Новые функции в Universal Virus Sniffer (uVS)

[santy 151]

в один список может быть и норм.,

но тогда лучше добавить категории критериев: поисковые, исключения, uninstall-ы..... может со временем еще какие-то будут нужны для фильтрации.

не привязывать конечно, к имени критерия.

и алгоритмы обработки не будут зависеть от имени критерия.

[PR55.RP55 82]

Santy пишет: лучше добавить категории критериев: поисковые, исключения, uninstall-ы...

Согласен.

+ Обеспечить взаимозависимость критериев в КАТЕГОРИЯХ.

К примеру есть файл Х от программы A - но в категории Установка- Удаление- uninstall нет данных, что программа установлена.

Получается, что файл "болтается" сам по себе, как хвост, например от антивируса.

* Белые списки/критерии нужны - Это и своего рода замена или дополнение базы SHA1.

В том случае когда в инфо. есть данные по цифр подписи + директории + имя.

Невозможно собрать/проверить все SHA1 однако появляется возможность принципиально решить задачу.

----

Что касается хранения данных: "Чёрные списки" " Белые списки " " uninstall "

Действительно лучше сохранять данные/информацию в один файл разбить/разметить и записывать критерии по Категориям.

И не создавать сотни файлов/баз, как сделали в одном известном антивирусе.

[santy 151]

+ Обеспечить взаимозависимость критериев в КАТЕГОРИЯХ.

К примеру есть файл Х от программы A - но в категории Установка- Удаление- uninstall нет данных, что программа установлена.

Получается, что файл "болтается" сам по себе, как хвост, например от антивируса.

RP55, это лишнее, поскольку просто удаление записи из списка uninstaller не влияет на работу программы. Я и сам иногда прибегаю к такому приему, чтобы не светились в списке установленных нужные мне для работы программы.

[PR55.RP55 82]

RP55, это лишнее, поскольку просто удаление записи из списка uninstaller не влияет на работу программы. Я и сам иногда прибегаю к такому приему, чтобы не светились в списке установленных нужные мне для работы программы.

Но..

Ведь кому лишнее, кому и нет ?

Главное, что появляется такая возможность !

т.е. настройка поиска становится более гибкой.

Вероятно появятся и другие варианты/подходы.

----

Или наоборот: Запись в uninstaller есть... Но нет рабочих файлов.

Просто очерёдность/порядок проверки.

[santy 151]

Но..

Ведь кому лишнее, кому и нет ?

Главное, что появляется такая возможность !

может это и будет полезным в рамках какой-то идеи, типа мастера поиска и устранения (или создания) проблем ,

[PR55.RP55 82]

может это и будет полезным в рамках какой-то идеи, типа мастера поиска и устранения (или создания) проблем ,

Эх...

А так праздника хотелось.

Например автоматическое удаление при/если/отсутствует объект Х.

----

И всё таки должна быть взаимодействие между категориями.

+

Этапы проверки: 1) Белый критерии > 2) Чёрные критерии.

т.е. приоритет у Белых критериев ( речь не идёт о сигнатуре, а именно о приоритете в критериях )

[santy 151]

И всё таки должна быть взаимодействие между категориями.

+

Этапы проверки: 1) Белый критерии > 2) Чёрные критерии.

т.е. приоритет у Белых критериев ( речь не идёт о сигнатуре, а именно о приоритете в критериях )

лично я не вижу как в рамках модели того что есть сейчас реализовать то, что ты предлагаешь: взаимодействие между категориями. А не решив проблему - размышлять и фантазировать над вытекающей темой... у меня нет такой привычки...

проверка по белым имеет смысл только над подозрительными и вирусами (которые создаются благодаря внутренним алгоритмам, сигнатурам и поисковыми вирусными.) и только перед выполнением автоскрипта в той редакции что сейчас есть.

-------------

а в будущем, хотелось бы чтобы функция автоскрипта полностью формировала скрипт по четким правилам и настройкам.

addsgn&zoo&bl &

adddir

hide

chklst&delvir

delall/delref/del

....

unistall

czoo

restart

[PR55.RP55 82]

Как обеспечить взаимодействие между категориями - действительно на данный момент нет решения.

Но над этим нужно работать.

И Да Лучше сначала выявить все Вирусы < > ?Вирусы? потом отфильтровать результат по SHA1 + "Белые списки/исключения"

[PR55.RP55 82]

1) В инфо. добавить запись:

Sig Поддерживается.

Sig НЕ поддерживается.

* Просмотрев инфо. файла...

Оператор увидит, что добавление сигнатуры НЕ поддерживается, значит и не будет пробовать/пытаться её добавлять.

Это даст экономию по времени. ( пусть и незначительную однако... )

* Информацию размещать в верхней части списка, чтобы её было хорошо видно.

+

Информация применима при формировании критерия так, как отражает важное свойство объекта.

И позволит более гибко настроить критерий поиска.

см.пример на фото.

[santy 151]

demkd,

плюс проверки по белому списку еще в том, что один цикл проверки можно потратить на увеличение длины активной части сигнатуры, в случае попадания объекта со статусом sign_name под белый критерий,

а во втором цикле уже автоматически добавлять hide если детект по прежнему имеет место быть.

[PR55.RP55 82]

1) ;uVS v3.81.1 [http://dsrt.dyndns.org]

;Target OS: NTv6.1

zoo %SystemDrive%\USERS\DEN\DOCUMENTS\ITERRA\CVWFICN.DLL

bl 312D99CB54686F8C06215ABC820C59C6 47104

addsgn A7679BCC06E < > C4207A21F7C720F8DD8C 64 ITERRA.DLL.Vir

zoo %SystemDrive%\USERS\DEN\APPDATA\ROAMING\ZFYOYN.EXE

bl 393B4C117E15FBCFE56F560A8E6A3F0C 1188864

addsgn 1A5F749A5583 < > C226A6B6FDBB4C06AB77 8 Dorkbot.B.exe.Vir

zoo %SystemDrive%\USERS\DEN\APPDATA\LOCAL\YANDEX\UPDATER\YUPDATE-EXECUTOR.EXE

bl 594CB699E78B4ADF1052CFA89489315E 790528

addsgn 1A06819A5583 < > BAC8596A65C7D73C6371 8 YandexUP

-----------------

Что, если в скрипт писать не всю сигнатуру, а её части.

т.е. Начало и Концовку - которые будут работать в качестве маркеров.

Для чего её писать полностью ?

Длинна сигнатуры указанна.

Возможность корректировки сохраняется - можно проверить список и скорректировать результат.

Пример: На работе есть Иван Иванович Скалка.

Вам говорят позовите Скалка !

Ведь понятно о ком идёт речь ?

При том, что вам дали только часть данных - часть ФИО.

т.е. для поиска Нужно знать, что ДА есть на работе человек Иван Иванович Скалка.

И получить на него поисковые данные = запрос.

2) По критерию поиска.

Преимущественно речь идёт о белом критерии.

Пример:

Имя Файла : SPTD.SYS

Как мы знаем SPTD.SYS регулярно встречается при анализе образов/систем.

Итак: сочетание имени файла; цифровой подписи + ? Сигнатуры.

В данном примере сигнатура является динамической частью критерия.

ИЛИ/или/ИЛИ/или.

Что это даёт ?

В критерии сочетаются, как внешние атрибуты - это имя объекта; директория и т.д.

Так и ... Цифровая подпись + Сигнатура.

Что в своём сочетании даёт стойкий критерий.

Критерий определение/работа которого направленна на исключение объекта.

см. фото пример.

3) Контекстное меню файла.

" Переместить объект в верх списка "

Угрозы/объекты могут быть разбросаны по списку хаотично.

Оператор может их собрать/объединить в компактную группу.

Что удобно и позволяет детально изучить/проанализировать структуру заражения т.е. где какой объект находится, какую функцию он выполняет.

+

Команда меню:

" Фиксировать положение объектов списка "

т.е. скомпоновали объекты списка...

Применили команду и uVS вносит в данные образа доп. информацию.

Закрываем образ !

Открываем его и видим тот порядок отображения который мы ранее скомпоновали !

Что удобно при повторном написании/исправлении/дополнении ранее созданного скрипта.

Даёт преимущество при повторном анализе заражения - сравнении тем/образов.

И экономит время оператора.

4) Здесь представлены 110 программ от microsoft

Вероятно что - то из представленного может быть добавлено в базу проверенных SHA1.

softportal.com/devsoft-30-1.html

[santy 151]

addsgn A7679BCC06E < > C4207A21F7C720F8DD8C 64 ITERRA.DLL.Vir

-----------------

Что, если в скрипт писать не всю сигнатуру, а её части.

т.е. Начало и Концовку - которые будут работать в качестве маркеров.

Для чего её писать полностью ?

1. каким образом импортировать сигнатуру из такого скрипта в свою базу?

2. каким образом на стороне юзера UVS (когда скопируется скрипт из буфера обмена) восстановит полностью рабочую сигнатуру для проверки списка?

или опять ноу=хау, выполнить поиск по осколкам сигнатуры?

[PR55.RP55 82]

Santy

Вот взял и на самом взлёте ...

Значит обрезание сигнатуры отменяется !

[santy 151]

Пример: На работе есть Иван Иванович Скалка.

Вам говорят позовите Скалка !

Ведь понятно о ком идёт речь ?

- дак, господин городовой, у нас все Скалки... семейный подряд

ну, который Иваныч, тогда....

дык, все здесь Иванычи, господин постовой!

ну, этого, кучерявого, который....

-дак, все они кучерявые, господин дорогой!

ну, тогда любого зови, всыпим десяток горячих за вчерашний пьяный дебош в кабаке

а, тот, который там был на самом деле, будет знать, что ему это с рук не сошло.

RP55, это иллюстрация на тему "поймать кого попало и наказать как следует"

[PR55.RP55 82]

1) Как сейчас выполняется скрипт ?

Построение списка системных модулей и драйверов > Проверка списка > = Конец исполнения скрипта = *

Предлагаю выполнять скрипт так:

Построение списка системных модулей и драйверов > Проверка списка > Обновление списка > Проверка списка > = Конец исполнения скрипта = *

* ( В прощёном виде )

т.е. перед применением Sig обновлять список.

Почему я это предлагаю ?

Когда скрипт содержит значительное число РАЗЛИЧНЫХ команд - то к моменту применения Sig ситуация может измениться.

На слабых PC выполнение ВСЕХ команд может значительно затянуться по времени.

В том случае когда речь идёт о комплексной & взаимосвязанной системной угрозе - когда один объект контролирует работу другого выполнение скрипта

может быть НЕ эффективно.

В связи с чем считаю, что в процессе выполнения скрипта - НА ЭТАПЕ ПРОВЕРКИ ПО Sig - необходимо Обновлять Список.

[santy 151]

Почему я это предлагаю ?

Когда скрипт содержит значительное число РАЗЛИЧНЫХ команд - то к моменту применения Sig ситуация может измениться.

RP55, промежуток временем между написанием скрипта, который создается по образу с интервалом в лучшем случае 5-10 минут, и применением скрипта на целевой системе значительно больше (на порЯдки), чем время исполнение скрипта. Так что всегда есть вероятность, что что-то новое добавилось в автозапуск после создания образа за время написания и доставки скрипта на целевую систему.

а потому лишний refresh по ходу здесь не имеет смысла. Скрипт все равно написан для другого, хотя и близкого состояния системы.

[PR55.RP55 82]

1) Статус.

Все файлы в текущей категории проверены кроме *Вирус*

Все файлы в текущей категории проверены кроме Подозрит +

Все файлы в текущей категории проверены кроме *Вирус* & Подозрит +

Все файлы в текущей категории проверены кроме "Верхний список"

Все файлы в текущей категории проверены кроме Этого файла/объекта.

Подозрит + ( это те файлы/объекты которым оператор утвердил/присвоил статус Подозрительный )

"Верхний список" ( это те файлы/объекты которые были помещены оператором в верх списка )

[JunDF 5]

Правильно ли я понимаю, что при создании файла сверки автозапуска, для поиска руткитов, загрузочный сектор не проверяется?

Возможно ли добавить проверку загрузочного сектора тоже в файл быстрой сверки?

[PR55.RP55 82]

JunDF

Загрузочные сектора при создании файла сверки проверяются.

[PR55.RP55 82]

1) Всё, что выше черты проверено.

см.фото.

Пример работы: Обработали объекты над чертой, присвоили статус проверен, или удалили объекты.

После чего применили: "Всё, что выше черты проверено".

И так можно работать в несколько этапов.

В том числе и для категории "ВСЕ"

2) Передача данных File_id без создания образа.

По команде: "Добавить файлы каталога в список и передать данные по File_id на сервер.

Например есть пакет обновлений, или какие другие программы от microsoft-а.

Можно это всё распаковать/установить в Sandboxie > добавить в список и передать... для пополнения базы проверенных.

Создание образа это лишняя трата времени.

Может там 40 файлов всего наберётся, а сколько времени уйдёт на формирование образа ?

Потом ещё этот образ отрыть/передать нужно !

В общем нужно принимать меры.

[santy 151]

1. предложения по белым спискам:

дополнительно

к изменению статуса объекта ?ВИРУС? на проверен,

к увеличению длины активной части сигнатуры на единицу,

к добавлению команды hide, если детект не исчез после изменения длины активной части сигн.,

выводить в лог все объекты из списка подозрительные, которые попали под белый критерий,

аналогично, как по поисковым критериям

2. по меню твики: сделать подсветку опций чуть темнее, если автоматически определены необходимость твиков 1,2 и др. (которые добавлены в автоскрипт)

3. по обмену сигнатурами (внутри подписки):

тут два варианта:

либо добавить форму обмена:

выполнить.

---> добавить текущую сигнатуру

==> добавить все сигнатуры

хорошо бы добавить в это окно возможность фильтрации, аналогичную как в управлении списком сигнатур.

второй вариант: обойтись без дополнительной формы,

а выполнить импорт и экспорт через контекстные функции из программы управления списком сигнатур.

порядок действий примерно такой.

1. отфильтровать список (локальный или серверный), выделить нужные сигнатуры

2. выполнить контекстную функцию - добавить текущую (или отфильтрованный список) в избранный список

3. экспортировать (импортировать) сигнатуры из избранного списка

[PR55.RP55 82]

Начиная с версии Firefox 12 Mozilla реализовала новую функцию автоматического обновления.

Функция позволяет производить установку/обновления без предварительного отображения UAC диалогового окна.

"Mozilla Firefox имеет открытый исходный код и ..."

[Angel-iz-Ada 0]

PR55.RP55

это к чему? контроль учеток может и не запрашивать разрешения если запись производится в каталог пользователя. мозила и хром давно втихую обновляются без всяких окошек лишних

[Umnik 997]

контроль учеток может и не запрашивать разрешения если запись производится в каталог пользователя. мозила и хром давно втихую обновляются без всяких окошек лишних

Ни тот, ни другой по умолчанию не ставятся в папку пользователя по умолчанию, являясь дефолтным браузером. Просто Лис использует для обновления службу Mozilla Support, а Хром - системный планировщик.

[PR55.RP55 82]

Angel-iz-Ada

Это, как вариант подхода при работе с uVS _на будущее_.