Новые функции в Universal Virus Sniffer (uVS)

[demkd 590]

santy

скачать файл не выйдет, id у него п.н. будет левый

а замена тут надо какой-то универсальный механизм придумать.

[JunDF 5]

1. А если обнаружен зловредный днс , то можно через скрипт его убрать или заменить на гугловский?

2. И если зловредный днс в роутере, то будет ли он отображён в логе?

[demkd 590]

JunDF

1. можно установить любой dns статикой для нужного подключения скриптовой командой, что и следует всегда делать от этого будет только лучше в любом случае, поскольку dns-ы провайдеров обычно просто никакие

2. если dns прописан в роутере для отдачи через dhcp то его будет видно если роутер отдает свой ip в качестве dns то и будет виден ip роутера, тут опять же стоит для профилактики установить статический dns.

[santy 151]

demkd,

santy

скачать файл не выйдет, id у него п.н. будет левый

а замена тут надо какой-то универсальный механизм придумать.

а если через функцию ВОССТАНОВИТЬ отсутствующие файлы из хранилища?

из под live.cd конечно не будет проблемы: и файл зараженный можно удалить, и STORE добавлен на диск.

а для работы с активной системой, мы обычно STORE не распространяем. rpcss.dll из активной системы дает себя переименовать, затем уже на "пустое место" можно скопировать чистый файл из STORE. Но здесь uVS должен выбрать подходящий файл из библиотеки.

JunDF

2. если dns прописан в роутере для отдачи через dhcp то его будет видно если роутер отдает свой ip в качестве dns то и будет виден ip роутера, тут опять же стоит для профилактики установить статический dns.

да, это надо потестировать.

[PR55.RP55 82]

Demkd пишет: Cкачать файл не выйдет, id у него п.н. будет левый

1 ) Создать: список/базу-справочник ID

Алгоритм: Нужно заменить/восстановить файл - открываем ID справочник > выбираем > применяем.

( Справочник доступен из контекстного меню ( по имени файла ) )

DATACLEN.DLL

File_Id 4803819611000

Тип файла 32-х битный

Размер 54272 байт

Версия файла 6.00.2900.5512 (xpsp.080413-2105)

Описание: Очистка диска для Windows

* Выбирается наиболее подходящий файл - исходя из полученных данных.

2 ) В меню добавить: "Работа с образом завершена" _ "Работа с образом завершена - удалить образ" _ Работа с образом завершена переместить образ в базу образов + 1 < > 9 " ( где число + 1 < > 9 номер каталога )

* По применению: "Работа с образом завершена" - данные образа выгружаются - до состояния чистого списка - uVS ожидает загрузки нового образа.

[demkd 590]

santy

через store можно

PR55.RP55

1. а кто будет вести этот справочник? да и совместимость dll для разных sp под большим вопросом.

2. не вижу смысла

[demkd 590]

Вообще конечно я могу сделать скриптовую команду для восстановления системного файла с параметрами путь\имя id

а вот нужно ли оно и где будете брать id чистых файлов подумайте, на мой взгляд отдать со скриптом нужный файл гораздо проще и надежней.

[santy 151]

santy

через store можно

архив с STORE вместо 2 Мб(без STORE) будет уже 30. проблема, скорее всего в спешке, когда выдается по ссылке файл не в той разрядности, или версии. видимо лучше отдельный файл выдавать по ссылке.

[PR55.RP55 82]

Demkd пишет: а кто будет вести этот справочник?

Как кто !

Ограничиться на данный момент справочником для: rpcss.dll

Santy пишет: архив с STORE вместо 2 Мб(без STORE) будет уже 30

Тоже самое: ограничиться STORE для rpcss.dll

да и совместимость dll ...

А кто отменял работу с: Sys ; EXE ?

[PR55.RP55 82]

1) Меню Файл.

" Переместить открытый образ в каталог... "

* Соответственно файл перемещается, а данные образа выгружаются - до состояния чистого списка - uVS ожидает загрузки нового образа.

2) В плане безопасности.

Перед открытием/распаковкой образа проверять содержимое архива с выводом уведомления/предупреждения.

Уведомление по типу:

" Архив содержит исполняемый объект "

" Архив содержит более одного файла - образа "

" Архив содержит дополнительные txt файлы "

3) По параметрам/настройке встроенного брандмауэра Windows.

В инфо. по сети выводить данные: работает ли брандмауэр, что заданно в ИсключенияХ.

[PR55.RP55 82]

http://forum.esetnod32.ru/messages/forum6/...0/#message70640

Может наведёт на полезные мысли.

На альтернативные варианты удаления/очистки.

[santy 151]

demkd,

предлагаю добавить список белых критериев.

для автоматического отсева ложных статусов ?ВИРУС? и ложных детектов по сигнатурам.

при условии, что объект с данным статусом (?ВИРУС?, sign_name) удовлетворяет одному из условий белого списка.

проверка по белым критериям запускается вручную из контекстного меню (и по горячей клавише), например:

проверить все подозрительные и вирусы по белым критериям.

объекты со статусом ?ВИРУС? при срабатывании белого критерия получают статус ПРОВЕРЕННЫЙ и уходят из списка подозрительных.

по умолчанию, приоритет сигнатур выше детекта белого критерия, но можно добавить в settings.ini параметр, который устанавливает приоритет белого критерия над сигнатурным детектом. объект при этом из списка подозрительных не уходит (поскольку висит на нем детект сигнатуры),

но

в этом случае в скрипт автоматически добавлять команду hide file

критерии формируются аналогично поисковым критериям в окне ИНФО.

-------------

пример белого критерия:

(ПОЛНОЕ ИМЯ ~ \WEBMONEY.EXE)(1) AND (ЦИФР. ПОДПИСЬ ~ ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО CJSC COMPUTING FORCES)(1) AND (ПРОИЗВОДИТЕЛЬ ~ CJSC "COMPUTING FORCES")(1) AND (ОРИГИНАЛЬНОЕ ИМЯ ~ WEBMONEY.EXE)(1)

проверку по белым критериям рекомендуется проводить перед запуском автоскрипта.

соответственно (при удачных и продуманных белых критериях), должно положительно влиять на время составления скрипта.

видимо удобнее будет хранить белые критерии в отдельном (от snms) файле.

[alamor 69]

santy, если вам нужны "белые" критерии для того чтобы исключить фолсы со срабатыванием "вирусного" критерия, то почему бы не приписать исключения прямо в "вирусном" критерии?

[santy 151]

alamor,

santy, если вам нужны "белые" критерии для того чтобы исключить фолсы со срабатыванием "вирусного" критерия, то почему бы не приписать исключения прямо в "вирусном" критерии?

не только фолсы вирусных критериев, но и фолсы сигнатур.

более точные критерии можно писать по известным вариантам троянов, но они не охватят максимально поток возможных вариантов запуска, потому приходится добавлять общие (приближенные) критерии, которые с большей вероятностью отфильтруют неизвестные варианты в подозрительные. Но при этом попадают и чистые объекты в силу приближенности общих критериев.

в белые критерии будут добавляться максимально точные правила. потому, часть списка подозрительных со статусом ?ВИРУС? и ложным sign- детектом отфильтруется автоматически. (после выполнения данной функции). Сейчас это приходится делать руками: через shift+space и через статус hide.

---------

т.е. более точное решение (детект) стремимся получить не за один шаг, а в несколько итераций (последовательным приближением): вначале получаем максимальную выборку подозрительных вариантов.... затем в этом списке убираем (автоматически), то что попало в него случайно (за компании с другими подозрительными.). это можно делать вручную, конечно, но можно и автоматизировать подобным образом отсев.

[PR55.RP55 82]

Как оказалось я уже предлагал год назад: http://www.anti-malware.ru/forum/index.php...st&p=163277

Но не читают, не читают предложений от RP55.

Вот я бы их все перечитал !

И это: http://www.anti-malware.ru/forum/index.php...st&p=163772

4) Позитивный критерий поиска.

т.е. В данном случае файл/объект будет скрываться из списка.

Пример:

=

GO.MICROSOFT.COM/FWLINK/?LINKID=54896

GO.MICROSOFT.COM/FWLINK/?LINKID=69157

WWW.MICROSOFT.COM/ISAPI/REDIR.DLL?PRD=IE&AR=IESEARCH

или

\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS

Действительна, подписано Duplex Secure Ltd

HKLM\System\CurrentControlSet\Services\sptd\ImagePath

\SystemRoot\System32\Drivers\sptd.sys

Аналогично, можно настроить и для ряда системных файлов.

В данном случае файл будет не просто известным, он ещё и будет соответствовать целому ряду надёжных критериев.

+

Фото.

[santy 151]

RP55, в данном случае белый список будет работать не только на автоматический отсев из категории подозрительные, но и на автоматическое формирование скрипта. ЛИчно для меня приоритетна автоматизация создания скрипта, а не просто голый отсев безопасных файлов.

то, что предлагает alamor (добавить исключения в общие критерии) с одной стороны усложнит конструкцию критерия, с другой стороны замедлит проверку, поскольку предполагается автоматическая проверка и по основному (вирусному) критерию, и в случае его выполнения - проверка по исключениям, и в третьих, создаст избыточность исключений, поскольку при наличии нескольких общих критериев надо будет в каждый из них прописывать одни и те же исключения.

========

вопрос в том: каким образом лучше хранить белые критерии: либо в отдельном файле (по аналогии с snms), либо в общем списке критериев с меткой :белый, позитивный , пушистый, еще какой-нибудь.

[PR55.RP55 82]

Всё таки рекомендую перечитать предложения.

А Автоскрипт это новая функция.

Соответственно следует рассматривать ранние высказанные предложения с учётом того, что была реализована функция автоскрипта.

----

По предложению от alamorа - это к нему доп.вопросы.

[santy 151]

RP55, если они соответствуют концепции автоскрипта, то можно их и переформулировать. Чем проще - тем лучше. Лучше для понимания, для программирования, для контроля ошибок.

[alamor 69]

1) Поисковый Критерий

Настройка глубины поиска в зависимости от: \

\

\\

\\\

\\\\

т.е. задаём число Леших.

\WINDOWS

\WINDOWS\system32

\WINDOWS\system32\drivers

\WINDOWS\system32\drivers\

Думаю, иногда было бы полезно указать, чтобы критерий действовал только для определённой папки без проверки на подпапки. Только проверять, конечно, не слешами, а устанавливать какой-то флаг с рекурсией или без. А также чтобы можно было использовать макросы для указаний пути к системной папке, к папке пользователя и т.д.

Думаю иногда было бы полезно указать, чтобы критерий действовал только для определённой папки без проверки на подпапки. Только проверять конечно не слешами, а устанавливать какой-то флаг с рекурсией или без. А также чтобы можно было использовать макросы для указаний пути к системной папке, к папке пользователя и т.д.

[PR55.RP55 82]

Это так - для размышления.

[demkd 590]

могу просто сделать зависмость от имени критерия,

скажем если имя критерия начинается на + то результатом попадания объекта под критерий будет присваивание статуса проверенного файла,

на мой взгляд идея не слишком хорошая, вряд ли будет это востребовано.

[PR55.RP55 82]

могу просто сделать зависмость от имени критерия,

скажем если имя критерия начинается на + то результатом попадания объекта под критерий будет присваивание статуса проверенного файла,

на мой взгляд идея не слишком хорошая, вряд ли будет это востребовано.

В таком варианте мне это тоже НЕ нравиться.

------

Что касается: "Белого критерия"

Настройка - формирование критерия должны происходить так, как это происходит сейчас.

Только файлы попавшие под определение "белого критерия" в отличие от "Чёрного критерия" должны получить статус ?Проверен? и по соответствующей настройке в settings.ini автоматически скрываться.

+ Доп команда: "Скрыть все файлы со статусом ?Проверен?

+

Возможность задействовать в процессе работы механизм автоматизации = автоскрипт.

Вот это ВАЖНО !

------

Если есть вопросы - сомнения это нужно обсуждать !

А так непонятно, как рассматривается данный вопрос.

[demkd 590]

PR55.RP55

если нет доверия собственно ручно сделанному критерию то зачем вообще огород городить?

[PR55.RP55 82]

Demkd пишет: если нет доверия собственно ручно сделанному критерию то зачем вообще огород городить?

Доверяй - но проверяй !

Дело не в доверии - дело в проверке работоспособности критерия.

Как это лучше оценить ?

Создал/настроил > Посмотрел на результат > Скрыл.

Должен же быть контроль.

-----

Можно создавать надёжные "белые критерии" что значительно ускорит обработку.

[santy 151]

могу просто сделать зависмость от имени критерия,

скажем если имя критерия начинается на + то результатом попадания объекта под критерий будет присваивание статуса проверенного файла,

на мой взгляд идея не слишком хорошая, вряд ли будет это востребовано.

имхо, не очень хорошо, смешать белые и поисковые критерии в один файл, поскольку назначение их прямо противоположное. хотя и механизм создания одинаков будет.

опять же, придется подправлять алгоритм фильтрации: в одном случае пропускать белые, в другом наоборот серые записи.

возможно, белые списки нужны не столько чтобы отменять статус ?ВИРУС? сколько через hide автоматически обходить ложное срабатывание.

но на свой страх и риск через добавлении соотвествующего параметра в settings.

поскольку детект сигнатур имеет самый высокий приоритет. и это правильно.

чистый webmoney.exe довольно часто попадает под сигнатуру, наверняка еще есть некоторые чистые файлы, которые попадают под детект.

и жаль бывает удалить полезную и рабочую сигнатуру.

если проверка по белым спискам будет удачной, можно будет включить ее в автоскрипт.

отсканировать список подозрительные и вирусы по белым исключениям, подправить статусы, добавить нужные хиды, а затем уже формировать команды на удаление файлов, записей реестра, унинсталы и проч.....

------------

по сути - белые списки - это критерии исключений из проверки.