Перейти к содержанию

Recommended Posts

MORDRED

Автору спасибо за программу, на днях гляну ее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

незнайка

Не знаю, не пробовал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

предложение:

вынести в настройки settings.ini подачу звукового сигнала при проверках: включить, выключить. Иногда бывает полезно отключить. (шо бы не потревожить сон коллег, рядом работающих. :))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
незнайка

demkd

А нельзя добавить в меню режима запуска "выбрать удаленный компьютер" возможность помнить определенное количество (с возможностью регулирования этого количества в настройках) компьютеров к которым админ подключался по сети. А если бы предусмотреть в основном меню возможность работы с адресной книгой (по примеру Радмина), с возможность подключения внешнего файла со списком ip адресов, то все админы наверное скинулись бы Вам на боченок с пивом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg
А если бы предусмотреть в основном меню возможность работы с адресной книгой (по примеру Радмина), с возможность подключения внешнего файла со списком ip адресов,

Админам, не чурающимся командной строки, вполне хватает ключей start.exe /c computername /p user password :rolleyes: - а вот к ним бы ключ, позволяющий сохранить образ автозапуска в файл и выйти из программы, тогда бы проверку можно было автоматизировать и отщедулить...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
незнайка
Админам, не чурающимся командной строки, вполне хватает ключей start.exe /c computername /p user password :rolleyes: - а вот к ним бы ключ, позволяющий сохранить образ автозапуска в файл и выйти из программы, тогда бы проверку можно было автоматизировать и отщедулить...

По второму пункту все верно, поддерживаю. По первому: это что на каждый комп отдельный батник создавать, муторно всё это.. Ждем мнение автора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
предусмотреть в основном меню возможность работы с адресной книгой

подумаю.

а вот к ним бы ключ, позволяющий сохранить образ автозапуска в файл и выйти из программы

подумаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
незнайка

demkd

Неволей возвращаюсь к моему сообщению от 11.10.2011 про отладчики системных процессов.

Сегодня столкнулся компом, на котором не грузился рабочий стол. Зато запускался диспетчер задач, я запустил UVS, однако ничего подозрительного там ни нашел. Мой скромный опыт подсказывает, что в таких случаях необходимо смотреть параметр shell, а также в ключе ;HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options необходимо удалить запись explorer.exe

Я дабы не тратить попусту время запустил AVZ, где быстро, используя скрипт №9. Удаление отладчиков системных процессов", а также №16. Восстановление ключа запуска Explorer", проблему устранил.

Совсем не хочется пользоваться AVZ, поскольку всю необходимую работу по отлову зловредов я делаю в ювс, но пока без первой в таких случаях никак не обойтись.

В связи с этим вопросы: Есть ли возможность из UVS, восстановить параметры запуска explorera? А также оперативно разобраться с отладчиками?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
demkd

Неволей возвращаюсь к моему сообщению от 11.10.2011 про отладчики системных процессов.

Сегодня столкнулся компом, на котором не грузился рабочий стол. Зато запускался диспетчер задач, я запустил UVS, однако ничего подозрительного там ни нашел.

неплохо было бы добавить образ автозапуска системы в качестве иллюстрации к случаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg

demkd, с офсайтом надолго проблемы? И обновление баз будет в скором времени?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
незнайка

santy Увы, об этом как то не задумывался. Их столько приходиться чинить, что уж тошно от этого автозапуска.. Но виря там точно не было, юзер сказал, что ставил какую то прогу для ограничения прав пользователя, а потом снес. При перегрузе пропал стол. Судя по оставшимся путям, в корне винды была папка SHIM, я так понял, что это прога и была.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Есть ли возможность из UVS, восстановить параметры запуска explorera?

Alt+T и соотв. твик.

А также оперативно разобраться с отладчиками?

Если бы они были то они были бы в подозрительных, вообще лучше выкладывать образ.

с офсайтом надолго проблемы? И обновление баз будет в скором времени?

проблема не с сайтом, а с доменным именем, dyndns заблокировал мой акк, если не одумаются то имя сервера будет изменено, либо сервер будет закрыт и все файлы тупо переедут на обменник, меня в последнее время уже утомили заблокированные акки по надуманным причинам. :banned:

И обновление баз будет в скором времени?

Да, обновление баз планируется на выходных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1.Поиск по MD5 и имени файла.

://systemexplorer.net/filedb.php

В базе 2.3 миллиона...

Возможно, uVS сможет работать с данным сервисом ?

Хотя, результат не всегда отображается в том виде, в каком бы этого хотелось...

Но, база действительно очень приличная...

см. фото 1systemexplorer.jpg

2. см.фото 2.

При копировании информации _Полный путь_

Предлагаю добавить, возможность скопировать путь, в виде - максимально удобном для поиска информации по объекту в сети.

т.е. в виде цитаты:

":\WINDOWS\SYSTEM32\DRIVERS\APPDRV.SYS"

*Автоматически, удаляется имя диска и строка оформляется в виде цитаты для поисковика: " ? "

3.Формировать и сохранять список:

"Системные Каталоги/Подкаталоги"

С разбивкой по типу.

Известные:

Известные отсутствующие: ( например папка Windows Temp и пр.)

Не известные: ( в том числе - содержащие файлы со статусом "Активные" )

4.Добавить новую категорию к уже имеющимся в программе:

"Файлы без производителя"

"Фалы без проверенной подписи"

----------------------------------------------

"Файлы с устаревшим сертификатом"

5.Автоматически добавлять в список проверки, все исполняемые файлы из папок "shared"

* В том числе и при формировании образа !

6.При работе с образом.

"Добавить хеш файла в базу проверенных"

Добавить, в настройки, опцию позволяющею отключить данную возможность.

* А то, так случайно, можно в базу SHA1 такого добавить...

7.База сигнатур.

Периодически бывают ложные срабатывания...

Предлагаю, помимо сигнатуры автоматически сохранять и хеш вируса.

Таким образом - при проверке списка будет производить и проверка фала по хешу.

**Уже сейчас база позволяет записывать/добавлять комментарии к сигнатуре.

Предлагаю, автоматически добавлять "комментарий по sha1" - в базу, с последующем авто выводом информации с

результатами СРАВНЕНИЯ sha1 в лог/информацию по файлу.

***Что даст максимально возможную точность определения.

8.Автозауск.

"Основной Автозапуск"

"Весь Автозапуск"

Эти, две строки в меню uVS размещать рядом.

*Если человек просматривать Автозапуск - то пусть всё и сморит!

А не дёргается по всему списку...

9.Видимо обмен данными с Jotti при проверке по хешу намного эффекивнее работает, чем при обращении к V.T.

Есть ли возможность оптимизировать работу uVS с V.T. ?

Или проблема в самом V.T ?

10.При копировании объекта в Zoo - В файл содержащий комментарий по объекту предлагаю вносить информацию по

дате/времени помещения объекта в Zoo, а также Имя системы.

Например:

LENOVO-ПК

explorrer.exe 2011-10-21_17-01-28 Zoo.

11.Возможность скопировать информацию по установленной программе/программам.

* Полезно для поиска = экономия времени и пр...

12.Записывать сигнатуры в скрипт в виде столбцов

" addsgn

1BFF7D9A55695C320B83EFE527875

F2566A5BFDDA2C92D58D7B6AB910

4BF1C290364BA244A30F0670BA8E7

B66655268A04AD81153DAE904E545

7F756A5675116 8 Bam.Vir "

Для чего: При сохранении скрипта на странице сайта - Длинные строки автоматически переносятся

что может привести к ошибке при выполнении )

Таким образом, сократив длину строки удастся избежать данной ошибки.

P.S.

Мне вчера сказали, что компания Kaspersky недавно зарегистрировала патент на применение локальной базы sha1 в рамках проверки PC.

Что позволяет увеличить скорость сканирования и нагрузку на "Облако".

Удивительное совпадение...

1systemexplorer.jpg

2.JPG

post-8956-1319274100_thumb.jpg

post-8956-1319274113_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg
Или проблема в самом V.T ?

Он висит периодически, либо недоступен. Перегружен, да ещё DDOSят, наверное. Я б на месте вирусописцев просто долбил бы VT запросами во много потоков.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
8.Автозауск.

"Основной Автозапуск"

"Весь Автозапуск"

Эти, две строки в меню uVS размещать рядом.

вполне логично, что вначале идет перечисление отдельных секций автозапуска, и затем уже идет категория, которая включает все секции.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

п.3-4,6-8,11-12

отклоняется.

1.Поиск по MD5 и имени файла.

Поиск сделан максимально неудобным способом, нет желания ковырять это безобразие.

Предлагаю добавить, возможность скопировать путь, в виде - максимально удобном для поиска информации по объекту в сети.

А одного имени файла не достаточно?

5.Автоматически добавлять в список проверки, все исполняемые файлы из папок "shared"

Вручную может и стоит, подумаю.

Или проблема в самом V.T ?

VT работает крайне плохо.

10.При копировании объекта в Zoo - В файл содержащий комментарий по объекту предлагаю вносить информацию по

дате/времени помещения объекта в Zoo, а также Имя системы.

Добавлю.

Мне вчера сказали, что компания Kaspersky недавно зарегистрировала патент на применение локальной базы sha1 в рамках проверки PC.

Ну все, теперь засудят :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Цитата(PR55.RP55 @ 22.10.2011, 16:03) *

1.Поиск по MD5 и имени файла.

Поиск сделан максимально неудобным способом, нет желания ковырять это безобразие.

Да - так оно и есть !

Но, там хорошая база и главное есть поиск по имени файла.

( Что весьма полезно - при работе с программами - в новых версиях SHA1 может и измениться - но имя/путь будет прежним, а на Systemexplorer.net - вся необходимая информация присутствует )

Можно например добавить команду: " Поиск на странице Systemexplorer.net "

Т.е. уже нет групповой проверки как на V.T.

Однако можно посмотреть информацию по файлу - тогда когда в этом есть необходимость.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Можно например добавить команду: " Поиск на странице Systemexplorer.net "

да, так может хоть какая-то польза будет, посмотрю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

предложение,

добавить в 3.72 небольшую оптимизацию по работе со списком критериев.

из вкладки - список критериев, при просмотре списка в контектном меню добавить опцию "создать новый критерий",

(как это сделано в окне "информация")

при этом наименование поля объекта наследуется из текущей записи (на которой стоим),

а имя критерия и значение для поиска редактируются,

но при этом добавляется новая запись в список критериев.

----------

удобно будет при просмотре списка добавлять новые правила.

например:

правило fishing page

поле start page

значение SMAXXI

добавляем новое правило fishing page со значением WEBALTA и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

При добавление файлов в список uVS & Применении поисковых критериев файл из списка "Добавлены вручную"

В список "Подозрительные и вирусы" не попадает.

Соответственно считаю, что файл должен присутствовать как в первой так и во второй группе !

2011_11_05_194126.jpg

post-8956-1320501335_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
удобно будет при просмотре списка добавлять новые правила.

добавлю.

PR55.RP55

была какая-то причина почему это именно так, вспомню скажу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit

а нельзя ли добавить в пунк меню руткиты MBR вьювер, а также при перезаписи MBR и прочего иметь возможность сделать бекап

бут айс конечно прога хорошая ,но хотелось весь набор так сказать в 1 флаконе...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Smit

бэкап и так можно сделать, а вьюер подумаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1."Ложное срабатывание, увеличить длину сигнатуры"

Для MBR & К.

В uVS 372, не будет данной опции?

2.При работе с новой функцией "Создать загрузочную флешку/образ диска..."

Как добавлять/интегрировать доп. драйверы устройств ?

Какие есть для этого оптимальные варианты ?

3.Функция для файла.

Добавили файл в список...

По Запросу...

Производится поиск/проверка, данных реестра.

т.е. мы имеем обратный алгоритм - когда проверка начинается не с реестра, а с подозрительного объекта.

Скажем, есть подозрительный файл в папке Х* и мы хотим инициировать проверку - есть ли КАКАЯ ЛИБО запись в реестре...

*Если Мы можем добавлять файлы в список "проверки" то и проверять должны соответствующим образом.

** Как для отдельно взятого файла - так и по всей Категории...

4.Возможно стоит - Создать доп. тему

Новые/Интересные/Нестандартные примеры образов Автозапуска генерированных uVS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Однако это не решение вопроса. ------------ Можно удалять объект ориентируясь не на имя, а на поисковый критерий. Оператор задаёт поисковый критерий > проверяет по нему список  > при необходимости корректирует критерий  > задаёт тип команды - на удаление > Команда ( автоматически ) пишется в скрипт.
    • Alushaa
      В плане улучшения своей работоспособности есть отличный сайт https://filzor.ru/news/preparaty_dlya_povysheniya_rabotosposobnosti/  Которым я пользуюсь с большим удовольствием и вам его настоятельно рекомендую изучить
    • demkd
      Такой объект один в списке, так что проблем не будет.
    • SQx
      приветсвтвую,

      У меня вопрос касаемо удаления по средством команды delwmi, насколько правильно его использование, в данном случае: delwmi WMI:\\.\ROOT\SUBSCRIPTION\ у следующего объекта нет имени: instance of __FilterToConsumerBinding { Consumer = "\\\\.\\root\\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\""; Filter = "\\\\.\\root\\subscription:__EventFilter.Name=\"fuckyoumm2_filter\""; }; В логе FRST, он виден как: WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\"",Filter="\\.\root\subscription:__EventFilter.Name=\"fuckyoumm2_filter\":: <==== ATTENTION Спасибо за ранее.

      P.S. приложил лог. ИВААААААН-ПК_2019-10-17_09-55-24_v4.1.8.7z
    • Alushaa
      Мне понравились статьи про бизнес на данном сайте https://promdevelop.ru/vozmozhno-li-povyshenie-inflyatsii-do-10-protsentov-v-etom-godu/ Очень советую вам почитать и легко найти всю необходимую информацию, думаю этот сайт вам очень пригодиться.
×