Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 82]

1) Статус.

Команда: Статус > Временно скрыть файл ( до принятия решения )

Команда: Статус > Временно скрыть все файлы каталога.

Примеры:

Есть ложное срабатывание - ( поисковые критерии ) и это ложное определение не даёт применить автоскрипт.

- Оператор временно скрывает файлы > пишет скрипт и после его написания возвращается к файлам и выполняет корректировку критерия.

---

Или нужно проверить файлы на V.T.

Но, именно эти файлы проверять не нужно - оператор их уже проверил - а проверка/запрос к V.T. - это время.

( особенно когда файлов много )

Когда файлов много их проще на время скрыть из списка.

---

Или фалы содержат доп. информацию/информацию к размышлению, и оператор к ним ещё вернётся - но именно сейчас они мешают...

[PR55.RP55 82]

1) "Всем файлам с учётом фильтра - присвоить статус ?ВИРУС? "

2) "Всем файлам с учётом фильтра - присвоить статус ПОДОЗРИТ "

Например - есть семь разных каталогов \Pirit\

В поиске забиваем Pirit - в списке остаются все каталоги...

Что это даёт: Можно применить автоскрипт - разом удалив все плохие файлы - а не тыркать 20 раз.

[PR55.RP55 82]

По Live CD

Сейчас для создания Live CD используются разного рода дополнения.

Предложение:

В меню uVS - выбираем: " Записать загрузчик на диск... "

После чего автоматически создаются каталоги.

В эти каталоги из САМОЙ системы копируются нужные файлы и драйверы оборудования.

---

например есть несколько дисков - в том числе usb

Оператор выбирает нужный диск и вперёд...

---

Таким образом решается основной ряд задач без привлечения программ/дополнений.

[santy 151]

RP55, что ты имеешь ввиду под программами/ дополнениями? AIK, WAIK, ADK? это ведь специализированные конструкторы для создания загрузочных дисков на базе Winpe. Надо ли избретать очередной велосипед?

[g0dl1ke 26]

имхо - uvs отлично работает под любым live cd, а уж как его сделать/получить/записать - дело оператора

ведь как минимум uvs рассчитана на продвинутых юзеров, а для них точно live cd не есть проблема

[demkd 590]

PR55.RP55

Мягко говоря это фантастика, а еще и нарушение копирайта

[PR55.RP55 82]

1) По белому списку ц. подписей.

а) Если был аннулирован сертификат - соответствующая запись из файла wdsl - должна быть автоматически удалена.

б) Возможность автоматически добавлять примечание к подписи. ( из инфо. )

Пример:

Artem Izmaylov

; Program Files\AIMP3

----

И сразу ясно - к чему относиться данная ц. подпись.

к какому продукту - как часто встречается в образах.

И если нужно будет найти/редактировать - это легко будет сделать.

Цифровых подписей тысячи - и нужно ВСЕГДА понимать с чем имеешь дело.

2) Счётчик файлов.

Сколько файлов в каталоге > Сколько было добавлено в список.

Как мы помним, несколько раз были случаи с когда uVS не видел файла из-за ошибки разбора имени.

Недавний пример это - 7z922.msi

Что это даст:

Оператор будет видеть: добавлено 21 файл, а всего в каталоге 22...

т.е. Если по Х причине файл не был добавлен то нужно будет найти файл и написать разработчику.

т.е. это нужно для тестирования = выявления ошибок в разборе имени.

3) bUseWDSList = 0/1

Должна быть реализована возможность выбора режима.

Да - Всё верно... значение или = 0 или = 1

Однако !

Не лезть же каждый раз в settings.ini.

---

Кроме того, разработчику следует понимать/учитывать период тестирования.

Когда оператор ищет/выбирает оптимальный подход.

- Оператор не только занимается тестированием - он ещё и работает.

- А работать оператор должен не нарушая привычного подхода.

- Не отвлекаясь - чтобы не допустить ошибки.

- Значит, оператор ИЛИ работает, или тестирует НОВЫЙ режим работы = подход.

Для этого - нужно, быстрое переключение на: так как было < - > так как сейчас !!!

Мы? этого просим, не по своей прихоти - а, по необходимости.

------

Всё верно - одни будут работать с bUseWDSList - другие не будут.

Но, вся эта чехарда может надоесть и например RP55 положит на тестирование.

Если мы по мере своих возможностей помогаем - тогда и нам нужно и можно помочь ?

Или я не прав ?

[demkd 590]

PR55.RP55

1. не нужно путать имя подписавшего и сертификат.

2. не имеет смысла

3. есть три варианта работы, 1- вообще игнорировать эцп, 2- использовать белый список, 3- доверять всем эцп, пытаться работать сразу с неск. вариантами это создавать себе проблемы, что касается тестирования то тестировать имеет смысл в отдельном каталоге, а не на рабочей версии.

[PR55.RP55 82]

Demkd

" тестировать имеет смысл в отдельном каталоге "

Согласен.

Но не всё так просто.

- имя подписавшего и сертификат

Может всё таки есть смысл в добавлении комментария ?

Для того, чтобы ориентироваться - что это и откуда ?

[demkd 590]

PR55.RP55

Что это даст? Имя в базу добавляется из окна информации конкретного файла, а удаляется очевидно при попадании на другой файл, который явно не вызывает доверия, что изменит наличие комментария? имя не удалят из базы из-за него? вряд ли, а какую полезную информацию он тогда несет, кроме траты места на диске и дополнительно когда в программе?

А если уж так очень хочется посмотреть чтож это за подписун такой, то тот же herdprotect в этом поможет

[PR55.RP55 82]

то тот же herdprotect в этом поможет

А, в какие сроки можно рассчитывать, что herdprotect в этом поможет ?

[alamor 69]

А, в какие сроки можно рассчитывать, что herdprotect в этом поможет ?

С помощью гугла прямо сейчас .

[PR55.RP55 82]

alamor

А я то думал !

----

Я к тому, что если есть файл, есть ц.подпись значит есть и SHA1

А по SHA1...

www.herdprotect.com/knowledgebase_resource.aspx?sha1=

www.herdprotect.com/knowledgebase_resource.aspx?sha1=41c2613c83bd3da8aceebce563c526d6a1bb1ace

[demkd 590]

PR55.RP55

как сканер он никакой, данные старые для большинства файлов... "five month ago", просто трата времени, до vt ему как до Китая на спине.

[PR55.RP55 82]

На V.T.

Проверяют - только то, что видят...

В диспетчере задач, или что _Кажется_ подозрительным.

Часто один и тот же файл проверяют 3000 раз подряд.

---

Сканер herdprotect - проверяет практически все файлы.

И и что касается ADWARE - то 80% свежих результатов можно видеть именно на herdprotect

Он может проверить ВСЕ файлы КАТАЛОГА Program Files\***

Что для V.T. нереально...

Ну проверит человек 1-2 файла программы и всё...

А сканер проверит все.

---

И есть практика - а на практике я каждый день работаю с herdprotect

Где посмотреть более свежее сканирование, где другие фалы этого производителя найти - чтобы составить полную картину и не судить по одному файлу.

---

[demkd 590]

PR55.RP55

я выборочно проверил несколько файлов, данные старые никакого интереса этот "сканер" не представляет.

[PR55.RP55 82]

Demkd

Да, может такое быть, что повторно файлы проверяются с некой задержкой.

Но у них своя логика проверки.

---

Дело не в этом - речь идёт о НОВЫХ ФАЙЛАХ SHA1

их поступлении.

Людей которые работают с herdprotect всё больше.

Если пол года назад 1000 000 файлов проходили проверку за 30 дней.

Сейчас за 10 дней проверяется миллион НОВЫХ файлов.

Вот о чём речь...

----

Пример:

У человека появились проблемы с системой.

Он проверяет сканером.

Сканер находит _новые_ ( неизвестные их базе файлы ... )

База пополнилась новыми файлами.

----

Может с повторной проверкой и не всё слава богу ( что нужно ещё проверять )

Зато более чем в порядке с притоком новых SHA1 (Что наиболее актуально при наличии подписанных ADWARE программ.)

И уже V.T. здесь отдыхает.

----

И речь не о панацее...

А о хорошем дополнении !

Не нашли на V.T. - нашли на herdprotect и наоборот.

[demkd 590]

PR55.RP55

хорошо, давай о новых файлах, вот мне прислали два файла:

L2NANDUI.BKE._92182F975AB0D62502F9F3E2C050EE8EEC28AA63

WSMDPWEB.TAP._6DFDFA1E2691D5FC643C571EA9C8084051265DB8

а их на протекте нет хотя на vt они уже как неделю валяются это смешно, аналог вирскана,

а статистику можно нарисовать любую, чего они там проверяют никто не знает

короче не будет больше онлайновых сканеров, vt+jt более чем достаточно.

[PR55.RP55 82]

herdprotect - это западный сканер.

Его аудитория - это на 92% западные станы.

Значит из 100 файлов 92 файлы актуальные для Систем работающих там.

---

противоречие ?

Нет противоречия !

Сейчас вирусы ( на форумах - в темах лечения практически не встречаются )

Может 1-2 вируса в сутки. ( неизвестно почему - но это так )

Зато ADWARE ( по числу файлов ) доходит до 500.

---

А, ADWARE как раз и иду к нам с запада...

Вот файл список ( в теме )

Откуда всё идёт ?

да с запада и идёт зараза.

---

Вирусы здесь не пример.

Нужно смотреть SHA1 ADWARE = сравнение итогов/результата c V.T.

___Adware1.txt

___Adware1.txt

[santy 151]

demkd,

а что, если в секции Инфо имена загруженных dll помещать в столбце значений (указывать полный путь), а не аргументов? в этом случае по наличию некоторых dll можно было бы добавить критерии для неблагонадежных процессов.

RP55,

Сейчас вирусы ( на форумах - в темах лечения практически не встречаются )

о каких форумах речь? совсем недавно форумы ESET и ВирусИнфо были забиты темами с Corkow. Специализированные же форумы более всего забиты шифраторами.

[demkd 590]

santy

оно и так работать будет, создать критерий а в значении просто прибить букву диска, чтоб не зависело от буквы и все и оставить "содержит"

[santy 151]

demkd,

угу, можно и так выкрутить критерий, единственно, что в этом случае условие может быть составным, поскольку пути могут быть разные для загружаемой dll.

[demkd 590]

santy

разные пути это уже могут быть и разные dll, в любом случае можно оставать только символ "\" и будет любой путь.

[santy 151]

demkd,

да, можно так же создать критерий по имени данной dll и по входимости ее в процесс "/"

[santy 151]

demkd,

теперь, когда белый список ЭЦП материализовался, еще одно пожелание:

добавить в автоскрипт обработку по белому списку объектов со статусом ?ВИРУС? и sgn_detected для автоматического исключения ложных детектов. (по сигнатурам и критериям).

с объектов ?ВИРУС? снимается данный статус если ЭЦП есть в белом списке.

объекты со статусом sgn_detected автоматически скрываются командой hide до начала цикла chklst & delvir