Новые функции в Universal Virus Sniffer (uVS)

[alamor 69]

PR55.RP55 а почему вы исключаете вероятность, что удаляемые файлы могут как раз понабиться программе для корректной деинсталляции?

[PR55.RP55 82]

alamor

Я и не исключаю.

всякое может быть.

А вообще лучше всё удалить вместе с uninstall.exe

[PR55.RP55 82]

herdprotect.com - 13 000 000 файлов.

[demkd 590]

PR55.RP55

deldirex останется как есть, разве что будет добавлено удаление ссылок на попавшие в список,

хердпротект как я ранее говорил может идти лесом до появления api.

[PR55.RP55 82]

Demkd

Но в контекстном меню файла можно сделать: " Открыть страницу поиска в http://www.herdprotect.com/knowledgebase.aspx "

При этом копируется в буфер обмена SHA1 - выбранного файла.

И всё.

Больше на данный момент и не требуется.

---

В браузере откроется страница с полем ввода поискового запроса > оператор заполнит поле данными из буфер обмена > получит результат.

[demkd 590]

PR55.RP55

в сад.

[santy 151]

demkd,

такое предложение:

добавить в секцию "статус" функцию - все файлы в текущем каталоге (и подкаталогах) в подозрительные.

при этом: со всех файлов снимается статус ПРОВЕРЕННЫЕ (если таковой есть - возможно файлики под "крышей" цифровой подписи)

это полезно будет в том случае, когда часть (или один из) файлов попала под действие сигнатур, а другая под прикрытием цифровой подписи.

сейчас приходится переходить во вкладку все, убирать галку скрыть проверенные, сортировать список по полю "каталог", и фильтровать по фразе из каталога. Чтобы посмотреть, что из файлов еще есть в данном каталоге.

функцию полезно будет вызвать из категории "подозрительные и вирусы"

пример такого образа:

1____2014_07_28_21_12_27.rar

1____2014_07_28_21_12_27.rar

[PR55.RP55 82]

Santy пишет:

добавить в секцию "статус" функцию

А причём здесь статус ?

Команду в меню файла.

---

Ещё:

1) "Найти в списке все файлы с цифровой подписью, по файлу попавшему под сигнатурное определение"

т.е. Есть сигнатура - проверка списка выявила файл подпадающий под сигнатуру - у файла есть ц. подпись.

Оператор подозревает, что есть ещё файлы с данной ц.подписью - их нужно найти.

Он отдаёт команду: "Найти в списке все файлы с цифровой подписью, по файлу попавшему под сигнатурное определение"

Все выявленные файлы попадают в список со статусом ?ВИРУС?

[santy 151]

А причём здесь статус ?

1. потому что часть подобных операций собрана в секции "статус".

2. не факт что все файлы из данного каталога окажутся с цифровой, а посмотреть желательно все, что есть в образе по текущему каталогу.

эта команда

1) "Найти в списке все файлы с цифровой подписью, по файлу попавшему под сигнатурное определение"

перекрывается

кк раз тем, что все файлы из каталога и подкаталога попадут в подозрительные, и их можно будет проверить на VT, можно будет добавить в случае необходимости цифровую подпись в критерии.

[PR55.RP55 82]

Статус - можно и через статус.

Только лучше ? им присвоить статус ?ВИРУС? - чтобы была возможность задействовать автоскрипт ?

не факт что все файлы из данного каталога окажутся с цифровой, а посмотреть желательно все, что есть в образе по текущему каталогу.

Если у них нет цифровой - они будут в списке - но вот собрать их в одном месте...

Да - это хорошо.

Чтобы не возиться с фильтром.

---

Или несколько команд на выбор.

Или даже одну команду + ;+ ;+

"Все файлы данного производителя...

"Все файлы данной ц. подписью...

"Все файлы данного каталога...

...

[santy 151]

Или несколько команд на выбор.

Или даже одну команду + ;+ ;+

"Все файлы данного производителя...

"Все файлы данной ц. подписью...

"Все файлы данного каталога...

все файлы каталога как раз проще перебросить в подозрительные это будет гораздо быстрее

- не надо лопатить весь список в поисках нужной цифровой,

аналогично и пои производителю, не все файлы из каталога могут быть подписаны нужным производителем,

[PR55.RP55 82]

Общая команда: "Взять файл за основу - найти и сгруппировать по типичным - общим признакам файлы/объекты, присвоить им статус ?ВИРУС? "

[santy 151]

Общая команда: "Взять файл за основу - найти и сгруппировать по типичным - общим признакам файлы/объекты присвоить им статус ?ВИРУС? "

в этом нет острой необходимости. для этого есть критерии.

[PR55.RP55 82]

Santy пишет:

все файлы каталога как раз проще перебросить в подозрительные это будет гораздо быстрее

Проще ?

Да проще !

В том случае когда есть 1-2 каталога под обработку.

А если каталогов больше ?

Santy пишет:

в этом нет острой необходимости. для этого есть критерии.

Да. Есть.

Только их ещё настроить нужно.

---

А так - выявил...

Прибил.

И после этого при необходимости можно создавать критерий поиска.

На создание критерия нужно время - на проверку его работоспособности - нужно время - на его корректировку...

Когда этим заниматься - если нужен готовый скрипт - а не пляски ?

[santy 151]

RP55,

И после этого при необходимости можно создавать критерий поиска.

надо ли объяснять для чего создаются критерии? чтобы их использовать в дальнейшем на всю оставшуюся жизнь.

В том случае когда есть 1-2 каталога под обработку.

А если каталогов больше ?

если это не system32 или program files, то думаю, немного максимум один-два десятка файлов будет из одного каталога и подкаталогов.

[PR55.RP55 82]

Demkd

herdprotect.com/knowledgebase_resource.aspx?sha1={searchTerms}

Пример:

herdprotect.com/knowledgebase_resource.aspx?sha1=dc84248755fc3974655360d8eb0412d476c5cad3

http://www.herdprotect.com/knowledgebase_r...b0412d476c5cad3

( Ну будем считать, что давлю на психику )

[santy 151]

RP55,

На создание критерия нужно время - на проверку его работоспособности - нужно время - на его корректировку...

Когда этим заниматься - если нужен готовый скрипт - а не пляски ?

сам же просил режим работы uVS. создать образ, и перейти в режим работы с образом. написать скрипт.... вернуться в режим работы с реальной системой. Это более затратный по времени вариант. Но когда работаешь с реальной системой непосредственно с рабочего стола, там уже другие алгоритмы. Пожалуй 1: 50 у меня таких случаев бывает. 1 случай лечения реальной системы к 50 случаев работы с образом.

[santy 151]

RP55,

Общая команда: "Взять файл за основу - найти и сгруппировать по типичным - общим признакам файлы/объекты, присвоить им статус ?ВИРУС? "

здесь лучше использовать наработки в uVS, которые уже есть, а именно, алгоритм формирования критерия из окна "Инфо".

пока нет условия для select, команду выполнить select можно либо деактивировать, либо вообще еще не добавлять в меню.

после того как создано первое условие для select, активировать функцию "добавить в select".

т.о. новое условие будет добавлено полностью используя интерфейс создания критериев.

выполнить select формирует отбор по всему списку или по текущей категории. как будет удобно.

----------

другой вопрос: где хранить формируемое условие для селекта. это на усмотрение разработчика, как ему удобнее это сделать.

можно, например временно хранить в структуре, аналогичной snms. _snms

[PR55.RP55 82]

santy

Мы снова всё усложняем.

Нужно максимально простое и быстрое в исполнении поисковое решении.

Оператор пишет скрипт > попадается объект с ц. подписью > Оператор понимает - могут быть ещё объекты с данной ц. подписью.

Их нужно быстро найти - причём найти так чтобы поиск не помешал дальнейшей работе над скриптом.

И не пришлось повторно проводить ранее выполненные операции.

Команда должна быть применена быстро - иначе в ней нет смысла.

Команда не должна иметь трактовку - т.е. приводить к ложным срабатываниям и определениям.

Значит команда должна быть доступна в меню файла ( речь может идти и о доп.меню - статус )

Поля для поиска:

Производитель

+

Цифровая подпись.

---

Здесь нужен шаблон поиска.

В этой схеме оператор НЕ формирует критерий - он отдаёт команду и программа автоматически подставляет значение в шаблон* в поле:

Производитель

+

Цифровая подпись.

( * Оператор этот шаблон не видит - заполнение полей автоматическое )

По команде:

"Найти все файлы данного производителя"

программа производит поиск - и выдаёт результат в категорию: "Подозрит. и вирусы "

Автоматически изменяя статус найденных объектов на ?ВИРУС?

- таким образом, для найденных объектов может быть применён автоскрипт.

---

После того, как скрипт написан - оператор может заняться формирование постоянного поискового критерия.

Его проверкой - и при необходимости корректировкой.

---

В чём основное заблуждение ?

Есть работа по написанию скрипта.

Есть работа по формированию/проверке критерия.

Это разные задачи.

Если требуется задать сложный критерий - и найти группу объектов - задача далеко выходит за рамки написания скрипта.

И значит нужно создать критерий - и только после этого приступать к работе со скриптом.

[santy 151]

RP55,

santy

Мы снова всё усложняем.

Нужно максимально простое и быстрое в исполнении поисковое решении.

Оператор пишет скрипт > попадается объект с ц. подписью > Оператор понимает - могут быть ещё объекты с данной ц. подписью.

это не усложнение, а использование универсального подхода: минимум дополнительного кода, использование уже ранее проверенного алгоритма создания сложного условия для запроса. А форму инфо все равно придется открыть, чтобы увидеть какая цифровая по данному объекту и прочая информация, и здесь же создается запрос.

запрос так же охватывает все возможные поля, а не только цифровую и производителя. тот же каталог, сходные имена и прочее.

[PR55.RP55 82]

Santy пишет:

это не усложнение, а использование универсального подхода: минимум дополнительного кода, использование уже ранее проверенного алгоритма создания сложного условия для запроса. А форму инфо все равно придется открыть, чтобы увидеть какая цифровая по данному объекту и прочая информация, и здесь же создается запрос.

запрос так же охватывает все возможные поля, а не только цифровую и производителя. тот же каталог, сходные имена и прочее

---

В чём основное заблуждение ?

Есть работа по написанию скрипта.

Есть работа по формированию/проверке критерия.

---

" увидеть какая цифровая по данному объекту "

Зачем ?

Подпись может быть любая - хоть: ААААА хоть ВВВВВ

Дело не в этом.

Дело в группировке - по признаку.

Сгруппировать по команде: "Найти все файлы данного производителя"

И потом смотреть.

---

" запрос так же охватывает все возможные поля..."

Это вне рамок работы со скриптом - это задача по формированию критерия поиска и его отладке.

Это может быть группа каталогов, или группа файлов со сходными именами.

- Если объект/ситуация встречается - первый и последний раз...

То и критерий не нужен.

[santy 151]

+

если будет добавлено настраиваемое действие для критериев, оно будет и здесь в запросе select. т.е. можно вместе с временным критерием установить еще и действие над отбираемыми по временному критерию записями.

" увидеть какая цифровая по данному объекту "

Зачем ?

Подпись может быть любая - хоть: ААААА хоть ВВВВВ

а смысл добавлять в запрос цифровую, если ты не знаешь есть она в образе или нет.

логика здесь простая: увидел объект с цифровой, делаешь запрос из инфо.... там данная цифровая автоматически попадет в критерий.... делаешь запрос: и получаешь все записи с данной цифровой.... если уверен, что это левая цифровая, значит сразу в условии прописываешь действие - изменить статус на ?ВИРУС? для выбранной группы.

[PR55.RP55 82]

Даже на стихи пробило:

В огороде городили -

Городили целый день.

А чего не с городили...

То, пустили на плетень...

Корни - Ветки и сучки.

Заводные мужички.

Пляски, в поле, в поте лиц.

До вечерних до зарниц...

--------

А если по сути: " Не в коня Аллигатор "

Это как снежный ком.

Всё растёт... растёт...

Куда ещё городить ?

а смысл добавлять в запрос цифровую, если ты не знаешь есть она в образе или нет.

Если её нет...

Есть поле производитель...

Если поля:

Ц. подпись и производитель пусты/не заполнены.

То и команда не отработает...

В этом в плане НЕ важно какой производитель, или какая ц. подпись - главное ЕСТЬ данные или нет.

[santy 151]

RP55,

Даже на стихи пробило:

складно получается, может попробуешь очередное новое предложение по uVS в таком жанре оформить?

[PR55.RP55 82]

santy

Предложения так оформлять - может и не стоит.

Но на заказ - могу стих написать. ( хоть десять )

Заказывается стиль - и в перёд !