Перейти к содержанию

Recommended Posts

sergey ulasen

PR55.RP55, эвристики у тебя просто огонь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
А так, как предлагаю я ( см.фото ) вся информация будет в одном окне.

Отклоняется. Слишком много возни непонятно зачем.

1.Если, пути совпадают многократно - для системных подкаталогов

Может смысл и есть, но реальных случаев когда бы это было полезно мне не попадалось.

т.е. простое уведомление о наличии либо отсутствии значка.

С какой целью? Наличие иконки в ресурсах ни о чем не говорит, а вот на скорости работы это скажется очень сильно.

sergey ulasen

Хоть вопрос и исчез, но я таки отвечу, подобный вопрос иногда поднимается.

Могут быть приняты к реализации только те предложения что удовлетворяют одному из следующих условий:

1. Предложение будет полезно мне, как основному пользователю uVS.

2. Предложение неинтересно мне, но серьезно обосновано и имеет непосредственное отношение к сфере задач решаемых uVS _И_ трудоемкость реализации лежит в разумных пределах.

3. Предложение неинтересно мне и лежит где-то в области близкой к основной, имеет крохотную трудоемкость и я вижу некоторую осмысленность предложения.

4. Предложение побочной функции полезной при восстановлении работоспособности или оптимизации работы системы с небольшой трудоемкостью.

п.2 - 4 могут быть отклонены с некоторой вероятностью поскольку "мне лень заниматься этой чушью" или желаемый результат легко достигается системными или легко доступными утилитами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
PR55.RP55, эвристики у тебя просто огонь.

С учётом того, что в этой области никто ничего не предлагает...

Кроме того, какая эвристика самая лучшая ?

При просмотре лога чем руководствуется Оператор ?

А межу тем его мнение работает чаще всего лучше чем все анализаторы кода вместе взятые.

По сумме простых показателей можно выявить значительное число вирусов.

Всё, что неестественно для системы - то вызывает подозрение, а что вызывает подозрение...

Цитата(PR55.RP55 @ 05.09.2011, 18:34) *

1.Если, пути совпадают многократно - для системных подкаталогов

Может смысл и есть, но реальных случаев когда бы это было полезно мне не попадалось.

Разве ?

%SystemRoot%\UPDATE

_______________________

%SystemRoot%\UPDATE.1\SVCHOST.EXE

%SystemRoot%\UPDATE.2\SVCHOST.EXE

%SystemRoot%\UPDATE.2\SVCHOST.EXE

%SystemRoot%\UPDATE.TRAY-3-0\SVCHOST.EXE

%SystemRoot%\UPDATE.TRAY-3-0-LNK\SVCHOST.EXE

В большинстве случаев в "подозрительные и вирусы" попадает не более 70%

http://forum.esetnod32.ru/forum6/topic2075/

http://forum.esetnod32.ru/forum6/topic2077/

http://forum.esetnod32.ru/forum6/topic2032/

http://forum.esetnod32.ru/forum6/topic2067/

Подробно:

http://forum.esetnod32.ru/forum6/topic2054/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
SVCHOST.EXE

Это не довод SVCHOST и так попадет в подозрительные.

Остальное посмотрю.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
В большинстве случаев в "подозрительные и вирусы" попадает не более 70%

по поводу примеров,

предлагаю не кидаться подробными темами на три 3-4 страницы, а брать конкретный образ авзапуска и проверять его с чистой базой сигнатур.

Лично мне вообше лень по этим ссылкам сейчас ходить и высчитывать процент попадания файликов из набора "усиленный режим работы антивируса".

По опыту скажу, после двух-трех случаев излечения...

все остальные подобные темы решались влет благодаря действующим сигнатурам,

а если еще не полениться, и занести в критерии поиска имена:

sysdriver32, systemup.exe, L1REZERV.EXE, SERVICES32.EXE,

то практически полный набор не только сразу попадет под детект, но и автоматически сформируется скрипт лечения.

и приведу пример темы

http://pchelpforum.ru/f26/t68934/

когда практически весь набор "усиленного режима" автоматически попадает сразу под детект и в скрипт.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Это не довод SVCHOST и так попадет в подозрительные.

Это хорошо, что SVCHOST попадает...

Вопрос в другом попадёт или нет в "П и В" файл имеющий скажем название Primer.exe

Причина по которой в "П и В" попал SVCHOST совсем не в том, что я предлагал по обнаружению.

1.Если, пути совпадают многократно - для системных подкаталогов

например:

C:\WINDOWS\SYSTEM32\PPPPPP\1324354365764879.EXE

C:\WINDOWS\SYSTEM32\PPPPPP\57658798709.EXE

C:\WINDOWS\SYSTEM32\PPPPPP\DGDSFJHGLHK;LKJ'LK';L.EXE

Где PPPPP* - Любой НЕизвестный подкаталог.

Файлы которого находятся в автозагрузке или запускались...

Автоматически добавлять ВСЕ файлы подкаталога - в "Подр и Вир."

1.1.Если в "Подозрительные и вирусы" попал файл каталога PPPPP* - то и все прочие файлы неизвестного подкаталога должны быть автоматически добавлены в "Подозрительные и вирусы".

Ограничить, число добавляемых файлов каталога количественно = 40.

и приведу пример темы

http://pchelpforum.ru/f26/t68934/

когда практически весь набор "усиленного режима" автоматически попадает сразу под детект и в скрипт.

Я разве про сигнатуры упоменал и детект по ним?

Непонятно...

т.е. Конечно при добавлении 1-й сигнатуры под её действие может попасть сразу 2-3 файла...

Однако могут и не попасть.

*Впрочем производить Автоматическое сопоставление по сигнатурам файлов списка я предлагал.

Тогда уже и прочие категории нужно обязательно Перепроверить-

( В том плане что в "П и В" - при генерации образа файлы автоматически попали но не все... )

Да и поисковые критерии не в тему...

P.S. Если, так то имея готовые сигнатуры и поисковые критерии...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Вопрос в другом попадёт или нет в "П и В" файл имеющий скажем название Primer.exe

Просмотрел и таки считаю добавление в подозрительные всего что в неизвестных каталогах избыточным.

Щас масса софта которая пихает свои файлы куда попало в т.ч. и в system32, больно много ложноподозиртельных будет, их и так уже много, идиотизм производителей софта штука серьезная ведь куда только не пихают они свои файлы вместо того что бы свалить все в указанный пользователем каталог.

Так что делайте уже по факту критерии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Дело в том, что в категории SYSTEM.INI и Загрузчики...

При работе с сигнатурой, нет таких слов, как:

"Ложное срабатывание, увеличить длину сигнатуры"

И соответственно удаления сигнатуры при ложно положительном срабатывании...

2011_09_09_184352.jpg

post-8956-1315573206_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
При работе с сигнатурой, нет таких слов, как:

"Ложное срабатывание, увеличить длину сигнатуры"

Да, надо будет как-нибудь прикрутить, вроде как сигнатуры нормально работают в чем были сомнения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1.Меню: Подпись/Хеш

Добавить: Проверить все непроверенные "Известные" на VirusTotal.com

*Для чего: Проверка на наличие файлового заражения Системных файлов.

**Сокращение списка проверки при наличие значительного числа файлов в списке - при подозрении на заражение определённым типом вируса.

***Увеличение скорости проверки при низкой скорости сетевого соединения

2.Создать программу встроенную в uVS для загрузки файлов на Jotti

Причина: частая перегруженность - V.T + сложность загрузки больших файлов на низкой скорости отдачи.

* Вероятно это ограничение сервера V.T.по времени ожидания.

3.Отображать значки папок при работе с Файл > Добавить...

*Это позволит экономить время при работе - так, как ориентироваться в системе и находить нужный объект будет значительно легче.

4.Меню:

Дополнительно > Установленные программы...

Добавить команды:

-Отрыть папку установки...

-Открыть в Regedit...

-Сохранить в Список...

-Переход на сайт разработчика...

*Сохранить в список - включает в себя информацию:

----------------------------------------------

SoftName: Malwarebytes' Anti-Malware

Version: 51.52.0.0

Publisher: Malwarebytes Corporation

InstallTime: 03/08/2011

UseSize: 4,69 MB

Helpinfo: ht*p://*ww.malwarebytes.org

UninstallCmd: "C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"

RegistryKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Malwarebytes' Anti-Malware_is1

----------------------------------------------

SoftName: Nero 9 Essentials

Version: 4.4.8.207

Publisher: Nero AG

InstallTime: 08/06/2009

UseSize: 5,51 MB

Helpinfo: ht*p://*ww.nero.com

UninstallCmd: C:\Program Files\Common Files\Nero\Nero ProductInstaller 4\SetupX.exe REMOVESERIALNUMBER="2M02-K0A3-UK97-9A6U-37MT-4M7M-WM53-645A-K1L9-P288-2P9U-AZ0M-1E68-AE4Z-0000"

RegistryKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{ed587317-96f3-4fd6-a2cb-db004519acb1}

--------------------------------------------------

5.Зеркальный Поисковый Критерий.

Или - принцип обратного поиска.

В Settings.ini

Указываются все разрешённые производители.

Например в Settings.ini указанны производители:

Panda Security, S.L.;

Topala Software Solutions;

Piriform Ltd.

Соответствено - при проверке, любой исполняемый файл подписанный неизвестным издателем будет считаться подозрительным - с внесением информации в Лог и соответствующею категорию.

*Для программ находящихся в автозагрузки = тех, что запускались.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

кое какие идеи пришли по составным критериям.

хотя сразу вопрос - для чего мы их будет использовать. для критериев поиска подозрительных файлов,

или для отбора и поиска файлов в списке автозапуска?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Добавить: Проверить все непроверенные "Известные" на VirusTotal.com

Добавлю.

Создать программу встроенную в uVS для загрузки файлов на Jotti

Лень, вот если уровень утомления от хронического переутомления VT превысит уровень нежелания этим заниматься вот тогда может быть.

3.-5.

Отклоняется.

santy

Чем дольше я думаю тем сомнительней мне кажется польза от "сложных" критериев.

Какие будут идеи? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
santy

Чем дольше я думаю тем сомнительней мне кажется польза от "сложных" критериев.

Какие будут идеи? :)

предложение по сути сервисное, и с запасом.

Произвольный запрос (query) по списку автозапуска, создаваемый пользователем. Причем можно сделать его не сохраняемым. в отличие от критериев поиска.

отчасти RP55 его ранее озвучил,

в моем представлении такие варианты:

1. в окне информация в контекстное меню добавить функции "Найти +", "Найти".

"Найти +" (создать запрос) будет означать открытие запроса.

фраза для запроса может состоять из нескольких выражений АТРИБУТ-ЗНАЧЕНИЕ, соединенных логическим И.

выражение АТРИБУТ - ЗНАЧЕНИЕ формируется аналогично критериям поиска.

"Найти" (выполнить запрос) закрывает поисковую фразу запроса, и выполняет запрос отфильтровывая список автозапуска.

Далее уже любой встроенный в uVS фильтр отменяет поисковый запрос, созданный пользователем.

Возможно, имеет смысл в настройках settings ввести переменную list_query (перечисляемый список), в который можно настроить список АТРИБУТОВ, по которым будет выполняться произвольный запрос. Только эти АТРИБУТЫ и высвечивать в окне при создании запроса.

ЗНАЧЕНИЯ автоматически попадают в редактируемые поля выражения АТРИБУТ - ЗНАЧЕНИЕ.

2вариант

"Найти" добавить в контекстное меню основного окна uVS, (можно рядом с пунктом "информация".)

добавить список list_query в settings, и открывать окно запроса (по горячей клавише или по контектной функции "Найти") только для перечисленных в списке полей. АТРИБУТЫ (читаемое поле) ЗНАЧЕНИЕ - редактируемое. (в это поле автоматически попадают значения по объекту списка)

И кнопка выполнить.

Условия отмены результата запроса то же, что и в первом варианте. Использование встроенного в uVS фильтра, отменяет произвольнй фильтр, созданный пользователем.

3вариант. использовать дефолтный список list_query. тогда уж надо договариваться какие АТРИБУТЫ включить в дефольтный список.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1.При формировании скрипта - а, именно в момент удаления объектов таких, как адреса сайтов.

delref HTTP://******.ru

указывать информацию без http://dsrt.dyndns.org]

delref http://HTTP://www.pandasecurity.com/activescan

delref http://HTTP://www.esetnod32.ru/.download/livecd/

deltmp

delnfr

regt 14

restart

2.Поиск всех файлов с наименованием: hosts.

* Не имеет значение,есть ссылка в реестре, или нет.

Быстрый поиск файла на NTFS разделах без использования индексирования.

При прямой работе с таблицей MFT раздела. ;)

С сохранением результата = содержания файла.

* Разбить структуру файла в образе:

_______________________________________________

#C:\WINDOWS\system32\drivers\etc

127.0.0.1 localhost

------------------------------------------------

#C:\WINDOWS\system32\hat

46.166.128.244 vkontakte.ru

46.166.128.244 vk.com

46.166.128.244 w**.vkontakte.ru

46.166.128.244 w**.vk.com

________________________________________________

3.Создать.

Новую категорию - "SHA1 файла НЕ найден на V.T//Jotti"

*Альтернативный вариант:

Добавить в линейку отвечающею за структуру списка:

Имя | Каталог |Статус |Производитель |Sha1:V.T//Jotti[-]

*Таким образом, появиться возможность - чётко, структурировать групповые объекты в каждой из категорий по данному значению.

4.Пример составного критерия.

Пример №1.

_____________________________________________

Имя файла: Accwiz.exe

Критерий: производитель

Атрибут: Корпорация Майкрософт

Переменная Атрибута №1: Microsoft Corporation

Переменная Атрибута №2: [ Параметр не активен ]

Переменная Атрибута №3: [ Параметр не активен ]

Переменная Атрибута №4: [ Параметр не активен ]

= |НЕ = _ДА_ |Содержит |

______________________________________________

Дополнительные параметры

Автоматически - проверять, при работе с образом _ДА_*

Автоматически - проверять, при работе с Live CD _НЕТ_*

--------------------------------------------------------

Пояснение: Атрибут, имеет переменное значение т.е. в данном случае для него допустимы 2 - ве переменные/равноправные значения в Атрибуте такие как:

Корпорация Майкрософт = Microsoft Corporation.

Соответственно, если для файла указан любой другой производитель - то такой файл автоматически попадает в "Подозрительные и вирусы"

* Лично, я считаю Пример/вариант N2. более простым/эффектным, однако привожу оба варианта.

----------------------------------------------------------------

Пример/вариант N2.

Критерий: производитель

Атрибут "A": AVG

Атрибут "V": ESET

Атрибут "С": Panda

= _ДА_ |НЕ = |Содержит |

Автоматически скрывать результат для: "V": ESET

Пояснение: В параметре производитель, заданно 3-три. постоянных значения

Это - AVG; ESET; Panda

Для значения ESET задан параметр:

"Автоматически скрывать результат для: "V": ESET"

Таким образом, имея в системе установленный антивирус от компании ESET мы - можем получить в результатах поиска данные о наличии, либо отсутствии результата для AVG; Panda.

Чёткий результат без захламления лога результатами от ESET.

*Фактически - речь идёт о стандартном поиске по критериям с возможностью _Скрыть часть - результата запроса_.

*Сделать возможным, как внесение данных нового критерия в базу snms.

Так, и возможность удалить поисковую настройку - например автоматически сбрасывать настройку при закрытии окна uVS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vc_

Просьба добавить в Uvs поисковые критерии по умолчанию, на самые распространенные зоны сокрытия и запуска зловреда.

или ссылку readme_help_chainik.txt

Не понятно из образов с заражениями, как формировался алгоритм лечения ????

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

santy

Идея понятна, подумаю.

Где размещение/нахождение подобного рода ссылки нежелательно...

Если кто захочет то все равно зайдет по ссылке, отклоняется.

2.Поиск всех файлов с наименованием: hosts

По поиску файлов я уже неоднократно отвечал.

3.Создать.

Отклоняется, можно ткнуть мышкой в производителя и все будет.

Чёткий результат без захламления лога результатами от ESET.

Ну-ну, очень смело :D

По критериям я еще долго буду "думать".

Просьба добавить в Uvs поисковые критерии по умолчанию

Поисковые критерии формирует сам оператор на основании личных предпочтений.

Вся необходимая информация по критериям есть в DOC\База поисковых критериев.txt

readme_help_chainik.txt

Не понятно из образов с заражениями, как формировался алгоритм лечения ????

uVS не для "чайников", поэтому если непонятно как он работает или как следует лечить даже после прочтения документации, то стоит подумать о смене инструмента.

uVS в неумелых руках не только бесполезен, но и крайне опасен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
g0dl1ke
uVS в неумелых руках не только бесполезен, но и крайне опасен.

например "случайно" добавить сигнатуру, explorer или svhost, потом произвести поиск и выдаст много похожих, опять таки системных файлов, а нажатие "убить все вирусы" - гарантированно убивает винду.

Так что, мой совет: читайте маны, читайте снова, а лишь потом добавляйте/удаляйте

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Не понятно из образов с заражениями, как формировался алгоритм лечения ????

Читайте: Пример 1-2.txt

Пример1_2.txt

Пример1_2.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Сегодня предлагаю к ознакомлению несколько простых предложений, чтобы uVS окончательно пошел в народ. :)

1.Теория.

На PC установлена одна система.

Система стоит на С:\

Сохраняем полную копию реестра.

Помещаем копию реестра в - K:\Windows\system32\config

т.е просто создаём папки с нужным названием и помещаем в них файлы реестра.

Далее запускаем uVS с параметром "Выбрать каталог Windows ( выбрана активная система )

И смотрим на то, что нам демонстрирует uVS.

А, суть басни в том, что все активные процессы остаются у нас на C:\

А вот все прочие на K:\

см.фото.444.

И в чём же суть?

Суть в том, что при работе с Live CD может иметь место фокус следующего порядка -.

К вам приходит человек с заблокированной системой.

Система стоит на диске E:\

При подключении этого HDD в качестве slave он определяется системой, как диск D:\

И...

В момент Трансляции имен дисков D превращается в C:\*

*Проще говоря определяется в качестве системного диска.

И, это при том, что все записи реестра относятся к диску E:\

Отсюда следует вопрос, что же у нас будет с записями реестра при отданной команде delnfr (удаление ссылок на отсутствующие объекты)...

А будет у нас крышка...

Или - очень может быть, что будет крышка.

Да и любая ДРУГАЯ операция с реестром вероятно приведёт к...

Отсюда вывод, при разблокировании PC отдавать команду delnfr

просто нельзя...

В противном случае будет произведена полная очистка реестра без возможности запуска PC.

Выглядеть это для uVS может так: "Невозможно подключить Software" Операция успешно завершена ;)"

-----------------------------------------------------------------

ПРОШУ, всех участников высказать принципиальное несогласие с подобной злостной инсинуацией! ;)

_________________________________________________________________

2.Добавить

В контекстное меню файла: "Скрыть все файлы данного производителя"

Для чего? - Например у нас всего 90 файлов 17 из которых имеют отношение к принтеру или модему.

Таким образом, при желании можно сразу сократить список до 73 файлов.

Убрав второстепенные объекты.

3.По поисковым критериям.

Перед нами задача: Найти файл, если известно, что его размер не менее 54kb и не более 72kb.

Таким образом, есть два варианта решения.

1-й: Искать всё начиная от 54;55;...60;...70...

Или сформировать практически 20-ть поисковых критериев.

*Понятно, что задача несколько утрированна.

Я же предлагаю сделать решение при помощи переменной, которая определяется значением числа 54<>72.

т.е uVS при аналогичной настройке покажет все файлы/объекты в рамках данного интервала.

3.Загрузчики.

При обнаружении загрузчика который не является системным

предлагаю сохранять объект в образе авто-запуска с аналогичным функционалом предусмотренным для системных загрузчиков.

* С ограничением добавления - по "весу" для данного объекта.

4.Возможность работы/изменения/корректировки сохранённой КОПИИ реестра для любой поддерживаемой версии Windows.

т.е. c возможностью указывать любой путь до файлов реестра.

т.е Вместо: Windows\system32\config

Дать возможность работать с любой папкой имеющей любое обозначение.

Суть предложения в рамках борьбы с вирусами:

Сохранить копию реестра активной системы в любой каталог - Самостоятельно - Отредактировать - значения/параметры и применить опцию: "Восстановить системный реестр из каталога"

Равно - сохранение с последующим ( например автоматическим ) создании полного образа авто-запуска по сохранённой копии.

т.е в меню uVS можно добавить пункт: "Создать полный образ авто-запуска из копии - с сохранением копии реестра"

5.Я так думаю, что нужно активно рекламировать -

Возможность полного/частичного восстановления файлов реестра из каталога:

System Volume Information

т.е. Извлечение файлов с их последующим автоматическим переименованием

из:_REGISTRY_MACHINE_SAM в SAM

из:_REGISTRY_MACHINE_SECURITY в SECURITY

из:_REGISTRY_MACHINE_SOFTWARE в SOFTWARE

из:_REGISTRY_MACHINE_SYSTEM в SYSTEM

из:_REGISTRY_USER_.DEFAULT в DEFAULT

с авто-заменой файлов, или параметров в C:\WINDOWS\system32\config

Например - при работе с системой - реестр которой имеет неисправимые повреждения.

*С опцией 1: предварительной обработки/очистки для _REGISTRY_MACHINE_***

по схеме, аналогичной той, что представлена в пункте 4.

С опцией 2: "Сохранить копию реестра из System Volume Information с проверкой работоспособности в... "

444.jpg

post-8956-1316114130_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В момент Трансляции имен дисков D превращается в C:\*

Если диск подключился как C: то да так и будет.

Отсюда вывод, при разблокировании PC отдавать команду delnfr

просто нельзя...

Можно, uVS разберется.

2.-3.

Отклоняется.

4.

Виртуализации достаточно, отклоняется.

5.Я так думаю, что нужно активно рекламировать -

А че ее реламировать, такая функция давно присутствует.

И объявление: поскольку я занялся крайне интересным коммерческим проектом в новой для меня области, то добавление новых существенных функций приостановлено на неограниченный период времени. Будут выходить только багфиксы с незначительными улучшениями.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg
добавление новых существенных функций приостановлено на неограниченный период времени.

Пичалька... :( Как раз мысли об некоторых новых функциях стали выкристаллизовываться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Vvvyg

Мысли высказывать можно всегда :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg
Vvvyg

Мысли высказывать можно всегда :)

Хорошо, одна из, имхо, не требующая больших трудозатрат на реализацию: добавить параметр командной строки для выполнения скрипта. Возможно, в скрытом режиме, без появления окна. Это подстраховка на случай появления зловредов, блокирующих окно выполнения скрипта. Для AVZ такой сюрприз уже существует. Ну и было бы полезно для тяжёлых случаев, когда "ничего не запускается", зависает при создании образа автозапуска и т. п. Можно было бы сделать предварительную зачистку вслепую скриптом с delvir и набором твиков, а дальше уже разбираться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit
Мысли высказывать можно всегда smile.gif

было бы не плохо при работе на живой системе :

ситуация - запускаю с сд программу она появляться и висит под баннером или зловред не дает ни чего нажать для продолжения запуска программы

предлогаю:

сделать таймер (3-5 сек) после которого (если пользователь не выполнил ни каких действий) программа сама включает все противодействия и продолжает загрузку с максимальными правами или подскажите как сделать такой батник ....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
uVS разберется.

Вот - сегодня ходил по необъятным просторам и увидел:

Для интереса можно посмотреть: Где С:\ + Х:\

://pchelpforum.ru/f26/t71077/

И ещё, не совсем понятно выражение uVS при работе с Live CD

"Отсутствует доступ к предположительно исполняемому файлу" .//..//.EXE

Аналогичную картину видел уже много раз.

Я так понимаю, что несмотря на Live CD при разборе путей и имён файлов могут быть трудности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
    • PR55.RP55
      Предлагаю автоматически ( при формировании скрипта  ) удалять  идентичные расширения браузеров по ID т.е. удаляем расширение из одного браузера = автоматически  удаляем это расширение из всех браузеров. https://www.comss.ru/page.php?id=12970 --------------- Возможно в Категориях по браузерам стоит собирать\ консолидировать все доступные данные по этому браузеру. т.е. не только данные о расширениях, но и назначенные задания; все подписанные или не подписанные файлы; Все файлы _которые есть в каталогах браузеров_; скрипты; ярлыки; групповые политики; сетевая активность и т.д.    
    • PR55.RP55
      Сделать чтобы start.exe  мог запускаться как firefox.exe; opera.exe и т.д. т.е. чтобы отслеживал в этом режиме перехват; внедрение и т.д. Пример: Есть проблема с отображением рекламы; накрукта роликов на youtube и т.д. в браузерах. И нам нужно видеть именно то, что реагирует на запуск браузеров. * При работе в данном режиме предварительно выгружать все браузеры.    
    • PR55.RP55
      По расширениям. Пример: Человек обращается за помощью - говорит, что в браузерах реклама, он все расширения отключал\удалял но это не помогло.  Да... но пользователь в браузере видит только часть расширений. Хотелось бы в Инфо. иметь информацию о статусе расширения - видит его пользователь или оно от него скрыто.
×