/запуске имя исполняемого файла изменяется !

Вот и я Хочу, чтобы поисковый критерий МОГ работать при смене, или изменении Атрибута !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
И, чтобы при любой метаморфозе данный поисковый критерий работал !

ну, понятно теперь.

необходимо вводить дополнительный признак: для всех полей проверять_применять правило, или для текущего атрибута в данном правиле. Возможно это не лишним будет, при том что необходимо вносить изменение в структуру базы критериев. + подобные критерии наверняка будут вносить изменение в производительность поиска: вместо проверки по одному полю будет проверка подвум десяткам полей. (и так по каждому объекту автозапуска)

--------

только лучше если дефолтное значение при создании нового критерия будет "для текущего атрибута", т.е. триггер "для всех" включать по желанию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
g0dl1ke

реально ли в uvs встроить механизм восстановления таблиц разделов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Очень не хватает группового выделения файлов

Может быть когда-нибудь, сейчас этим заниматься желания нет.

Задаём ПОСТОЯННОЕ значение и оно работает для любого Атрибута !

подумаю.

реально ли в uvs встроить механизм восстановления таблиц разделов?

это далеко выходит за пределы проекта, для восстановления испорченных разделов лучше использовать специальные утилиты, которые доводились до рабочего состояния годами, например тот же testdisk.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
g0dl1ke

там какой то хитрый принцип работы, по анализу структуры/восстановлению? (как то быстро восстанавливает, буквально пару секунд)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1. Объединить в одну категорию I/Windows Explorer & Другие браузеры.

Причина: Зачастую проверяется не всё... браузеры...

В результате чего происходят ошибки при проверке/чистке.

см.образ = WEBALTA.

К какому из браузеров имеет отношение объект - можно посмотреть в его свойствах.

Можно для наглядности - чётко разграничить объекты по их принадлежности - в рамках одной категории.

2.Убрать/перенести в Настройки: "Список критериев поиска"

- Нечего им делать в Категориях !

- Да и "Список сигнатур вирусов" - Перенести...

По той, простой причине, что к Категориям они отношения не имеют !

3.В категории: I/Windows Explorer

Прослеживается явная дискриминация.

Например для объекта: MAILRUSPUTNIK.DLL можно применить:

" Удалить все ссылки на объект" или "Удалить все ссылки вместе с файлом".

А для объекта: WEBALTASEARCH.DLL применимо исключительно: "Удалить все ссылки вместе с файлом"!

Спрашивается, как же так - ?

* см. образ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
1. Объединить в одну категорию I/Windows Explorer & Другие браузеры.

Причина: Зачастую проверяется не всё... браузеры...

имхо, то что не все проверяется, это ведь не проблема UVS, а конкретного хелпера.

А так... если следовать подобной логике, можно все категории объектов слить в один список и все проверять. (Но и это не будет ноу-хау, поскольку автор благоразумно предусмотрел подобную логику).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

предложение в v3.76

----------------------------

составные критерии становятся актуальнее, нужны в том числе для того чтобы уточнит существующие критерии.

скажем уточнить критерий для детектирования Corkow:

HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\LANMANSERVER\PARAMETERS\SERVICEDLL

в качестве второго условия можно было бы прописать, что значение servicedll <> SRVSVC.DLL

или

добавить к входимости в ссылку HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SysTray

объекта <> STOBJECT.DLL

аналогично можно уточнить критерии

лишнее в WINLOGON\USERINIT

или ЛИШНЕЕ В WINLOGON\SHELL

по маячку уточнить критерий входимости в ссылку APPINIT_DLLS

....

чтобы избежать лишних записей ?ВИРУС? в списке подозрительных.

при использовании большего списка критериев, необходимых для автоматического отлова

файликов, не попадающих под сигн. детект, в списке подозрительных формируется внушительный список объектов

со статусом ?ВИРУС?

часть отсеется, если попадет под хэши проверенных файлов (после F4), другая часть отсеется,

если будут добавлены более точные критерии поиска.

-------------------

порядок формирования составных критериев ранее был описан.

(в форму создания критерия добавить кнопку "+", что будет означать включение дополнительного условия)

удобнее всего формировать в блоке информация об объекте.

хранить по идее можно в той же структуре, что и простые критерии, лишь добавить поле ссылки на следущее условие составного критерия,

в это же поле можно вносить метку(признак) завершения составного условия критерия.

редактировать в списке можно одну ветку составного критерия.

(при удалении отдельной записи критерия желательно полностью удалить все строки данного критерия)

пока, по моему, достаточно будет связующего "И" между простыми условиями.

для удобства отображения в списке критериев... все простые условия составного критерия идут друг за другом.

имя критерия можно формировать например: как

tr.majachok

и далее уже автоматически заполнять для следующих строк

tr.majachok-1, -2 в зависимости от кол-ва простых условий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1.По критериям поиска - ввести чек- боксы.

В режиме: Вкл/Выкл.

Для той, или иной опции.

2.Возможность ориентированной работы с A.V. продуктами. ( cmd )

Например - при файловом заражении.

т.е.

На системном диске имеем 98% чистых файлов - входящих в базу проверенных Sha1.

Добавляем все файлы C:\ в список и производим фильтрацию по F4.

Как правило это занимает +- 10 -ть минут.

Оставшиеся - 2% объектов проверяются/чистятся при помощи A.V. продуктов.

= Минимизация времени проверки/лечения.

3.Работа по таймеру.

Например: uVS автоматически запускается раз в час и производит проверку системы по F4.

При этом срабатывает: "Копировать все неизвестные - "не имеющие цифровой подписи" файлы в Zoo"

т.е. при обнаружении неизвестных исполняемых файлов программа автоматически сохраняет их копии.

+ Работа с критериями поиска.

+ База sgnz

+ Отправка уведомления по локальной сети. ( Обнаружен объект подпадающий под... )

( программа в данном режиме работает без видимого окна и по завершении вышеперечисленных операций происходит завершение работы.)

( Без резкой нагрузки на процессор = плавно. )

Что это даст: Своевременное обнаружение угрозы ( При том, что заранее все файлы системы были проверенны и добавлены в Sha1 )

Получение работоспособной копии вируса ( например вируса шифратора ).

* С возможностью настройки параметров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
А для объекта: WEBALTASEARCH.DLL применимо исключительно: "Удалить все ссылки вместе с файлом"!

потому что только так и не иначе для этого типа объектов,

а предложения отклоняются.

составные критерии становятся актуальнее

я пока не решил в каком виде оно будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

вернуться к идее селектирование записей.

-----------

1. добавить селектирование отдельного объекта через контекстное меню. (если запись селектирована, показать - снять селектирование).

2. возможно, добавить новую категорию - селектированные

3. добавить функции над селектированными:

- проверить все селектированные на VT, jotti

- исключить из проверки chklst все селектированные

- включить в проверку chklst только селектированные записи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit

несколько раз попадался винлок один и тотже на вирус тотал отсылал ни кто его не видет в базу программы добавить не могу нет статуса вируса

предлогаю изменить политику создания пользовательской базы вирусов хотябы с грифом "возможно вирус" а то ждать пака их добавят на вирус тотал долго и только после этого прога соизволит его добавить ...

также не мешало бы микробраузер ... по сколько в WIN PE программа отказываться проверять кеш в интернете даже после указания встроенного в WIN PE

фото прилагаться

sshot_4.png

post-10443-1338892820_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×