Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 82]

...

[PR55.RP55 82]

1 ) Твик 27 вкл/выкл

http://www.anti-malware.ru/reviews/Softwar...iction_Policies

На время лечения включить: Software Restriction Policies (SRP)

После процедуры отключить ( или не отключать - в корпоративной среде )

Подробно написано в статье.

т.е. Разрешить запуск программ с рабочего стола и из Program Files +

"Basic User: режим принудительного ограничения привилегий.

Все программы запускаются с привилегиями рядового пользователя, кроме исключений, описанных политикой. " ( для программ безопасности )

[PR55.RP55 82]

Твик 27 необходим.

Тем более, что и зверьё потенциально способно...

+

Помимо самого твика выводить оператору данные по состоянию SRP = сохранять инфо. в образе.

[PR55.RP55 82]

Все имена вирусов в 95% случаев задаются на английском.

При наборе имени вручную возникает необходимость переключения раскладки клавиатуры, и это явно избыточное действие.

"Язык набора имени английский"

+ Фото пример.

[alamor 69]

При наборе имени вручную возникает необходимость переключения раскладки клавиатуры, и это явно избыточное действие.

Punto Switcher поставьте

[Umnik 997]

Все имена вирусов в 95% случаев задаются на английском.

При наборе имени вручную возникает необходимость переключения раскладки клавиатуры, и это явно избыточное действие.

Впервые вижу на этом форуме человека, у которого дефолтная раскладка - Ru.

[santy 151]

Твик 27 необходим.

Тем более, что и зверьё потенциально способно...

+

Помимо самого твика выводить оператору данные по состоянию SRP = сохранять инфо. в образе.

далеко не все используют настроенные политики ограниченного запуска программ. (Чаще это делается через настройки hips, кто его использует)

плюс выводить инфо о состоянии такой политики - это серьезно раскрывать конфиденциальную информацию о защите системы.

применять же настроенную политику по ограничению запуска в процессе лечения.... (вкл/выкл) стоит ли?

а если не выключится при перезагрузке? только лишние телодвижения хелперу, и будет стоить кучу нейронов возмущенному юзеру.

[PR55.RP55 82]

Umnik пишет: Впервые вижу на этом форуме человека, у которого дефолтная раскладка - Ru.

Переключу

Santy пишет: инфо о состоянии такой политики - это серьезно раскрывать конфиденциальную информацию о защите системы.

Однако не всё замыкается на работе с образами.

+

Можно ссылку на образ получать и через личные сообщения.

Твик 27 может быть Актуален в том случае когда НЕ удаётся явно идентифицировать проблему.

т.е. она есть но...

А так применили Твик 27 смотрим на результат применения...

Если есть результат значит...

----------

1) hide автоматически по настройке, если:

SHA1 есть в базе; если это системный файл; если путь до файла = Program Files - кроме заданных с Условием: " hide НЕ применяется в отношении "

Файл с неизвестным расширением; Объект Program Files в Автозапуске.

[santy 151]

А так применили Твик 27 смотрим на результат применения...

Если есть результат значит...

----------

RP55, а что именно планируется в Твик 27включить? какие действия в системе?

есть ведь твики 17, 18, 19 которые снимают ограничения на запуск программ по хэшу или пути.

[PR55.RP55 82]

что именно планируется в Твик 27включить? какие действия в системе?

Как я и говорил : "т.е. Разрешить запуск программ с рабочего стола и из Program Files +"

т.е. Запрещается ( временно ) запуск из левых директорий.

Что касается Твиков: 17, 18, 19 - Оператор должен определить какое действие требуется выполнить на данный момент, последовательность применения.

[santy 151]

demkd,

можно добавить в лог uVS информацию о состоянии функции восстановления системы,

+

наличие последних точек восстановления, если есть.

[PR55.RP55 82]

Реализовать автоматическую проверку: "Доступна новая версия программы uVS 3*"

т.е. Начинается работа с программой > предлагается проверить доступность новой версии ( НЕ ТЕСТОВОЙ ! )

И при согласии направление на оф.сайт.

* Работать с update.log и НЕ предлагать проверку чаще чем раз в 30 дней.

----

P.S. Некоторые товарищи годами могут не обновлять программу и потом удивляться, что скрипт не выполняется, программа не запускается,

зверьё в сети не попадается и пр.

[PR55.RP55 82]

1) В меню добавить команду: "Удалить все задачи"

2) Подпись/Хэш.

Сбросить статус "проверенный" у всех файлов в списке кроме известных.

Сбросить статус "проверенный" у всех файлов в списке подпадающих под критерии поиска.

см. фото пример.

3) Установленные программы.

Поиск в поисковой системе с условием.

Пример: Bonanza и Adware и

т.е. Система поиска выдаёт в браузере результат при обнаружении данных словосочетаний.

4) Белые критерии для установленных программ.

Оператор задаёт список регулярных: Net Framework; NVIDIA; Aimp...

Наиболее распространённых программ.

Программа фильтрует и оставляет в списке Установленных только неизвестные программы.

* В режиме: вкл/выкл.

[santy 151]

2) Подпись/Хэш.

Сбросить статус "проверенный" у всех файлов в списке подпадающих под критерии поиска.

RP55, в чем смысл этого сброса? ведь объекты, которые попали под критерий уже будут в списке подозрительные со статусом ?ВИРУС?

бери и анализируй.

с другой стороны, именно проверенные файлы (в некоторых случаях) могут попасть под критерий, и потерять статус свой "проверенные", что негативно повлияет на анализ списка подозрительных.

--------------

или ты планируешь под вынос статуса "проверенные" создавать отдельные критерии?

[PR55.RP55 82]

Смысл сброса в работе с такими объектами как: PRAETORIAN.EXE ; GUARDMAILRU.EXE и объектами антивирусов.

т.е. Файл подписан и файл может быть в базе проверенных.

Но при этом данный объект является нежелательным элементом в системе.

Это законный агент или некорректно удалённый антивирус = его элемент.

+ Поиск файла с левой подписью

Для обнаружения таких объектов применяется: Сбросить статус "проверенный" у всех файлов в списке подпадающих под критерии поиска.

или Сбросить статус "проверенный" у всех файлов в списке кроме известных.

В зависимости от ситуации.

т.е. Список проверки минимизируется.

В противном случае придётся просматривать весь список...

[PR55.RP55 82]

Дополнение к предложению №2 Подпись/Хэш.

Сбросить статус "проверенный" у всех файлов в списке кроме известных.

Сбросить статус "проверенный" у всех файлов в списке подпадающих под критерии поиска.

Сбросить статус "проверенный" у всех файлов в списке подпадающих под критерии поиска кроме известных.

[alamor 69]

Смысл сброса в работе с такими объектами как: PRAETORIAN.EXE ; GUARDMAILRU.EXE и объектами антивирусов.

т.е. Файл подписан и файл может быть в базе проверенных.

А как он попадёт в базу проверенных? .

Если сами его до этого добавили, то ССЗБ.

[PR55.RP55 82]

alamor

Всё таки нужно знать о чём говорить.

Так Demkd в базу проверенных добавляет файлы от Avira и COMODO ( которыми сам пользуется )

Я также в свою базу домашние версии антивирусов добавляю - как раз на случай сброса статуса.

По PRAETORIAN.EXE - можно добавлять в базу проверенных можно не добавлять.

Это вполне легальный компонент.

[santy 151]

Дополнение к предложению №2 Подпись/Хэш.

Сбросить статус "проверенный" у всех файлов в списке кроме известных.

Сбросить статус "проверенный" у всех файлов в списке подпадающих под критерии поиска.

Сбросить статус "проверенный" у всех файлов в списке подпадающих под критерии поиска кроме известных.

может быть и полезным будет, чтобы после сброса статуса проверенные, не проводить повторно полную проверку по SHA.

лишь бы это не привело к необоснованному увеличению кода программы и затратам по времени на выполнение алгоритма, превышающим повторную проверку по SHA.

[PR55.RP55 82]

Santy

Повторная проверка.

Даже если проверка и будет повторно применена оператором - то она будет применена только к небольшой части списка.

Значит будет в разы быстрее.

А в случаях когда необходимо просмотреть весь список ( например - всех производителей ) то и повторная проверка будет в данном случае не нужна.

[santy 151]

RP55, безусловный сброс статуса по всем всем файлам списка, это стандартная операция, не связанная никак с поиском, выполняется мгновенно, а вот сброс статуса только для известных, или только для тех, кто будет вычислен по файлу критериев.... связана с предварительной отфильтровкой списка по списку безопасных или по списку критериев (и списку безопасных). Поэтому это будет в разы медленнее, чем сброс статуса для всего списка.

[alamor 69]

Я также в свою базу домашние версии антивирусов добавляю - как раз на случай сброса статуса.

По PRAETORIAN.EXE - можно добавлять в базу проверенных можно не добавлять.

Это вполне легальный компонент.

В итоге получается сначала сами туда добавляете, а потом хотите сбрасывать у них статус.

Так Demkd в базу проверенных добавляет файлы от Avira и COMODO ( которыми сам пользуется )

Не думаю, что Demkd добавляет в базу чистых GUARDMAILRU.EXE и остальную дрянь. А то что он помимо файлов от Microsoft добавит исполняемые файлы от антивируса, то что этом плохого?

[santy 151]

В итоге получается сначала сами туда добавляете, а потом хотите сбрасывать у них статус.

Не думаю, что Demkd добавляет в базу чистых GUARDMAILRU.EXE и остальную дрянь. А то что он помимо файлов от Microsoft добавит исполняемые файлы от антивируса, то что этом плохого?

alamor,

RP55, как всегда предлагает, но толком не объясняет зачем. Речь идет в основном о троянских или адварных файликах с цифровой подписью, которые при создании образа автозапуска (с проверкой подписи) получают статус "проверенный".

(например, Lyrmix имеет цифровую, и выводит рекламу в браузерах.)

благодаря этому данный файлик, который есть в автозапуске не светится в списке основного автозапуска при включенном тригере (исключить проверенные), а рука видимо не дотягивается до этого места, чтобы снять галку.

в таких случаях просто сбрасывается статус "првоеренные" у всех файлов, и перезапускается проверка по SHA,

в результате данный левый файл в автозапуске уже не будет проверенным. (его нет в списке SHA). Такие файлы лучше находить... и добавлять в критерии, чтобы они попадали в "подозрительные".

-------------------

особого смысла нет сбрасывать статус проверенные только у части файлов, попавших под критерии, потому что этот файл с цифровой левой, может и не попасть под существующие на данный момент критерии.... и тогда все равно придется сбрасывать статус у всех.

[PR55.RP55 82]

Santy пишет:

смысла нет сбрасывать статус проверенные только у части файлов, попавших под критерии, потому что этот файл с цифровой левой, может и не попасть под существующие на данный момент критерии.... и тогда все равно придется сбрасывать статус у всех.

Всё зависит от конкретной ситуации.

т.е. от того, что именно ищет оператор: Конфликтующие между собой антивирусные объекты с цифровой подписью и известным/определённым производителем, или adware и вирусы.

Применять данную команду или нет, решение за оператором.

Отсев Всех Известных должен положительно повлиять на скорость проверки/поиска.

-----------

1) Сейчас используется большое число беспроводных модемов Yota и т.д.

Дело в том, что для нормальной установки драйверов их инициализации применяется Autorun.inf

Если нет запуска Autorun.inf устройство не будет работать.

Не будет нормально работать...

В таком разе применение твика №5 Более чем проблематично.

Я это к тому, что если есть функция отключения автозапуска значит и должен быть твик на включение.

Иначе...

[PR55.RP55 82]

1) Для: Добавить все исполняемые файлы каталога в список.

минус \

минус \\

минус \\\

минус \\\\

Предупреждая критику: Да можно и вручную поправить готовый скрипт.

Однако практичнее сразу внести необходимую поправку.

+

Это практичнее и при работе в реальной системе.

т.е. Оператор получит именно то, что заказано.

----------------------

P.S. по " Сбросить статус "проверенный" у всех файлов в списке кроме известных. "

Чем меньше операций в процессе работы выполняет оператор тем лучше.

Если одна команда решает 2 - 3 задачи за раз...