Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 82]

1) Команды по id

т.е. Удалить все файлы с id = ***********

Удалить ссылки...

И ряд других типовых команд.

2) Предыдущие версии Программ.

На: oldversion.com.ru

Возможно будет полезно для пополнения базы SHA1.

[alamor 69]

т.е. Удалить все файлы с id = ***********

как понимаю у каждого файла свой ID, а для удаления одного зловреда в разных местах есть сигнатуры .

2) Предыдущие версии Программ.

На: oldversion.com.ru

Возможно будет полезно для пополнения базы SHA1.

таких сайтов полно, только смысл ? Вы предлагаете demkd бегать по этим сайтам, качать этот софт, ставить его себе на компьютер, чтобы потом пополнить базу?

[PR55.RP55 82]

alamor

Работа с/по ID - не сама по себе, а в комплексе.

Она может дополнять имеющийся функционал.

Так в ряде случаев извлечение сигнатуры файла - невозможно.

Кроме того, Если ID может быть найден в повреждённом/изменённом файле...

Вплоть до повреждения на уровне 50%.

Возможно будет работать связка ID+Сигнатура*.

*В плане коррекции ложных срабатываний.

2) Спорт полезен - кто где хочет - там и бегает.

[alamor 69]

Работа с/по ID - не сама по себе, а в комплексе.

Она может дополнять имеющийся функционал.

Так в ряде случаев извлечение сигнатуры файла - невозможно.

в большинстве случаев из-за того, что нету самого файла. У таких файлов ID не указан.

[PR55.RP55 82]

В большинстве случаев не значит - во всех.

Чем больше возможностей предоставляет программа.

Тем больше возможностей у оператора решить поставленную задачу.

[Vvvyg 12]

Предлагаю ещё некий вариант сигнатур - просто хэш файла. Иногда бывают случаи, когда никак не удаётся подобрать сигнатуру, чтобы не было ложных срабатываний, даже с максимальной длиной. А есть надобность удалить множество файлов с одинаковым хэшем, но разными именами.

[alamor 69]

В большинстве случаев не значит - во всех.

за все случаи может ответить только автор, а ID вообще новая фича так что статистики по ней пока нет. Сейчас просмотрел несколько свежих логов, где есть "повреждённые" файлы. Так на самом деле это оказались вполне рабочие файлы с поддержкой извлечения сигнатуры, просто

Цифр. подпись НАРУШЕНА, файл модифицирован или заражен

Цифровая подпись Недействительна (файл поврежден/заражен)

[PR55.RP55 82]

1) И ещё предложение: У всех есть своя база проверенных файлов.

У кого больше - у кого меньше...

В меню uVS добавить: "Передать SHA1 в общественную базу " - "Проверить по общественной базе" - "Обновить общественную базу SHA1 "

т.е. УЖЕ сам оператор решает - доверять данной базе или нет - пользоваться ей, или нет.

ПРИНИМАТЬ данные по SHA1 - только от людей с подпиской = репутацией.

В ряде случаев это может принести пользу.

Также писать: Файл добавлен в проверенные 1;2;3;4 - раз. ( в поле статус )

т.е. ПЕРЕКРЁСТНАЯ проверка файла - как отражение статуса файла.

Чем больше раз он был добавлен в базу проверенных - тем выше к нему доверие.

+

Данные от кого данный SHA1 - база получен. ( В инфо. по файлу )

[PR55.RP55 82]

1) Встроить систему Microsoft-ID в uVS

т.е. Возможность интерактивной проверки - запроса к серверам Microsoft.

Или через сервер dsrt.dyndns.org

т.е. проверяется не весь список - проверятся избранный файл/файлы.

Что обеспечивает быструю проверку = получение результата/ответа.

2) Добавить в список ...

Добавляется один каталог, второй, третий и т.д.

Все нужные для решения задачи.

НО !

Они добавляются только после нажатия: OK

т.е. Оператор выбирает какие каталоги должны быть добавлены...

Формируется список.

По нажатию на: OK = Старт.

Что это даёт ?

Составили список > Старт > Пьём чай.

Нет необходимости бегать и добавлять каждый каталог отдельно/индивидуально.

3) Виртуальный HDD - диск = Использование оперативной памяти для его работы.

По типу: superspeed.com/servers/ramdisk.php

"Это намного быстрее, до 50x быстрее и больше."

Диск для работы с базой проверенных.

База всегда быстро/доступна.

[demkd 590]

просмотрел список предложений, обновил шапку.

[PR55.RP55 82]

1) Создать отдельную программу монитор.

* Программа работает с базой SHA1

Периодически проверяет список по базе.

При нахождении неизвестного объекта выдаёт - окно уведомление: Имя, данные по объекту.

Информация пишется в Log - файл.

Передача информации - например по почте. т.е. пересылка Log - файла.

** Возможность настройки таймера/периодичности проверки.

Минимальный набор функций:

Построение списка/обновление списка > проверка по базе проверенных > при положительном результате отображение/передача данных.

После обнаружения объекта оператор работает с uVS = принимает решение.

2) Команды на удаление программ из меню скрипта.

т.е. Сработал критерий > команды добавлены в скрипт.

* Команды добавлены отдельным блоком.

см. фото. 111.

Преимущество: Оператор видит текст скрипта.

3) Добавить в известные.

Возможность работать не только с файлами.

см. фото. 222.

[demkd 590]

PR55.RP55

1. не входит в мои планы

2. избыточный функционал

3. а это может быть и стои.

[santy 151]

2) Команды на удаление программ из меню скрипта.

т.е. Сработал критерий > команды добавлены в скрипт.

это будет, RP55, но только в рамках автоскрипта.

после того как будут сняты ложные срабатывания по сигнатурам, и внесены v исключения из проверки чистые файлы.

после этого скрипт лечения можно будет полностью сгенерировать,

в том числе и с удалением нежелательных программ, которые попадут под критерии UNINSTALL.

через uidel или EXEC uninstall/msiexec /quiet

[alamor 69]

это будет, RP55, но только в рамках автоскрипта.

значит автоскрипт будет ? это уже решено ?

[santy 151]

alamor,

значит автоскрипт будет ? это уже решено ?

не решено, но считаю это логичным развитием работы над конечным скриптом.

даже если он не будет способен построить оптимальный скрипт в 100% случаев тем.

[Angel-iz-Ada 0]

если выбираем деинсталяцию программы которая отражена в общем логе, то курсор кидает вниз. приходится опять листать вверх, выбирать следующую программу (если надо)

если находимся в категории Все и нажимаем Убить все вирусы, категория перескакивает на Подозрительные. опять же приходится обратно в категорию возвращаться.

[demkd 590]

Angel-iz-Ada

1. тут уже ниче не сделать, добавляется строчка в лог, соотв. рекомендую использовать Alt+L чтоб сразу все видно было.

2. это таки правильно, после убиения стоит взглянуть не осталось ли чего

[Angel-iz-Ada 0]

1. ну так через alt+l и смотрю лог просто когда уже много команд было и только в конце начинаешь удалять софт, то там уже за пределы одного экрана текст уезжает

2. раздел Подозрительные изначально оценивается при загрузки образа. иногда приходится переходить во Все, удалять те вирусы на которые есть сигнатуры и потом смотреть что осталось именно в этом разделе, а не в Подозрительных.

[santy 151]

1. ну так через alt+l и смотрю лог просто когда уже много команд было и только в конце начинаешь удалять софт, то там уже за пределы одного экрана текст уезжает

можно добавить команды удаления детектируемого софта в начало скрипта, затем уже добавлять другие команды в скрипт. (потом вручную поправить скрипт, если длинный получается).

это все таки удобнее, чем просматривать список установленных прог и оттуда формировать команды удаления.

---------

Потому, еще и следует стремиться к построению режима автоскрипта, который выполнит автоматически множество действий за хелпера, и построит оптимизированный скрипт на основе детектов сигнатур и критериев.

[PR55.RP55 82]

Когда я говорил об деинсталляции программ из окна СКРИПТа - то имелось ввиду не автоматическое удаление ( что видно на фото )

Я говорю об альтернативе удаления из ЛОГА.

Зачем данная функция в логе, если можно через окно/меню скрипта.

И всё видно и портянку листать не надо.

И на месте сразу можно редактировать.

[santy 151]

Когда я говорил об деинсталляции программ из окна СКРИПТа - то имелось ввиду не автоматическое удаление ( что видно на фото )

Я говорю об альтернативе удаления из ЛОГА.

Зачем данная функция в логе, если можно через окно/меню скрипта.

И всё видно и портянку листать не надо.

И на месте сразу можно редактировать.

RP55, это конечно "ноу-хау" подвешивать в конечный текстовый вывод скрипта контекстное меню, но так никто не делает.

это как минимум неэстетично. (с программной точки зрения).

вариантов несколько:

1. как сейчас в лог работы, и это уже привычно....

2. выводить записи детектируемых программ в "подозрительные" и там уже крутить список как удобно.

мне больше нравится второй вариант, но и этот удобнее, чем было.... а после реализации автоскрипта, и тщательной проверки созданных критериев это уже будет неактуально.

[PR55.RP55 82]

Santy

Категорию Подозрительные также не следует захламлять ВТОРИЧНЫМИ записями.

Тогда как на фото.

Применение перед сохранением скрипта.

Сразу для всех.

т.е. Посмотрели лог...

Нет ошибок - всё верно.

Так зачем 10 раз отдавать команды если можно их применить единовременно.

Если есть ошибки - тогда через лог - индивидуально решать.

[santy 151]

RP55,

на самом деле, в каждой отдельной теме встречается всего 2-4 объекта, подпадающего под UNINSTALL.Не 10 и не 20.

Если автоматизировать написание скрипта, то следует делать это радикально. Полностью автоматическое написание скрипта.

(и к этому надо планомерно стремиться.)

+

следует учесть такой момент. Что скажем не всегда следует деинсталлировать java 6, особенно в случае корпоративных тем, когда у бухгалтера или финансиста наставлено рабочего софта.

+

выбор должен быть - тихая деинсталляция, или обычная, через взаимодействие с пользователем.

[PR55.RP55 82]

Условие сигнатурного определения.

В меню: "Добавить сигнатуру с условием"

Примеры:

а) Например известно, что все варианты данного вируса прописываются ИСКЛЮЧИТЕЛЬНО в \WINDOWS\SYSTEM32\USERINIT.EXE,

б) Известно, что вирус уже не поддерживается создателем, но опасен - вирус НЕ имеет цифровой подписи.

...

Оператор может принять решение - выбрать условие при каком значении будет сигнатурное определение.

Файл- X попал под сигнатурное определение > У файла есть подпись !

В Данном случае сигнатурного определения нет.

Таким образом, верные настройки критериев помогут избежать ложного определения, добавления сигнатуры в скрипт и т.д.

*Информация по исключениям выводится в лог.

Макет на фото.

[alamor 69]

б) Известно, что вирус уже не поддерживается создателем, но опасен - вирус НЕ имеет цифровой подписи.

Уже эта фраза показывает бессмысленность, вспомните сколько есть разных сборок с патченными системными файлами.