Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 82]

Santy пишет:

Как много ложных срабатываний? скажем, сколько это будет процентов тем (образов) от общего количества рассмотренных?

Под ложным срабатыванием здесь надо понимать полное совпадение с сигнатурой по 64 байтам.

Не в это дело...

Их > 10% но меньше 20%.

--------------------------------

В тех случаях когда длину можно скорректировать это потеря времени = проверка/перепроверка списка и т.д...

Например формировать сигнатуру по 2-м алгоритмам.

И затем на их основе создавать/формировать 1-ну. СОСТАВНУЮ.

Довести до минимума ложные обнаружения.

[santy 151]

Их > 10% но меньше 20%.

--------------------------------

В тех случаях когда длину можно скорректировать это потеря времени = проверка/перепроверка списка и т.д...

по моему, результат завышенный. скажем мой набор сигнатур из нескольких сотен фолсит достаточно редко, а чтобы фолс был при полном совпадении сигнатурой, может 1 на сотню образов. (остальное решается регулированием длины), если жаль рассставаться с сигнатурой - выполняем hide, не зря же мы вводили эту команду. при массовом фолсе - убиваем сигнатуру без сожаления. (перепроверка списка - это нормально, главное не забыть сделать откат изменений.)

по сути нового формирования сигнатуры. если ты предлагаешь использовать несколько алгоритмов при извлечении сигнатуры из файла в одну, каким образом тогда по ней будет идти проверка? значит нужно использовать несколько обратных алгоритмов сканирования файлов. И где здесь выигрыш по времени?

здесь уже предлагали увеличить длину до 128байт, а может быть и до 256байт.

лично мне хватает 64байта. Более высокая точность думаю нужна будет, если uVS что-то будет обрабатывать автоматически. Тогда и важен факт минимального количества фолсов, как это бывает в обычных антивирусных сканерах. (там даже тесты проводят на количество фолсов и медали дают за это.)

[PR55.RP55 82]

Santy пишет:

По моему, результат завышенный

Может и так.

Santy пишет:

И где здесь выигрыш по времени?

Можно попробовать = посмотреть, как это будет.

------------------------------------------------------------------

Я уже предлагал разграничить действие сигнатуры по типам расширений.

Уточняю:

Сигнатура для DLL работает только с DLL

Сигнатура для SYS работает только с SYS

Сигнатура для EXE работает только с EXE

* = Исключение для файлов с двойным расширением.

и т.д.

** С авто. маркировкой сигнатуры ( где даётся указание на тип файла/расширения )

Это в разы уменьшит число ложных определений.

Разумеется определение типа файла/сигнатуры автоматическое.

Пример: Если сигнатура полученная при работе с DLL даст определение на SYS.

uVS автоматически исключает её применение для данного SYS файла.

* С занесением информации в Лог.

[PR55.RP55 82]

1) Осуществлять сбор дополнительной информации для формирования поискового критерия.

например информацию которую можно получить путём анализа самого файла/объекта.

* Сбор доп. информации осуществлять только для объектов со статусом: Подозрительный & ?Вирус?

2) Скрытый ключ реестра.

при обнаружении/выявлении отображать строку: "Скрытый ключ реестра" в контекстном меню ИНФОРМАЦИЯ.

3) По реестру - по возможности добавлять информацию "Время изменения ** ** ** "

4) Возможность задать критерий поиска для HOSTS.

Например можно вбить список соц сетей.

* В качестве напоминания о необходимости контроля/проверки HOSTS.

5) HOSTS

Меню.

Добавить опцию > Удалить все записи кроме:

( пример )

activate.adobe.com

activate-sea.adobe.com

в скрипте это будет:

;uVS v3.76 script [http://dsrt.dyndns.org]

;Target OS: NTv6.1

deltmp

delnfr

hideHOSTS activate.adobe.com

hideHOSTS activate-sea.adobe.com

restart

* Что позволит оптимизировать процесс очистки.

= минимизировать число отданных команд.

6) В графе статус вместо: ?Вирус? отображать имя поиск.критерия.

Пример: ?Spy.S?

* При соответствующей настройке в settings.ini

7) Новый тип Поискового критерия.

статус: ?ПРОВЕРЕН?

т.е. формируем п.крит. например для SPTD.sys

Задаём: Имя; Путь; Производителя; Подпись...

И, в категории "Подозрительные и вирусы" SPTD.sys будет отображаться со статусом |?ПРОВЕРЕН?|

[PR55.RP55 82]

1) Поисковый Критерий

Настройка глубины поиска в зависимости от: \

\

\\

\\\

\\\\

т.е. задаём число Леших.

\WINDOWS

\WINDOWS\system32

\WINDOWS\system32\drivers

\WINDOWS\system32\drivers\

Это позволит точнее задать критерий поиска.

Ограничить его действие по глубине каталога.

Снизить число ложных срабатываний.

Увеличить скорость проверки списка.

2) Возможность задать/настроить значение поискового критерия по схеме: < >

В качестве примера: Вес файла.

Не менее 42 и не более 480 kb.

т.е. при создании/формировании критерия указываем/задаём минимальный и максимальный вес файла.

3) Для улучшения восприятия текста.

Разграничить каталоги свет.пробелом

Пример на фото. 44

4) Позитивный критерий поиска.

т.е. В данном случае файл/объект будет скрываться из списка.

Пример:

=

GO.MICROSOFT.COM/FWLINK/?LINKID=54896

GO.MICROSOFT.COM/FWLINK/?LINKID=69157

WWW.MICROSOFT.COM/ISAPI/REDIR.DLL?PRD=IE&AR=IESEARCH

или

\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS

Действительна, подписано Duplex Secure Ltd

HKLM\System\CurrentControlSet\Services\sptd\ImagePath

\SystemRoot\System32\Drivers\sptd.sys

Аналогично, можно настроить и для ряда системных файлов.

В данном случае файл будет не просто известным, он ещё и будет соответствовать целому ряду надёжных критериев.

+

Фото.

5) Предисловие.

Есть типы заражений которые крайне редко встречаются.

Речь может идти о том, что такой тип заражения встречается 1- 2 раза за месяц.

в данном случае я говорю о CORKOW и схожих с ним вирусах.

Кроме всего прочего, вирус попадает в котегорию "подозрительные и вирусы" в силу того, что использует неизвестный тип расширения.

Предлагаю добавить в меню: "Скрыть Program Files"

* Кроме файлов/объектов со статусом: Подозрительный & ?Вирус?

Разумеется речь не идёт о том, чтобы игнорировать Program Files.

В данном случае появляется возможность ВРЕМЕННО минимизировать список проверки.

Сократив его на 50-70%.

Проверить системные каталоги...

Составить своё мнение = оценить ситуацию.

Принять решение по выявленным объектам.

После чего, открыть весь список и проверить наличае/отсутствие нежелательных объектов в Program Files.

[PR55.RP55 82]

По необходимости автоматического сравнения Sha1 файлов.

Свежий пример: forum.esetnod32.ru/forum6/topic7665/

C:\DOCUMENTS AND SETTINGS\DEMO\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\R5SDCAVQYSE.EXE

C:\WINDOWS\SYSTEM32\COM\SVCHOST.EXE

Сравниваем Sha1 файлов.

B7BD3A0F73453557D121E561E1E7D5C5657BB0F5

&

B7BD3A0F73453557D121E561E1E7D5C5657BB0F5

[PR55.RP55 82]

1) Настройка для settings.ini

После применения команды DELREF

Объект к которому была применена команда скрывается из списка.

2) По архивации

Собственно если uVS работает с архиватором, значит можно использовать эту возможность.

т.е. в меню:

Файл > Архивировать...

Добавить возможность выбрать объект архивации.

3) Очередь проверки на V.T.

т.е. выбираем нужные/подозрительные файлы.

В контекстном меню выбираем: "В очередь на проверку V.T."

После того, как были выбраны файлы отдаём команду: Проверить.

4) При создании образа в случае присвоение файлу статуса: Подозрительный

сохранять данные о времени создания папки.

*Что позволит увидеть расхождение по времени создания: папка < > файл.

5) Точно определять/фиксировать написание.

Пример:

TASKMAN.EXE

TaSKmAN.exe

----------------

ctfmon.exe

CTfmon.EXE

----------------

В ряде случаев это может дать доп.информацию.

Вызвать подозрение.

Подтолкнуть к более тщательной проверке объекта.

6) При ошибке распаковки архива/образа.

ВСПЛЫВАЮЩЕЕ сообщение/уведомления автоматически закрывать через 5 секунд.

7) Фильтр по весу файла.

Возможность фильтровать список по размеру файла.

По средством строки поиска.

В строке поиска вводим нужное значение - например: 400 kb.

На выходе получаем список из всех файлов чей вес меньше или = 400 kb.

=

Возможность менять: подключать/отключать тот, или иной тип фильтра.

Выбирая из списка фильтров.

8) Блокирующее условие.

Условие при котором поисковый критерий НЕ сработает.

т.е.

Пример: Есть 4 условия.

1;2;3 - условия работают штатно ( они находят/определяют заданный объект )

4-е условие их блокирует/аннулирует. ( Четвёртое работает через ЕСЛИ )

т.е. блокирование происходит при: ЕСЛИ =.

Абстрактный пример.

Заданы критерии:

Хорошая погода

и

Яркое солнце

и

По улице гуляет симпатичная девушка.

ЕСЛИ

Она с парнем.

Эх...

9) Сигнатура, как составная часть критерия поиска.

а) Рассмотрим на примере белого/позитивного критерия.

Имя файла: SPTD.SYS

и

Полное имя: C:\WINDOWS\SYSTEM32\DRIVERS\

и

Цифр. подпись: Действительна, подписано Duplex Secure Ltd

и

Ссылка: HKLM\System\CurrentControlSet\Services\sptd\ImagePath

ЕСЛИ

addsgn 1B2343995565C9520AD4AE2D4D089F61018E14F0BCF91F87B54C81986C4A8E38075701133EBCF048

2B806D55BEE9B6FA7D8D9C1E06AEC2454310E25DA86B6526 8 SPTD.SYS

Результат: файл исключён/скрыт из списка.

Фактически ему присвоен статус - проверен.

Наличие определения файла по сигнатуре обеспечивает надёжность критерия.

В данном случае сигнатура/запись содержится исключительно в разделе: ИНФОРМАЦИЯ по файлу.

т.е. данной сигнатуры нет в базе sgnz.

В данном случае сигнатура - часть информации по файлу/объекту.

Сигнатурное определение обеспечивает надёжность, и в сочетании с другими критериями исключает подмену файла.

Рассмотри на примере Чёрного/стандартного критерия.

В данном варианте сигнатура служит подтверждением: Критерии сработали верно.

Фактически объект найден по сигнатуре - однако, если сигнатуры нет в базе sgnz нет её и в скрипте и т.д.

uVS рассчитывает сигнатуры всех файлов списка.

Решение остаётся за оператором - добавить сигнатуру в базу sgnz/скрипт или НЕ добавлять.

Но, как было сказано - данные по сигнатуре uVS рассчитала/сохранила.

Значит, можно отображать сигнатуру в свойствах файла ( ИНФОРМАЦИЯ )

и включить её в качестве элемента составного/сложного критерия.

Получается Синергизм сигнатур & критериев.

+

Фото пример.

P.S.

Все идеи и предложения написаны мной для программ от Demkd & uVS.

Использование в других продуктах является нарушением авторского права.

И карается на месте прочтения.

[alamor 69]

8) Блокирующее условие.

ЕСЛИ

Она с парнем.

опять же просто правильно надо строить логику .

Кто мешает к примеру проверить сначала, девушка с парнем ? если нет тогда проверяйте какая погода и т.д.

5) Точно определять/фиксировать написание.

Пример:

TASKMAN.EXE

TaSKmAN.exe

...

В ряде случаев это может дать доп.информацию.

Вызвать подозрение.

Подтолкнуть к более тщательной проверке объекта.

no comment

[santy 151]

После применения команды DELREF

Объект к которому была применена команда скрывается из списка.

это кстати, на любителя. логичнее считать, что если объект не удален из системы, (а удалена только ссылка из реестра), то он должен присутствовать визуально в списке.

2) Добавить возможность выбрать объект архивации.

ZOO/CZOO здесь достаточно.

[PR55.RP55 82]

Santy пишет:

Это кстати, на любителя. логичнее считать, что если объект не удален из системы, (а удалена только ссылка из реестра), то он должен присутствовать визуально в списке.

Написано это: "Настройка для settings.ini" ( Что и означает - на любителя )

Прежде всего применять при работе с образом/скриптом.

т.е. Объект удалён Скриптовой командой DELREF - значит он удалён.

Речь может идти о ссылке в браузере, или другом объекте.

Зачем он нужен в списке, если Он/объект отработан ?

По Zoo - дело не в достаточности.

Дело в возможностях которые не реализованы.

alamor

PR55.RP55 пишет: Абстрактный пример.

Какая логика в абстрактном примере ? ( Абстрактная )

Нужно внимательно читать и стараться понять суть написанного.

Прежде всего должны сработать ( СОВПАСТЬ )

Первые условия.

" 1;2;3 - условия работают штатно ( они находят/определяют заданный объект ) "

Четвёртое условие - это значение которое может сработать, или не сработать.

Само по себе четвёртое условие НЕ нужно - в нём нет смысла, если нет определения по первым условиям.

Задаются базовые условия - по этим условиям и находиться/определяется объект.

ПОСЛЕ чего работает четвёртое условие.

т.е. Есть определение 1;2;3; - Есть блок. по четвёртому.

ВЫ же alamor - предлагаете сразу блокировать.

Что Вы будете блокировать ?

Нам нужно/требуется провести блокировку в отношении конкретного/заданного объекта.

Нам нет смысла блокировать десятки и сотни объектов.

Нам нужен конкретный, чётко идентифицированный/выявленный объект.

Ещё один пример:

Нужно найти человека в ТОЛПЕ ( Проще говоря среди тысяч похожих )

Для этого есть информация ТОЛЬКО ОБЩЕГО характера.

Рост 176; Вес 74 ; Цвет глаз карий.

Исключающим моментом будет Национальность: Китаец

Однако - китайцев в толпе может быть много.

По Условиям подходит этот: "Рост 176; Вес 74 ; Цвет глаз карий."

А Исключающий потому, что мы его ПРЯЧЕМ в толпе - Это наш китаец.

Китаец из белого списка.

Надёжный человек - которому мы доверяем.

Остальные "китайцы" готовят захват Порт Артура. ( 1904 )

P.S.

В общем нам подходит не любая девушка, а только симпатичная - до других нам нет дела.

И в толпе среди прохожих сразу нельзя понять - одна она или с парнем.

[alamor 69]

Какая логика в абстрактном примере ? ( Абстрактная )

я к тому, что если правильно построить логику, то отменять или блокировать предыдущие проверки не нужно.

1;2;3 - условия работают штатно ( они находят/определяют заданный объект )

4-е условие их блокирует/аннулирует.

[PR55.RP55 82]

alamor

Приведите конкретный пример - правильной логики для критериев поиска.

В теме и предлагаются различные варианты и решения.

В этом разделе: http://www.anti-malware.ru/forum/index.php...40&start=40

[santy 151]

По Zoo - дело не в достаточности.

Дело в возможностях которые не реализованы.

между достаточностью и возможностями есть еще актуальность и целесообразность. Актуальности здесь точно нет, целесообразность данного предложения не освещена. "Чтобы было..." это не целесообразно.

Прежде всего должны сработать ( СОВПАСТЬ )

Первые условия.

" 1;2;3 - условия работают штатно ( они находят/определяют заданный объект ) "

Четвёртое условие - это значение которое может сработать, или не сработать.

Само по себе четвёртое условие НЕ нужно - в нём нет смысла, если нет определения по первым условиям.

если перевести это на язык логики то будет примерно так:

(условие1 или условие2 или условие3) и не условие 4.

Такое возможно реализовать в полноценном интерпретаторе логических операций, о котором demkd предупредил, что не собирается его реализовать. (по крайней мере, в ближайшем будущем). ибо неактуально.

------------

это (отсутствие обработки скобок) можно было бы обойти, если будет возможность создавать сложные рекурсивные критерии,

например:

крит1=условие 1 или условие2 или условие3

крит2=крит1 и не условие4

------------------

но, пока не вижу в образах, которые встречаются каждый день под рукой необходимость обработки таких критериев, хотя это возможно и неплохое будет развитие по критериям поиска.

Если считаешь это актуальным, то неплохо бы привести примеры на живых образах. (а не на абстрактных китайцах или японцах).

[PR55.RP55 82]

Santy

Если сейчас нет необходимости - будет необходимо в будущем.

И тогда придётся искать решение в авральном порядке.

Сейчас можно решить задачу в спокойной обстановке.

Кроме того, можно реализовать принцип зеркала.

Поисковый критерий сработает - найдёт заданный объект.

Однако этот найденный объект будет изначально чист.

Невозможно собрать/добавить в базу проверенных все SHA1 - например для SPTD.sys

Однако можно взять сигнатуру этого файла в качестве критерия - критерия надёжности.

Настроить устойчивые/надёжные критерии поиска/обнаружения.

И по их сочетанию/срабатыванию получить легитимный файл.

Надёжность будет близка к 100%.

Применение: Выбрать 15-20 файлов/объектов которые присутствую практически в каждом образе/системе.

Это: Эмуляторы; драйвера антивирусов; системные файлы.

Критерий их автоматически обработает/отсеет.

Что сократит список проверки.

+

Возможность настроить settings.ini - под решение типичных задач оператора.

Добавление в рамках одного критерия группы сигнатур для одного файла, через ИЛИ.

т.е. Имя критерия: SPTD.sys

addsgn ...SPTD.sys-1

или

addsgn ...SPTD.sys-2

или

addsgn ...SPTD.sys-3

и т.д.

*Причём поисковые сигнатуры проверят не все файлы списка, а только те файлы которые прошли проверку соответствуя по критерию.

Что не снизит скорость автоматической проверки списка в целом. ( Ступени проверки.)

Для создание зеркала достаточно добавить чек-бокс.

Под зеркалом я понимаю перевёртыш - чёрное< > белое - вирус < > чистый файл.

Вкл/выкл Как на этом фото примере:

[santy 151]

Настроить устойчивые/надёжные критерии поиска/обнаружения.

И по их сочетанию/срабатыванию получить легитимный файл.

честно, говоря, совсем непонятно, за кого будут играть эти критерии: за бело-голубых или за красных, за зенит или за спартак?

мы говорим о критериях (и проектируем эти критерии), которые выдергивают подозрительные файлы, из общего списка (который может быть достаточно большим в силу разных причин, в том числе и неофициальных сборок), не прошедших контроль по SHA1, по списку известных, по цифровым подписям, не попавших под детект сигнатур.

или мы говорим об еще одном дополнительном списке, прошедшие по которому получат статус (почти на 100% чистые)?

[PR55.RP55 82]

Santy

Я предлагаю идею.

Применение может быть разным.

Самый простой вариант - изменение статуса файла с Подозрительного & ВИРУС? на ПРОВЕРЕН ?

Проверен - файл будет по Белому критерию.

Это система проверки и отсева: " которая ВЫДЕЛЯЕТ подозрительные файлы, из общего списка Подозрительных путём изменения статуса объекта"

По настройке - можно совсем скрывать/убирать файл из списка.

Предлагаю использовать сигнатуру в качестве критерия поиска. ( о чём подробно написал выше )

Также систему можно применить и для поиска вирусов.

Новые предложения:

1) Возможность Объединить несколько сложных критериев.

Например в системе есть файл вируса и есть его компоненты.

Сейчас критерии сработают для каждого объекта раздельно.

Возможность объединения информации для разных объектов в рамках одного критерия - системы поиска.

Своего рода внешний поиск.

Сработал критерий, найден объект > работает механизм поиска по списку ищет соответствие для других критериев - поиск родственных объектов

для уже найденного/выявленного объекта.

2) Автоматический поиск по имени в Яндексе и др. поисковых системах.

в режиме:

Найден -1

Не найден -0 "Искомая комбинация слов нигде не встречается"

Через контекстное меню файла.

Если файл НЕ найден можно сразу делать выводы/предположения.

Если найден - открыть страницу поиска - посмотреть информацию.

3) Объединить в одной вкладке все Браузеры/информацию.

Не вижу смысла в разделении.

Если есть угроза - нежелательный элемент значит его нужно удалить - название Браузере роли не играет.

Так, или иначе оператор просматривает/оценивает информацию и принимает решение по всем браузерам.

[santy 151]

Santy

Я предлагаю идею.

Применение может быть разным.

Самый простой вариант - изменение статуса файла с Подозрительного & ВИРУС? на ПРОВЕРЕН ?

Проверен - файл будет по Белому критерию.

Это система проверки и отсева: " которая ВЫДЕЛЯЕТ подозрительные файлы, из общего списка Подозрительных путём изменения статуса объекта"

RP55, имхо, полет идей у тебя как у стрижей на авишоу, вот только картинка с трудом складывается.

белые сигнатуры могут фолсить так же как это происходит с сигнатурами вирусов.

критерии своих которым можно доверять заложены в программе: SHA1, список известных файлов, цифровые подписи. тот же список сервисных dll для служб, или список соответствия CLSID и системных dll.

вести параллельные поиски: кто свой среди чужих, а кто чужой среди своих весьма накладно будет, когда можно работать по схеме: "не чужой, значит свой".

[PR55.RP55 82]

Santy пишет: Белые сигнатуры могут фолсить так же как это происходит с сигнатурами вирусов.

Ещё раз.

1) Сигнатура работает только в рамках поискового критерия.

Она равноправная, составная часть критерия.

2) Сигнатура работает только в случае совпадения ВСЕХ поисковых критериев файла/объекта.

т.е. Совпали критерии > определился файл, или группа файлов.

Также файл проверяет по критерию с техническим наименованием: "сигнатура соответствия"

Каждая сигнатура - несёт маркер имени.

т.е. имеет в своём названии.

addsgn ***** SPTD.SYS

В критерии поиска также указано конкретное/известное имя файла.

ЛОЖНЫЕ срабатывания по сигнатуре ИСКЛЮЧЕНЫ. ( Причём исключены буквально )

* Критерий создаётся для белого/известного файла - его имя Неизменно.

** Имя сигнатуры присваивается Оператором, или задаётся автоматически исходя из имени файла.

т.е. какое имя у файла - такое имя и у сигнатуры.

Помимо имени мы видим и тип расширения.

т.е. Чтобы всё сработало должно быть совпадение по типу SPTD.SYS = addsgn ***** SPTD.SYS ( Причём исключены буквально )

Santy пишет:

Критерии своих которым можно доверять заложены в программе: SHA1,..

Ещё раз.

НЕ возможно собрать все SHA1 даже для отдельно взятого SPTD.SYS

Про другие и говорить нечего.

Santy пишет:

Список известных файлов...

PR55.RP55 пишет что:

Аналогично, можно настроить и для ряда системных файлов.

В данном случае файл будет не просто известным, он ещё и будет соответствовать целому ряду надёжных критериев.

Получаем ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ файл.

Как сейчас файл попадает в известные ?

Точнее при каких условия ?

Условия - их перечень ограничен.

При создании/составлении критерия можно брать любые устойчивые данные - по выбору оператора.

Что позволяет провести индивидуальную настройку для каждого выбранного файла.

Появляется возможность отобрать 15-20 наиболее часто встречающихся файлов и для них создать/задать критерий.

Возможно сохранять в рамках позитивного критерия: Имя; Путь; *Цифровую подпись*; Производителя; Данные рестра; Сигнатуру/ры.

Получаем не просто ИЗВЕСТНЫЙ файл.

Получаем ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ файл.

Это, две большие разницы !

Достаточно вспомнить подмену системных файлов где совпадает и имя и путь - в ряде случаев и производитель.

И при беглой проверке/анализе их выявить очень сложно и затратно по времени.

При реализации моего предложения отсев будет автоматическим.

Всё зависит от того, как будет настроен критерий.

Статус объекта, как индикатор:

НЕ будет у известного файла статуса ПРОВЕРЕН - значит стоит обратить на него пристальное внимание - по какой причине файл не прошёл автоматической проверки.

Например сейчас есть критерии для поиска отклонений в userinit

НЕ равно. и др.

Задаётся поиск по Отклонению.

Я предлагаю изначально задать норму.

В рамках того-же критерия только с расширением его функциональных возможностей.

Создание позитивного критерия не исключает роли стандартного НЕ позитивного критерия.

В uVS - уже Реализован функция сравнения: " Сигнатура файла не соответствует**** системному файлу"

Я предлагаю вывести эту функцию и сделать её открытой - дать возможность оператору самостоятельно добавлять/исключать сигнатуры

формировать критерий.

Файл один ( имя ), а сигнатур может быть несколько.

В критерии они будут через ИЛИ. ( О чём подробно сказано выше )

В качестве примера возьмём известный PRAETORIAN.EXE.

Сколько существует версий файла ?

Вполне вероятно, что сотни версий и у каждой свой SHA1.

Сигнатур будет всего +-10 на все эти файлы. ( что легко проверить )

Это не вирус и у файла нет такого разнообразия/маскировки.

В равной степени это касается и системных-известных файлов.

Значит поисковый критерий может и должен включать данные по сигнатуре/рам.

С целью исключения фолсов автоматически производить сопоставление/исключение по типу: SPTD.SYS = addsgn ***** SPTD.SYS

[santy 151]

В uVS - уже Реализован функция сравнения: " Сигнатура файла не соответствует**** системному файлу"

Я предлагаю вывести эту функцию и сделать её открытой - дать возможность оператору самостоятельно добавлять/исключать сигнатуры

формировать критерий.

Файл один ( имя ), а сигнатур может быть несколько.

В критерии они будут через ИЛИ. ( О чём подробно сказано выше )

если есть образ с подобным сообщением, плиз, дай сылку на него. Я же в своих образах не нашел подобных сообщений.

нашел лишь такие, характерные для файловых заражений, или подмены известных файлов.

(!) Необычная для известного файла сигнатура, возможно файл был подменен

(!) Необычная сигнатура для известного файла: C:\PROGRAM FILES\JAVA\JRE6\BIN\MSVCR71.DLL

(!) Необычная сигнатура для известного файла: C:\PROGRAM FILES\WINDOWS MEDIA PLAYER\WMPNETWK.EXE

с какой сигнатурой здесь проводится сравнение - это вопрос, конечно.

по докам говорится лишь о реализации сравнения с семейством сигнатур Sality.

Добавлена функция обнаружения файлов с сигнатурами сходными с сигнатурами семейства файловых

вирусов Sality. (функция исполняется при массовом считывании производителя файлов в т.ч. по F3)

Найденные файлы можно пометить как подозрительные, либо нажать кнопку "Отменить" для отключения

функции. Функция не гарантирует 100% результата, в список могут попасть чистые файлы.

В качестве примера возьмём известный PRAETORIAN.EXE.

Сколько существует версий файла ?

Вполне вероятно, что сотни версий и у каждой свой SHA1.

Сигнатур будет всего +-10 на все эти файлы. ( что легко проверить )

Хорошо, извлечено семейство сигнатур из этих файлов и условно названо как TruePraetorian.

тогда вопрос: попадет под детект данного семейства файл praetorian.exe зараженный файловым вирусом?

[PR55.RP55 82]

Santy пишет: Я же в своих образах не нашел подобных сообщений.

У меня была задача донести смысл.

Задачи по приведению точных цитат не было.

uVS - работает с сигнатурами которых нет в общей базе sgnz

uVS - уже сейчас может использовать сигнатуру в качестве критерия поиска.

Santy пишет:

Вопрос: попадет под детект данного семейства файл praetorian.exe зараженный файловым вирусом?

Для лечения файловых вирусов применяется LiveCD

Есть набор сигнатур известного файла.

Вероятно можно вывести общее/закономерность.

При ЛЮБОМ отклонении от нормы информировать оператора.

С выводом (!) Необычная сигнатура для известного файла.

Впрочем, это уже другая тема.

+

Сохраняется возможность проверки файла на V.T.

И ещё раз: главное в предложении это увеличение скорости проверки.

Повышение её качества.

Путём автоматического сопоставления/сравнения данных файла с данными критерия надёжности.

Каждый метод имеет свои недостатки - это факт.

+

Фиксировать - и сопоставлять время изменения файла/лов

------------------------------------------------------------------

Отдельное предложение, дополнение к текущему предложению:

Автоматически при срабатывании ЛЮБОГО поискового критерия - в строке.

Пример:

(ВЕРСИЯ ФАЙЛА ~ 4.0.2.7523)(1)

AND

(ПРОИЗВОДИТЕЛЬ ~ MICROSOFT )(1)

AND

(ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1)

AND

(ПОЛНОЕ ИМЯ ~ .DLL)(1)

AND

ВРЕМЯ СОЗДАНИЯ ФАЙЛА (1)

Добавлять информацию по времени создания файла.

т.е. Если файл был создан в течении 7-10 дней выдавать: " ВРЕМЯ СОЗДАНИЯ ФАЙЛА (1) "

[santy 151]

uVS - работает с сигнатурами которых нет в общей базе sgnz

uVS - уже сейчас может использовать сигнатуру в качестве критерия поиска.

вопрос "пройдет ли сигнатура, извлеченная uVS из зараженного известного файла (neshta, sality, ramnit, чем то другим) по чистой базе семейства данного файла или нет - остается открытым,

поскольку поиск ложки дегтя в бочке меда с дегтем - однозначно приведет к правильному результату: да, эта бочка отравлена дегтем.

а вот поиск ложки меда в аналогичном сосуде - даст неполный ответ... да в этой бочке есть мед.

[PR55.RP55 82]

Santy

В uVS - есть опция: "Скрыть известные"

Получается, что из опасения пропустить файловый вирус эта опция не используется ?

Моё переложение, это смена статуса файла с ПОДОЗРИТЕЛЬНЫЙ на ПРОВЕРЕННЫЙ ?

Дальнейшие действия за оператором.

Захочет проверит на V.T. & Сравнить время изменения файлов & Постарается найти признаки файлового заражения.

Сигнатура, как элемент Позитивного критерия обеспечивает доп.надёжность - при этом не гарантируя её.

Применение сигнатуры эффективно при обнаружении подмены файла.

В целом Позитивный критерий позволит быстро выявить/идентифицировать отклонения в параметрах/значениях.

[santy 151]

Применение сигнатуры эффективно при обнаружении подмены файла.

в принципе, может и стоит добавить такую проверку:

проверка текущей категории по базе чистых сигнатур.

+ в контекстное меню вынести добавление чистой сигнатуры.

добавить дополнительный файл, по структуре, аналогичной sqnz, куда можно добавить сигнатуры важных чистых файлов, например, те что в STORE,

информацию по файлу (имя, версия файла, версия операционной системы и разрядность, производитель, дата создания...) с которого снимается сигнатура добавить в комментарий к сигнатуре

и в случае обнаружения и подтверждения подмены можно будет в дальнейшем инициировать удаление файла и восстановление его из STORE.

-----------

+

добавить аналогичный просмотр списка чистых сигнатур в секцию uVS рядом со списком sgnz.

[PR55.RP55 82]

Santy пишет: Добавить дополнительный файл, по структуре, аналогичной sqnz

Это несколько усложняет всю систему.

Я предполагал, что файла snms - будет достаточно.

Что такое сигнатура в нашем случае ?

Это просто текст.

Файл snms - это текст.

* Ведь число сигнатур их txt объём будет ограничен.

Santy пишет:

В контекстное меню вынести добавление чистой сигнатуры.

Также для чего ?

Сигнатура с возможностью её добавления будет доступна в окне ИНФОРМАЦИЯ по файлу.

т.е. Открыли окно ИНФОРМАЦИЯ - посмотрели данные > добавили сигнатуру.

Santy пишет:

Добавить аналогичный просмотр списка чистых сигнатур.

Список чистых сигнатур можно будет открыть/посмотреть в рамках поискового критерия.

т.е. Открываем котегорию: "Список критериев поиска"

И видим, все добавленные/сохранённые сигнатуры по файлу.

С возможностью их добавления < > удаления из критерия.

*Сигнатура критерия обрабатывается аналогично сигнатурам базы sqnz

( Только для файлов соответствующих критерию )

Данная сигнатура/ры не применяется для удаления файла и служит исключительно его идентификации.

* Конкретный файл = Критерий < > Сигнатура.

Где нет общего списка сигнатур и значит нет путаницы.

+

скорость проверки

+

удобство при корректировке данных.

[demkd 590]

прочитал, что понравилось добавил в шапку.