Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 83]

1) Вот открываешь образ автозапуска.

выбираешь файлы которые нужно проверить на V.T. и...

сидишь как баран ждёшь !

А ведь в это время можно бы было открыть другую категорию - например расширения браузеров и смотреть, что там есть.

А после того, как проверка на V.T.  закончиться продолжить прерванную работу.

------

[PR55.RP55 83]

1) Добавить в контекстное меню команду:

 

" Удалить все ссылки на объект и убрать объект из текущего списка "

 

Для чего...

В скрипт зачастую попадает с целая группа таких объектов.

но, что же получается ?

Оператор удалил объект...

А он остаётся в списке - остаётся в разных категориях.

Что может мешать\отвлекать от решения задачи.

Получается, так: или оператор должен запомнить - удалял он этот объект, или нет, или изменить статус объекта на _проверен, чтобы тем самым убрать его из списка.

Когда же оператор рассчитывает на свою память - это часто приводит к ошибкам = пропускам.

так, как запись в списке может быть продублирована с небольшим отличаем.

Когда же оператор зная этот момент убирает объект из списка ( изменяя статус объекта на _проверен )

он вынуждено отдаёт не одну, а две команды = трата времени.

-----

Получается uVS ставит оператора перед выбором или, или.

В то время, как реализация данного предложения решает эту проблему.

[PR55.RP55 83]

1) Сейчас открыл фото редактор, а там фото-иконки со всякой дрянью.

думаю это откуда ?

Посмотрел размещение.

получается, что здесь:

C:\Documents and Settings\!User!\Local Settings\Temporary Internet Files

...

C:\Documents and Settings\!User!\Local Settings\Temporary Internet Files\Content.IE5\VQKVSCY6

C:\Documents and Settings\!User!\Local Settings\Temporary Internet Files\Content.IE5\KPEEKTW7

 

Думаю очистит uVS  или нет...

проверил - результат отрицательный.

А там гора файлов-ссылок и .js объектов

Вот переход по ссылке: http://files.webfile.ru/media/img/branding.jpg

вот мне это там зачем ?

с таким же успехом может быть переход на что угодно.

почему uvS  не чистит ?

[PR55.RP55 83]

1) Критерии поиска.

 

Сделать такую настройку, чтобы файл\объект при срабатывании критерия получал статус: Проверенный.

-------

например это актуально при работе с ЭЦП

когда ЭЦП Действительна... но...

[alamor 69]

В окне списка установленных команд (Alt + U) просьба добавить в контекстное меню команду для копирования имени команды. Сейчас там единственный пункт создать критерий. Приходится заходить в создание критерий и копировать имя программы оттуда. Это полезно когда нужно поискать в гугле информацию об этой программу или скопировать её имя, чтобы попросить пользователя её деинсталировать.

[PR55.RP55 83]

  Demkd пишет:       

teamviewer меня вконец выбесил своими глюками и тормозами, поэтому я все бросил и сделал быстренько релиз.

---------------------------------------------------------

3.86.6

---------------------------------------------------------

o Обновлен файл Удаленный рабочий стол.txt добавлены настройки для

превращения uVS в удобную программу удаленного доступа.

 

Раз uVS стал родственником teamviewer

то в uVS нужно добавить команду: " Определить мой текущий IP "

 

т.е. человек нуждается в помощи > применяет команду: " Определить мой текущий IP " >  копирует результат и отсылает его

по: @.,  оператору uVS

-----

Можно, что нибудь в таком роде: http://yandex.ru/internet

[PR55.RP55 83]

Прочитал информацию от Виктора на форуме ESET

и предлогаю:

 

1) Создать твик...

Для привентивной защиты от шифраторов.

 

.REG

Файлы .REG в виде текста:
 

Для файлов с расширением .JS

Windows Registry Editor Version 5.00

;Включить отображение расширения файла
[HKEY_CLASSES_ROOT\JSFile]
"AlwaysShowExt"=""
"BrowserFlags"=dword:00000008

;По умолчанию открывать файл в редакторе
[HKEY_CLASSES_ROOT\JSFile\Shell]
@="Edit"

;Спрятать пункт "Открыть" в контекстном меню
[HKEY_CLASSES_ROOT\JSFile\Shell\Open]
"LegacyDisable"=""

;Спрятать пункт "Открыть в командной строке" в контекстном меню
[HKEY_CLASSES_ROOT\JSFile\Shell\Open2]
"LegacyDisable"=""

Для файлов с расширением .SCR

Windows Registry Editor Version 5.00

;Включить отображение расширения файла
[HKEY_CLASSES_ROOT\scrfile]
"AlwaysShowExt"=""
"BrowserFlags"=dword:00000008

;По умолчанию открывать файл в редакторе
[HKEY_CLASSES_ROOT\scrfile\shell]
@="edit"

;Спрятать пункт "Проверка" в контекстном меню
[HKEY_CLASSES_ROOT\scrfile\shell\open]
"LegacyDisable"=""

;Спрятать пункт "Настроить" в контекстном меню
[HKEY_CLASSES_ROOT\scrfile\shell\config]
"LegacyDisable"=""

;Спрятать пункт "Установить" в контекстном меню
[HKEY_CLASSES_ROOT\scrfile\shell\install]
"LegacyDisable"=""

;Добавить раздел "edit" для запуска файла по умолчанию в редакторе
[HKEY_CLASSES_ROOT\scrfile\shell]
[HKEY_CLASSES_ROOT\scrfile\shell\edit]
[HKEY_CLASSES_ROOT\scrfile\shell\edit\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,4e,00,4f,00,\
54,00,45,00,50,00,41,00,44,00,2e,00,45,00,58,00,45,00,20,00,25,00,31,00,00,\
00  

 

 

 

    

При запуске файла открывается редактор вместо запуска команд "%1" %* и "%1" /S (и т.д.)
Файлы остаются исполняемыми, но в контекстном меню отсутствует пункт "Открыть".
Это только часть защиты, так же можно защитить .REG .BAT .CMD .VBS .VBE .JSE

Впринципе ведь можно раздел "edit" не просто в редакторе открывать, а в чём то другом.

например в редакторе uVS 

[PR55.RP55 83]

Demkd

 

По поводу: http://www.herdprotect.com/knowledgebase.aspx

 

В базе; 110 000 000  файлов.

_________________________

 

В последнее время популярность сервиса так выросла, что в день проверяется до полумиллиона файлов.

и игнорировать это по меньшей мере странно.

------

Да, есть недостатки - как правило файл повторно не проверяется.

_______

 

Я хочу минимума:

А именно:

1) появления в меню команды: " Открыть страницу с отчётом по sha1  на herdprotect.com "

 

2) А ещё бы реализовать поиск по ЭЦП файла.

 

http://www.herdprotect.com/knowledgebase_signers.aspx?loc=A

 

В базе более 45,000 Publishers

Как это может работать: Нашли в списке ЭЦП  ХХХ

Сам файл чист... но вызывает некое сомнение.

Как его проверить ?

Всё просто: нам помогут результаты проверки не одного файла, а группы файлов одной ЭЦП.

" Открыть страницу с отчётом по ЭЦП на herdprotect.com "

 

* Поле поиска вполне поддерживает запрос по производителю.

например пропишем запрос: BrowseSmart

Получим результат: http://www.herdprotect.com/signer-browsesmart-2324196045b471d3a6a37cf9331711ab.aspx

( только кавычки не поддерживаются )

[PR55.RP55 83]

1) Локальное пополнение базы проверенных.

 

Через каталог: vtcache  проходят тысячи файлов, логично, если база будет пополнятся за счёт них.

 

Как это можно реализовать: при каждом   Х   запуске uVS производит проверку-пополнение базы.

Процесс обработки запускается автоматически когда каталог vtcache содержит 1000 или более файлов.

Или по настройке в settings.ini ( например можно установить порог в 4000 файлов )

 

Соответствующие файлы: ( год и более файл проверен и чист )

при завершении проверки удаляются из vtcache, как отработанный материал.

Не соответствующие файлы дабы избежать повторной проверки - или удаляются, или получают маркер.

Новая, локально пополняемая база получает наименование: VT2

[PR55.RP55 83]

1) Дополнить Инфо. файла записью: НЕ известный файл.

( разуется при соответствующем положении дел )

 

Это необходимо при работе с критериями.

[PR55.RP55 83]

1) На будущее.

В 2015 году появились файловые критерии.

Рано, или поздно старые критерии нужно будет удалить - за ненадобностью.

Но вдруг окажется, что все критерии и старые и новые 201*  года записаны в перемешку.

---

Значит для каждого нового года должна быть своя мини база - свой файл.

И после базу 2015 можно будет удалить... помесить её в архив и работать только с новой базой.

----

Я это пишу на тот случай, если в программе появиться функция общей базы, общей рассылки баз.

 

2) В меню поискового критерия добавить: [ V ] Известный.

 

ведь сейчас появился: [ V ] Проверенный.

Но нет: Известного...

 

3) http://www.anti-malware.ru/forum/index.php?showtopic=19126&page=109#entry187052

 

.

[PR55.RP55 83]

Как -то мелькала мысль, что рано, или поздно может появиться вирус который будет блокировать создание .txt

файлов.

----

Собственно предложение: текстовый файл ( т.е. образ автозапуска ) для uVS не создаётся на проблемной машине.

Файл создаётся заранее.

И образ автозапуска сохраняется в этот файл.

------

Программа распространяется в комплекте с .txt файлом.

[demkd 636]

@PR55.RP55, если .txt нельзя создать то и развернуть его из архива не выйдет

[PR55.RP55 83]

если .txt нельзя создать то и развернуть его из архива не выйдет

Так, то из архива.

А если программа распакована на другом PC ?

-------

Кроме того разве образ автозапуска обязательно с расширением сохранять ?

 

Использовать для сохранения образа готовый файл без расширения.

[demkd 636]

@PR55.RP55, ну распаковано и дальше что? с сети прямо запускать? ну запретят открывать txt для записи вообще, а потом и файлы без расширения, это уже бред

[PR55.RP55 83]

Demkd

 

Почему же бред ?

 

Как пример браузер: Mozilla Firefox

 

cache

 

В Кэше все файлы без расширения.

Но браузер с ними прекрасно работает..

Здесь дело в механизме.

------

А если запрещать всё подряд - то пользователь не сможет работать с системой.

А плохие дяденьки в этом не заинтересованы.

[PR55.RP55 83]

в uVS есть чек бокс: Скрыть известные [V]

 

Предлагаю: добавить свободный чек бокс.

т.е. оператор создаёт текстовый файл, в файл прописывается список объектов которые нужно скрыть.

Здесь преимущество в том, что можно скрыть\показать группу файлов обладающих разнообразными признаками.

[PR55.RP55 83]

Информация с safezone.

http://safezone.cc/threads/perevod-i-uluchshenie-hijackthis-2-0-6-fork-sz-team.25222/page-6

Думаю, необходимо почитать шестую страницу и подумать.

[PR55.RP55 83]

1) Возможность объединить несколько скриптов в один.

с автоматическим удалением дублирующих команд.

 

2) В плане улучшения эвристики программы и автоскрипта.

 

пример:

APPDATA\ROAMING\ASPACKAGE

START MENU\PROGRAMS\ASPACKAGE

 

http://forum.esetnod32.ru/search/?PAGE_NAME=search&tags=&q=ASPACKAGE.EXE&FORUM_ID%5B%5D=0&DATE_CHANGE=0&order=relevance&s=%CD%E0%E9%F2%E8

 

YANDEX\UPDATER\PRAETORIAN.EXE

 

http://forum.esetnod32.ru/search/?PAGE_NAME=search&tags=&q=PRAETORIAN.EXE&DATE_CHANGE=0&order=relevance&s=%CD%E0%E9%F2%E8

 

3) На форумах в том числе на форуме ESET тысячи скриптов.

Предлагаю реализовать в программе поиск по форуму.

с командой: " Искать совпадения по форуму > Сформировать список подозрительных объектов "

В данном случае поиск по сайту работает, как поиск по критерию.

 

И... Программа формирует базу.

В дальнейшем, если найдено соответствие - файл помечается, как подозрительный.

и предлагается вариант его удаления ( по настройке )

 

Или же:

Сохраняем скрипты >  указываем программе  путь к ним.

Программа определяет закономерности и формирует базу.

 

В конце концов база будет содержать записи типа:

 

\ASK.COM\
\ASKPARTNERNETWORK\
\ASKTOOLBAR\
\ASPACKAGE\

......

\SHHOPPERMASTER\
\SHOP AND SAVE UP\
\SHOPPERMASTER\
\SHOPPERPRO\
\SHOPPERZ\

 

Оператор просматривает базу  и вносит редакционные изменения.

[PR55.RP55 83]

Demkd

 

В программе Adware Removal Tool by TSA

Есть возможность сброса настроек браузера

 

http://www.techsupportall.com/adware-removal-tool/

 

В uVS уже есть твик: #36 Очистить ключ Microsoft Edge

Хотелось бы аналогичные твики для других браузеров.

Хотя бы для Хрома.

---------

В программе AM Privacy Protector

http://amonitoring.ru/cc/program/am-privacy-protector-w10/

 

есть пункт: Отключить шпионские задачи.

На странице есть исходный код программы.

[PR55.RP55 83]

Нашёл несколько бесплатных программ от одного разработчика: http://dear-ruslan.ru/

Программы не ориентированы на  поиск вирусов но...

1) Программа: Найти и уничтожить (удаляет запрещенные файлы)

Данная программа занимается проверкой папок на нахождение в них запрещенных файлов, игр, программ и тд. Списки запрещенных программ создаются пользователем.

2) Программа: Skan_x

Данная программа занимается проверкой новых файлов в заданных папках.
И при обнаружение их оповещает пользователя об этом.
Поиск и обнаружение новых и изменившихся файлов в указанных директориях
Настраиваемая маска для поиска файлов
Создает список всех ранее полученных файлов

3) Сontrol_procces

Данный программный продукт необходим для скрытого отслеживания и блокирования неразрешенных программ на клиентских компьютерах, с централизованным управлением.
Блокировка запрещенных процессов по списку.
Поиск и определение среди запущенных программ игр ( т.е. программ определённого типа )
Управление всеми клиентскими компьютерами
Скрытое наблюдение за всеми запускаемыми программами на компьютере.
Возможность добавить в черные списки программу.
Можно исключить наблюдение за процессами по белым путям.
Автоматическое распознавание игр
Сбор всех данных в одну базу данных.

-----------------

Это ровно то, что я предлагал реализовать в одной программе, а именно в uVS

Всё выше перечисленное + автоскрипт + белый список ЭЦП + База проверенных +Критерии поиска+ Сигнатуры

Это колоссальные возможности...

[PR55.RP55 83]

1) Возможность дополнять: Инфо.

Оператор формирует базу данных.

Информация из базы данных дополняет сведения по файлу, или содержит комментарий.

Информация не влияет на статус.

 

[PR55.RP55 83]

1) По V.T.

Раньше для пополнения базы мы брали время первой и крайней проверки.
Сейчас появилась капча.
Но пополнять базу можно по другому...
Берём образ ( с форума ) созданный > год назад.
Получаем две даты: время создания образа и время проверки файла на V.T. по VTAPIKey
-------
Следует учесть, что системное время на машине на которой создавался образ  может быть не точным.
( но у нас есть время создания темы )
Если тема в которой размещён образ редактировалась - обратить внимание на дату редактирования.
На форуме ESET тысячи образов начиная с 2009 года.

[PR55.RP55 83]

1) Часто люди обращаются с жалобами на тормоза.

Но в ходе проверки выясняется, что вирусов нет.

Предлагаю в лог добавлять информацию с датчиков.

Чтобы видеть температуру.

Показания с датчиков снимать в самом начале создания образа.

http://community.develstudio.org/showthread.php/9580-Идея-Снятие-показаний-температуры-с-датчиков-материнской-платы?s=9b74156dfa9a3b1111d54b6c80a4ab21&p=87215&viewfull=1#post87215

[PR55.RP55 83]

1) По сигнатурам.

Можно работать с сигнатурами, как с базой: vtcache
т.е. при добавлении сигнатуры формируется файл данных.
В settings.ini настраивается время хранения\действия.

; Время действия sgnz в днях - для сигнатуры файла/объекта. (120 по умолчанию)
SgnzDays=120

таким образом все устаревшие сигнатуры будут удаляться автоматически без вмешательства оператора.
-----

Но лучше всю информацию хранить одним блоком\файлом.
Где по каждой сигнатуре своя метка времени. ( создания\добавления сигнатуры )