Новые функции в Universal Virus Sniffer (uVS) - Страница 48 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

demkd

короче я таки понял чего PR хочет, он просто сказать как обычно не может.

чтоб ссылки на известные файлы не удалялись никакими командами, что-то типа защиты от дурака на месте хелпера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd, да понятно теперь уже :). А разве они не являются защищенными сейчас?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

santy

нет, есть восстановление ключей для некоторых файлов типа userinit и т.п. но для 99% файлов нет никакой защиты, оператор может вырезать любой файл какой захочет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Ещё раз.

1) Сигнатура не удаляет системные файлы.

2) Сигнатура _только_ для обнаружения заражения.

3) hide - может использоваться - в скрипте. - На хрена только там тогда сигнатура вообще ?

-----

Угроза исходящая от ИЗВЕСТНОГО/СИСТЕМНОГО файла удаляется не сигнатурой.

Угроза нейтрализуется путём:

Очистка файла/кода

Замена заражённого файла на чистый/оригинальный.

Ctrl+Del - удалить только сам файл.

------

Покажите мне пример ( хоть один ) на форумах, или ещё где, когда сигнатурой удаляется известный/системный файл.

Не по ошибке - а целенаправлено - есть такие примеры ?

-----

Для чего сигнатура нужна в скрипте ?

Demkd пишет: для 99% файлов нет никакой защиты,

Вот !

До кого ещё не дошло ?

Поднимите руки !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

PR55.RP55

короче я подумаю, скорее всего просто вставлю блок на удаление ссылок для delall/delref/delvir и не нужно будет давить ctrl+del удалится лишь сам файл в итоге.

а чтоб доходило быстрее надо именно так и писать одной строчкой, а не строчить опусы на 5 страниц нарезая круги вокруг этой одной строчки :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
g0dl1ke

краткость - сестра таланта

всем добра

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

в ряде случаев RP55 плохо понимают.

Поэтому пишу развёрнуто - с пояснениями и уточнениями.

Как итог - вообще не понимают.

---

А потом выясняется - что дело было не в написанном, а в том, что у всех разное понимание ситуации.

---

Просто есть варианты работы с сигнатурой.

1) Дурацкий - когда сигнатурой удаляют СИСТЕМНЫЙ файл со всеми его ссылками.

И сигнатура была целенаправленно извлечена именно из этого файла.

2) Сигнатура только, как маркер/определитель угрозы - её, или вообще нет в скрипте, или она присутствует с hide

Да, она была извлечена именно из этого файла - но только для Маркировки/Обнаружения.

3) Ложное определение/срабатывание - когда Системный файл попал под определение случайно.

а сигнатура извлечена из другого файла и рассчитана на борьбу совсем с другим файлом.

Здесь опять есть hide.

----

Я потому и писал все пункты по корректировке.

( но там корректировка рассчитана на работу со всеми файлами )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Demkd пишет:

скорее всего просто вставлю блок на удаление ссылок для delall/delref/delvir и не нужно будет давить ctrl+del удалится лишь сам файл в итоге.

Это плохо кончиться.

Сейчас в сети сотни тысяч версий uVS.

И не всегда Оператор смотрит лог ( да смотреть нужно но... )

Иногда Оператор забывает заглянуть в лог, или с устатку и т.д.

- А в ряде случаев у человека может быть 2-3 папки с антивирусными программами.

И там, в одной папке uVS 3.71 в другой 3.82.1 или...

Или сделал образ - случайно удалил программу - скачал для выполнения скрипта другую...

Образ может быть выполнен на одной версии, скрипт на другой.

В общем теоретически хорошо - практически амбец. системе.

Есть Del - вот пусть и остаётся.

-------

Я говорил о сигнатуре - вот для сигнатуры... Да.

Системные файлы должны быть от неё полноценно защищены - со всеми ссылками.

И нужно работать по/с корректировкой - обсуждать методы/варианты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

PR55.RP55

если в конечной версии нет затычки то ничего не поможет, соотв. в скрипт можно автоматически добавить строчку которая исключит исполнение скрипта на версии без затычки и все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

скорее всего просто вставлю блок на удаление ссылок для delall/delref/delvir и не нужно будет давить ctrl+del удалится лишь сам файл в итоге.

блок предполагается только для известных системных файлов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

santy

для всех известных файлов без исключения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

хм... забавно, а в delvir защита от удаления ссылок на известные файлы уже была встроена, удалялся только сам файл :D

как и сама кнопка "убить все вирусы" не трогала ссылки на известные файлы, так что добавлю защиту в delall и delref и все.

кстати и в delnfr защита была встроена давно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Выпущу еще одну бету и если до завтра ошибок не найдется то релизну.

В документации на LNK файл уже две ошибки нашлось, как делает доку майкрософт не понятно, пишут одно делают совсем другое. :facepalm:

Еще и руками потом допиливать пришлось для неактивных системы, какой-то ужас просто сотворили из банального ярлыка.

Бета круглая 32-я, а завтра 256-й день в году, день программиста :)

---------------------------------------------------------

3.83 BETA 32

---------------------------------------------------------

o Из окна информации о файле удалено лишние поле "Процесс".

o Исправлена функция разбора LNK файла, приоритет разборки целей

выставлен в соотв. с фактически действующим в Windows Vista-8.1, а не с тем,

что указан в официальной документации на формат LNK файлов.

o Добавлена функция исправления пути, неверно возвращаемых активной системой

до целевых файлов ярлыков (для _неактивных_ систем).

o Из окна информации о файле удалено лишние поле "Процесс".

o Исправлена ошибка при отдаче команд regedit-у и explorer-у в x64 системе.

(при работе с неактивной системой).

o В скрипт автоматически добавляется команда v383c препятствующая исполнению

скрипта на младших версиях uVS.

o Скриптовые команды delall, delref, точно так же как и команды delvir и delnfr,

теперь не удаляют ссылки на известные файлы. Т.е. в случае известного файла

delall удаляет лишь сам файл, а delref просто игнорируется.

o Новый параметр в settings.ini

[settings]

; Защищать известные файлы от действия команд delall и delref.

bProtectKnown (по умолчанию 1)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

Это хорошо.

А можно сделать по settings.ini так ? :

Команда - "Проверить список" _показывает найденные объекты в списке.

При этом, команды addsgn + ( все сопутствующие команды bl; Zoo и т.д ) в скрипт не добавляются.

т.е. Информация только для оператора.

2) А что, если сразу писать все команды скрипта в файл ?

Пример: DMITRY-PC_2014-9-9_21-57-52.rar

В заранее выбранном каталоге автоматически создаётся файл: Script.DMITRY-PC_2014-9-9_21-57-52.txt

т.е. Оператор пишет скрипт и каждая новая команда сохраняется файл.

Можно закрыть uVS - и скрипт САМ автоматически сохраниться в файл без доп. телодвижений.

Если, оператор открывает образ повторно, команды ( исключая дублирующие ) дописываются в скрипт.

2.1) Пишем скрипт > Закрываем uVS > Как появилось время, возвращаемся к образу автозапуска и продолжаем писать скрипт >

Причём работает Script.cache - т.е. нет необходимости повторно отдавать/применять команды.

ВСЕ операции с файлами прописаны в скрипте ( Script.DMITRY-PC_2014-9-9_21-57-52.txt ) и когда мы повторно открываем образ автозапуска

DMITRY-PC_2014-9-9_21-57-52.rar команды автоматически отрабатывают, как при стандартной работе над скриптом ( эмуляция )

( Причины: Скрипт длинный, срочно нужно уйти по делу; отключили свет и т.д )

+

Контроль стажёров.

Стажёр пишет скрипт - мы открываем образ + загружаем скрипт и видим результат - что было/будет удалено, что нет.

Образ + Эмуляция команд скрипта на образе = контроль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

PR55.RP55

это уже приступ лени, но моя лень сильнее, отклоняется :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

Да !

Матушку Лень нужно уважать.

---

А хоть один этот пункт:

Сделать по settings.ini так:

Команда - "Проверить список" _показывает найденные объекты в списке.

При этом, команды addsgn + ( все сопутствующие команды bl; Zoo и т.д ) в скрипт не добавляются.

т.е. Информация только для оператора.

Сигнатуры часто дают ложное определение - и потом их корректировать, или вносить правку или hide стрёмно. ;)

И когда 2-3 вируса/ADWARE их и отдельными командами легко удалить.

Тут вроде просто сделать ?

Проверили список - вывели/показали индикацию в списке - НО не прописали команды в скрипт...

- Оператор видит Что нашла сигнатура.

А удалять файл, или нет принимает решение сам. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
При этом, команды addsgn + ( все сопутствующие команды bl; Zoo и т.д ) в скрипт не добавляются.

дело даже не в лени,

это не есть хорошо, например в том случае, если под сигнатуру попадут несколько файлов, и только один из них допустим "известный".

он будет исключен из проверки через hide, по остальным сигнатура удалит прямой наводкой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

PR55.RP55

это поощряет нежелание пользоваться сигнатурами, я считаю это неправильно.

santy

по поводу скрытия попавших под детект, предлагаю встроить это в автоскрипт первым пунктом, все файлы попавшие под детект и при этом имеющие статус проверенный скрываются автоматически, а уж включен белый список или нет, дело оператора, конечно фича будет активироваться флагом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Santy пишет:

это не есть хорошо, например в том случае, если под сигнатуру попадут несколько файлов, и только один из них допустим "известный".

он будет исключен из проверки через hide, по остальным сигнатура удалит прямой наводкой.

Теперь уже я не понимаю, что написано.

---

Я, в своём переложении говорю, о том, что:

Оператор проверяет список по базе сигнатур > Видит результат ( например найдено три файла )

Но, команды в скрипт _НЕ добавляются...

т.е. Он видит картинку - что и как.

А какие команды: DELALL ; DEL или ещё какие отдать принимает сам. ( вместо delvir )

- Сигнатура _только_ для обнаружения угрозы - она индикатор/маркер.

Подход к удалению за оператором.

Demkd пишет:

это поощряет нежелание пользоваться сигнатурами, я считаю это неправильно.

Как это понимать ?

Сигнатура есть - но, на стороне Оператора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

это поощряет нежелание пользоваться сигнатурами, я считаю это неправильно.

мне это тоже не нравится. поясню почему. скрипт становится малочитательным, малоинформативным, (имена самих файлов ничего не говорят, зато сигнатуры по наименованию сразу же показывают какой тип заражения был), и практически не накапливается полезная информация на перспективу работы с новыми образами. RP55 умышленно принижает ценность сигнатур в работе uVS.

по поводу скрытия попавших под детект, предлагаю встроить это в автоскрипт первым пунктом, все файлы попавшие под детект и при этом имеющие статус проверенный скрываются автоматически, а уж включен белый список или нет, дело оператора, конечно фича будет активироваться флагом.

да. именно первым пунктом.

но.

без проверки по WS, некоторые адвары (те что с цифровой подписью) будут иметь статус ПРОВЕРЕННЫЙ,

а вот если список предварительно пройдет через контроль по WS (как это сейчас задано в settings),

то в автоскрипте достаточно будет проверить только по статусу: ПРОВЕРЕННЫЙ или нет.

но в этом случае получается, что метод autoHide мы применяем не только к файлам с надежной ЭЦП, но так же и к файлам SHA.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Santy пишет:

мне это тоже не нравится. поясню почему. скрипт становится малочитательным, малоинформативным, (имена самих файлов ничего не говорят, зато сигнатуры по наименованию сразу же показывают какой тип заражения был), и практически не накапливается полезная информация на перспективу работы с новыми образами. RP55, умышленно принижает ценность сигнатур в работе uVS.

а) Чьи слова : "Кто будет изучать скрипты - разве, что археологи "

+ У разных антивирусов - разное наименование угроз.

И совсем не обязательно, что оператор задаст точьное наименование.

Может быть и так, что сигнатура от одного вируса - сработает на другой.

- Сейчас многие вирусы представляю собой конструктор, фундамент которого идентичен.

---

Если говорить о вторичном анализе _собственных_ скриптов - то оператор может настроить settings.ini так, как ему угодно.

И мои настройки - это мои настройки.

-----

По накоплению информации.

Кто нибудь читает мной написанное ? ( Есть большие сомнения... )

_________

Я ГОВОРЮ: Оператор работает с базой сигнатур = с Сигнатурами !

_________

_НО_ на своей стороне.

Оператор пополняет свою базу сигнатур - проверяет с её помощью образ/список.

Оценивает результат - что было найдено.

И решает какие команды применить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

Кто нибудь читает мной написанное ? ( Есть большие сомнения... )

если ты имеешь ввиду твои предложения сегодня, то читаем целый день, и с пятого раза разбираем смысл предложения, чего уж говорить о тех предложениях что были даны по ссылкам.

что касается скриптов - то скрипты малочитабельны, хотя бы потому что приходится другим хелперам продолжать работу по теме, и по скрипту без наименований сигнатур сложнее понять решаемую проблему. Да, не все сигнатуры говорят о характере заражения, в особенности те, что вы используете автоматом от майл_ру, мусора с яндекса и т.д..

del, delall, delvir - это разные команды для удаления файлов, но лично я отдаю приоритет delvir хот бы потому что за один проход удаляется множество файлов, delall удаляет всего один файл, такой скрипт выполняется медленнее, потому что после каждой delall выполняется выгрузка и блокирование запуска, а после удаления - разблокирование запуска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Santy пишет:

но в этом случае получается, что метод autoHide мы применяем не только к файлам с надежной ЭЦП, но так же и к файлам SHA.

Зачем меня так пугать ?

( первая ссылка - пунк №7 )

http://www.anti-malware.ru/forum/index.php...st&p=179800

http://www.anti-malware.ru/forum/index.php...st&p=179812

http://www.anti-malware.ru/forum/index.php...st&p=180033

На горизонте брезжит свет понимания ?

-----------------------------

Есть люди которые с сигнатурами вообще не работают.

Например на forum.esetnod32.ru есть такой человек.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

Есть люди которые с сигнатурами вообще не работают.

да, есть, но ты единственный из них, кто навязывает всем другим работу с uVS без сигнатур.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

Я не навязываю.

Просто РАНЕЕ поставил вопрос ребром: Или работаем без сигнатур, или с сигнатурами но.. обязательна корректировка сигнатуры.

-----

А настройка по settings.ini - это дело каждого.

Как настроит оператор по своему выбору - так и будет работать программа.

Будут сигнатуры прописаны в скрипт, или сигнатура НЕ будет в скрипт прописана, а будет работать _только как маркер/определитель - в списке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×