Новые функции в Universal Virus Sniffer (uVS)

[santy 151]

RP55,

Я не навязываю.

Просто РАНЕЕ поставил вопрос ребром: Или работаем без сигнатур, или с сигнатурами но.. обязательна корректировка сигнатуры.

не использовать сигнатуры - твое личное дело, можно вообще базу сигнатур обнулить, и работать с критериями... тогда не будут просыпаться сигнатуры в скрипт. удалять файлы через deldirex, delall, del.

[demkd 590]

santy

дык в том и дело, оператор сам включает эту опцию и сам включает белый список, поэтому я думаю проблемы в этом нет, а если белый список включен то и проверенный статус файл не получит изначально.

[demkd 590]

хотя нет, так не выйдет, если уж скрывать файл то в момент его детекта иначе в скрипт уже полетит и zoo и bl.

[santy 151]

demkd,

хотя нет, так не выйдет, если уж скрывать файл то в момент его детекта иначе в скрипт уже полетит и zoo и bl.

в этом есть минус, что файл скрылся до принятия решения хелпером.

(если только он не выбрал метод autoHide=1 через settings, т.е. автоматически применять,

тогда можно и до действия проверки по сигнатурам применить.)

когда мы видим ложный сигнатурный детект на проверенном файле, мы можем выбрать несколько вариантов действий:

- увеличить длину активной части (чтобы в будущем избежать ложного детекта);

- удалить вообще сигнатуру;

- вручную хайдить данный объект;

- использовать метод autoHide в автоскрипте

--------

то что добавлена сигнатура в скрипт и ZOO, это и нестрашно. можно руками удалить.

hide сделает свое дело.

bl можно исключить на стадии добавления в скрипт. (если статус файла - ПРОВЕРЕННЫЙ, то bl не добавлять в скрипт.)

(Я вообще не использую автоматом bl, только вручную добавляю.)

-----------

в дальнейшем, когда мы убедимся, что все это работает хорошо на 110%, можно перейти на режим работы с autoHide=1.

(возможно, кто-то кто изначально будет в этом уверен, сделает это сразу. )

[demkd 590]

santy

короче надо таки подумать еще, а пока релизну как есть.

[santy 151]

ok, ждем релиз.

[demkd 590]

santy

собственно уже можно качать или просто обновляться

[PR55.RP55 82]

Как я вижу работу с сигнатурой.

а) Есть база сигнатур sgnz - проверили список.

б) Увидели, что найдено ХХХ вирусов.

в) Применили команду: "Добавить проявленные сигнатуры в скрипт "

т.е. ВНАЧАЛЕ сигнатуры работают _только на поиск/обнаружение угроз в образе/системе.

Оператор видит, что было найдено - может оценить есть|нет ложные определения, увеличить длину сигнатуры и т.д.

И после этого...

Применяет команду: "Добавить проявленные сигнатуры в скрипт "

------

Речь идёт по сути о логической ошибке в работе uVS.

Нужно модифицировать команду "Проверить список "

Раз речь о проверке списка !

А, проверка списка и добавление сигнатуры в скрипт - это два разных действия//задачи.

------

Логика:

Оператор проверил список - при необходимости скорректировал сигнатуры - удалил не нужные >

И добавил _подготовленные сигнатуры в скрипт по команде: "Добавить проявленные сигнатуры в скрипт "

----

Ведь что _сейчас получается:

Проверили список...

В скрипт добавлена куча мусорных команд = ложные определения.

Нужно отменять команду - корректировать данные и только после этого _повторно проверять список и т.д.

[santy 151]

RP55,

в) Применили команду: "Добавить проявленные сигнатуры в скрипт "

это если не доверять сигнатурам. и каждый раз нажимать "добавить сигнатуры в скрипт".

можно было изначально планировать это действие (добавление сигнатур) именно режиме автоскрипта,

но тогда 2 года назад не вполне было понятно, что в итоге можно будет добавить в автоскрипт.

Только представление о том, что многие команды в скрипт можно добавить автоматически.

и сейчас можно так работать: убрать ложные, увеличить длину, и выполнить действие - отменить все.

считаю, что и сейчас все неплохо идет. autoHide=1 избавит скрипт от лишних ненужных команд, кому они мешают.

[PR55.RP55 82]

Santy

1) Что значит не доверять сигнатурам

Это как так ?

- Есть практика = статистика.

Ложные срабатывания случаются регулярно.

2) Я про автоскрипт пока не говорю - это отдельная тема.

3) Отменить _всё - отменяет всё.

А, если была добавлена новая сигнатура - и добавлена не в начале работы, а после того, как были отданы 15-20 команд ?

Вот нашли файл, в списке и добавили сигнатуру - а, сигнатура дала ложное определение...

Что всё отменим ? И с радостью ещё раз отдадим 20 команд ?

А при повторении ситуации ?

4) А hide - нужен тогда, когда нужен.

Добавлять в скрипт мусор и делать его нечитабельным не наш метод.

----

- Даже про Макаревича вспомнил - у него всё на УК. офигительно.

[santy 151]

RP55,

- Есть практика = статистика.

Ложные срабатывания случаются регулярно.

удаляем сигнатуры, увеличиваем длину сигнатур которые фолсят,

не создаем сигнатуры на файлах, по которым будет массовый фолс (префикс MSIL. по классификации ESET),

вообщем следим за актуальностью базы сигнатур. Это основной фильтр по детектированию вредоносных программ.

+

используем autoHide=1, когда это будет добавлено.

--------

[demkd 590]

PR55.RP55

Я намекну: кое кто забыл что есть клавиша Ctrl+Z.

полистаю на днях тему, да удалю эту гору хлама.

[PR55.RP55 82]

Я считаю, что написанное мной верно.

Есть проверка списка.

Есть добавление сигнатур.

----

Всё, действия оператора между этими двумя командами - сути не меняет.

---------------

Команды нужно разделить - думаю это очевидно.

Demkd пишет:

полистаю на днях тему, да удалю эту гору хлама.

Полистать - нужно, давно пора.

Удалять - ? Нельзя.

все темы взаимосвязаны.

[PR55.RP55 82]

1) Оптимизация.

Если отдать команду:

;uVS v3.83 [http://dsrt.dyndns.org]

;Target OS: NTv6.1

v383c

delall %Sys32%\DRIVERS\NETHFDR.DLL

Файл из списка будет скрыт.

--------------

--------------

А, так:

;uVS v3.83 [http://dsrt.dyndns.org]

;Target OS: NTv6.1

v383c

delref %Sys32%\DRIVERS\NETHFDR.DLL

del %Sys32%\DRIVERS\NETHFDR.DLL

Файл останется в списке...

При том, что и ссылки на файл удалены и сам файл удалён.

Так почему он остаётся в списке ?

- это нужно исправить.

[Smit 29]

demkd хотелось бы уже увидеть оптимизацию по поиску сигнатур а то ваши базы плюс пользовательские переваливают за круглую цифру, пара хеш тейбп применить процфес ускорит раз в 10 начальную проверку при включении программы,

также предлагаю улучшить фишку в меню [реестр] => [iNTEL] Включить поддержку AHCI .. расширить ее до [включить поддержку всех контроллеров] и чтобы это не было голословно вот сделанный мною рег фаил ,который применяю для переноса win7 на другое железо : http://rghost.ru/58032156

третье

очень не хватает работы с реестром в плане поиска : найти все ветки реестра с заданным параметром чтото типо этого:

[demkd 590]

Smit

я так понимаю разговор про базу проверенных файлов, да, когда-нибудь приделаю индекс.

второе особого смысла не имеет, раз достоточно простого reg файла вот с ahci есть проблемы на xp, но это уже совершенно неактуально.

третье а зачем? если есть regedit, который успешно справляется с поиском?

[Smit 29]

demkd второе особого смысла не имеет, раз достоточно простого reg файла

с регом не все так просто сначало надо подключиться к чужому реестру потом сделать экпорт реестра а тут одной кнопкой..

третье а зачем? если есть regedit, который успешно справляется с поиском?

если запись всего одна то поиска regedit достаточно но кагда надо найти 250 ключей по маске это становиться весьма трудным regedit сделает 250 запросов по одному на каждый (жать 250 раз ф3 ... подобный опыт уже имеется)

[PR55.RP55 82]

Одной из важных функций программы является поиск.

И как правило поисковые запросы повторяются.

- Переключение раскладки отнимает время.

- Набор текста - тоже время...

Можно _быстро отфильтровать список и найти нужный объект.

Можно найти объект даже если оператор забыл точное имя файла.

Предложение на фото.

---

Demkd

Я так думаю, это можно сделать в ближайшее время ?

[Smit 29]

demkd а может программа на прямую работать с рег файлами? или до точить такую функцию :

пункт меню применить reg фаил или путем перетаскивания его на программу идет применение reg фаила к подключенному реестру

[demkd 590]

Smit

в принципе можно сделать нечто с использованием regedit и предварительной обработки файла в случае неактивных систем, но current_user будет недоступен в данном случае.

[Smit 29]

Smit

в принципе можно сделать нечто с использованием regedit и предварительной обработки файла в случае неактивных систем, но current_user будет недоступен в данном случае.

LOCAL_MACHINE вполне достаточно в 99%

[PR55.RP55 82]

1) При выполнении скрипта автоматически выгружать:

WSCRIPT.EXE & cscript.exe и аналогичные по функционалу компоненты.

Уникальная возможность - можно удалить файл скрипта до завершения его работы.

То есть, скрипт сидит в памяти, а самого файла уже давно нет.

Соответственно, если удалить файл ( .js, .vbs, .wsf ) WSCRIPT.EXE & cscript.exe его восстановят ( если, есть такая операция по сценарию )

а) Взаимодействие с расширениями браузеров ( вкл /выкл)

б) Создание ярлыков изменение их свойств.

[PR55.RP55 82]

1) Зачастую при просмотре категории скрипты возникает вопрос является тот, или иной адрес/страница вредоносной и нужно ли её удалять ?

Как это проверятся ?

Только через работу с браузером - нужно скопировать адрес, открыть страницу и оценить её содержание.

- Можно настроить работу uVS через Sandboxie = Браузер в песочнице, чтобы обеспечить собственную безопасность.

- Предложение можно увидеть на фото.

1.1) Если адрес/ссылка фигурирует в Инфо. файла - реализовать возможность работы/вызов браузера.

[alamor 69]

Только через работу с браузером - нужно скопировать адрес, открыть страницу и оценить её содержание.

Отличное предложение, на своей реальной системе открывать вирусные страницы в браузере и смотреть. PR55.RP55, вы образы uVS всегда на виртуалке смотрите?

[mike 1 57]

Только через работу с браузером - нужно скопировать адрес, открыть страницу и оценить её содержание.

Я считаю не нужно это. Критерий создаете для для таких страниц и все.