Перейти к содержанию

Recommended Posts

santy

RP55,

Хочу напомнить - я предполагал реализовать в uVS чёрный список = работу с ним.

может ты и подбросил эту идею для АнтиСМС? :)

за черными сертификатами не угонишься, почти каждый день новые в темах, так что придется часто выпускать обновления.

я считаю, что подход в uVS с белым списком правильным. Добавить в список несколько десятков надежных сертификатов, вместо того чтобы забивать сотнями в черный список.

1) Помещать команды exec ; uidel в начало списка.

это дело вкуса, кому как нравится. по мне, так на первом месте должна быть очистка системы от активных зловредов.... которые не факт, что будут удалены через деинстал,

т.е. "первым делом - самолеты".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
• Добавлен внутренний чёрный список сертификатов, использовавшихся для вредоносных целей.

Чёрный список для поиска и удаления. ( в том числе и в автоматическом режиме )

Белый же для исключения.

Это две разные задачи.

Без чёрного списка автоскрипт вещь бесполезная.

Как давно реализован автоскрипт ?

И сколько человек его использует в работе ?

Это 2-3 человека.

И то не всегда, а время от времени.

т.е. в том виде в каком он сейчас он практически бесполезен.

это 1% всех написанных скриптов.

- Так как автоскрипт реализован на базе критериев поиска.

А критерии выполняют разные задачи: ( о чём мной неоднократно сказано в теме )

Да и уровень надёжности критериев отличается.

Критерии по ЭЦП самые надёжные.

• Добавлены присланные сигнатуры известных загрузочных секторов.

Это значит что список/база известных уже есть...

Речь не о добавлении, а о работе с подготовленной базой.

• Исправлена проблема при работе с ярлыками, которая могла появиться в редких случаях.

Мы не знаем о чём идёт речь - но uVS работает с ярлыками...

И если проблема есть/была в одной программе она может повториться и в другой.

- Тем более, что в ряде случаев uVS вылетает при анализе ярлыков.

• Оптимизировано восстановление системных файлов, теперь права доступа не имеют значения.

uVS также работает с LiveCD диска и каталогами Windows проблема может иметь место.

• Обновлена база хэшей, добавлены различные оптимизации и исправления.

Да база для uVS регулярно обновляется - это так.

Речь об оптимизациях и исправлениях.

- Конкретно о том, что УВЕЛИЧЕНА скорость проверки списка/реестра/файлов SHA1.

Santy пишет:

Помещать команды exec ; uidel в начало списка.

это дело вкуса, кому как нравится.

А на фото и показано, что оператор настраивает работу так, как ему нужно.

Это замечание в духе: "Зачем вы едите эти зелёные яблоки ? Давайте есть те зелёные яблоки "

-------

P.S.

Для АнтиСМС я ничего не предлагал.

Я там даже не зарегистрирован.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

P.S.

Для АнтиСМС я ничего не предлагал.

Я там даже не зарегистрирован.

а зачем мы обсуждаем здесь новые опции в АнтиСМС?

по остальному посту: перенеси сообщение в офтоп, там и можно поговорить. и не засорять тему новых предложений.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

demkd

Можно добавить, чтобы uVS видел какие поисковые системы установлены в браузерах? Сейчас очень много разной адвари которая прописывают туда свой поисковик :(.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

Речь именно об uVS...

Об автоматизации процесса.

Речь о сравнении.

По той причине, что АнтиСМС в плане автоматизации самая продвинутая программа.

Единственно что требуется - это её запустить.

----

Преимущество uVS в том, что можно удалить практически все угрозы ( 98% точно )

не используя LiveCD.

Если реализовать автоматический режим...

т.е.

Есть белый список ЭЦП и программа эти файлы не трогает.

Есть список/база проверенных файлов и загрузчиков SHA1 ...

Есть чёрный список - который подлежит обязательному отключению из автозагрузки или удалению.

Временные ключи запуска и т.д.

---

Автоматизация это не только скрипт.

AVZ например может работать в разных режимах.

-----

Что касается:

Santy пишет:

а зачем мы обсуждаем здесь новые опции в АнтиСМС?

А кто в своё время написал/сравнил AVZ&uVS.pdf ?

Я сравниваю АнтиСМС и uVS.

И только возможные ОБЩИЕ функции.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

А кто в своё время написал/сравнил AVZ&uVS.pdf ?

Я сравниваю АнтиСМС и uVS.

И только возможные ОБЩИЕ функции.

а кто тебе мешает написать сравнительное (жизне)описание? чай, не хуже будет чем у Плутарха :).

только вынести это в отдельную тему: возможно полезно будет разработчикам uVS и AtiSMS, как констатация текущего состояния и будущего развития.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Проверка файлов на VirusTotal + HerdProtect Одновременно

Вот: http://www.sevenforums.com/tutorials/34647...ltaneously.html

Несколько месяцев назад база HerdProtect была равна 12 000 000 файлов/SHA1

Demkd тогда сказал, что это так себе.

Сейчас база содержит более 33 000 000 миллионов файлов/SHA1

Нужно реализовать проверку файлов на сервисе - в том, или ином виде.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

идея здесь в другом.

в создании в uVS своей строки поискового запроса по образу автозапуска.

здесь приведены примеры поиска.

Example: filename:*sdra64.exe

Example: hash:da39a3ee5e6b4b0d3255bfef95601890afd80709

ip:8.8.8.8

registry:*rundll32.exe*

url:*/gate.php

и другие.

Search terms can be combined using the logical operators AND, OR, NOT. For example the following term could be used to find poison ivy samples that do not use the default mutex;

av:*poison* NOT mutex:)!VoqA.I4

-----------

в uVS это могло бы быть примерно так.

имя файла:*.MSR (И) цифр.подпись:* (И) ссылка:*LanmanServer

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Santy пишет:

в uVS это могло бы быть примерно так.

имя файла:*.MSR (И) цифр.подпись:* (И) ссылка:*LanmanServer

---------

Так и сейчас можно настроить чтобы найти нужное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

сейчас поисковый запрос работает только по одному полю (из фиксированного набора полей: имя, каталог, статус, производитель)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
сейчас поисковый запрос работает только по одному полю

Вот пусть дальше так и работает.

Иначе непонято откуда брать информацию для заполнения запроса.

Все эти записи: имя файла; цифр.подпись и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

Иначе непонято откуда брать информацию для заполнения запроса.

Все эти записи: имя файла; цифр.подпись и т.д.

информацию придется брать из своего опыта. (из головы, из записной книжки, из сети... вообщем из хранилища, кто какое использует в своей работе)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

А смысл в чём ?

Быстрее создаётся критерий - сомнительно...

Проще создать критерий - сомнительно...

Быстрее будет обрабатываться образ/данные ? - сомнительно...

Так для чего ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

А смысл в чём ?

смысл содержится в предложении,

я не зря привел ссылку на страницу, где это реализовано,

как вариант компактного поискового запроса по разным полям в одной строке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Запускать uninst.exe

Для файлов подписанных ЭЦП из Чёрного списка.

2) Запускать uninst.exe

Для файлов при полном совпадении ЭЦП и наименования каталога программы.

Пример:

Browse Burst

C:\Program Files\Browse Burst

C:\Program Files\Browse Burst\unins000.exe

3) Запускать uninst.exe/MSI

При полном совпадении наименования установленной программы ( из списка установленных прогамм ) и Чёрной ЭЦП

Пример:

DEALPLY = DEALPLY ЭЦП

BABYLON = Babylon Ltd.

BONANZA DEALS = BONANZA DEALS

BROWSEMARK = BROWSEMARK

BUZZSEARCH = BUZZSEARCH

DEAL KEEPER = DEAL KEEPER

FINDRIGHT = FINDRIGHT

LINKSWIFT = LINKSWIFT

MEGA BROWSE = MEGA BROWSE

YONTOO = YONTOO LLC

-----

Игнорировать какие sequo к подписи как: LLC; LLC.; LTD; LTD.; Inc; Inc.; INC.; Co., Ltd.; S.L.; Lab; Ltd; SL

4) Внести корректировку и уведомление в инфо. при сравнении ЭЦП файла И списка ЭЦП

Уведомлять:

При полном совпадении.

При частичном не совпадении написания.

Я об этом: LLC; LLC.; LTD; LTD.; Inc; Inc.; INC.; Co., Ltd.; S.L.; Lab; Ltd; SL

+ Обязательный учёт Регистра: d|D.... i|I ( в том смысле что YONTOO LLC и Yontoo LLC - это одно и тоже ) в данном контексте )

т.е. Если критерий настроен на обнаружение ADWARE с ЭЦП Babylon а файл подписан Babylon Ltd.

критерий сработает - Но выдаст в инфо. и лог соответствующее уведомление.

Это предложение относиться как к критериям поиска так и к Чёрному списку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

P.S.

Написание ЭЦП одной фирмы действительно отличается - порой на пару символов, или по регистру.

Проверено на практике.

----

Пример из белого списка:

"Autodesk, Inc."

"Autodesk, Inc"

---------

ABBYY Production LLC

ABBYY PRODUCTION LLC

-----------

Adobe Systems Incorporated

Adobe Systems Incorporated.

-----------

Ashampoo GmbH & Co. KG

ashampoo GmbH & Co. KG

------------

DoubleGIS

DoubleGIS LLC

------------

Logitech

Logitech Inc

-------------

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Модифицировать команду: "Отменить всё"

Соответственно, если при работе с образом будет применена команда: "Отменить всё"

Образ автозапуска с которым на данный момент работает uVS будет загружен повторно.

это будет новое/повторное открытие образа.

- Это позволит, избавиться от текущих ошибок в работе программы. ( например для команд визуализации )

И полагаю будет способствовать ускорению процесса обработки данных.

так, как реальной отмены команд не будет, а будет сразу идти повторная загрузка образа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

COMODO deleted vendors: http://comodo.kemschool24.ru/av/tvl/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Критерии поиска.

Подключаемый список ЭЦП.

Есть файл/список в котором перечислены ЭЦП

При активации поля: " Значение список ЭЦП" в рамках поискового критерия происходит обработка всего списка.

-------

Существующая модель исчерпала себя и не отвечает реальным потребностям.

Сейчас уже 426 Чёрных... ( в теме )

-------

В перспективе критерий должен работать как с Чёрным так и с белым списком wdsl ( не содержит )

13945.jpg

426_______.txt

post-8956-1423256075_thumb.jpg

426_______.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

счётчик V.T.

Первая цифра - число выполненных запросов к сервису.

Вторая цифра - таймер времени - таймер появляется после запроса и показывает время ожидания - обнуления лимита.

----

Оператор видит: можно/нельзя запрашивать данные V.T.

Что позволяет оптимизировать процесс.

Реже будет возникать необходимость в применении Esc.

Оператор будет делать запрос вовремя.

444.jpg

post-8956-1423421148_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
1) Критерии поиска.

Подключаемый список ЭЦП.

Есть файл/список в котором перечислены ЭЦП

При активации поля: " Значение список ЭЦП" в рамках поискового критерия происходит обработка всего списка.

-------

это уже ближе к теме.

здесь можно в качестве значения в критерий внести управляющий тэг + имя списка (list.txt), который бы указывал на то, что атрибут проверяется не по значению из критерия, а выполняется поиск атрибута в указанном списке, причем поиск прекращается при первом вхождении. (без обхода всего списка)

Существующая модель исчерпала себя и не отвечает реальным потребностям.

скорее, исчерпал себя (безсигнатурный) подход опираться при детекте исключительно на критерии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

В связи с известными сложностями по V.T.

И невозможностью получения полной информации по API :

First submission

Last submission

Возникает необходимость работы с браузером.

Но, есть и другой недостаток - оператор не видит по каким файлам он уже просмотрел информацию в браузере, а по каким нет.

Предлагаю сделать так чтобы оператор видел - какой файл отработан, какой нет - для: "Открыть в браузере отчёт "

Предложение на фото.

555.jpg

post-8956-1423593014_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) uVS анализирует _заголовок полученной страницы VT

например: virustotal.com/ru/file/1bc1f868441faef08484e6f2a9cbe7f1adf17afefb3f8a3a1071c13125e00c6d/analysis/

И сопоставляет SHA256 - страницы с локальным результатом...

После чего отчёт отрывается в Инфо. файла.

-----

В конце концов много браузеров с открытым исходным кодом, чем можно воспользоваться.

И НЕ открывать браузер как таковой.

А отображать данные сразу в Инфо. файла.

После чего можно проводить анализ полученных данных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

При запросе к VT одновременно делать запрос к Jotti или herdprotec

Совмещать даты сканирования/результат.

на разных сервисах файлы проверяются в разное время.

Значит оператор увидит две даты проверки.

- Это и будет аналогом:

First submission

Last submission

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.11.
    • PR55.RP55
    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
×