Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 82]

Если учесть осбенности работы uVS с образом то наличие такого скрипта означает что именно такой скрипт хелпер и хотел получить, а вот склероз тут явно не причем.

Склероз...

Тут, может и не причём

Однако, когда человек одновременно работает по трём - четырём темам лечения он может и имя своё забыть.

Команды:

chklst

delvir

Нужно добавлять, другое дело, это нужно сделать корректно... ( во всех смыслах ).

Тема нуждается в дополнительном обсуждении.

* Возможно будут другие варианты ?

Имя архива должно полностью совпадать с именем файла внутри, а если скажем часть "-" в имени архива зачем-то заменена на "_" то будет ошибка.

Это в ряде случаев архиватор так упаковывает...

Я эту штуку тоже заметил да всё забывал сделать предложение.

В общем, стоит сделать корректировку для символа "-" "_"

Т.е. открывать архив с учётом того, что имена файла в архиве и сам архив имеют ( могут иметь подобное расхождение ).

*Я ещё раньше писал, что иногда в 7-zip архивы не распаковываются.

Потом понял, что дело в "-" но предлагать не стал и решил ( забыть ).

Но коли уж тему подняли - то предлагаю.

[demkd 594]

* Возможно будут другие варианты ?

Вариант тут один - сохранять скрипт лишь после того как в списке не осталось вирусов, т.е. работать как с активной системой, соотв. не важно есть там delvir или использовался delall, скрипт сделает все как надо.

Это в ряде случаев архиватор так упаковывает...

Не думаю, скорее всего имя файла искажается в процессе его передачи, прикрепление к сообщению, заливка на обменник... всякое может быть.

В общем, стоит сделать корректировку для символа "-" "_"

Я подумаю.

[Vvvyg 12]

Кстати, а что мешает включить в состав uVS распространяемый по лицензии GNU LGPL версию 7-zip для командной строки 7za.exe, чтобы не зависеть от установленного в системе архиватора? Как я понимаю, условия её распространения позволяют: Вопросы и ответы (FAQ).

И ещё момент - оптимальные для упаковки образов автозапуска ключи для 7-zip: -mx9 -m0=ppmd:o=32:mem=64m

[demkd 594]

Кстати, а что мешает

ничего не мешает, сделаю настройку на пользовательский cli архиватор с поддержкой относительных путей, примерно как wZipit.

-mx9 -m0=ppmd:o=32:mem=64m

пропишу, действительно в среднем на 25% меньше образ получается

[PR55.RP55 82]

1.Файлы с двойным ИДЕНТИЧНЫМ РАСШИРЕНИЕМ. ( exe.exe )

ХХХХ.exe.exe

Видимо должен автоматически попадать в "Подозрительные и вирусы" ???

чего на данный момент не происходит...

2. При формировании поискового критерия - добавить возможность самостоятельно определять СТАТУС объекта.

т.е вместо слова "ВИРУС?" иметь возможность дать любое подходящее определение.

Например: "УДАЛИТЬ?" ( например при проверке OREANS32.exe )

или "ПРОИЗВОДИТЕЛЬ" ( соответственно при обнаружении драйвера подписанного определённым производителем )

*Суть предложения в том, что поисковый критерий может эффективно работать не только на обнаружение вирусов но и при решении других вопросов.

3.В категории: Список критериев поиска...

В контекстное меню добавить: "Создать новый критерий поиска".

* Собственно, зачем работать с snms напрямую, если это можно удобно сделать посредством программного меню.

4. Предложение на уровне рассуждений

При работе, программа дефрагментатор - HDD производит сбор различных участков данных с их

предшествующим анализом и дальнейшем распределением на диске по групповому соответствию & частоте обращения к данным.

*Предлагаю, рассмотреть возможность применения аналога данного механизма для обнаружения вирусов в

качестве дополнительного метода.

**Например: Частота обращения к объекту. ( Часто... )

*** Объект НЕ имеет взаимосвязанных объектов, или имеет 2-3.

*** Рассматривать/Анализировать только данные системных областей/каталогов.

*** По Сравнению - для разных результатов - например к каталогу часто обращаются - НО в каталоге нет файлов к которым было произведено обращение... ( имя файлов меняется??? ), учитывать время создания/изменения файла/файла.

= Отсутствие цифровой подписи и другие стандартные поисковые механизмы.

И, по сумме данных выдвигать предположение "ВИРУС"

Может это и ерунда...

Но, возможно предложение содержит рациональный элемент ?

[santy 151]

* Собственно, зачем работать с snms напрямую, если это можно удобно сделать посредством программного меню.

RP55, а где ты предлагаешь хранить записи критериев поиска?

и что означает работать с snms напрямую? - открывать snms в редакторе и добавлять записи?

нынешний порядок формирования критерия удобен тем, что он опирается на структуру файла автозапуска. Без дополнительных форм.

[PR55.RP55 82]

RP55, а где ты предлагаешь хранить записи критериев поиска?

и что означает работать с snms напрямую? - открывать snms в редакторе и добавлять записи?

Там же где и хранятся сейчас ( всё это без изменений )

Да я про редактор txt. говорил.

нынешний порядок формирования критерия удобен тем, что он опирается на структуру файла автозапуска.

Без дополнительных форм.

Я дополнительные формы и не предлагаю - просто добавить в меню соответствующею возможность.

* С применением пустого "Бланка" который можно открыть и добавить соответствующий критерий.

Список критериев поиска > Создать новый критерий поиска ( Открывается пустой бланк )

"Полное имя -

Имя файла -

Статус -

Размер -

Ссылка..."

/Содержит/=/не=/

[demkd 594]

1.Файлы с двойным ИДЕНТИЧНЫМ РАСШИРЕНИЕМ. ( exe.exe )

Посмотрю.

2.

Слишком много бесполезной для меня возни.

Собственно, зачем работать с snms напрямую, если это можно удобно сделать посредством программного меню.

А зачем работать напрямую??? Контекстное меню для создания критериев доступно изначально.

Может это и ерунда...

Так и есть, это задача для продукта класса IS.

[santy 151]

Там же где и хранятся сейчас ( всё это без изменений )

Да я про редактор txt. говорил.

Я так понимаю, контекстным меню в окне Информация для создания критериев не пользуешься.

Там есть все указанные поля в твоей форме, и даже больше.

это изначально было заложено в функционале uVS.

было бы удивительно, если бы критерии в uVS предлагалось формировать в snms в текстовом редакторе.

[PR55.RP55 82]

Было бы удивительно, если бы критерии в uVS предлагалось формировать в snms в текстовом редакторе.

Их никто там и не формирует - Это и было написано как ГРОТЕСК.

Просто по логике если есть:

"Редактировать критерий

Удалить критерий"

то логично было бы так:

"Создать критерий

Редактировать критерий

Удалить критерий"

Где: "Создать критерий"

Открывает чистый бланк с возможностью его заполнения.

*Кто сказал, что речь идёт о создании критерия при работе с реальной системой или с образом ???

Как пример - есть информация полученная из СЕТИ и её нужно добавить в поисковый критерий: WTR4132 ;WTR4141

Не искать же подходящий файл/объект где бы отображались нужные параметры !!!

А так будет полный/чистый список под заполнение.

________________________________________________________________________________

1. При сбое Запуска.

Автоматическая смена режимов запуска при сбое с понижением...

A. На максимальной настройке - при ошибке переход на...

B. Вариант Средний уровень режима - при сбое переход на...

C. Минимальные параметры.

2.Время создания файла.

Сейчас можно произвести отсев по времени...

Я предлога сделать возможным поиск/отсев по времени создания - групп файлов.

*Пример: Разница по времени, между созданными файлами * минуты.

--------------------------------------------------------

Проверка списка по базе поисковых критериев...

--------------------------------------------------------

C:\PROGRAM FILES\UNLOCKER\UNLOCKERCOM.DLL

[] СОЗДАН: 09.03.2010 В 07:55:56

--------------------------------------------------------

C:\PROGRAM FILES\UNLOCKER\UNLOCKERHOOK.DLL

[] СОЗДАН: 09.03.2010 В 07:55:54

--------------------------------------------------------

C:\PROGRAM FILES\UNLOCKER\UNLOCKERASSISTANT.EXE

[] СОЗДАН: 09.03.2010 В 07:52:48

--------------------------------------------------------

C:\PROGRAM FILES\UNLOCKER\UNLOCKERDRIVER5.SYS

[] СОЗДАН: 09.03.2010 В 07:52:44

--------------------------------------------------------

C:\PROGRAM FILES\UNLOCKER\UNLOCKER.EXE

[] СОЗДАН: 09.03.2010 В 07:56:00

--------------------------------------------------------

Проверено файлов: 840

Подозрительных: 5

Удовлетворяет критериям поиска: СОЗДАН: 09.03.2010 В 07:5

--------------------------------------------------------------------------

Предлагаю: АВТОМАТИЧЕСКИ ПРОВОДИТЬ ПОИСК/СРАВНЕНИЕ.

Что это даёт : показывает какие файлы созданы в данный отрезок времени* ( стандартный интервал установить в +- 3*минуты )

Что даёт возможность сгруппировать файлы по категориям.

На примере UNLOCKERa сразу видно - какие файлы были созданы - Это, уже группа взаимосвязанных файлов...

В случае с вирусом, также можно будет обнаружить/выявить аналогичную группу взаимосвязанных файлов!

Или же наоборот увидеть текст: НЕ ОБНАРУЖЕНО взаимосвязанных файлов...

**Однако, поисковый критерий хорош тогда, когда ПОДОЗРИТЕЛЬНЫЙ объект уже определён - и известно его точное

время создания.

В связи с чем предлагаю - сделать функцию Автоматического сравнения/ОБЪЕДИНЕНИЯ по времени.

С отображением информации в свойствах: "Взаимосвязь по времени создания"

И список связанных файлов в ИНФОРМАЦИИ по файлу.

***Отмечу, что речь идёт о возможности именно поминутного поиска и сравнения!

[santy 151]

Их никто там и не формирует - Это и было написано как ГРОТЕСК.

гротеск , значит.

мне лично хватает окна Информация для формирования нового критерия, так сказать не отходя от кассы, нашел в образе запись с вредоносным кодом, посмотрел в Инфо информацибю о нем, выбрал характерный признак для поля по структуре образа, если есть такой... создал критерий поиска и записал в список.

А список можно использовать для редактирования и очистки.

Примерно так же ведется и база сигнатрур.... пополняется при работе с записями образа, редактируется через список.

------

[demkd 594]

1. При сбое Запуска.

Отклоняется.

2.Время создания файла.

Не имеет смысла, фильтр по дате и так оставляет пару файлов.

[PR55.RP55 82]

1.Очистка временных файлов CD-Rom.

см.фото.

2. Папка ZOO

При отданной команде: "Добавить хеши исполняемых файлов каталога в базу проверенных"

папка/папки _ZOO_ должны Автоматически исключаться из процесса...

С выводом в лог соответствующего предупреждения!

* Думаю будет полезно, так как зачастую на HDD может одновременно находиться несколько копий uVS

3. Сопоставление.

Поминутное сопоставление/сравнение времени подключения USB/SATA устройств с временем создания/изменения

исполняемого файла.

*Как извесно многие вирусы распространяются именно посредством внешних носителей информации.

Поэтому авто - сопоставление данной информации будет актуально.

4.Опция.

Полная - очистка истории подключения USB

[demkd 594]

1.Очистка временных файлов CD-Rom

Это уже дело пользователя, захочет сам удалит.

2. Папка ZOO

И откуда uVS узнает что именно тот самый Zoo хз какой версии uVS? А вообще осторожней с добавлением чего попало в базу, ни к чему хорошему это не приведет.

3. Сопоставление.

И где же взять время подключения USB устройства?

Полная - очистка истории подключения USB

Что под этим понимается?

[PR55.RP55 82]

И откуда uVS узнает что именно тот самый Zoo хз какой версии uVS? А вообще осторожней с добавлением чего попало в базу, ни к чему хорошему это не приведет.

А зачем именно "То самый" ???

Zoo оно и есть Zoo просто игнорировать/исключать по имени с предупреждением.

И где же взять время подключения USB устройства?

Возможно, что и негде взять - или попробовать по времени обращения к драйверам устройства.

Цитата(PR55.RP55 @ 27.08.2011, 4:24) *

Полная - очистка истории подключения USB

Что под этим понимается?

История подключений в реестре и удаления файла с информацией по устройству.

Цитата(PR55.RP55 @ 27.08.2011, 4:24) *

1.Очистка временных файлов CD-Rom

Это уже дело пользователя, захочет сам удалит.

Сам файл не будет удалён, а добавить в команду deltmp очистку можно.

[santy 151]

А зачем именно "То самый" ???

Zoo оно и есть Zoo просто игнорировать/исключать по имени с предупреждением.

сомнительная автоматизация, ибо в ZOO по определению вообще не должно быть (и нет) исполняемых файлов.

[PR55.RP55 82]

в ZOO по определению вообще не должно быть (и нет) исполняемых файлов.

Ответ на фото.

[santy 151]

Ответ на фото.

а uVS каким образом добавляет исполняемые файлы в известные? по расширению, или все подряд?

[PR55.RP55 82]

2. Папка ZOO

При отданной команде: "Добавить хеши исполняемых файлов каталога в базу проверенных"

папка/папки _ZOO_ должны Автоматически исключаться из процесса...

С выводом в лог соответствующего предупреждения!

* Думаю будет полезно, так как зачастую на HDD может одновременно находиться несколько копий uVS wink.gif

Лично я писал о ПРОВЕРЕННЫХ! ...

что касается ИЗВЕСТНЫХ - то, со скрытым расширением не добавляет - в том числе и из ZOO.

*Кто мешает самостоятельно проверить ?

** В том, что файлы имеющее "скрытое" расширение добавляются в ПРОВЕРЕННЫЕ есть положительный резон

т.е. это полезно при составлении базы SHA1 например, если нет желания устанавливать программу и она просто распаковывается как архив и хеши файлов

добавляются.

Или система 32 и соответственно программа для 64 не устанавливается.

Файлы в пакете установки часто имеют "скрытое расширение " - Поэтому это вещь стоящая - но только не тогда когда речь идёт о папке ZOO.

( Если, опция будет добавлена в uVS то, стоит учитывать возможность сочетания кириллических и латинских символов о/о в Z..)

[Smit 29]

1.Файлы с двойным ИДЕНТИЧНЫМ РАСШИРЕНИЕМ. ( exe.exe )

ХХХХ.exe.exe

под этот критерий попадет сам автор такого предложения , а что мне нравиться!? а так же xxxdll.dll

[demkd 594]

Zoo оно и есть Zoo просто игнорировать/исключать по имени с предупреждением.

Этак совсем расслабит Нет, если уж кто-то добавляет в базу целые диски то пусть уже подумает и о последствиях. Отклоняется.

История подключений

Нет никаких историй.

Отклоняется.

Сам файл не будет удалён, а добавить в команду deltmp очистку можно.

Это дело пользователя.

Отклоняется.

[PR55.RP55 82]

1.Логотип - Волк.

Количество волков 3

По числу букв u V S

Почему Волк ???

Думаю - по причине его носа Sn...

2. В настройке "Фильтр времени"

Добавить информатор, по времени последней инсталлированной программы.

* Тем самым, можно быстро определить - когда была установлена последняя программа и настроить; отфильтровать данные используя эту информацию.

[demkd 594]

1.Логотип - Волк.

я еще не думал, пока некогда логотипами заниматься.

Добавить информатор, по времени последней инсталлированной программы.

Alt+U там можно сортировку сделать по времени, да и файлы достаточно сложно привязать к конкретной программе.

[PR55.RP55 82]

Alt+U там можно сортировку сделать по времени, да и файлы достаточно сложно привязать к конкретной программе.

Да, я это понимаю - и именно поэтому и предлагаю выводить информацию - "В окно настройки фильтра/времени".

Посмотрел дату установки последней программы и можно исходя из этого настроить фильтр.

А так, как сейчас нужно вначале: Alt+U выполнить - запомнить время - после чего зайти в "В окно настройки фильтра/времени"

и там настраивать.

А так, как предлагаю я ( см.фото ) вся информация будет в одном окне.

т.е открыл окно - увидел время и сразу настроил...

Это более удобно.

Собственно, я это имел в виду

-------------------------------------------

P.S. А логотип стоит сделать - Со значком у программы совсем иной вид.

Да и Волк идеально подходит - Он и охотник и сыщик и убийца - три в одном.

К тому же Сурьёзный и солидный товарищ.

[PR55.RP55 82]

1.Если, пути совпадают многократно - для системных подкаталогов

например:

C:\WINDOWS\SYSTEM32\PPPPPP\1324354365764879.EXE

C:\WINDOWS\SYSTEM32\PPPPPP\57658798709.EXE

C:\WINDOWS\SYSTEM32\PPPPPP\DGDSFJHGLHK;LKJ'LK';L.EXE

Где PPPPP* - Любой НЕизвестный подкаталог.

Файлы которого находятся в автозагрузке или запускались...

Автоматически добавлять ВСЕ файлы подкаталога - в "Подр и Вир."

1.1.Если в "Подозрительные и вирусы" попал файл каталога PPPPP* - то и все прочие файлы неизвестного подкаталога должны быть автоматически добавлены в "Подозрительные и вирусы".

Ограничить, число добавляемых файлов каталога количественно = 40.

2.При генерации образа - автоматически сохранять информацию:

Файл содержит значок ДА/НЕТ.

т.е. простое уведомление о наличии либо отсутствии значка.

2.1.Если, есть такая возможность - автоматически, или же по запросу определять параметры значка ( ширина//высота )