Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 82]

alamor

Речь идёт именно о полезном сегменте/части данных.

Не о том, чтобы всё подряд пихать в инфо...

Кроме того !

Не всё сводиться к работе с образами - есть и реальная система.

Как было сказано, есть возможность ограничить список тех файлов по которым будет собираться дополнительная информация.

Возможно это будут основные системные файлы или только для: "файл + процесс" или для объектов с сетевой активность.

К значительному увеличению веса образа это не приведёт и в тоже время позволит получить ценные данные.

ЦЕННЫЕ как для оператора - так и для/при формировании поисковых критериев.

Структура файла может содержать повторяющиеся/характерные объекту элементы.

Вспомним, что есть вирусы где время/дата создания/изменения файла повторяется - вроде мелочь ?

Однако, если данные ПОСТОЯННЫЕ то для формирования критерия это отличное условие !

Кроме того для чего нужно/необходимо тестирование uVS ?

Реализовать - посмотреть - проверить - сравнить результат/результативность...

Сделать вывод...

На основании результата - вывода принять решение нужна данная функция, или нет !

Не отрицать не отказываться огульно.

[alamor 69]

PR55.RP55 можете указать, что конкретно ценного добавится ? Большинство файлов, чем-то упакованы и всё что вы увидите это каким пакером они сжаты. Вы будете по пакеру выносить вердикт ? uVS же не знает, какие именно файлы вас потом заинтересуют и в итоге увеличивается время создание лога, а также размер лога. Если есть прямой доступ к системе, то берите PEiD и вперёд.

[demkd 590]

alamor

отклоняется, смысла я таки не вижу.

alamor

то что выброшено из автозапуска лишь дует образ, если оно запускалось или еще где-то есть в автозапуске оно и так попадет в образ, если нет то оно и не нужно, соотв. опять же отклоняется.

Бесполезный функционал я не добавляю, а если иногда и добавляю то только по теме проекта и за отдельную плату, время имеет свою цену, поскольку это сильно ограниченый ресурс.

[alamor 69]

1) На размер образа добавление анализа нескольких ключей реестра практически не повлияют.

2) Если uVS его и увидит, то всё равно не почистит за ним ссылки в этих ключах.

3) Это относится к функционалу программы, всё тут согласились, что после uVS приходится подчищать в другой программе.

[santy 151]

alamor,

>>>>всё тут согласились, что после uVS приходится подчищать в другой программе.

согласились вот с чем.

-------------

при работе с uVS практически нет необходимости в дополнительных логах hj, rsit (и во многих случаях в avz (кроме скрипта закрытия уязвимостей)).

дополнительные средства очистки - это уже пошли сканеры малваребайт или adwcleaner (специализированная утилитка по очистке toolbar и проч. нежелательных программ.)

[alamor 69]

Насчёт RSIT тут где-то писали, что его как раз используют для того чтобы потом по нему удалять эти ключи.

Да даже если на форуме PCHelp поискать можно найти:

http://pchelpforum.ru/f26/t19156/2/

http://pchelpforum.ru/f26/t110435/3/

http://pchelpforum.ru/f26/t110435/3/

http://pchelpforum.ru/f26/t46006/2/

Вот этот пост интересен

хм, а это откуда

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\15906189]

cmd.exe /c copy C:\Temp\15904114FdOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /f []

добавьте еще образ автозапуска

а в новом образе это снова не видно

[Angel-iz-Ada 0]

очень старые темы вы показали для примера. и uVS тогда действительно не все видел. сейчас ситуация иная.

[alamor 69]

Angel-iz-Ada ситуация в отношение этих ключей не изменилась (можете проверить сами), а новых тем с этими ключами нет, так как вы полностью перешли на uVS который их не видит.

[Angel-iz-Ada 0]

покажите тему с подобной проблемой которая не решилась с помощью uVS

[Vvvyg 12]

Одна вещь, которой не хватает в uVS, приходится запрашивать лог MiniToolbox: показ DNS-серверов, выданных по DHCP. Думаю, не так сложно реализовать.

[santy 151]

Насчёт RSIT тут где-то писали, что его как раз используют для того чтобы потом по нему удалять эти ключи.

alamor, а вы какое отношение имеете к форуму pchelpforum? просто мониторить темы.

по ссылке - это просто ступор, т.е. запись исключена из автозапуска, потому нет ее в образе.

[alamor 69]

Вот этот пост интересен

Angel-iz-Ada вы можете запросто воспроизвести ситуацию у себя и убедиться, что uVS до сих слеп в этом отношение и не чистит эти ключи.

[santy 151]

Angel-iz-Ada вы можете запросто воспроизвести ситуацию у себя и убедиться, что uVS до сих слеп в этом отношение и не чистит эти ключи.

как раз малоинтересна, потому что запись исключена из автозапуска.

[Angel-iz-Ada 0]

а какая опасность от этой записи?

1. зараженного hosts в темпе нет - то есть оригинал заменять нечем.

2. юзер не идиот чтоб залезть в msconfig и включить хз что за программу.

уже поднимался вопрос о отображении в логе uVS отключенных записей msconfig

[demkd 590]

Vvvyg

это да, надо бы сделать, бывает подмена dns произведена на роутере.

а пока можно просто запрашивать скриптом ipconfig /all

[alamor 69]

santy, Angel-iz-Ada тогда почему вы раньше их вычищали ?

http://pchelpforum.ru/f26/t32606/#post266700

http://pchelpforum.ru/f26/t46006/2/#post384247

http://pchelpforum.ru/f26/t19156/2/#post149808

http://pchelpforum.ru/f26/t50665/#post420862

Теперь похоже считаете, что если проблемы не видно её нет .

P.S. а если на вашем компьютере будет такая строчка, тоже её ставите со словами из темпа ведь почистили, а тут не мешает.

По сабжу:

Возможность добавлять для файла hosts составные критерии.

[demkd 590]

Возможность добавлять для файла hosts составные критерии.

Это обычный критерий почему бы его не отредактировать?

[santy 151]

alamor,

>>>santy, Angel-iz-Ada тогда почему вы раньше их вычищали ?

мы на PCHF с 2011 г, по тем ссылкам, что приведены, uVS еще не использовался на форуме. в настоящее время RSIT входит в чисто необязательных логов для пользователя. обязательны только uVS и(или) AVZ, остальные по мере необходимости.

[Angel-iz-Ada 0]

alamor

может вы еще темы за прошлый век покажите?

[santy 151]

Это обычный критерий почему бы его не отредактировать?

demkd,

да, это работает

пример из лога:

Host detected: 66.85.174.29 my.mail.ru

[HOSTS.OK] (↓HOST↓ ~ ODNOKLASSNIKI.RU)(0) OR (↓HOST↓ ~ OK.RU)(0) OR (↓HOST↓ ~ VK.COM)(0) OR (↓HOST↓ ~ MAIL.RU)(1)

Host detected: 66.85.174.29 ok.ru

[HOSTS.OK] (↓HOST↓ ~ ODNOKLASSNIKI.RU)(0) OR (↓HOST↓ ~ OK.RU)(1) OR (↓HOST↓ ~ VK.COM)(0) OR (↓HOST↓ ~ MAIL.RU)(0)

+

тело автоскрипта

;uVS v3.80.10 [http://dsrt.dyndns.org]

;Target OS: NTv5.1

OFFSGNSAVE

;------------------------autoscript---------------------------

chklst

delvir

delref HTTP://WWW.APEHA.RU

delhst 66.85.174.29 my.mail.ru

delhst 66.85.174.29 m.my.mail.ru

delhst 66.85.174.29 vk.com

delhst 66.85.174.29 vk.com

delhst 66.85.174.29 ok.ru

delhst 66.85.174.29 ok.ru

delhst 66.85.174.29 m.vk.com

delhst 66.85.174.29 odnoklassniki.ru

delhst 66.85.174.29 www.odnoklassniki.ru

delhst 66.85.174.29 www.odnoklassniki.ru

delhst 66.85.174.29 m.odnoklassniki.ru

delhst 66.85.174.29 m.ok.ru

; Java 6 Update 37

exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216035FF} /quiet

deltmp

delnfr

;-------------------------------------------------------------

restart

[alamor 69]

demkd вручную редактировать критерий ? Через GUI всё-таки удобней было бы.

по тем ссылкам, что приведены, uVS еще не использовался на форуме. в настоящее время RSIT входит в чисто необязательных логов для пользователя.

По этой причине ссылки на свежие темы с pchelp нету, вы просто не замечаете, что у юзера там есть подобные вирусные записи.

[santy 151]

По этой причине ссылки на свежие темы с pchelp нету, вы просто не замечаете, что у юзера там есть подобные вирусные записи.

alamor,

нам лучше судить о проблемах юзеров на pchf, поскольку мы там хелперы. и на этом точка.

Через GUI всё-таки удобней было бы.

составной критерий по hosts и сделан через GUI. а не в текстовом редакторе.

[Angel-iz-Ada 0]

alamor

По этой причине ссылки на свежие темы с pchelp нету, вы просто не замечаете, что у юзера там есть подобные вирусные записи.

что за глупости вы пишите?

http://pchelpforum.ru/f26/t122054/ - здесь не помогло?

или можешь здесь - http://pchelpforum.ru/f26/t122813/

а может тут? http://pchelpforum.ru/f26/t122944/

а отсюда можете образ скачать чтоб посмотреть что такое /C - http://forum.esetnod32.ru/forum6/topic9457/

Полное имя /C

Имя файла /C

Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям

COPY (ЗНАЧЕНИЕ ~ CMD.EX)(1)

Сохраненная информация на момент создания образа

Статус в автозапуске

Ссылки на объект

Ссылка C:\WINDOWS\TASKS\AT1.JOB

Значение "cmd.exe" "/c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Users\8523~1\AppData\Local\Temp\7505218aq C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts"

Ссылка C:\WINDOWS\SYSTEM32\TASKS\AT1

[alamor 69]

santy я про это

как видно по скрину критерий на эту строчку уже есть, но из этого окна добавить ещё одно условие к нему нельзя.

Angel-iz-Ada лучше ответьте на вопрос

а если на вашем компьютере будет такая строчка, тоже её ставите со словами из темпа ведь почистили, а тут не мешает.

[Angel-iz-Ada 0]

вы знаете сколько ненужного мусора в реестре? каждую запись чистить запаритесь.

и та запись от msconfig именно к мусору и относится. они ничем не вредна, но и пользы нет.

ведь uVS это не CCleaner чтоб чистить весь (!!!) мусор в системе