Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 82]

Вот зачем всё усложнять ?

Santy пишет: нет смысла строить какой-то гибрид с редактированием условия и одновременным доступом к значениям окна "инфо"

Зачем нужен одновременный доступ к значениям окна ?

Скопировали нужное значение > Вызвали окно редактирования критерия > Заполнили поле > Скрыли форму > Если есть необходимость снова вызвали

форму и внесли дополнительные настройки/данные.

Единственно, можно добавить в контекстные функции для строки "удовлетворяет условиям" вызов редактирования соответствующего составного условия, как это сделано в списке критериев

Оператор должен видеть всю картину в целом.

Не куски, а в целом - смысл весь именно в этом.

-----------------------------

Повторюсь:

" Только, я за единый критерий с возможностью его разбить так, чтобы его составные части/блоки взаимодействовали/работали совместно друг с другом.

Как СВЯЗКА/и _под одним именем_.

"Отработал один этап > тогда отрабатывает второй этап/блок...

"В данном случае Оператор задаёт необходимую последовательность решения.

"+

Блокировка одной функции другой. - Исключение из операции/действия.

Расстановка приоритетов действия. "

[santy 151]

Оператор должен видеть всю картину в целом.

Не куски, а в целом - смысл весь именно в этом.

RP55, нет в природе такого (единственного) окна, через которое можно все видеть и контролировать. Создавать новые критерии удобнее именно так, как сейчас реализовано. из окна инфо. (надежно и быстро). Редактировать критерии удобнее через список критериев и форму с полным раскладом на простые условия.

-----------------------------

[alamor 69]

santy вы путаете два разных предложения от ув. PR55.RP55. Одно из его предложений это чтобы был составной критерий, который можно было бы разбивать на блоки (заключать в логические скобки), второе это изменение способа редактирования критериев. Это два разных предложения и целесообразность их надо рассматривать в отдельности.

По поводу разбиения на блоки - это удобней чем, к примеру, будет десять отдельных независимых критериев, которые одиннадцатым будут объединяться в какую-то связку. Если в будущем надо будет его отредактировать, то сразу видно все подкритерии (сейчас это так и реализовано).

[santy 151]

alamor,

вторую часть предложения: единый критерий, блоки, связки и другое

я не готов обсуждать по той причине, что слишком большая неопределенность в терминах и определениях (извините за тафт.),

(а на уточняющий вопрос тебе выдают еще больше неопределенности.)

в таких случаях надо хотя бы в подстрочнике давать, какой смысл автор предложения вкладывает в слова единый, блоки, связки

насчет логических скобок.

тут не о чем спорить.

работать с полноценным логическим интерпретатором удобнее, если только это входит в планы разработчика. (выше, по поводу скобок уже говорилось )

потому вместо скобок я предложил использовать вызов отдельного критерия. (рекурсия, здесь не вполне будет точно.)

---------------------

[PR55.RP55 82]

Муху можно не заметить.

На то она и муха...

Однако Слона !

Возвращаясь к Слону.

http://www.anti-malware.ru/forum/index.php...st&p=170613

+

Фото ПОЯСНЕНИЕ.

P.S. В случае дальнейшего развития программы и возможности добавления данных анализа/разбора файла с отображением результата в инфо.

Таких как: "файл зашифрован < > файл упакован < > структура файла имеет... и т.д )

И настройки поискового/блокирующего/разрешающего АЛГОРИТМА сигнатура & критерий на ОСНОВЕ/ОСНОВАНИИ этой информации/данных.

Можно ИСКЛЮЧИТЬ ЛОЖНЫЕ СИГНАТУРНЫЕ ОПРЕДЕЛЕНИЯ С ВЕРОЯТНОСТЬЮ 99.8%.

ДЛЯ _ЛЮБОЙ_ АНТИВИРУСНОЙ ПРОГРАММЫ.

ЧТО ЭТО ЗНАЧИТ А - ?

что значит для ЛЮБОЙ антивирусной программы механизм исключающий ложные сигнатурные определения с вероятностью порядка 99.8%. ?

----------------------

Что касается крайнего предложения: "слова единый, блоки, связки"

Дальнейших пояснений НЕ будет.

КАЖДЫЙ может в теме высказаться - написать СВОИМИ словами, как он понимает данное предложение.

[PR55.RP55 82]

Разумеется, что последовательность проверки списка/процессов может быть изменена.

т.е. Сначала проверка по списку критериев и только после этого по базе/списку сигнатур или в обратном порядке.

[santy 151]

по расширению функциональности в окне "инфо".

добавить контекстные функции "переименовать сигнатуру", и "редактировать критерий".

соответственно вызываются формочки редактирования сигнатуры, и редактирования критерия. те, что вызываются в соответствующих списках.

[PR55.RP55 82]

PR55.RP55 пишет:

3) Добавить в известные.

Возможность работать не только с файлами.

см. фото. 222.

Demkd пишет: 3). а это может быть и стоит.

http://www.anti-malware.ru/forum/index.php...st&p=170490

Сколько уже версий выпущено с момента предложения ...

[demkd 590]

PR55.RP55

эта незначительная добавка тянет за собой изменение формата баз известных файл и неожиданно много придется переписать кода, потому пердложение отклоняется затраты времени на реализацию слишком велики.

[грум 0]

demkd возможно ли добавить в uVS скриптовую команду для восстановления реестра из бэкапа?

[demkd 590]

грум

добавлю

[Angel-iz-Ada 0]

demkd

а получится ли немного доработать\упростить пункт "Сделать полный образ автозапуска и перейти в режим работы с образом"?

иногда приходится работать с самой зараженной системой. делать образ, а потом просматривать его - хорошая идея, то слишком долгая это процедура.

хочется просто открыть программу, перейти в режим скрипта, повыбирать нужные задачи и сразу по окончании выполнить полученный скрипт. в таком режиме проверять цифровые подписи не надо. хочется быстроты. главное чтоб сработали поисковые критерии и сигнатуры (а они работают)

[demkd 590]

Angel-iz-Ada

без проверки эцп могу сделать отдельный пункт, это две строчки всего дабавить, но все равно мнгновенно не получится переключится пару тройку минут образ создается без эцп даже у меня с ssd и i7-2600k, мгновенно возможно но смысла не имеет потому что не будут считаны сигнатуры и посчитаны хэши, а без них грустно работать с образом.

[Angel-iz-Ada 0]

ну смотри - я запускаю uVS, выбираю считывать сигнатуры только для активных модулей - список появляется примерно через минуту, в нем я вижу около 2-3 файлов попавших под сигнатуру, жму проверить список - проходит еще минута и я вижу еще пару тройку файлов который под детект попали - вот с таким списком уже комфортно работать

проверялось на обычных компьютерах - 2-5 летней давности, там кор7 не пахнет.

[PR55.RP55 82]

Предложение от Angel-iz-Ada: "Сделать полный образ автозапуска и перейти в режим работы с образом" без проверки цифровых подписей"

В ряде случаев действительно будет актуально.

Особенно на родной системе/мах где 98% файлов должны пройти проверку по F4 - Sha1 базе.

Что даст значительную экономию по времени особенно на дохлых машинах.

Поддерживаю.

[santy 151]

Арвид, куда торопиться. вот без проверки цифровых подписей + переход в режим работы с образом будет значительно быстрее работать.

[Angel-iz-Ada 0]

+ переход?

ведь если туда жмешь, то создается новый образ и с проверкой подписей. нет?

а, все понял тебя, Саш. не увидел пост PR55.RP55.

[PR55.RP55 82]

Angel-iz-Ada

Это хорошо !

[PR55.RP55 82]

1) Предположим, что есть/будут вирусы блокирующие создание txt файлов.

Предлагаю принять превентивные меры и создавать/сохранять образ НЕ в .txt

Расширение задать подходящее.

2) Создание и Запуск ловушек под видом известных объектов, как системных так и программ.

Например: Mozilla.

Выбираем в меню и отдаём команду: "Запуск ловушки Mozilla firefox "

" Присвоить ловушке имя выбранного в меню объекта "

Параллельно пишется лог, что собственно происходит...

Создание комплексной ловушки - из группы типичных файлов/объектов.

3) Реализовать анализ структуры файлов автозапуска.

Хотя бы на минимальном уровне.*

* Есть же бесплатные программы, или у кого на полке готовый код лежит.

Думаю, что можно найти таких товарищей и договорится.

Это позволит эффективнее работать с критериями поиска.

Даст оператору более полное представление по объекту.

P.S. Если у кого есть чем поделится поговорите с Demkd

А то, все стесняются и стесняются поговорить.

[demkd 590]

PR55.RP55

1. блокировать txt никто не будет, поскольку это слишком заметно, а если и будет то блокировать другое расширение столь же легко.

2. смысла нет.

3. какой анализ?

[PR55.RP55 82]

1) Тоже верно...

Можно вообще без расширения !

Зачем оно это расширение нужно.

2) uVS - это мини вир.лаб.

Значит нужно.

Например запустили псевдо-файл Лису - Mozilla

С ИМИТАЦИЕЙ её работы.

И смотрим/пишем, что будет.

3) Анализ Структуры файла.

На примере: Запустили Dr.Web сканер выбрали, файл, что он проверяет ?

Вот часть аналогичных данных добавлять/сохранять в инфо.

[PR55.RP55 82]

3) Пример.

Павел Румянцев

http://www.techdays.ru/videos/6712.html

Исследование файлов без дизассемблера и отладчика

Доклад состоит из следующих составных частей:

1. Структурный анализ файла (составные части файла, метаданные файла);

2. Контентный анализ файла (разбор каждой из составных частей файла);

3. Способы осуществления воздействия на файл (упаковка, внедрение кода в файл и т. п.) и следы в файле, оставляемые при воздействии на файл;

4. Признаки, позволяющие выявить факт произведенного на файл воздействия (например, «странные» имена секций и т. п.);

5. Методы выявления произведенного на файл воздействия (аналитические и визуальные)

ПРИМЕРНО об этом речь.

[demkd 590]

PR55.RP55

что-то я сильно сомневаюсь что это хоть что-то даст полезное

[PR55.RP55 82]

Demkd

Нужно пробовать - смотреть.

Не всё брать - брать выборочно.

Оценить весь возможный спектр получаемой информации.

Выбрать...

Как это можно обыграть при формировании критерия поиска.

Что добавить/лять в Инфо.

Возможно для uVS анализировать не все файлы списка - анализировать выборочно ( при условии, что объект *** )

Думаю, что + эффект должен от этого быть.

Представить информацию в привычной/удобной для оператора форме.

Отображать не всё подряд - отображать данные выборочно - то, что реально имеет значение.

P.S.

Может у кого будут мысли & идеи по этому вопросу ?

Предлагайте !

[alamor 69]

По этому вопросу, думаю абсолютно бесполезная затея. Сильно увеличится размер образа, а полезной информации для нахождения в образе зловредов не добавится. Хочется исследовать файл - забирайте в карантин и ковыряйтесь сколько угодно. Для этого есть специализированные утилиты. Лучше бы доработали тот функционал, что уже есть, чтобы снизить необходимость использования других утилит. Я опять на msconfig намекаю.