Перейти к содержанию

Recommended Posts

demkd

короче я таки понял чего PR хочет, он просто сказать как обычно не может.

чтоб ссылки на известные файлы не удалялись никакими командами, что-то типа защиты от дурака на месте хелпера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd, да понятно теперь уже :). А разве они не являются защищенными сейчас?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

santy

нет, есть восстановление ключей для некоторых файлов типа userinit и т.п. но для 99% файлов нет никакой защиты, оператор может вырезать любой файл какой захочет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Ещё раз.

1) Сигнатура не удаляет системные файлы.

2) Сигнатура _только_ для обнаружения заражения.

3) hide - может использоваться - в скрипте. - На хрена только там тогда сигнатура вообще ?

-----

Угроза исходящая от ИЗВЕСТНОГО/СИСТЕМНОГО файла удаляется не сигнатурой.

Угроза нейтрализуется путём:

Очистка файла/кода

Замена заражённого файла на чистый/оригинальный.

Ctrl+Del - удалить только сам файл.

------

Покажите мне пример ( хоть один ) на форумах, или ещё где, когда сигнатурой удаляется известный/системный файл.

Не по ошибке - а целенаправлено - есть такие примеры ?

-----

Для чего сигнатура нужна в скрипте ?

Demkd пишет: для 99% файлов нет никакой защиты,

Вот !

До кого ещё не дошло ?

Поднимите руки !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

PR55.RP55

короче я подумаю, скорее всего просто вставлю блок на удаление ссылок для delall/delref/delvir и не нужно будет давить ctrl+del удалится лишь сам файл в итоге.

а чтоб доходило быстрее надо именно так и писать одной строчкой, а не строчить опусы на 5 страниц нарезая круги вокруг этой одной строчки :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
g0dl1ke

краткость - сестра таланта

всем добра

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

в ряде случаев RP55 плохо понимают.

Поэтому пишу развёрнуто - с пояснениями и уточнениями.

Как итог - вообще не понимают.

---

А потом выясняется - что дело было не в написанном, а в том, что у всех разное понимание ситуации.

---

Просто есть варианты работы с сигнатурой.

1) Дурацкий - когда сигнатурой удаляют СИСТЕМНЫЙ файл со всеми его ссылками.

И сигнатура была целенаправленно извлечена именно из этого файла.

2) Сигнатура только, как маркер/определитель угрозы - её, или вообще нет в скрипте, или она присутствует с hide

Да, она была извлечена именно из этого файла - но только для Маркировки/Обнаружения.

3) Ложное определение/срабатывание - когда Системный файл попал под определение случайно.

а сигнатура извлечена из другого файла и рассчитана на борьбу совсем с другим файлом.

Здесь опять есть hide.

----

Я потому и писал все пункты по корректировке.

( но там корректировка рассчитана на работу со всеми файлами )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Demkd пишет:

скорее всего просто вставлю блок на удаление ссылок для delall/delref/delvir и не нужно будет давить ctrl+del удалится лишь сам файл в итоге.

Это плохо кончиться.

Сейчас в сети сотни тысяч версий uVS.

И не всегда Оператор смотрит лог ( да смотреть нужно но... )

Иногда Оператор забывает заглянуть в лог, или с устатку и т.д.

- А в ряде случаев у человека может быть 2-3 папки с антивирусными программами.

И там, в одной папке uVS 3.71 в другой 3.82.1 или...

Или сделал образ - случайно удалил программу - скачал для выполнения скрипта другую...

Образ может быть выполнен на одной версии, скрипт на другой.

В общем теоретически хорошо - практически амбец. системе.

Есть Del - вот пусть и остаётся.

-------

Я говорил о сигнатуре - вот для сигнатуры... Да.

Системные файлы должны быть от неё полноценно защищены - со всеми ссылками.

И нужно работать по/с корректировкой - обсуждать методы/варианты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

PR55.RP55

если в конечной версии нет затычки то ничего не поможет, соотв. в скрипт можно автоматически добавить строчку которая исключит исполнение скрипта на версии без затычки и все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

скорее всего просто вставлю блок на удаление ссылок для delall/delref/delvir и не нужно будет давить ctrl+del удалится лишь сам файл в итоге.

блок предполагается только для известных системных файлов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

santy

для всех известных файлов без исключения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

хм... забавно, а в delvir защита от удаления ссылок на известные файлы уже была встроена, удалялся только сам файл :D

как и сама кнопка "убить все вирусы" не трогала ссылки на известные файлы, так что добавлю защиту в delall и delref и все.

кстати и в delnfr защита была встроена давно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Выпущу еще одну бету и если до завтра ошибок не найдется то релизну.

В документации на LNK файл уже две ошибки нашлось, как делает доку майкрософт не понятно, пишут одно делают совсем другое. :facepalm:

Еще и руками потом допиливать пришлось для неактивных системы, какой-то ужас просто сотворили из банального ярлыка.

Бета круглая 32-я, а завтра 256-й день в году, день программиста :)

---------------------------------------------------------

3.83 BETA 32

---------------------------------------------------------

o Из окна информации о файле удалено лишние поле "Процесс".

o Исправлена функция разбора LNK файла, приоритет разборки целей

выставлен в соотв. с фактически действующим в Windows Vista-8.1, а не с тем,

что указан в официальной документации на формат LNK файлов.

o Добавлена функция исправления пути, неверно возвращаемых активной системой

до целевых файлов ярлыков (для _неактивных_ систем).

o Из окна информации о файле удалено лишние поле "Процесс".

o Исправлена ошибка при отдаче команд regedit-у и explorer-у в x64 системе.

(при работе с неактивной системой).

o В скрипт автоматически добавляется команда v383c препятствующая исполнению

скрипта на младших версиях uVS.

o Скриптовые команды delall, delref, точно так же как и команды delvir и delnfr,

теперь не удаляют ссылки на известные файлы. Т.е. в случае известного файла

delall удаляет лишь сам файл, а delref просто игнорируется.

o Новый параметр в settings.ini

[settings]

; Защищать известные файлы от действия команд delall и delref.

bProtectKnown (по умолчанию 1)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

Это хорошо.

А можно сделать по settings.ini так ? :

Команда - "Проверить список" _показывает найденные объекты в списке.

При этом, команды addsgn + ( все сопутствующие команды bl; Zoo и т.д ) в скрипт не добавляются.

т.е. Информация только для оператора.

2) А что, если сразу писать все команды скрипта в файл ?

Пример: DMITRY-PC_2014-9-9_21-57-52.rar

В заранее выбранном каталоге автоматически создаётся файл: Script.DMITRY-PC_2014-9-9_21-57-52.txt

т.е. Оператор пишет скрипт и каждая новая команда сохраняется файл.

Можно закрыть uVS - и скрипт САМ автоматически сохраниться в файл без доп. телодвижений.

Если, оператор открывает образ повторно, команды ( исключая дублирующие ) дописываются в скрипт.

2.1) Пишем скрипт > Закрываем uVS > Как появилось время, возвращаемся к образу автозапуска и продолжаем писать скрипт >

Причём работает Script.cache - т.е. нет необходимости повторно отдавать/применять команды.

ВСЕ операции с файлами прописаны в скрипте ( Script.DMITRY-PC_2014-9-9_21-57-52.txt ) и когда мы повторно открываем образ автозапуска

DMITRY-PC_2014-9-9_21-57-52.rar команды автоматически отрабатывают, как при стандартной работе над скриптом ( эмуляция )

( Причины: Скрипт длинный, срочно нужно уйти по делу; отключили свет и т.д )

+

Контроль стажёров.

Стажёр пишет скрипт - мы открываем образ + загружаем скрипт и видим результат - что было/будет удалено, что нет.

Образ + Эмуляция команд скрипта на образе = контроль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

PR55.RP55

это уже приступ лени, но моя лень сильнее, отклоняется :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

Да !

Матушку Лень нужно уважать.

---

А хоть один этот пункт:

Сделать по settings.ini так:

Команда - "Проверить список" _показывает найденные объекты в списке.

При этом, команды addsgn + ( все сопутствующие команды bl; Zoo и т.д ) в скрипт не добавляются.

т.е. Информация только для оператора.

Сигнатуры часто дают ложное определение - и потом их корректировать, или вносить правку или hide стрёмно. ;)

И когда 2-3 вируса/ADWARE их и отдельными командами легко удалить.

Тут вроде просто сделать ?

Проверили список - вывели/показали индикацию в списке - НО не прописали команды в скрипт...

- Оператор видит Что нашла сигнатура.

А удалять файл, или нет принимает решение сам. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
При этом, команды addsgn + ( все сопутствующие команды bl; Zoo и т.д ) в скрипт не добавляются.

дело даже не в лени,

это не есть хорошо, например в том случае, если под сигнатуру попадут несколько файлов, и только один из них допустим "известный".

он будет исключен из проверки через hide, по остальным сигнатура удалит прямой наводкой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

PR55.RP55

это поощряет нежелание пользоваться сигнатурами, я считаю это неправильно.

santy

по поводу скрытия попавших под детект, предлагаю встроить это в автоскрипт первым пунктом, все файлы попавшие под детект и при этом имеющие статус проверенный скрываются автоматически, а уж включен белый список или нет, дело оператора, конечно фича будет активироваться флагом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Santy пишет:

это не есть хорошо, например в том случае, если под сигнатуру попадут несколько файлов, и только один из них допустим "известный".

он будет исключен из проверки через hide, по остальным сигнатура удалит прямой наводкой.

Теперь уже я не понимаю, что написано.

---

Я, в своём переложении говорю, о том, что:

Оператор проверяет список по базе сигнатур > Видит результат ( например найдено три файла )

Но, команды в скрипт _НЕ добавляются...

т.е. Он видит картинку - что и как.

А какие команды: DELALL ; DEL или ещё какие отдать принимает сам. ( вместо delvir )

- Сигнатура _только_ для обнаружения угрозы - она индикатор/маркер.

Подход к удалению за оператором.

Demkd пишет:

это поощряет нежелание пользоваться сигнатурами, я считаю это неправильно.

Как это понимать ?

Сигнатура есть - но, на стороне Оператора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

это поощряет нежелание пользоваться сигнатурами, я считаю это неправильно.

мне это тоже не нравится. поясню почему. скрипт становится малочитательным, малоинформативным, (имена самих файлов ничего не говорят, зато сигнатуры по наименованию сразу же показывают какой тип заражения был), и практически не накапливается полезная информация на перспективу работы с новыми образами. RP55 умышленно принижает ценность сигнатур в работе uVS.

по поводу скрытия попавших под детект, предлагаю встроить это в автоскрипт первым пунктом, все файлы попавшие под детект и при этом имеющие статус проверенный скрываются автоматически, а уж включен белый список или нет, дело оператора, конечно фича будет активироваться флагом.

да. именно первым пунктом.

но.

без проверки по WS, некоторые адвары (те что с цифровой подписью) будут иметь статус ПРОВЕРЕННЫЙ,

а вот если список предварительно пройдет через контроль по WS (как это сейчас задано в settings),

то в автоскрипте достаточно будет проверить только по статусу: ПРОВЕРЕННЫЙ или нет.

но в этом случае получается, что метод autoHide мы применяем не только к файлам с надежной ЭЦП, но так же и к файлам SHA.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Santy пишет:

мне это тоже не нравится. поясню почему. скрипт становится малочитательным, малоинформативным, (имена самих файлов ничего не говорят, зато сигнатуры по наименованию сразу же показывают какой тип заражения был), и практически не накапливается полезная информация на перспективу работы с новыми образами. RP55, умышленно принижает ценность сигнатур в работе uVS.

а) Чьи слова : "Кто будет изучать скрипты - разве, что археологи "

+ У разных антивирусов - разное наименование угроз.

И совсем не обязательно, что оператор задаст точьное наименование.

Может быть и так, что сигнатура от одного вируса - сработает на другой.

- Сейчас многие вирусы представляю собой конструктор, фундамент которого идентичен.

---

Если говорить о вторичном анализе _собственных_ скриптов - то оператор может настроить settings.ini так, как ему угодно.

И мои настройки - это мои настройки.

-----

По накоплению информации.

Кто нибудь читает мной написанное ? ( Есть большие сомнения... )

_________

Я ГОВОРЮ: Оператор работает с базой сигнатур = с Сигнатурами !

_________

_НО_ на своей стороне.

Оператор пополняет свою базу сигнатур - проверяет с её помощью образ/список.

Оценивает результат - что было найдено.

И решает какие команды применить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

Кто нибудь читает мной написанное ? ( Есть большие сомнения... )

если ты имеешь ввиду твои предложения сегодня, то читаем целый день, и с пятого раза разбираем смысл предложения, чего уж говорить о тех предложениях что были даны по ссылкам.

что касается скриптов - то скрипты малочитабельны, хотя бы потому что приходится другим хелперам продолжать работу по теме, и по скрипту без наименований сигнатур сложнее понять решаемую проблему. Да, не все сигнатуры говорят о характере заражения, в особенности те, что вы используете автоматом от майл_ру, мусора с яндекса и т.д..

del, delall, delvir - это разные команды для удаления файлов, но лично я отдаю приоритет delvir хот бы потому что за один проход удаляется множество файлов, delall удаляет всего один файл, такой скрипт выполняется медленнее, потому что после каждой delall выполняется выгрузка и блокирование запуска, а после удаления - разблокирование запуска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Santy пишет:

но в этом случае получается, что метод autoHide мы применяем не только к файлам с надежной ЭЦП, но так же и к файлам SHA.

Зачем меня так пугать ?

( первая ссылка - пунк №7 )

http://www.anti-malware.ru/forum/index.php...st&p=179800

http://www.anti-malware.ru/forum/index.php...st&p=179812

http://www.anti-malware.ru/forum/index.php...st&p=180033

На горизонте брезжит свет понимания ?

-----------------------------

Есть люди которые с сигнатурами вообще не работают.

Например на forum.esetnod32.ru есть такой человек.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

Есть люди которые с сигнатурами вообще не работают.

да, есть, но ты единственный из них, кто навязывает всем другим работу с uVS без сигнатур.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

Я не навязываю.

Просто РАНЕЕ поставил вопрос ребром: Или работаем без сигнатур, или с сигнатурами но.. обязательна корректировка сигнатуры.

-----

А настройка по settings.ini - это дело каждого.

Как настроит оператор по своему выбору - так и будет работать программа.

Будут сигнатуры прописаны в скрипт, или сигнатура НЕ будет в скрипт прописана, а будет работать _только как маркер/определитель - в списке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×