Перейти к содержанию

Recommended Posts

PR55.RP55

santy

В uVS при создании программы было прописано - какие объекты считать подозрительными.

Идеально это сделать невозможно и время от времени нужно производить обновление.

 

Например с расширениями программа стала работать недавно.

- и работа с расширениями слабая...

Например если в имени расширения прописано:

 

\BROWSER HELPER\

\HELPER OBJECTS\

 

разве расширение попадёт в подозрительные ?

Нет конечно...

А ведь стоит это сделать.

----------

и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@PR55.RP55,

смысла нет, критерии позволяют делать что угодно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Windows может заблокировать драйвер/службу

например из-за несовместимости; "прекращена работа службы *** "

- если бы это было возможно...

то...

Оператор через uVS указывает системе, что должно быть заблокировано, и система блокирует.

 

2) Например есть служба которую мы не можем удалить - она нужна для работы программы/программ.

но, в тоже время, постоянная работа компонента нагружает систему, а при взаимодействии с программой ХХХ  вызывает ошибки.

_При работе со скриптом реализовать команду.

 

тип запуска: При инициализации ядра (1)

тип запуска: Авто (2)

тип запуска: Вручную (3)

 

чтобы командой скрипта можно было изменить тип запуска с Авто (2)  на  Вручную (3)

-------

Кроме того _возможно это будет полезно при удалении.

Сначала перевели в режим: " тип запуска: Вручную (3) "

А после перезагрузки удалили неактивный объект.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) По некоторым файлам невозможно получить внятную информацию.

например невозможно проверить эцп.

 

Я ранее предлагал копировать файл в: Zoo или Temp после чего и собирать нужные данные.

На что получил ответ: если невозможно получить доступ к файлу - значит это невозможно...

Однако же...

Volume Shadow Copy Service, (VSS)

 

Служба операционной системы Windows, позволяющая копировать файлы, с которыми в данный момент времени ведется работа, и даже с системными и заблокированными файлами.

 

Со службой могут работать программы сторонних разработчиков.

 

Здесь, есть подробное описание работы с ЗАБЛОКИРОВАННЫМИ файлами: http://gotch.techfaq.ru/archives/59

 

2) На базе (VSS) реализовать поиск скрытых файлов.

т.е. создаётся копия «мгновенный снимок» тома и сравнивается...

а сравнивается то, что видит uVS с тем, что увидела VSS.

А вся разница - попадает в подозрительные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@PR55.RP55, говорите uVS медленно работает? :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Говорите uVS медленно работает? :D

 

1) На первом месте эффектность - потом уже время.

 

Можно реализовать три варианта создания образа автозапуска.

 

а) Сохранить образ автозапуска

б) Сохранить полный образ автозапуска & VSS

в) Сохранить образ автозапуска без проверки ЭЦП...

------------

 

2) SHA1 + ЭЦП = база.

 

База пополняется из образов > открыл образ - автоматически пополнил базу.

 

Для чего ?

Для случаев: Не удалось проверить ЭЦП; проверка не производилась; ошибка проверки ЭЦП...

 

Это будет работать в том числе и с белым списком ( базой wdsl )

-----

Открываем образ...

и автоматически были сохранены данные:

 

Действительна, подписано "ESET, spol. s r.o."

SHA1 = C82DB332B53C057B5C5C99ABCABD57511A739AD7

-----

"ESET, spol. s r.o." - найден в wdsl

 

А, при работе с другой системой/образом проверка ЭЦП по той, или иной причине не была выполнена...

 

но, у нас есть  данные по:  SHA1 = C82DB332B53C057B5C5C99ABCABD57511A739AD7

А,  SHA1 = C82DB332B53C057B5C5C99ABCABD57511A739AD7  у нас записана с

Действительна, подписано "ESET, spol. s r.o."

 

таким образом, в инфо. по файлу помещается информация по ЭЦП.

--------------

Получается опосредствованная проверка.

ранее была реализована проверка на V.T.

 

 

 

    

 3.82.3

---------------------------------------------------------

 o Функция проверки по хэшу на VT теперь использует данные о проверке ЭЦП,

   если VT вернул данные о том что ЭЦП для файла верна И нет детектов,

   то файл помечается как проверенный с указанием первого подписавшего. 

 

А сейчас это можно реализовать локально - без запроса к V.T.

+ в том, что чем больше мы открыли/просмотрели образов тем у нас больше индексировалось данных

по SHA1 + ЭЦП

---------

А если ЭЦП нет в wdsl  -  то,  данные по ЭЦП тоже пригодятся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

б) Сохранить полный образ автозапуска & VSS

RP55,

быстрее будет загрузиться с winpe&uVS  и выполнить поиск скрытых объектов по файлу сверки.

а если надо сравнить образы, то монтируем точку восстановления как диск, создаем по ней образ автозапуска и сравниваем с помощью утилитки  compareimg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

 

Сохранить полный образ автозапуска & VSS

 

Я предлагал и предлагаю совсем для другого.

О чём выше и написано.

 

 

 

    

1) По некоторым файлам невозможно получить внятную информацию.

например невозможно проверить эцп.

 

Я ранее предлагал копировать файл в: Zoo или Temp после чего и собирать нужные данные.

На что получил ответ: если невозможно получить доступ к файлу - значит это невозможно...

Однако же...

Volume Shadow Copy Service, (VSS)

 

Служба операционной системы Windows, позволяющая копировать файлы, с которыми в данный момент времени ведется работа, и даже с системными и заблокированными файлами.

 

Со службой могут работать программы сторонних разработчиков.

 

Здесь, есть подробное описание работы с ЗАБЛОКИРОВАННЫМИ файлами: http://gotch.techfaq.ru/archives/59


 


б) Сохранить полный образ автозапуска & VSS

RP55,

быстрее будет загрузиться с winpe&uVS  и выполнить поиск скрытых объектов по файлу сверки.

а если надо сравнить образы, то монтируем точку восстановления как диск, создаем по ней образ автозапуска и сравниваем с помощью утилитки  compareimg

 

 

95% всей работы это работа с образами.

 

Кто будет работать с файлом сверки ?

Кто будет монтировать точку восстановления как диск ?

Кто будет создавать по ней образ ?

--------

Речь прежде всего идёт о создании образа пользователем.

Причём так, чтобы образ создавался  и uVS сохранял полную информацию по файлам.

без ошибки проверки ЭЦП и прочее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Использовать для uVS ( процесса ) заданное имя ( по настройке settings.ini )

т.е. запустили  start.exe, а дальше программа считывает данные и стартует под заданным именем.

------

Имя заданное оператором будет уникально, что позволит сохранить самозащиту программы на прежнем уровне.

------

Для чего:

а) Для упрощения сетевого доступа.

б) Для настройки работы с другими программами/компонентами  в том числе c HIPS

( например защитить процесс uVS при помощи HIPS )

в) Создания ловушек ( например можно запустить программу под видом/именем системного процесса, или браузера )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) В меню файла добавить команду: Проверить _статус ЭЦП файла: http://www.herdprotect.com/knowledgebase_signers.aspx

 

Тем более, что там 32 000 ЭЦП.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

https://forum.simplix.ks.ua/viewtopic.php?pid=21027#p21027

   

"База данных реестра повреждена" появляется чаще всего из-за неправильного выключения (сброса) Windows 8-8.1

Windows 8-8.1 после сброса самостоятельно исправляет файлы реестра, но если сразу после сброса запустить WinPE, то могут быть проблемы.

В версию 7.5.3 добавлено автоматическое восстановление файлов реестра, вызванное внезапной перезагрузкой системы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Предлагаю внести изменения в Инфо.

для ЭЦП

Сейчас в инфо так: Сертификат аннулирован

 

Нужно писать так: MegaBrowse, Сертификат аннулирован

 

таким образом можно будет задать поисковый критерий = Аннулирован сертификат MegaBrowse

А сейчас этого сделать невозможно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

по идее, да.

если есть возможность вытащить информацию о владельце (субъекте) сертификата, то лучше вывести ее в инфо.

статус сертификата, владелец(субъект) сертификата.

 

в данном случае, можно будет разделить объекты по которым сертификат аннулирован, скажем по группе драйверов Realtek

и объектам сертификаты которых находятся в отдельных списках или в критерии snms по левым цифровым.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) _____ОБЯЗАТЕЛЬНО_____ 

 

создать категорию: " Проверенные "

 

Соответственно, в любой момент можно открыть категорию и посмотреть список файлов/объектов.

 

 

2) Автоматическое изменение статуса  и перенос файлов/объектов в категорию: " Проверенные "

Через работу с файловыми критериями.

т.е. Оператор создаёт файл и прописывает какие объекты автоматически получат статус " Проверенные "

например:

 

Равно:

 

Qualcomm Atheros  ; Действительна, однако сертификат УСТАРЕЛ

Canon Inc.   ; Действительна, однако сертификат УСТАРЕЛ

"Samsung Electronics CO., LTD."   ; Действительна, однако сертификат УСТАРЕЛ

 

Содержит

 

\PROGRAM FILES (X86)\CYBERLINK\

\PROGRAM FILES (X86)\DELL WIRELESS\

\PROGRAM FILES (X86)\INTEL\INTEL® MANAGEMENT ENGINE COMPONENTS\

 

или по типу расширения - например для кодеков.

Содержит:

.AX

.API

------

.OCX

 

Оператор по своему выбору добавляет безусловно, или условно проверенные объекты в файл/список.

 

Таким образом решается проблема с файлами с записью: Действительна, однако сертификат УСТАРЕЛ

+

В ситуации когда речь идёт НЕ о борьбе с вирусами, а о работе с ADWARE- агентами - можно быстро сократить список проверяемых объектов.

И таким образом резко увеличить скорость проверки & обработки списка.

 

2.1) Соответственно предложению изменить и  запись в инфо.

с:   Действительна, однако сертификат УСТАРЕЛ

до: Canon Inc.   ; Действительна, однако сертификат УСТАРЕЛ

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

1) _____ОБЯЗАТЕЛЬНО_____ создать категорию: " Проверенные " Соответственно, в любой момент можно открыть категорию и посмотреть список файлов/объектов.

не достает только грифа: совершенно секретно :)

это кстати, непонятно зачем. (по отдельной секции)

то что проверено, можно увидеть и отдельных секциях.

 

по расширению статуса сертификата ( Действительна, однако сертификат УСТАРЕЛ)  с добавлением имени субъекта сертификата - аналогично статусу "аннулирован" - не будет лишним. если это возможно вытащить.

-------------

а перемещения все из одного статуса объекта в другой лучше планировать через универсальную функцию, о которой здесь уже писали неоднократно - "выделить группу" АНД "выполнить над ней определенные (согласованные) операции".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
то что проверено, можно увидеть и в отдельных секциях.

 

Вот именно...

А так открыл одну категорию и разом просмотрел все объекты которые туда были помещены.

объекты которые были помещены самим оператором и автоматически через файл/список/критерий.

 

"выделить группу" АНД "выполнить над ней определенные (согласованные) операции".

Есть разница...

Есть объекты которые выбирает оператор в процессе работы.

А есть автоматический режим - в соответствии с заданными критериями.

Одно дополняет другое.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
по расширению статуса сертификата ( Действительна, однако сертификат УСТАРЕЛ)  с добавлением имени субъекта сертификата - аналогично статусу "аннулирован" - не будет лишним. если это возможно вытащить.

 

Сам файл не меняется...

например его SHA1

меняется оценка файла...

-----

Пример на V.T.

 

Действительна, подписано

 

First submission 2013-11-12 21:53:06 UTC (1 год, 8 месяцев назад)
 
Сертификат аннулирован
Last submission 2015-05-12 21:41:44 UTC (2 месяцев, 2 недель назад)
 
Но SHA1  файла один и тот еже...
и все сведения которые прописаны в файл те же...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

А есть автоматический режим - в соответствии с заданными критериями.

сейчас в критериях snms нет такого действия, как "изменить статус объекта с одного на другой", потому выполнить это действие автоматически через работу с критериями не получится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

сейчас в критериях snms нет такого действия, как "изменить статус объекта с одного на другой", потому выполнить это действие автоматически через работу с критериями не получится.

 

Как раз таки есть ;)

при срабатывании критерия файл получает статус: ?ВИРУС?

происходит смена статуса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

 

Сам файл не меняется...

например его SHA1

меняется оценка файла...

-----

Но SHA1  файла один и тот еже...
и все сведения которые прописаны в файл те же...

 

все зависит от того, откуда берется инфо по цифровой файла.

оценка сертификата как раз содержится в цифровом каталоге системы (который периодически обновляется, или не обновляется, если в системе отключены обновления) и не входит в цифровую файла. скорее всего выполняется поиск по отпечатку (SHA1) сертификата в  каталоге, и излечению из него найденного статуса. действителен, устарел, аннулирован и т.д

но наверняка в цифровом каталоге есть и другая инфо, в частности о субъекте сертификата, т.е. кому он был выдан. и прочее.

 

скажем информация по отпечатку сертификата интересна для проверки, нет ли в политиках блокировки по данному сертификату.

Как раз таки есть ;)

при срабатывании критерия файл получает статус: ?ВИРУС?

происходит смена статуса.

ну, это прошито в "железе",

а вот функции, которая бы меняла один произвольный статус на другой произвольный статус (в частности на "ПРОВЕРЕН") нет в настроенных действиях. а если что-то и делать, то делать следуя универсальному уже созданному механизму - через настроенные действия.

------

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

сейчас в критериях snms нет такого действия, как "изменить статус объекта с одного на другой", потому выполнить это действие автоматически через работу с критериями не получится.

 

при срабатывании критерия файл получает статус: ?ВИРУС?

происходит смена статуса.

 

Значит можно _ автоматически ( а именно об автоматическом режиме я и говорил выше )

изменить статус на: "Проверенный"

 

По этому принципу обрабатывается файл/список из wdsl

и опять же...

происходит смена статуса на: "Проверенный"

но наверняка в цифровом каталоге есть и другая инфо, в частности о субъекте сертификата, т.е. кому он был выдан. и прочее

 

Думаю нам нет разницы.

Главное чтобы была информация\запись в инфо.

Сертификат он, или аннулирован, или действителен, или его нет.

но...

нужно видеть с чем мы имеем дело.

 

Conduit Ltd.

или

Ask.com

или ещё что.

Чтобы можно было задать критерий по одной строке\параметру.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

критерии, есть критерии.

сейчас они меняют статус с произвольного на ?ВИРУС" и это оправданно, потому что эти объекты мы либо удаляем как вредоносные, либо скипуем.

 

белый список (wdsl) так же оправдан, так как они снимает маскировку с вредоносных объектов под проверенные.

 

смысла создавать еще "желтый список" и писать под него отдельную обработку, которая бы подозрительные добавляла в проверенные не вижу большой необходимости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
а если что-то и делать, то делать следуя универсальному уже созданному механизму - через настроенные действия.

------

 

Пусть так.

главное чтобы можно было решить сформулированные мной выше задачи.

 

 

смысла создавать еще "желтый список" и писать под него отдельную обработку, которая бы подозрительные добавляла в проверенные не вижу большой необходимости.

 

Ещё раз.

есть _файловые критерии.

Оператор создаёт файл > прописывает в него то, что по его мнению должно быть скрыто ( автоматом попасть в проверенные )

Список обрабатывается программой - и если критерий сработал...

файл попадает в список: "Проверенные"

 

например в список оператор добавит:

Canon Inc.   ; Действительна, однако сертификат УСТАРЕЛ

и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

8.0

 

Добавлено автоматическое исправление неглубоких повреждений системного реестра.
Усовершенствован алгоритм сброса сетевых настроек до значений по умолчанию.
Добавлен новый вид проверки вредоносных программ в назначенных заданиях.
Улучшена проверка и исправление ярлыков вредоносных программ.

https://forum.simplix.ks.ua/viewtopic.php?pid=21084#p21084

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

Пусть так. главное чтобы можно было решить сформулированные мной выше задачи.

RP55, бабушка дедушке тоже формулировала задачи (с).

предлагаешь задачу, предлагай и механизм ее решения. нет здесь золотой рыбки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

×