Перейти к содержанию

Recommended Posts

demkd
8 часов назад, alamor сказал:

Тут специально в конце пробел добавлен?

а кто его помнит :)
 

8 часов назад, alamor сказал:

Так как список значений поля Атрибут постоянный

Он не постоянный, там может произвольное значение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
10 часов назад, demkd сказал:

Он не постоянный, там может произвольное значение.

значение атрибута произвольное, а сам атрибут? На всякий случай, чтобы было понятней, я про это

6f030525eb0ecfd20204bcc59980f191.png

Это ведь в uVS заранее заложено какие именно параметры считывать (и тут перечень этих параметров=атрибутов).

10 часов назад, demkd сказал:

а кто его помнит

Так что насчёт предложения обрезать начальные и конечные пробелы? Правда получается, что надо не только в поле атрибут, но и в поле значение. И может в будущей версии уберёшь этот и если есть какие другие лишние пробелы?

Просто на данный момент составлять сложный критерий поиска, точней его редактировать не удобно. Редактирование критерия находится на одной вкладке, а сам объект в свойствах которого надо смотреть атрибуты которые будут указаны в критерии на другой. И либо надо постоянно туда сюда переходить по вкладкам, чтобы посмотреть и точно скопировать значения, либо это копируется в текстовый файл и уже оттуда заносится в критерий (тогда уже прыгать по вкладкам не надо). Так вот в случае с копирования значений из текстового файла и есть риск что добавится или потеряется пробел в начале\конце.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, alamor сказал:

значение атрибута произвольное, а сам атрибут? На всякий случай, чтобы было понятней, я про это

есть изначально заданные атрибуты, есть произвольные, стандартные намертво вшиты.

1 час назад, alamor сказал:

Так что насчёт предложения обрезать начальные и конечные пробелы?

Если начать что-то менять в именах атрибутов то скорее всего начнутся проблема со старыми критериями, поэтому я не думаю что это разумно. Другое дело что можно отрезать пробелы на этапе проверки это сделать можно. А редактировать лучше набивая шаблон из имен критериев не выходя из окна информации о файле, а потом уже расставить где надо и/или, там вроде была такая функция.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

В список установленных программ следует добавить фильтр.

[ v ] Скрыть известные Системные

[ v ] Скрыть подписанные Microsoft

[ v ] Скрыть Uninstall.exe подписанные по:  WDSL

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Проверять наличие:  дампа, мини\дампа памяти в системе.

Если есть добавлять соответствующую запись в лог.

2)  Фиксировать время создания дампа и автоматически сопоставлять с временем создания\изменения файлов\каталогов в системе. Помещать информацию в Инфо. файла.

Что это даст ?

Пример: Создан файл:  \APPLICATION DATA\BROWSERS\EXE.

Время создания:  28.04.2018 в 23:40:41  Зафиксировано создание  мини\дампа:  28.04.2018 в 23:40:59

Таким образом можно проследить чёткую закономерность. Что позволит не только эффективнее обнаруживать угрозы, но и устранять сбои в работе системы\компонентов.

Время ( интервал ) установить в пределах часа и 24 часов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) В лог писать по состоянию защитника Windows: Вкл/Выкл. 

2) Добавить возможность: Вкл/Выкл.  для защитника Windows

https://www.comss.ru/page.php?id=2698

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Как известно при  подключение через Роутер могут быть проблемы связанные c DNS - настройкой.

Нужно сохранять в образе автозапуска данные о сетевом оборудовании.

ipconfig /all и т.д.

Например получим информацию:

Описание  . . . . . . . . . . . . : Modem Yota #1

Описание  . . . . . . . . . . . . : Huawei Gobi 3000 USB Modem #2

Таким образом оператор видит тип используемого оборудования - то, что проблема не имеет отношения к Роутеру.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

 Отслеживание активности любого расширения в браузере на примере хрома: Chrome

https://xakep.ru/2014/06/16/62643/

Таким образом можно выявить левое расширение.

т.е.  хорошо бы отслеживать активность расширений и прописывать данные в Инфо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

в качестве предложений для новых версий uVS.

1. детектировать в командной строке base64 кодировку.... в последнее время все чаще используется для загрузки и запуска майнеров, объекту добавлять статус "подозрительный".


 

Цитата

 

CommandLineEventConsumer

powershell -exec bypass -W 1 -E aQBmACAAKAAoAGcAZQB0AC0AcAByAG8AYwBlAHMAcwAgAC0AbgBhAG0AZQAgAG0AcwBpAGUAeABlAGMAIAAtAEUCQARgApACkAKQB9ACAALQBXAGkAbgBkAG8AdwBTAHQAeQBsAGUAIABoAGkAZABkAGUAbgB9ADsAZQB4AGkAdAA=


 

+ еще один пример взят из лога hj

Цитата

O25 - WMI Event: Windows Events Consumer - Windows Events Filter - Event="__InstanceModificationEvent WITHIN 5600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  powershell.exe -NoP -NonI -W Hidden -E JABwAGkAbgAgAD0AIABuAGUAdwAtAG8AYgBqAGUAYwB0ACAAcwB5AHMAdABlAG0ALgBuAGUAdAAuAG4AZQB0AHcAbwByAGsAaQBuAGYAbwByAG0AYQB0AGkAbwBuAC4AcABpAG4AZwANAAoAJABzAGUAPQBAACgAKAAnAHUAcABkAGEAd

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt

Стоит прочесть и найти полезное.

Типа:

Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
Добавлена проверка типа виртуализации ключей реестра.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

можно добавить команды delwmi и deltsk в конструктор условий? (вместе с auto, del, delref, delall, skip, deldir, deldirex...)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Получение информации из журнала USN на NTFS и ReFS

Цитата

Как только какой-то файл изменился, в журнал пишется информация об этом. Эту информацию можно из журнала извлечь

http://hex.pp.ua/usn-journal.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

есть такая возможность,  из окна инфо, в поле сигнатура вызвать форму для переименования сигнатуры? (с учетом того, что сигнатур с одинаковыми именами может быть много, поэтому для редактирования должна быть открыта нужная запись)

sign.jpg.531ee9d7e8a58a1ef65caabc9f072489.jpg

т.е. вызвать эту форуму:

sign0.jpg.243f69d22609467408218a8716c6eac4.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, santy сказал:

есть такая возможность, 

такого нет, можно конечно сделать, но не ясно зачем

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
23 минут назад, demkd сказал:

такого нет, можно конечно сделать, но не ясно зачем

в списке сигнатур, в данном случае 2-3 десятка записей с именем Win32/Adware.ConvertAd, а файл, который попал под детект данной сигнатуры, детектируется на VT как  NSIS/CoinMiner. захотел переименовать сигнатуру, а какую именно - не определить наугад :).

-------

т.е. понятно, что переименоваться должна не строка в инфо, а запись в signs, и как следствие, потом уже и отображение названия в Инфо будет новое.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

При поиске в uVS есть такая проблема как:

e

е

a

а

c

с

р

p

o

о

----------- и т.д.

Оператор не знает какой символ юникода  содержит слово.

Соответственно при наборе поискового запроса будет существенный недочёт.

Практически: Пользователь жалуется - процесс: poxx.exe  грузит систему...

Оператор думает - нужно глянуть... > вбивает запрос...  И ничего по данному запросу не находит...

Программа должна показывать два варианта поискового запроса:  как для: рохх.exe так и для poxx.exe

Что позволит не повторять поисковый запрос, не совершать ошибку, не тратить время, видеть записи имитирующие названия известных\системных файлов.

Будет полезно, как для начинающих операторов, так и для людей с опытом.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
19 часов назад, PR55.RP55 сказал:

Программа должна показывать два варианта поискового запроса:  как для: рохх.exe так и для poxx.exe

А как программа должна узнать, что эти два похожи внешне? Для неё ведь это два совершенно разных имени.

@demkd, очень не хватает возможности создавать логические блоки в критериях.

К примеру, чтобы написать что-то вроде

a&(b||c||D) приходится писать a&b||a&c||a&d

А тем более, что для каждого элемента приходится заполнять два поля то получается очень неудобно.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
2 часа назад, alamor сказал:

А как программа должна узнать, что эти два похожи внешне? Для неё ведь это два совершенно разных имени.

Как работает поиск ?

программа ищет не слово, а символ введённый оператором.

Например символ:  А или A  ( в зависимости от раскладки клавиатуры )

-------------

Предложение же звучит так:

Оператор вводит поисковый запрос: A

И получает результат:  a&а

Или вводит: А

И получает результат: а&a

-------------

Сейчас оператор не знает должен ли его поисковый запрос содержат символы кириллицы или латиницы.

не знает написано ли слово целиком на кириллице или содержит символы латиницы.

сейчас оператор не знает написано ли слово целиком на латинице или содержит кириллические символы.

Я предлагаю выводить в результаты поиска оба варианта.

т.е.  A  соответствует  А  ;   O соответствует О

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
18 минут назад, PR55.RP55 сказал:

Как работает поиск ?

программа ищет не слово, а символ введённый оператором.

Например символ:  А или A  ( в зависимости от раскладки клавиатуры )

Только работает это не совсем так. Вы вводит символ, он преобразуется в код этого символа и программа ищёт символ с таким кодом. В разных раскладках А имеет разные коды, а как следствие это разные символы хотя для человека они и выглядят похоже.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

alamor

                      = a

   а  >                    = A

                      = а

                              = А

Верно.

Я и говорю о том, что не оператор должен думать, что ему вводить и как это искать, какие символы в какой раскладке работать - на испанском, португальском, английском, английском-американском, кириллице.

Программа должна найти соответствие запросу.

Все варианты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
29 минут назад, PR55.RP55 сказал:

Я и говорю о том, что не оператор должен думать, что ему вводить и как это искать, какие символы в какой раскладке работать - на испанском, португальском, английском, английском-американском, кириллице.

ну да, отличная идея, убить поддельный csrss вместе с легитимным, а может их вообще в одну запись объединить? xD

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

demkd

В Инфо. файла есть запись:

ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ [Запускался неявно или вручную]

Речь идёт о том, что видит оператор = результат поискового запроса в строке поиска.

Речь не идёт о командах для скрипта, или иных вариантах.

Оператор всё равно визуально не отличает кириллицу от латиницы. Или есть такие кто отличает ?

Системные записи защищены от удаления.

Системный файл может на равных с вирусом попасть под сигнатурное определение - откажемся от сигнатур ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

а чем Вам это решение не нравится? оно уже есть и работает в uVS
 

Цитата

 

C:\WINDОWS\ЕХРLОRЕR.EXE

Trojan.Winlock.8811 [DrWeb] (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2017-04-14

(ИМЯ ФАЙЛА ~ СОДЕРЖИТ NON-ASCII СИМВОЛЫ)(1) [auto (0)]

ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Типичное для вирусов или содержит Non-ASCII символы

 

uVS на стадии формирования списка файлов автозапуска уже проверил возможность подмены символов ASCII на символы в нац. кодировке. И пометил соответствующим образом подобные файлы: изменением статуса и комментарием Non-ASCII символы.

Единственно, предусмотреть делать запрос по отдельно выбранному критерию, чтобы отфильтровать записи Non-ASCII для оперативного просмотра.

--------------------

о том, что предлагает RP55, если я правильно понимаю,

Например, ASCII-символ A может иметь одинаковые начертания в разных национальных кодировках: в русском, немецком, английском и еще бог знает где.... Получается, что uVS должен знать таблицу визуального соответствия ASCII символов и символов в нац. кодировке. Найдутся ли новые "Кирилл и Мефодий", которые захотят установить такое соответствие между кодами ASCII и нац. кодами?

 

Это как с цифровыми подписями: белый и черный список... в черном списке может быть сколько угодно записей, всех их оперативно не отследить и не добавить, а вот на соответствие белому списку легко проверить, поскольку этот список ограничен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

Да, в таком ключе я и думал.

Только не так глобально. ( с uVS работают в Русско говорящем мире )

При поиске оператору приходиться выбирать-переключать раскладку.

Оператору нужно найти: poxx.exe

Однако оператор не знает Кириллица это или Латиница. ( или же в списке есть и тот и другой варианты )

Не найдя нужного объекта в Латинице оператор переключает раскладку и ищет в Кириллице.

Программа должна - без дополнительного переключения раскладки найти искомый объект.

Один поисковый запрос выдаёт два итоговых результата.

т.е. если в системе есть и такой и такой варианты:

рохх.exe

и

poxx.exe

В списке ( фильтре ) - окажутся оба объекта.

----------------------------

А не замахнуться ли нам на Вильяма, понимаете ли, нашего Шекспира?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
32 минут назад, PR55.RP55 сказал:

poxx.exe

В списке ( фильтре ) - окажутся оба объекта.

не факт, что в имя файла ради ввода в заблуждение пользователя символы  могут быть добавлены только в русской кодировке,

могут быть в любой кодировке добавлены, лишь бы это соответствовало визуальному образу символа.

-----------

Цитата

При поиске оператору приходиться выбирать-переключать раскладку.

переключить расклад несложно, если ты знаешь что искать....

потому, считаю, что лучше использовать по максимуму из того что уже сейчас заложено  в uVS (фильтр по критерию для Non-ASCII имен файлов) чем расширять функции чтобы получить практически тот же результат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ramonsmaps
      Over the years of independence, the institute has trained more than 13000 physicians (including 800 clinical interns, 1116 masters, 200 postgraduates and 20 doctoral students) in various directions.

      870 staff work at the institute at present,[when?] including 525 professorial-teaching staff in 55 departments, 34 of them are Doctors of science and 132 candidates of science. 4 staff members of the professorial-teaching staff of the institute are Honoured Workers of Science of the Republic of Uzbekistan, 3 – are members of New-York and 2 – members of Russian Academy of Pedagogical Science.

      The institute has been training medical staff on the following faculties and directions: Therapeutic, Pediatric, Dentistry, Professional Education, Preventive Medicine, Pharmacy, High Nursing Affair and Physicians’ Advanced Training. At present[when?] 3110 students have been studying at the institute (1331 at the Therapeutic faculty, 1009 at the Pediatric, 358 at the Dentistry, 175 students at the Professional Education Direction, 49 at the faculty of Pharmacy, 71 at the Direction of Preventive Medicine, 117 ones study at the Direction of High Nursing Affair).

      Today graduates of the institute are trained in the following directions of master's degree: obstetrics and gynecology, therapy (with its directions), otorhinolaryngology, cardiology, ophthalmology, infectious diseases (with its directions), dermatovenereology, neurology, general oncology, morphology, surgery (with its directions), instrumental and functional diagnostic methods (with its directions), neurosurgery, public health and public health services (with its directions), urology, narcology, traumatology and orthopedics, forensic medical examination, pediatrics (with its directions), pediatric surgery, pediatric anesthesiology and intensive care, children's cardiology and rheumatology, pediatric neurology, neonatology, sports medicine.

      The clinic of the institute numbers 700 seats and equipped with modern diagnostic and treating instrumentations: MRT, MSCT, Scanning USI, Laparoscopic Center and others.

      There are all opportunities to carry out sophisticated educational process and research work at the institute.

      Source:
      https://adti.uz/magistratura/
      medical institutes of uzbekistan

      Tags:
      medical institutes of uzbekistan
      regional scientific medical library
      electronic library of a medical student
      electronic medical library official website
    • Dmitrius
      Сервис подбора и сравнение кредитов Случается так, что деньги нужны срочно. Поэтому если у вас нет накоплений, рациональней всего обратиться за помощью на этот сайт, где собраны надежные, проверенные банки, которым точно можно доверять. Учреждения подготовили лучшие предложения, которые только возможны. На этом сайте есть возможность подобрать кредит, а также оформить займ либо взять деньги на приобретение автомобиля. И самое главное, что все это на наиболее выгодных для вас условиях. Автокредит Казахстан проценты - это шанс купить все, что нужно, не отказывая себе в покупке. Все банковские продукты различаются требованиями, условиями выдачи, а потому рекомендуется детально изучить условия договора и особенности выдачи денежных средств. Потребительский кредит оформить (рассчитать) в Алматы получится в данный момент. На этом сайте вы сможете не только подобрать подходящий вариант, но и сравнить имеющиеся. Затем следует определиться с тем, в какой банк обратиться за материальной поддержкой. Составить заявку на выдачу средств можно в режиме реального времени. Кредит наличными заявка онлайн выдается в течение часа наиболее комфортным для вас способом. На портале опубликован список всех доступных предложений, имеется необходимая информация о каждом банке и кредитах. Выберете самую низкую процентную ставку, а также сумму и сроки, на которые планируете занять сумму. Все максимально просто, быстро и понятно. Ипотека проценты Казахстан (ипотека Казахстан) - это отличная возможность решить свои жилищные проблемы. Важно помнить о том, что лишь надежные компании с огромным опытом готовы предложить приемлемые условия. Выберете подходящий для себя банковский продукт, чтобы поправить материальное положение.
    • Dmitrius
      Интернет магазин автозапчастей  Интернет-магазин «AUTOSHOP» реализует внушительный выбор деталей на автомобили - их можно подобрать не только по наименованию, но и артикулу и другим параметрам. Имеются разные запчасти на любые автомобили самых разных марок и моделей - вы сможете их найти в один клик. Запчасти находятся на складе - это дает возможность осуществить быструю транспортировку. Сотрудничество исключительно с надежными, проверенными поставщиками, которые работают на совесть и предлагают продукцию безупречного качества и с длительными эксплуатационными сроками. Автозапчасти интернет магазин для иномарок рекомендует ознакомиться с полным ассортиментом – он даст возможность подобрать вариант с учетом обозначенных требований. Перед тем, как осуществить приобретение, необходимо детально изучить технические аспекты, ведь именно они влияют на сроки эксплуатации и внешний вид авто. Но если вам требуется помощь специалиста, то вы всегда можете воспользоваться профессиональной консультацией. Автозапчасти для иномарок Курск вы обязательно подберете для любой машины, несмотря на год производства. Изучите справочник автотоваров, каталог, а также новости, представленные на данную тематику - информация поможет принять правильное решение. Сотрудники интернет-магазина быстро реагируют на появление новых деталей в европейских магазинах для того, чтобы в ближайшее время пополнить ими свой ассортимент. Это даст возможность быстро среагировать за изменяющуюся ситуацию. Каталог автозапчастей Курск содержит огромный перечень деталей. Они созданы в соответствии с самыми высокими стандартами, нормами, требованиями. Администрация проверяет запчасти на соответствие заданным характеристикам, поэтому в продажу попадает только та продукция, которая имеет сопроводительную документацию, сертификаты. На продукцию есть гарантии, подтверждающие безупречное качество, оригинальность.
    • JamesBisee
      Купить газовый котел с закрытой камерой сгорания в Москве
      https://www.fire-flower.ru/
      https://www.google.tg/url?q=https://fire-flower.ru
    • PR55.RP55
      По всей видимости uVS не всегда может получить доступ к: Hosts Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts " Вроде сейчас uVS  соответствующих записей не создаёт?
×