Перейти к содержанию

Recommended Posts

MORDRED

Автору спасибо за программу, на днях гляну ее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

незнайка

Не знаю, не пробовал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

предложение:

вынести в настройки settings.ini подачу звукового сигнала при проверках: включить, выключить. Иногда бывает полезно отключить. (шо бы не потревожить сон коллег, рядом работающих. :))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
незнайка

demkd

А нельзя добавить в меню режима запуска "выбрать удаленный компьютер" возможность помнить определенное количество (с возможностью регулирования этого количества в настройках) компьютеров к которым админ подключался по сети. А если бы предусмотреть в основном меню возможность работы с адресной книгой (по примеру Радмина), с возможность подключения внешнего файла со списком ip адресов, то все админы наверное скинулись бы Вам на боченок с пивом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg
А если бы предусмотреть в основном меню возможность работы с адресной книгой (по примеру Радмина), с возможность подключения внешнего файла со списком ip адресов,

Админам, не чурающимся командной строки, вполне хватает ключей start.exe /c computername /p user password :rolleyes: - а вот к ним бы ключ, позволяющий сохранить образ автозапуска в файл и выйти из программы, тогда бы проверку можно было автоматизировать и отщедулить...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
незнайка
Админам, не чурающимся командной строки, вполне хватает ключей start.exe /c computername /p user password :rolleyes: - а вот к ним бы ключ, позволяющий сохранить образ автозапуска в файл и выйти из программы, тогда бы проверку можно было автоматизировать и отщедулить...

По второму пункту все верно, поддерживаю. По первому: это что на каждый комп отдельный батник создавать, муторно всё это.. Ждем мнение автора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
предусмотреть в основном меню возможность работы с адресной книгой

подумаю.

а вот к ним бы ключ, позволяющий сохранить образ автозапуска в файл и выйти из программы

подумаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
незнайка

demkd

Неволей возвращаюсь к моему сообщению от 11.10.2011 про отладчики системных процессов.

Сегодня столкнулся компом, на котором не грузился рабочий стол. Зато запускался диспетчер задач, я запустил UVS, однако ничего подозрительного там ни нашел. Мой скромный опыт подсказывает, что в таких случаях необходимо смотреть параметр shell, а также в ключе ;HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options необходимо удалить запись explorer.exe

Я дабы не тратить попусту время запустил AVZ, где быстро, используя скрипт №9. Удаление отладчиков системных процессов", а также №16. Восстановление ключа запуска Explorer", проблему устранил.

Совсем не хочется пользоваться AVZ, поскольку всю необходимую работу по отлову зловредов я делаю в ювс, но пока без первой в таких случаях никак не обойтись.

В связи с этим вопросы: Есть ли возможность из UVS, восстановить параметры запуска explorera? А также оперативно разобраться с отладчиками?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
demkd

Неволей возвращаюсь к моему сообщению от 11.10.2011 про отладчики системных процессов.

Сегодня столкнулся компом, на котором не грузился рабочий стол. Зато запускался диспетчер задач, я запустил UVS, однако ничего подозрительного там ни нашел.

неплохо было бы добавить образ автозапуска системы в качестве иллюстрации к случаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg

demkd, с офсайтом надолго проблемы? И обновление баз будет в скором времени?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
незнайка

santy Увы, об этом как то не задумывался. Их столько приходиться чинить, что уж тошно от этого автозапуска.. Но виря там точно не было, юзер сказал, что ставил какую то прогу для ограничения прав пользователя, а потом снес. При перегрузе пропал стол. Судя по оставшимся путям, в корне винды была папка SHIM, я так понял, что это прога и была.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Есть ли возможность из UVS, восстановить параметры запуска explorera?

Alt+T и соотв. твик.

А также оперативно разобраться с отладчиками?

Если бы они были то они были бы в подозрительных, вообще лучше выкладывать образ.

с офсайтом надолго проблемы? И обновление баз будет в скором времени?

проблема не с сайтом, а с доменным именем, dyndns заблокировал мой акк, если не одумаются то имя сервера будет изменено, либо сервер будет закрыт и все файлы тупо переедут на обменник, меня в последнее время уже утомили заблокированные акки по надуманным причинам. :banned:

И обновление баз будет в скором времени?

Да, обновление баз планируется на выходных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1.Поиск по MD5 и имени файла.

://systemexplorer.net/filedb.php

В базе 2.3 миллиона...

Возможно, uVS сможет работать с данным сервисом ?

Хотя, результат не всегда отображается в том виде, в каком бы этого хотелось...

Но, база действительно очень приличная...

см. фото 1systemexplorer.jpg

2. см.фото 2.

При копировании информации _Полный путь_

Предлагаю добавить, возможность скопировать путь, в виде - максимально удобном для поиска информации по объекту в сети.

т.е. в виде цитаты:

":\WINDOWS\SYSTEM32\DRIVERS\APPDRV.SYS"

*Автоматически, удаляется имя диска и строка оформляется в виде цитаты для поисковика: " ? "

3.Формировать и сохранять список:

"Системные Каталоги/Подкаталоги"

С разбивкой по типу.

Известные:

Известные отсутствующие: ( например папка Windows Temp и пр.)

Не известные: ( в том числе - содержащие файлы со статусом "Активные" )

4.Добавить новую категорию к уже имеющимся в программе:

"Файлы без производителя"

"Фалы без проверенной подписи"

----------------------------------------------

"Файлы с устаревшим сертификатом"

5.Автоматически добавлять в список проверки, все исполняемые файлы из папок "shared"

* В том числе и при формировании образа !

6.При работе с образом.

"Добавить хеш файла в базу проверенных"

Добавить, в настройки, опцию позволяющею отключить данную возможность.

* А то, так случайно, можно в базу SHA1 такого добавить...

7.База сигнатур.

Периодически бывают ложные срабатывания...

Предлагаю, помимо сигнатуры автоматически сохранять и хеш вируса.

Таким образом - при проверке списка будет производить и проверка фала по хешу.

**Уже сейчас база позволяет записывать/добавлять комментарии к сигнатуре.

Предлагаю, автоматически добавлять "комментарий по sha1" - в базу, с последующем авто выводом информации с

результатами СРАВНЕНИЯ sha1 в лог/информацию по файлу.

***Что даст максимально возможную точность определения.

8.Автозауск.

"Основной Автозапуск"

"Весь Автозапуск"

Эти, две строки в меню uVS размещать рядом.

*Если человек просматривать Автозапуск - то пусть всё и сморит!

А не дёргается по всему списку...

9.Видимо обмен данными с Jotti при проверке по хешу намного эффекивнее работает, чем при обращении к V.T.

Есть ли возможность оптимизировать работу uVS с V.T. ?

Или проблема в самом V.T ?

10.При копировании объекта в Zoo - В файл содержащий комментарий по объекту предлагаю вносить информацию по

дате/времени помещения объекта в Zoo, а также Имя системы.

Например:

LENOVO-ПК

explorrer.exe 2011-10-21_17-01-28 Zoo.

11.Возможность скопировать информацию по установленной программе/программам.

* Полезно для поиска = экономия времени и пр...

12.Записывать сигнатуры в скрипт в виде столбцов

" addsgn

1BFF7D9A55695C320B83EFE527875

F2566A5BFDDA2C92D58D7B6AB910

4BF1C290364BA244A30F0670BA8E7

B66655268A04AD81153DAE904E545

7F756A5675116 8 Bam.Vir "

Для чего: При сохранении скрипта на странице сайта - Длинные строки автоматически переносятся

что может привести к ошибке при выполнении )

Таким образом, сократив длину строки удастся избежать данной ошибки.

P.S.

Мне вчера сказали, что компания Kaspersky недавно зарегистрировала патент на применение локальной базы sha1 в рамках проверки PC.

Что позволяет увеличить скорость сканирования и нагрузку на "Облако".

Удивительное совпадение...

1systemexplorer.jpg

2.JPG

post-8956-1319274100_thumb.jpg

post-8956-1319274113_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg
Или проблема в самом V.T ?

Он висит периодически, либо недоступен. Перегружен, да ещё DDOSят, наверное. Я б на месте вирусописцев просто долбил бы VT запросами во много потоков.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
8.Автозауск.

"Основной Автозапуск"

"Весь Автозапуск"

Эти, две строки в меню uVS размещать рядом.

вполне логично, что вначале идет перечисление отдельных секций автозапуска, и затем уже идет категория, которая включает все секции.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

п.3-4,6-8,11-12

отклоняется.

1.Поиск по MD5 и имени файла.

Поиск сделан максимально неудобным способом, нет желания ковырять это безобразие.

Предлагаю добавить, возможность скопировать путь, в виде - максимально удобном для поиска информации по объекту в сети.

А одного имени файла не достаточно?

5.Автоматически добавлять в список проверки, все исполняемые файлы из папок "shared"

Вручную может и стоит, подумаю.

Или проблема в самом V.T ?

VT работает крайне плохо.

10.При копировании объекта в Zoo - В файл содержащий комментарий по объекту предлагаю вносить информацию по

дате/времени помещения объекта в Zoo, а также Имя системы.

Добавлю.

Мне вчера сказали, что компания Kaspersky недавно зарегистрировала патент на применение локальной базы sha1 в рамках проверки PC.

Ну все, теперь засудят :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Цитата(PR55.RP55 @ 22.10.2011, 16:03) *

1.Поиск по MD5 и имени файла.

Поиск сделан максимально неудобным способом, нет желания ковырять это безобразие.

Да - так оно и есть !

Но, там хорошая база и главное есть поиск по имени файла.

( Что весьма полезно - при работе с программами - в новых версиях SHA1 может и измениться - но имя/путь будет прежним, а на Systemexplorer.net - вся необходимая информация присутствует )

Можно например добавить команду: " Поиск на странице Systemexplorer.net "

Т.е. уже нет групповой проверки как на V.T.

Однако можно посмотреть информацию по файлу - тогда когда в этом есть необходимость.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Можно например добавить команду: " Поиск на странице Systemexplorer.net "

да, так может хоть какая-то польза будет, посмотрю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

предложение,

добавить в 3.72 небольшую оптимизацию по работе со списком критериев.

из вкладки - список критериев, при просмотре списка в контектном меню добавить опцию "создать новый критерий",

(как это сделано в окне "информация")

при этом наименование поля объекта наследуется из текущей записи (на которой стоим),

а имя критерия и значение для поиска редактируются,

но при этом добавляется новая запись в список критериев.

----------

удобно будет при просмотре списка добавлять новые правила.

например:

правило fishing page

поле start page

значение SMAXXI

добавляем новое правило fishing page со значением WEBALTA и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

При добавление файлов в список uVS & Применении поисковых критериев файл из списка "Добавлены вручную"

В список "Подозрительные и вирусы" не попадает.

Соответственно считаю, что файл должен присутствовать как в первой так и во второй группе !

2011_11_05_194126.jpg

post-8956-1320501335_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
удобно будет при просмотре списка добавлять новые правила.

добавлю.

PR55.RP55

была какая-то причина почему это именно так, вспомню скажу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit

а нельзя ли добавить в пунк меню руткиты MBR вьювер, а также при перезаписи MBR и прочего иметь возможность сделать бекап

бут айс конечно прога хорошая ,но хотелось весь набор так сказать в 1 флаконе...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Smit

бэкап и так можно сделать, а вьюер подумаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1."Ложное срабатывание, увеличить длину сигнатуры"

Для MBR & К.

В uVS 372, не будет данной опции?

2.При работе с новой функцией "Создать загрузочную флешку/образ диска..."

Как добавлять/интегрировать доп. драйверы устройств ?

Какие есть для этого оптимальные варианты ?

3.Функция для файла.

Добавили файл в список...

По Запросу...

Производится поиск/проверка, данных реестра.

т.е. мы имеем обратный алгоритм - когда проверка начинается не с реестра, а с подозрительного объекта.

Скажем, есть подозрительный файл в папке Х* и мы хотим инициировать проверку - есть ли КАКАЯ ЛИБО запись в реестре...

*Если Мы можем добавлять файлы в список "проверки" то и проверять должны соответствующим образом.

** Как для отдельно взятого файла - так и по всей Категории...

4.Возможно стоит - Создать доп. тему

Новые/Интересные/Нестандартные примеры образов Автозапуска генерированных uVS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Mawa27
      Здравствуйте,я покупала в данном интернет-магазине https://compacttool.ru/ .Здесь достаточно широкий ассортимент товара и цены вполне адекватные+ быстрая доставка.Я осталась довольна покупкой.Рекомендую.
    • Sawa26
      Ребят где купить модуль питания  беспаечной платы?
    • Mawa27
      Я пользуюсь услугами вот этих ребят https://prohoster.info.Они предоставляют комплексные услуги по созданию сайтов и их обслуживанию, начиная от выбора доменного имени, заканчивая доп. услугами для его защиты от вирусных атак.
    • Sawa26
      Ребят,где приобрести надежный хостинг?
    • Alexey Markov
      Настоящий тест файерволов - это когда вы пытаетесь зайти на сайт со взрослым контентом, к примеру, казино https://slots-doc.com/ . Вот тут-то наступает момент истины.  Брандмаузер должен быть настроен так, чтобы позволить  программному обеспечению подключаться к серверу. Вопрос - как настраивать? Внутри панели управления брандмауэра как праивло есть список программ и разрешений для каждого файла программы. Эти разрешения устанавливаются по умолчанию при первом запуске нашей программы под брандмауэром. Он спросит вас, что делать, и если вы нажмете ОК и примете их рекомендацию, программа будет заблокирована. Чтобы исправить это, вам нужно найти этот список программ и установить их разрешения, выбрав «Разрешить все» или эквивалент неограниченного доступа. Это будет что-то похожее на процесс ниже, хотя расположение будет отличаться в каждом брандмауэре. Откройте панель управления брандмауэром (часто дважды щелкните значок брандмауэра возле системных часов Windows или найдите в меню «Пуск»).
      Нажмите на вкладку «Программы» (или иным образом найдите список программ).
      В списке программ вы увидите следующие пункты. Для каждого из них достаточно изменить «Блокировать все» на «Разрешить все» (или использовать наименее ограничивающие разрешения), чтобы вы могли получить доступ к сайту. Инструкции могут различаться, и для получения дополнительной помощи вам следует обратиться к поставщику программного обеспечения брандмауэра.
×