Новые функции в Universal Virus Sniffer (uVS)

[sergey ulasen 200]

PR55.RP55, эвристики у тебя просто огонь.

[demkd 636]

А так, как предлагаю я ( см.фото ) вся информация будет в одном окне.

Отклоняется. Слишком много возни непонятно зачем.

1.Если, пути совпадают многократно - для системных подкаталогов

Может смысл и есть, но реальных случаев когда бы это было полезно мне не попадалось.

т.е. простое уведомление о наличии либо отсутствии значка.

С какой целью? Наличие иконки в ресурсах ни о чем не говорит, а вот на скорости работы это скажется очень сильно.

sergey ulasen

Хоть вопрос и исчез, но я таки отвечу, подобный вопрос иногда поднимается.

Могут быть приняты к реализации только те предложения что удовлетворяют одному из следующих условий:

1. Предложение будет полезно мне, как основному пользователю uVS.

2. Предложение неинтересно мне, но серьезно обосновано и имеет непосредственное отношение к сфере задач решаемых uVS _И_ трудоемкость реализации лежит в разумных пределах.

3. Предложение неинтересно мне и лежит где-то в области близкой к основной, имеет крохотную трудоемкость и я вижу некоторую осмысленность предложения.

4. Предложение побочной функции полезной при восстановлении работоспособности или оптимизации работы системы с небольшой трудоемкостью.

п.2 - 4 могут быть отклонены с некоторой вероятностью поскольку "мне лень заниматься этой чушью" или желаемый результат легко достигается системными или легко доступными утилитами.

[PR55.RP55 83]

PR55.RP55, эвристики у тебя просто огонь.

С учётом того, что в этой области никто ничего не предлагает...

Кроме того, какая эвристика самая лучшая ?

При просмотре лога чем руководствуется Оператор ?

А межу тем его мнение работает чаще всего лучше чем все анализаторы кода вместе взятые.

По сумме простых показателей можно выявить значительное число вирусов.

Всё, что неестественно для системы - то вызывает подозрение, а что вызывает подозрение...

Цитата(PR55.RP55 @ 05.09.2011, 18:34) *

1.Если, пути совпадают многократно - для системных подкаталогов

Может смысл и есть, но реальных случаев когда бы это было полезно мне не попадалось.

Разве ?

%SystemRoot%\UPDATE

_______________________

%SystemRoot%\UPDATE.1\SVCHOST.EXE

%SystemRoot%\UPDATE.2\SVCHOST.EXE

%SystemRoot%\UPDATE.2\SVCHOST.EXE

%SystemRoot%\UPDATE.TRAY-3-0\SVCHOST.EXE

%SystemRoot%\UPDATE.TRAY-3-0-LNK\SVCHOST.EXE

В большинстве случаев в "подозрительные и вирусы" попадает не более 70%

http://forum.esetnod32.ru/forum6/topic2075/

http://forum.esetnod32.ru/forum6/topic2077/

http://forum.esetnod32.ru/forum6/topic2032/

http://forum.esetnod32.ru/forum6/topic2067/

Подробно:

http://forum.esetnod32.ru/forum6/topic2054/

[demkd 636]

SVCHOST.EXE

Это не довод SVCHOST и так попадет в подозрительные.

Остальное посмотрю.

[santy 153]

В большинстве случаев в "подозрительные и вирусы" попадает не более 70%

по поводу примеров,

предлагаю не кидаться подробными темами на три 3-4 страницы, а брать конкретный образ авзапуска и проверять его с чистой базой сигнатур.

Лично мне вообше лень по этим ссылкам сейчас ходить и высчитывать процент попадания файликов из набора "усиленный режим работы антивируса".

По опыту скажу, после двух-трех случаев излечения...

все остальные подобные темы решались влет благодаря действующим сигнатурам,

а если еще не полениться, и занести в критерии поиска имена:

sysdriver32, systemup.exe, L1REZERV.EXE, SERVICES32.EXE,

то практически полный набор не только сразу попадет под детект, но и автоматически сформируется скрипт лечения.

и приведу пример темы

http://pchelpforum.ru/f26/t68934/

когда практически весь набор "усиленного режима" автоматически попадает сразу под детект и в скрипт.

[PR55.RP55 83]

Это не довод SVCHOST и так попадет в подозрительные.

Это хорошо, что SVCHOST попадает...

Вопрос в другом попадёт или нет в "П и В" файл имеющий скажем название Primer.exe

Причина по которой в "П и В" попал SVCHOST совсем не в том, что я предлагал по обнаружению.

1.Если, пути совпадают многократно - для системных подкаталогов

например:

C:\WINDOWS\SYSTEM32\PPPPPP\1324354365764879.EXE

C:\WINDOWS\SYSTEM32\PPPPPP\57658798709.EXE

C:\WINDOWS\SYSTEM32\PPPPPP\DGDSFJHGLHK;LKJ'LK';L.EXE

Где PPPPP* - Любой НЕизвестный подкаталог.

Файлы которого находятся в автозагрузке или запускались...

Автоматически добавлять ВСЕ файлы подкаталога - в "Подр и Вир."

1.1.Если в "Подозрительные и вирусы" попал файл каталога PPPPP* - то и все прочие файлы неизвестного подкаталога должны быть автоматически добавлены в "Подозрительные и вирусы".

Ограничить, число добавляемых файлов каталога количественно = 40.

и приведу пример темы

http://pchelpforum.ru/f26/t68934/

когда практически весь набор "усиленного режима" автоматически попадает сразу под детект и в скрипт.

Я разве про сигнатуры упоменал и детект по ним?

Непонятно...

т.е. Конечно при добавлении 1-й сигнатуры под её действие может попасть сразу 2-3 файла...

Однако могут и не попасть.

*Впрочем производить Автоматическое сопоставление по сигнатурам файлов списка я предлагал.

Тогда уже и прочие категории нужно обязательно Перепроверить-

( В том плане что в "П и В" - при генерации образа файлы автоматически попали но не все... )

Да и поисковые критерии не в тему...

P.S. Если, так то имея готовые сигнатуры и поисковые критерии...

[demkd 636]

Вопрос в другом попадёт или нет в "П и В" файл имеющий скажем название Primer.exe

Просмотрел и таки считаю добавление в подозрительные всего что в неизвестных каталогах избыточным.

Щас масса софта которая пихает свои файлы куда попало в т.ч. и в system32, больно много ложноподозиртельных будет, их и так уже много, идиотизм производителей софта штука серьезная ведь куда только не пихают они свои файлы вместо того что бы свалить все в указанный пользователем каталог.

Так что делайте уже по факту критерии.

[PR55.RP55 83]

Дело в том, что в категории SYSTEM.INI и Загрузчики...

При работе с сигнатурой, нет таких слов, как:

"Ложное срабатывание, увеличить длину сигнатуры"

И соответственно удаления сигнатуры при ложно положительном срабатывании...

[demkd 636]

При работе с сигнатурой, нет таких слов, как:

"Ложное срабатывание, увеличить длину сигнатуры"

Да, надо будет как-нибудь прикрутить, вроде как сигнатуры нормально работают в чем были сомнения.

[PR55.RP55 83]

1.Меню: Подпись/Хеш

Добавить: Проверить все непроверенные "Известные" на VirusTotal.com

*Для чего: Проверка на наличие файлового заражения Системных файлов.

**Сокращение списка проверки при наличие значительного числа файлов в списке - при подозрении на заражение определённым типом вируса.

***Увеличение скорости проверки при низкой скорости сетевого соединения

2.Создать программу встроенную в uVS для загрузки файлов на Jotti

Причина: частая перегруженность - V.T + сложность загрузки больших файлов на низкой скорости отдачи.

* Вероятно это ограничение сервера V.T.по времени ожидания.

3.Отображать значки папок при работе с Файл > Добавить...

*Это позволит экономить время при работе - так, как ориентироваться в системе и находить нужный объект будет значительно легче.

4.Меню:

Дополнительно > Установленные программы...

Добавить команды:

-Отрыть папку установки...

-Открыть в Regedit...

-Сохранить в Список...

-Переход на сайт разработчика...

*Сохранить в список - включает в себя информацию:

----------------------------------------------

SoftName: Malwarebytes' Anti-Malware

Version: 51.52.0.0

Publisher: Malwarebytes Corporation

InstallTime: 03/08/2011

UseSize: 4,69 MB

Helpinfo: ht*p://*ww.malwarebytes.org

UninstallCmd: "C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"

RegistryKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Malwarebytes' Anti-Malware_is1

----------------------------------------------

SoftName: Nero 9 Essentials

Version: 4.4.8.207

Publisher: Nero AG

InstallTime: 08/06/2009

UseSize: 5,51 MB

Helpinfo: ht*p://*ww.nero.com

UninstallCmd: C:\Program Files\Common Files\Nero\Nero ProductInstaller 4\SetupX.exe REMOVESERIALNUMBER="2M02-K0A3-UK97-9A6U-37MT-4M7M-WM53-645A-K1L9-P288-2P9U-AZ0M-1E68-AE4Z-0000"

RegistryKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{ed587317-96f3-4fd6-a2cb-db004519acb1}

--------------------------------------------------

5.Зеркальный Поисковый Критерий.

Или - принцип обратного поиска.

В Settings.ini

Указываются все разрешённые производители.

Например в Settings.ini указанны производители:

Panda Security, S.L.;

Topala Software Solutions;

Piriform Ltd.

Соответствено - при проверке, любой исполняемый файл подписанный неизвестным издателем будет считаться подозрительным - с внесением информации в Лог и соответствующею категорию.

*Для программ находящихся в автозагрузки = тех, что запускались.

[santy 153]

кое какие идеи пришли по составным критериям.

хотя сразу вопрос - для чего мы их будет использовать. для критериев поиска подозрительных файлов,

или для отбора и поиска файлов в списке автозапуска?

[demkd 636]

Добавить: Проверить все непроверенные "Известные" на VirusTotal.com

Добавлю.

Создать программу встроенную в uVS для загрузки файлов на Jotti

Лень, вот если уровень утомления от хронического переутомления VT превысит уровень нежелания этим заниматься вот тогда может быть.

3.-5.

Отклоняется.

santy

Чем дольше я думаю тем сомнительней мне кажется польза от "сложных" критериев.

Какие будут идеи?

[santy 153]

santy

Чем дольше я думаю тем сомнительней мне кажется польза от "сложных" критериев.

Какие будут идеи?

предложение по сути сервисное, и с запасом.

Произвольный запрос (query) по списку автозапуска, создаваемый пользователем. Причем можно сделать его не сохраняемым. в отличие от критериев поиска.

отчасти RP55 его ранее озвучил,

в моем представлении такие варианты:

1. в окне информация в контекстное меню добавить функции "Найти +", "Найти".

"Найти +" (создать запрос) будет означать открытие запроса.

фраза для запроса может состоять из нескольких выражений АТРИБУТ-ЗНАЧЕНИЕ, соединенных логическим И.

выражение АТРИБУТ - ЗНАЧЕНИЕ формируется аналогично критериям поиска.

"Найти" (выполнить запрос) закрывает поисковую фразу запроса, и выполняет запрос отфильтровывая список автозапуска.

Далее уже любой встроенный в uVS фильтр отменяет поисковый запрос, созданный пользователем.

Возможно, имеет смысл в настройках settings ввести переменную list_query (перечисляемый список), в который можно настроить список АТРИБУТОВ, по которым будет выполняться произвольный запрос. Только эти АТРИБУТЫ и высвечивать в окне при создании запроса.

ЗНАЧЕНИЯ автоматически попадают в редактируемые поля выражения АТРИБУТ - ЗНАЧЕНИЕ.

2вариант

"Найти" добавить в контекстное меню основного окна uVS, (можно рядом с пунктом "информация".)

добавить список list_query в settings, и открывать окно запроса (по горячей клавише или по контектной функции "Найти") только для перечисленных в списке полей. АТРИБУТЫ (читаемое поле) ЗНАЧЕНИЕ - редактируемое. (в это поле автоматически попадают значения по объекту списка)

И кнопка выполнить.

Условия отмены результата запроса то же, что и в первом варианте. Использование встроенного в uVS фильтра, отменяет произвольнй фильтр, созданный пользователем.

3вариант. использовать дефолтный список list_query. тогда уж надо договариваться какие АТРИБУТЫ включить в дефольтный список.

[PR55.RP55 83]

1.При формировании скрипта - а, именно в момент удаления объектов таких, как адреса сайтов.

delref HTTP://******.ru

указывать информацию без http://dsrt.dyndns.org]

delref http://HTTP://www.pandasecurity.com/activescan

delref http://HTTP://www.esetnod32.ru/.download/livecd/

deltmp

delnfr

regt 14

restart

2.Поиск всех файлов с наименованием: hosts.

* Не имеет значение,есть ссылка в реестре, или нет.

Быстрый поиск файла на NTFS разделах без использования индексирования.

При прямой работе с таблицей MFT раздела.

С сохранением результата = содержания файла.

* Разбить структуру файла в образе:

_______________________________________________

#C:\WINDOWS\system32\drivers\etc

127.0.0.1 localhost

------------------------------------------------

#C:\WINDOWS\system32\hat

46.166.128.244 vkontakte.ru

46.166.128.244 vk.com

46.166.128.244 w**.vkontakte.ru

46.166.128.244 w**.vk.com

________________________________________________

3.Создать.

Новую категорию - "SHA1 файла НЕ найден на V.T//Jotti"

*Альтернативный вариант:

Добавить в линейку отвечающею за структуру списка:

Имя | Каталог |Статус |Производитель |Sha1:V.T//Jotti[-]

*Таким образом, появиться возможность - чётко, структурировать групповые объекты в каждой из категорий по данному значению.

4.Пример составного критерия.

Пример №1.

_____________________________________________

Имя файла: Accwiz.exe

Критерий: производитель

Атрибут: Корпорация Майкрософт

Переменная Атрибута №1: Microsoft Corporation

Переменная Атрибута №2: [ Параметр не активен ]

Переменная Атрибута №3: [ Параметр не активен ]

Переменная Атрибута №4: [ Параметр не активен ]

= |НЕ = _ДА_ |Содержит |

______________________________________________

Дополнительные параметры

Автоматически - проверять, при работе с образом _ДА_*

Автоматически - проверять, при работе с Live CD _НЕТ_*

--------------------------------------------------------

Пояснение: Атрибут, имеет переменное значение т.е. в данном случае для него допустимы 2 - ве переменные/равноправные значения в Атрибуте такие как:

Корпорация Майкрософт = Microsoft Corporation.

Соответственно, если для файла указан любой другой производитель - то такой файл автоматически попадает в "Подозрительные и вирусы"

* Лично, я считаю Пример/вариант N2. более простым/эффектным, однако привожу оба варианта.

----------------------------------------------------------------

Пример/вариант N2.

Критерий: производитель

Атрибут "A": AVG

Атрибут "V": ESET

Атрибут "С": Panda

= _ДА_ |НЕ = |Содержит |

Автоматически скрывать результат для: "V": ESET

Пояснение: В параметре производитель, заданно 3-три. постоянных значения

Это - AVG; ESET; Panda

Для значения ESET задан параметр:

"Автоматически скрывать результат для: "V": ESET"

Таким образом, имея в системе установленный антивирус от компании ESET мы - можем получить в результатах поиска данные о наличии, либо отсутствии результата для AVG; Panda.

Чёткий результат без захламления лога результатами от ESET.

*Фактически - речь идёт о стандартном поиске по критериям с возможностью _Скрыть часть - результата запроса_.

*Сделать возможным, как внесение данных нового критерия в базу snms.

Так, и возможность удалить поисковую настройку - например автоматически сбрасывать настройку при закрытии окна uVS.

[vc_ 5]

Просьба добавить в Uvs поисковые критерии по умолчанию, на самые распространенные зоны сокрытия и запуска зловреда.

или ссылку readme_help_chainik.txt

Не понятно из образов с заражениями, как формировался алгоритм лечения ????

[demkd 636]

santy

Идея понятна, подумаю.

Где размещение/нахождение подобного рода ссылки нежелательно...

Если кто захочет то все равно зайдет по ссылке, отклоняется.

2.Поиск всех файлов с наименованием: hosts

По поиску файлов я уже неоднократно отвечал.

3.Создать.

Отклоняется, можно ткнуть мышкой в производителя и все будет.

Чёткий результат без захламления лога результатами от ESET.

Ну-ну, очень смело

По критериям я еще долго буду "думать".

Просьба добавить в Uvs поисковые критерии по умолчанию

Поисковые критерии формирует сам оператор на основании личных предпочтений.

Вся необходимая информация по критериям есть в DOC\База поисковых критериев.txt

readme_help_chainik.txt

Не понятно из образов с заражениями, как формировался алгоритм лечения ????

uVS не для "чайников", поэтому если непонятно как он работает или как следует лечить даже после прочтения документации, то стоит подумать о смене инструмента.

uVS в неумелых руках не только бесполезен, но и крайне опасен.

[g0dl1ke 26]

uVS в неумелых руках не только бесполезен, но и крайне опасен.

например "случайно" добавить сигнатуру, explorer или svhost, потом произвести поиск и выдаст много похожих, опять таки системных файлов, а нажатие "убить все вирусы" - гарантированно убивает винду.

Так что, мой совет: читайте маны, читайте снова, а лишь потом добавляйте/удаляйте

[PR55.RP55 83]

Не понятно из образов с заражениями, как формировался алгоритм лечения ????

Читайте: Пример 1-2.txt

Пример1_2.txt

Пример1_2.txt

[PR55.RP55 83]

Сегодня предлагаю к ознакомлению несколько простых предложений, чтобы uVS окончательно пошел в народ.

1.Теория.

На PC установлена одна система.

Система стоит на С:\

Сохраняем полную копию реестра.

Помещаем копию реестра в - K:\Windows\system32\config

т.е просто создаём папки с нужным названием и помещаем в них файлы реестра.

Далее запускаем uVS с параметром "Выбрать каталог Windows ( выбрана активная система )

И смотрим на то, что нам демонстрирует uVS.

А, суть басни в том, что все активные процессы остаются у нас на C:\

А вот все прочие на K:\

см.фото.444.

И в чём же суть?

Суть в том, что при работе с Live CD может иметь место фокус следующего порядка -.

К вам приходит человек с заблокированной системой.

Система стоит на диске E:\

При подключении этого HDD в качестве slave он определяется системой, как диск D:\

И...

В момент Трансляции имен дисков D превращается в C:\*

*Проще говоря определяется в качестве системного диска.

И, это при том, что все записи реестра относятся к диску E:\

Отсюда следует вопрос, что же у нас будет с записями реестра при отданной команде delnfr (удаление ссылок на отсутствующие объекты)...

А будет у нас крышка...

Или - очень может быть, что будет крышка.

Да и любая ДРУГАЯ операция с реестром вероятно приведёт к...

Отсюда вывод, при разблокировании PC отдавать команду delnfr

просто нельзя...

В противном случае будет произведена полная очистка реестра без возможности запуска PC.

Выглядеть это для uVS может так: "Невозможно подключить Software" Операция успешно завершена "

-----------------------------------------------------------------

ПРОШУ, всех участников высказать принципиальное несогласие с подобной злостной инсинуацией!

_________________________________________________________________

2.Добавить

В контекстное меню файла: "Скрыть все файлы данного производителя"

Для чего? - Например у нас всего 90 файлов 17 из которых имеют отношение к принтеру или модему.

Таким образом, при желании можно сразу сократить список до 73 файлов.

Убрав второстепенные объекты.

3.По поисковым критериям.

Перед нами задача: Найти файл, если известно, что его размер не менее 54kb и не более 72kb.

Таким образом, есть два варианта решения.

1-й: Искать всё начиная от 54;55;...60;...70...

Или сформировать практически 20-ть поисковых критериев.

*Понятно, что задача несколько утрированна.

Я же предлагаю сделать решение при помощи переменной, которая определяется значением числа 54<>72.

т.е uVS при аналогичной настройке покажет все файлы/объекты в рамках данного интервала.

3.Загрузчики.

При обнаружении загрузчика который не является системным

предлагаю сохранять объект в образе авто-запуска с аналогичным функционалом предусмотренным для системных загрузчиков.

* С ограничением добавления - по "весу" для данного объекта.

4.Возможность работы/изменения/корректировки сохранённой КОПИИ реестра для любой поддерживаемой версии Windows.

т.е. c возможностью указывать любой путь до файлов реестра.

т.е Вместо: Windows\system32\config

Дать возможность работать с любой папкой имеющей любое обозначение.

Суть предложения в рамках борьбы с вирусами:

Сохранить копию реестра активной системы в любой каталог - Самостоятельно - Отредактировать - значения/параметры и применить опцию: "Восстановить системный реестр из каталога"

Равно - сохранение с последующим ( например автоматическим ) создании полного образа авто-запуска по сохранённой копии.

т.е в меню uVS можно добавить пункт: "Создать полный образ авто-запуска из копии - с сохранением копии реестра"

5.Я так думаю, что нужно активно рекламировать -

Возможность полного/частичного восстановления файлов реестра из каталога:

System Volume Information

т.е. Извлечение файлов с их последующим автоматическим переименованием

из:_REGISTRY_MACHINE_SAM в SAM

из:_REGISTRY_MACHINE_SECURITY в SECURITY

из:_REGISTRY_MACHINE_SOFTWARE в SOFTWARE

из:_REGISTRY_MACHINE_SYSTEM в SYSTEM

из:_REGISTRY_USER_.DEFAULT в DEFAULT

с авто-заменой файлов, или параметров в C:\WINDOWS\system32\config

Например - при работе с системой - реестр которой имеет неисправимые повреждения.

*С опцией 1: предварительной обработки/очистки для _REGISTRY_MACHINE_***

по схеме, аналогичной той, что представлена в пункте 4.

С опцией 2: "Сохранить копию реестра из System Volume Information с проверкой работоспособности в... "

[demkd 636]

В момент Трансляции имен дисков D превращается в C:\*

Если диск подключился как C: то да так и будет.

Отсюда вывод, при разблокировании PC отдавать команду delnfr

просто нельзя...

Можно, uVS разберется.

2.-3.

Отклоняется.

4.

Виртуализации достаточно, отклоняется.

5.Я так думаю, что нужно активно рекламировать -

А че ее реламировать, такая функция давно присутствует.

И объявление: поскольку я занялся крайне интересным коммерческим проектом в новой для меня области, то добавление новых существенных функций приостановлено на неограниченный период времени. Будут выходить только багфиксы с незначительными улучшениями.

[Vvvyg 12]

добавление новых существенных функций приостановлено на неограниченный период времени.

Пичалька... Как раз мысли об некоторых новых функциях стали выкристаллизовываться.

[demkd 636]

Vvvyg

Мысли высказывать можно всегда

[Vvvyg 12]

Vvvyg

Мысли высказывать можно всегда

Хорошо, одна из, имхо, не требующая больших трудозатрат на реализацию: добавить параметр командной строки для выполнения скрипта. Возможно, в скрытом режиме, без появления окна. Это подстраховка на случай появления зловредов, блокирующих окно выполнения скрипта. Для AVZ такой сюрприз уже существует. Ну и было бы полезно для тяжёлых случаев, когда "ничего не запускается", зависает при создании образа автозапуска и т. п. Можно было бы сделать предварительную зачистку вслепую скриптом с delvir и набором твиков, а дальше уже разбираться.

[Smit 29]

Мысли высказывать можно всегда smile.gif

было бы не плохо при работе на живой системе :

ситуация - запускаю с сд программу она появляться и висит под баннером или зловред не дает ни чего нажать для продолжения запуска программы

предлогаю:

сделать таймер (3-5 сек) после которого (если пользователь не выполнил ни каких действий) программа сама включает все противодействия и продолжает загрузку с максимальными правами или подскажите как сделать такой батник ....

[PR55.RP55 83]

uVS разберется.

Вот - сегодня ходил по необъятным просторам и увидел:

Для интереса можно посмотреть: Где С:\ + Х:\

://pchelpforum.ru/f26/t71077/

И ещё, не совсем понятно выражение uVS при работе с Live CD

"Отсутствует доступ к предположительно исполняемому файлу" .//..//.EXE

Аналогичную картину видел уже много раз.

Я так понимаю, что несмотря на Live CD при разборе путей и имён файлов могут быть трудности.