Новые функции в Universal Virus Sniffer (uVS)

[demkd 590]

и без или внутри критерия хорошо.

[PR55.RP55 82]

Demkd пишет: И без или внутри критерия хорошо.

Я хочу, чтобы одному вирусу соответствовал один Сложный критерий.

1=1.

Больше просто будет НЕ нужно !

К примеру задаём первый/начальный критерий.

Полное имя: Не содержит .Dll

Далее, следуют дополнительные Условия.

Условий может быть хоть 100 !

Вирус может менять записи - параметры, что угодно может менять...

Мы просто задаём/добавляем новые, дополнительные Условия.

Для того, чтобы это работало необходима обработка условий через: ИЛИ

Как это работает: Проверяется список.

Находятся объекты подпадающие под определение: "Не содержит .Dll"

Далее идёт проверка по Условию/ям.

Проверяется первое условие списка...

Нет совпадения...

Оно пропускается/игнорируется > переходим к проверке следующего.

№2

Есть совпадение...

Проверяется...

№3

№4 ...

Далее, когда количество совпавших условий достигает 5. ( по умолчанию )

Проверка останавливается.

_______________________________

Ниже два образа.

Как по существующей схеме создать для них один сложный критерий.

Создать так, чтобы это реально работало и без ложных определений ?

По моей схеме это будет элементарно...

[demkd 590]

Вирус может менять записи - параметры, что угодно может менять...

это неразумный подоход, это уже будет другой мод. зловреда вполне возможно с другим способом лечения соотв. один и тот же критерий лишь будет вводить в заблуждение, никто не мешает заводить критерии с именами конкретного мод. зловреда а вот там и будет это самое или.

Да и отноститься к критериям как к панацее не стоит.

[santy 151]

Я хочу, чтобы одному вирусу соответствовал один Сложный критерий.

не факт, что это хорошо, по нескольких причинам.

во первых, не так просто будет найти базовый критерий для конкретного вируса исходя из ограниченного описания.

во вторых, совсем неплохо.... если по какому то объекту сработает несколько критериев....

вот здесь, на основании схождения нескольких критериев и можно будет искать универсальные закономерности для конкретного зловреда.

---------------------

demkd,

и предложение.

может, стоит добавлять в критерий еще и условие существования какого либо атрибута?

в этом случае атрибут может принимать различные значения, но его имя остается неизменным.

хотя, часто такой атрибут - это просто значение ключа из ссылки (т.е. его производное).

[PR55.RP55 82]

Вирус может менять записи - параметры, что угодно может менять...

это неразумный подоход, это уже будет другой мод. зловреда вполне возможно с другим способом лечения соотв. один и тот же критерий лишь будет вводить в заблуждение, никто не мешает заводить критерии с именами конкретного мод. зловреда а вот там и будет это самое или.

Да и отноститься к критериям как к панацее не стоит.

Подход разумен при:

1) Изменении условий работы uVS = тип запуска = права доступа к файлам/реестру и т.д.

На выходе получаем разные данные.

2) В момент эпидемиями - когда вирус изменяет данные ежедневно.

НЕ разумно:

Плодить десятки критериев когда должно создать один критерий.

( После завершения: удаляем весь критерий или доп.условия.)

НЕ разумно раздувать базу критериев.

НЕ разумно создавать путаницу.

Замедлять проверку из-за десятков отдельных критериев.

Не...

Создавать риск условия/ситуацию когда Критерий не сработал в результате возможен пропуск угрозы.

...

[santy 151]

НЕ разумно:

Плодить десятки критериев когда должно создать один критерий.

RP55, разницы особой нет, или ты в один критерий добавляешь с десяток условий по идентификации всех на свете модов вируса,

или создаются несколько критериев, содержащих два-три условия.

количество проверок от этого не изменится.

[PR55.RP55 82]

Santy пишет:

Во вторых, совсем неплохо.... если по какому то объекту сработает несколько критериев....

Вот здесь, на основании схождения нескольких критериев и можно будет искать универсальные закономерности для конкретного зловреда.

Да...

Сработает несколько УСЛОВИЙ...

Где будет схождение НЕСКОЛЬКИХ УСЛОВИЙ.

Их показ в окне: "Информация" этих критериев/УСЛОВИЙ ( о чём мной уже было сказано )

Я предлагаю гибкую схему, где ВЫБЫВШИЕ УСЛОВИЯ игнорируются.

Нет этого условия для модифицированного вируса ?

Условие пропускается...

Происходит переход к следующему...

А, вы ПРОТЕЗ готовите.

ПРОТЕЗ по одному образцу.

А, у ! всех разный рост/возраст.

Как это решить подходы:

1) Индивидуальные протезы - под заказ каждому. ( Европа )

2) Один протез на всех. ( СССР )

3) УНИВЕРСАЛЬНЫЙ - с изменением/регулировкой длинны. ( RP55 )

С изменением/регулировкой его массы.

[santy 151]

Я предлагаю гибкую схему, где ВЫБЫВШИЕ УСЛОВИЯ игнорируются.

только давай без истерик, я опасаюсь полагаться на твою гибкость после краткой беседы о логике.

[PR55.RP55 82]

Santy пишет:

Разницы особой нет, или ты в один критерий добавляешь с десяток условий по идентификации всех на свете модов вируса,

или создаются несколько критериев, содержащих два-три условия.

Разница - Это время затраченное на проверку.

Есть шапка.

Есть, первое совпадение по этой шапке - Тогда и ТОЛЬКО тогда идёт дальнейший поиск по Условиям.

А у вас этих шапок может быть: 3-5-10.

И нет должной гибкости...

Одна ошибка в условиях и хана Тузику = проверке.

[santy 151]

Разница - Это время затраченное на проверку.

я особой разницы во времени не заметил, когда тестировал выход из цикла при срабатывании одного критерия, и при полном цикле проверок.

Одна ошибка в условиях и хана Тузику = проверке.

гиперболы хороши в другом месте и исполнении, например рассказах Салтыкова-Щедрина.

[PR55.RP55 82]

Santy пишет:

Только давай без истерик, я опасаюсь полагаться на твою гибкость после краткой беседы о логике.

Всё OK.

Бесед о логике не было.

С моей стороны Был монолог/цитата: "Все Условия внутри сложного Критерия равны"

С другой, была логика ради логики и всё во имя логики.

Santy пишет:

Цитата(PR55.RP55 @ 18.09.2012, 18:56) *

Разница - Это время затраченное на проверку.

я особой разницы во времени не заметил, когда тестировал выход из цикла при срабатывании одного критерия, и при полном цикле проверок.

Цитата(PR55.RP55 @ 18.09.2012, 18:56) *

Одна ошибка в условиях и хана Тузику = проверке.

Гиперболы хороши в другом месте и исполнении, например рассказах Салтыкова-Щедрина.

Разница будет когда сложных критериев будет не 1-2, а 40-50.

Гипербола была применена, как эмоциональный усилитель.

Работает разом несколько когнитивных функций.

[santy 151]

Разница будет когда сложных критериев будет не 1-2, а 40-50.

Гипербола была применена, как эмоциональный усилитель.

Работает разом несколько когнитивных функций.

их уже около полусотни.

по гиперболам. логика Тузика здесь не работает. на критериях поиска работает только мат_логика с ограниченным набором операндов.

вот и проявляй свою гибкость в рамках этой логики.

[santy 151]

и предложение.

может, стоит добавлять в критерий еще и условие существования какого либо атрибута?

в этом случае атрибут может принимать различные значения, но его имя остается неизменным.

хотя, часто такой атрибут - это просто значение ключа из ссылки (т.е. его производное).

условие существования поля (аргумента) в описании можно создать на основе этой модели.

например,

test_atrib=пустое значение

test_atrib<>пустое значение

test_atrib содержит пустое значение

test_atrib не содержит пустое значение.

[PR55.RP55 82]

Первый человек предлагает критерий сравнимый с работой сигнатуры:

Когда не срабатывает один её участок, срабатывает другой.

Парадигма.

Второй предлагает поиск/аналог по Sha1.

т.е. некий неизменный/цельный критерий.

Догма.

Логическая задача: Какое решение будет более эффективно работать при известных условиях ?

[santy 151]

Логическая задача: Какое решение будет более эффективно работать при известных условиях ?

RP55, я думаю это уже офтоп. Если хочется поговорить в частности на эту тему, то здесь.

http://www.anti-malware.ru/forum/index.php?showtopic=19512

[PR55.RP55 82]

1) o Теперь при массовой проверке по базе проверенных (F4)

пропускаются файлы размером более 300mb с выдачей соотв. сообщения в лог.

Аналогично сделать при формировании образа.

2) При расчёте SHA1 файлов весом более 50 mb применять технологию CUDA и пр.

т.е.задействовать мощности процессоров видеокарт.

Что ускорит формирование образа и снизит нагрузку на систему.

3) По критериям поиска.

Сделать возможным чёткое ограничения действия критерия по каталогу.

т.е. например критерий работает для: "WINDOWS"

и НЕ работает для подкаталогов...

Возможность задать чёткие границы.

4) При: "Добавить сигнатуру файла в вирусную базу"

Предлагать имена.

Имена наиболее часто встречающиеся в Списке сигнатур вирусов.

Предлагать в поле комментария.

т.е. выбираем подходящее название и вставляем.

т.е. Столбиком идут:

Carbepr

Spy.shis

Majachok

Dorkbot

Corkow

Нет необходимости набирать текст.

Просто копируем нужную строку в поле имени.

5) Для settings.ini

Возможность задать список объектов исключений.

т.е. есть настройка:

; Автоматически копировать в zoo файл, удаляемый с помощью команды delall

&

bAutoZooOnF7 = 1

В списе исключений например можно добавить:

PRAETORIAN.EXE

и пр.

т.е. файл удаляется но его копия в Zoo не помещается.

И в скрипте такой команды нет.

6) Добавить в меню команду:

"Удалить все файлы каталога"

Хороший пример это борьба с Dorkbot.B

Где есть каталог & файлы:

\APPDATA\ROAMING\ZFYOYN.EXE

\APPDATA\ROAMING\45.

\APPDATA\ROAMING\14.

\APPDATA\ROAMING\70.

\APPDATA\ROAMING\54.

Разом удаляем/чистим все.

&

Поместить в Zoo.

Понимаю, что радикально.

Можно так: " Удалить все файлы каталога, без цифровой подписи"

ИЛИ: Сделать команду с возможностью её применения только для некоторых каталогов.

APPDATA и пр.

т.е. для рабочих/системных каталогов команда работать НЕ будет.

И для любых других НЕ будет.

Будут только те каталоги которые по умолчанию задаст разработчик.

+

Если идеи понравились поддерживаем.

Нечего молчать.

[PR55.RP55 82]

1) При работе поискового критерия файл X получает статус ?Вирус?

Есть информация по SHA1.

Собственно предложение: Проводить проверку для всех файлов списка по SHA1

Алгоритм:

Критерий > Файл получает статус ?Вирус? > Считывается его SHA1 > Проверяется весь список* > При совпадении

найденные объекты получают статус...

?Вирус 1?

?Вирус 2?

?Вирус 3?

?Вирус 4?

Пример применения:

pchelpforum.ru/f26/t107681/

pchelpforum.ru/f26/t107677/

2)

Добавить в меню команду:

"Удалить все файлы каталога"

* Например удаление по типу расширения.

Пример:

Удалить все файлы каталога: .ААС

т.е. uVS автоматически подставляет расширение - при отданной команде из контекстного меню файла.

[alamor 69]

Добавить проверку дублирующих команд, если эта команда уже есть в скрипте, чтобы не вставлялась повторно. Удобно если вставляется команда из разных разделов лога.

[Angel-iz-Ada 0]

demkd как-то обещал подумать о создании дополнительного ключа запуска start.exe чтоб сразу открывалось окно с выбором образа автозапуска

также хотелось бы видеть в разделе Список сигнатур вирусов - дату добавления сигнатуры, а то бывает добавишь сигнатуру не очень длинной длины и с частым названием - virus или carberp, а потом при проверке списка обнаруживается что еще десяток системным файлов подходят по сигнатуре и приходится лезть в сигнатуры и искать из сотен сигнатур с таким названием самые короткие и увеличивать ее длину

[santy 151]

и приходится лезть в сигнатуры и искать из сотен сигнатур с таким названием самые короткие и увеличивать ее длину

можно использовать контекстную функцию - ложное срабатывание, увеличить длину сигнатуры.

[alamor 69]

Angel-iz-Ada не факт, что ложные срабатывания будут у самой старой сигнатуры или у самой короткой . Просто ПКМ по системному файлу, который ложно задело и увеличиваем длину сигнатуры

[Angel-iz-Ada 0]

ну и чего мы добьемся этим? при выборе этой функции программу тупо удаляет сигнатуру из базы. или у кого-то предлагает ввести новую длину сигнатуры?

[santy 151]

ну и чего мы добьемся этим? при выборе этой функции программу тупо удаляет сигнатуру из базы. или у кого-то предлагает ввести новую длину сигнатуры?

не предлагает, а автоматически увеличивает длину активной части текущей сигнатуры. на единицу.

(удаляет только в том случае, если было полное совпадение 64 байта).

[PR55.RP55 82]

И Всё таки подход к сигнатурам нужно менять, слишком много ложных срабатываний.

В том числе и без возможности их корректировки.

Что 8, что 64 один результат.

Пример: rghost.ru/40975443

+ Фото.

Например формировать сигнатуру по 2-м алгоритмам.

И затем на их основе создавать/формировать 1-ну. СОСТАВНУЮ.

[santy 151]

И Всё таки подход к сигнатурам нужно менять, слишком много ложных срабатываний.

RP55, а как много ложных срабатываний? скажем, сколько это будет процентов тем (образов) от общего количества рассмотренных?

под ложным срабатыванием здесь надо понимать полное совпадение с сигнатурой по 64байтам. В остальных случаях можно накручивать на единицу длину активной части.