Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 83]

1)  Дополнить команду: hide

Пример:

hide %Sys32%\.EXE

hide %Sys32%\.*** ( добавить все типы расширений данной директории в исключение )

hide %SystemDrive%\PROGRAM FILES (X86)\WINAMP\.DLL

т.е. в данном случае все файлы: .DLL из каталога \PROGRAM FILES (X86)\WINAMP\

попадают в исключения.

Бывают случаи, когда невозможно увеличить длину сигнатуры.

или в список вынужденно включено множество команд: hide  где файлы принадлежат одной директории.

* Только в данном случае выбранные файлы\каталоги не скрываются из списка, а перемещаются в отдельную категорию.

2) По сигнатурам.

В скрипт добавлена команда: addsgn  & .tmp;.com; .pif        1A05B69A5583C58CF42BC4BD0C900C592562457F89FA2C870CBE218F905D044018E0CCC2FE6E5A3C3368508646168EFA6BDFE872BDAC182C2DF46CD02EB22273 8 a variant of Win32/Ru.F

Таким образом сигнатура работает только с файлами типа: .tmp ; .com; pif

т.е. в данном случае для всех файлов с расширением типа: .exe; sys; dll и т.д. автоматически применяется hide

[PR55.RP55 83]

1) Сделать фильтр по списку: wdsl

для графы: Производитель

в режиме вкл\выкл.

 

[PR55.RP55 83]

В 14.03.2017 at 8:05 PM, PR55.RP55 сказал:

1) Сделать фильтр по списку: wdsl

для графы: Производитель

в режиме вкл\выкл.

Сейчас есть пункт меню: Скрыть с производителем.

А будет пункт меню: Скрыть с известным производителем ( по wdsl)

 

[PR55.RP55 83]

Цитата

    

Сейчас есть пункт меню: Скрыть с производителем.
А будет пункт меню: Скрыть с известным производителем ( по wdsl)

В принципе можно даже не менять названия.
оставить запись, как есть: Скрыть с производителем. ( хотя я бы поменял )
только сделать настройку по settings.ini  с учётом наличия\отсутствия файла: wdsl
и если файл: wdsl присутствует - то скрываются только производители совпадающие со списком.

( или с первым словом в строке списка\ wdsl )

пример: ( в данном случае первое слово в строке это: Microsoft )

Microsoft Corporation
Microsoft DRM Publisher
Microsoft Dynamic Code Publisher
Microsoft LIVE Gaming for Windows
Microsoft Update
Microsoft Windows
Microsoft Windows 3rd party Component
Microsoft Windows Component Publisher
Microsoft Windows Early Launch Anti-malware Publisher
Microsoft Windows Hardware Abstraction Layer Publisher
Microsoft Windows Hardware Compatibility Publisher
Microsoft Windows Publisher
Microsoft Windows Third Party Application Component

 

[alamor 69]

@demkd, можно в новой версии сделать, чтобы файлы со статусом ?ВИРУС? (попавшие под критерий) выделялись в какой-то цвет по аналогии с файлами попавшими под сигнатуру? А то в куче ПОДОЗРИТ. файлов эти ?ВИРУС? порой трудно заметить.
 

[santy 153]

@alamor,

полезно просто отсортировать список в подозрительных и вирусах по статусу, и затем уже с ним работать.

[alamor 69]

Да, можно каждый раз сортировать, но если бы подсвечивалось цветом, то было бы намного удобней.

И тут тема как раз про запрос новых фич у разработчика. Реализовать это надеюсь не сложно, а удобство от использования повышается. А так и для сигнатур можно было бы не добавлять, а тоже сортировать по статусу.

 

[PR55.RP55 83]

Порой приходиться проверять образ автозапуска созданной на одной и той же  системе несколько раз.

Но, не все файлы можно добавить в базу проверенных и приходиться перепроверять одно и тоже несколько раз.

Поэтому предлагаю создать базу - по аналогии с vtcache.

т.е. оператор отдаёт команду: файл проверен...

И файл попадает в базу: OpCache.

[PR55.RP55 83]

Добавлять запись: Скрипт

В Инфо. объектов.

Пример:

Полное имя                  C:\WINDOWS\SYSTEM32\GATHERNETWORKINFO.VBS
Имя файла                   GATHERNETWORKINFO.VBS
Тек. статус                 ПРОВЕРЕННЫЙ в автозапуске
Скрипт:                      VBS                        
                         
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ в автозапуске
Размер                      74272 байт
Создан                      22.08.2013 в 10:58:31
Изменен                     18.07.2013 в 19:53:33
Цифр. подпись               Действительна, подписано Microsoft Windows
                            
Доп. информация             на момент обновления списка
SHA1                        C8E2D0C17EDE015E4B3FEEC0940A7F1B07811F2F
MD5                         55158C8F4CFAB021134137B68BBFD01F
                            
#FILE#                      Dim FSO, shell, xslProcessor

Sub RunCmd(CommandString, OutputFile)
    cmd = "cmd /c " + CommandString + " >> " + OutputFile
.....
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\NetTrace\GATHERNETWORKINFO

__________

Это нужно для работы с составными критериями поиска.

т.е. Оператору уже НЕ нужно будет при составлении скрипта указывать тип\ы расширения.

Достаточно задать значение: Скрипт

И критерий сработает на любой скрипт - без перечисления всех типов расширений.
                            

[PR55.RP55 83]

+

Это же касается и DLL

В Инфо. писать:

Динамически подключаемая библиотека                                       DLL

И опять же...

Расширение у библиотеки будет любое...

А критерий всё равно сработает.

 

[PR55.RP55 83]

simplix  \ SmartFix

Реализована проверка библиотек, отвечающих за значки состояний (ShellIconOverlayIdentifiers)

[PR55.RP55 83]

Данные ShimCache как эффективная альтернатива\дополнение к  Prefetch

https://countuponsecurity.com/2016/05/18/digital-forensics-shimcache-artifacts/

 

В переводе: https://translate.google.ru/translate?hl=ru&sl=en&u=https://countuponsecurity.com/2016/05/18/digital-forensics-shimcache-artifacts/&prev=search

 

 

[PR55.RP55 83]

+

Программа: WinPrefetchView  от Nir Soft

http://www.nirsoft.net/utils/win_prefetch_view.html

в uVS есть анализ Prefetch но в WinPrefetchView  реализована большая детализация данных.

[PR55.RP55 83]

+

Windows Prefetch parser. Supports all known versions from Windows XP to Windows 10.

https://github.com/EricZimmerman/Prefetch

[PR55.RP55 83]

В "последнее время" появились вирусы которые модифицируют системные DLL находящиеся в автозапуске.

Появилась мысль - защитить их от изменения...

Предлагаю в контекстное меню файла добавить команду\ы: + -

Пример:

ATTRIB  +R C:\111.dll

Установить: "Только чтение" для файла C:\111.dll

[Vvvyg 12]

Даже комментировать такую "защиту" не хочется 

[PR55.RP55 83]

1 час назад, Vvvyg сказал:

Даже комментировать такую "защиту" не хочется 

А я так надеялся, так надеялся !  

Так надеялся, что будет сообщение об ошибке.

[PR55.RP55 83]

В программе:   BCUninstaller

http://soft.oszone.net/program/17561/Bulk_Crap_Uninstaller/

Есть такие интересные параметры:

  <InstallLocation>C:\Program Files\Realtek\Audio\Drivers</InstallLocation>
  <InstallSource>C:\DOCUME~1\!User!\LOCALS~1\Temp\pft5~tmp</InstallSource>

т.е. путь откуда была установлена программа\компонент.

Защищена программа: Да\нет.

Путь до файлов.

Зарегистрирован, или нет.

Указан издатель\производитель\ЭЦП

Сайт программы.

Обновлялся компонент\программа, или нет.

Возможность посмотреть доп. ( Инфо. ) по каждой программе.

Кроме того можно _переименовать установленную программу. ( что будет важно для администраторов )

---------

Это всё бы очень пригодилось.

 

 

[demkd 636]

10 и большую часть 11 августа сервера работать не будут, тех. работы.

[PR55.RP55 83]

Есть одна программка для анализа файлов.

https://www.winitor.com/features.html

Там есть папка: xml   в ней файл:  signatures.xml

Для определения типа файлов.

Здесь ценный момент, что определяется тип упаковщика.

Тысячи вариантов...

[PR55.RP55 83]

Предлагаю  реализовать новую категорию:  Дубликаты файлов и Аналоги.

Идентичные:  Имена; SHA1; Сигнатуры; ЭЦП ( верно для всех ЭЦП, кроме = wdsl );

с одним производителем.

и т.д.

Так например все файлы: Действительна, подписано Ask.com

будут автоматически отображаться в одной категории.

* Файлы относящиеся к разным группам  - автоматически разделены пробелом.

[demkd 636]

Похоже очередной винт загибается, обновления и вход в лк будут недоступны на время устранения проблемы (до суток), веб-сервер и сервер анализа образов могут быть периодически недоступны.
...
База синхронизируется почти с нуля так что балансы в лк неактуальные до тех пор пока не завершится синхронизация с сетью, одинокий бэд на винте убил базу блоков.

[PR55.RP55 83]

1)   Инфо. файла может содержать сотни строк текста.

При срабатывании поискового критерия сложно определить на какую из строк произошло срабатывание.

Решение:  помечать\выделять строку например как это реализовано в notepad++

[PR55.RP55 83]

1) Пользователю может демонстрироваться реклама от свёрнутого приложения.

Чаще всего - это браузеры.

Открывается\оставляется небольшое окошко - с соответствующим рекламным контентом.

Пользователю не хватает квалификации, а оператор  этого не видит из-за обилия данных в образе.

Предлагаю добавить новую категорию: Окна. с указанием положения окна, его размера, и процесса.

[alamor 69]

@demkd, два пожелания.

1) Чтобы при добавление критерия начальные и конечные пробелы в поле "Атрибут" обрезались. А то создал критерий, а он не работает. Проверяю его, вроде логика всё правильная. Оказывается там в конце пробел затесался.

Add. Сначала написал по памяти, сейчас перепроверил, оказывается у меня в том неработающем критерии наоборот пробела не хватало в поле "Не удается найти указанный файл. ". Тут специально в конце пробел добавлен?

2) Так как список значений поля Атрибут постоянный и задаётся самим uVS, то предлагаю у этого поля добавить combox со списком атрибутов. При составление сложных критериев будет удобней их создавать выбрав из выпадающего списка.