Перейти к содержанию

Recommended Posts

demkd
8 часов назад, alamor сказал:

Тут специально в конце пробел добавлен?

а кто его помнит :)
 

8 часов назад, alamor сказал:

Так как список значений поля Атрибут постоянный

Он не постоянный, там может произвольное значение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
10 часов назад, demkd сказал:

Он не постоянный, там может произвольное значение.

значение атрибута произвольное, а сам атрибут? На всякий случай, чтобы было понятней, я про это

6f030525eb0ecfd20204bcc59980f191.png

Это ведь в uVS заранее заложено какие именно параметры считывать (и тут перечень этих параметров=атрибутов).

10 часов назад, demkd сказал:

а кто его помнит

Так что насчёт предложения обрезать начальные и конечные пробелы? Правда получается, что надо не только в поле атрибут, но и в поле значение. И может в будущей версии уберёшь этот и если есть какие другие лишние пробелы?

Просто на данный момент составлять сложный критерий поиска, точней его редактировать не удобно. Редактирование критерия находится на одной вкладке, а сам объект в свойствах которого надо смотреть атрибуты которые будут указаны в критерии на другой. И либо надо постоянно туда сюда переходить по вкладкам, чтобы посмотреть и точно скопировать значения, либо это копируется в текстовый файл и уже оттуда заносится в критерий (тогда уже прыгать по вкладкам не надо). Так вот в случае с копирования значений из текстового файла и есть риск что добавится или потеряется пробел в начале\конце.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, alamor сказал:

значение атрибута произвольное, а сам атрибут? На всякий случай, чтобы было понятней, я про это

есть изначально заданные атрибуты, есть произвольные, стандартные намертво вшиты.

1 час назад, alamor сказал:

Так что насчёт предложения обрезать начальные и конечные пробелы?

Если начать что-то менять в именах атрибутов то скорее всего начнутся проблема со старыми критериями, поэтому я не думаю что это разумно. Другое дело что можно отрезать пробелы на этапе проверки это сделать можно. А редактировать лучше набивая шаблон из имен критериев не выходя из окна информации о файле, а потом уже расставить где надо и/или, там вроде была такая функция.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

В список установленных программ следует добавить фильтр.

[ v ] Скрыть известные Системные

[ v ] Скрыть подписанные Microsoft

[ v ] Скрыть Uninstall.exe подписанные по:  WDSL

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Проверять наличие:  дампа, мини\дампа памяти в системе.

Если есть добавлять соответствующую запись в лог.

2)  Фиксировать время создания дампа и автоматически сопоставлять с временем создания\изменения файлов\каталогов в системе. Помещать информацию в Инфо. файла.

Что это даст ?

Пример: Создан файл:  \APPLICATION DATA\BROWSERS\EXE.

Время создания:  28.04.2018 в 23:40:41  Зафиксировано создание  мини\дампа:  28.04.2018 в 23:40:59

Таким образом можно проследить чёткую закономерность. Что позволит не только эффективнее обнаруживать угрозы, но и устранять сбои в работе системы\компонентов.

Время ( интервал ) установить в пределах часа и 24 часов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) В лог писать по состоянию защитника Windows: Вкл/Выкл. 

2) Добавить возможность: Вкл/Выкл.  для защитника Windows

https://www.comss.ru/page.php?id=2698

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Как известно при  подключение через Роутер могут быть проблемы связанные c DNS - настройкой.

Нужно сохранять в образе автозапуска данные о сетевом оборудовании.

ipconfig /all и т.д.

Например получим информацию:

Описание  . . . . . . . . . . . . : Modem Yota #1

Описание  . . . . . . . . . . . . : Huawei Gobi 3000 USB Modem #2

Таким образом оператор видит тип используемого оборудования - то, что проблема не имеет отношения к Роутеру.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

 Отслеживание активности любого расширения в браузере на примере хрома: Chrome

https://xakep.ru/2014/06/16/62643/

Таким образом можно выявить левое расширение.

т.е.  хорошо бы отслеживать активность расширений и прописывать данные в Инфо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

в качестве предложений для новых версий uVS.

1. детектировать в командной строке base64 кодировку.... в последнее время все чаще используется для загрузки и запуска майнеров, объекту добавлять статус "подозрительный".


 

Цитата

 

CommandLineEventConsumer

powershell -exec bypass -W 1 -E aQBmACAAKAAoAGcAZQB0AC0AcAByAG8AYwBlAHMAcwAgAC0AbgBhAG0AZQAgAG0AcwBpAGUAeABlAGMAIAAtAEUCQARgApACkAKQB9ACAALQBXAGkAbgBkAG8AdwBTAHQAeQBsAGUAIABoAGkAZABkAGUAbgB9ADsAZQB4AGkAdAA=


 

+ еще один пример взят из лога hj

Цитата

O25 - WMI Event: Windows Events Consumer - Windows Events Filter - Event="__InstanceModificationEvent WITHIN 5600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  powershell.exe -NoP -NonI -W Hidden -E JABwAGkAbgAgAD0AIABuAGUAdwAtAG8AYgBqAGUAYwB0ACAAcwB5AHMAdABlAG0ALgBuAGUAdAAuAG4AZQB0AHcAbwByAGsAaQBuAGYAbwByAG0AYQB0AGkAbwBuAC4AcABpAG4AZwANAAoAJABzAGUAPQBAACgAKAAnAHUAcABkAGEAd

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt

Стоит прочесть и найти полезное.

Типа:

Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
Добавлена проверка типа виртуализации ключей реестра.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

можно добавить команды delwmi и deltsk в конструктор условий? (вместе с auto, del, delref, delall, skip, deldir, deldirex...)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Получение информации из журнала USN на NTFS и ReFS

Цитата

Как только какой-то файл изменился, в журнал пишется информация об этом. Эту информацию можно из журнала извлечь

http://hex.pp.ua/usn-journal.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

есть такая возможность,  из окна инфо, в поле сигнатура вызвать форму для переименования сигнатуры? (с учетом того, что сигнатур с одинаковыми именами может быть много, поэтому для редактирования должна быть открыта нужная запись)

sign.jpg.531ee9d7e8a58a1ef65caabc9f072489.jpg

т.е. вызвать эту форуму:

sign0.jpg.243f69d22609467408218a8716c6eac4.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, santy сказал:

есть такая возможность, 

такого нет, можно конечно сделать, но не ясно зачем

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
23 минут назад, demkd сказал:

такого нет, можно конечно сделать, но не ясно зачем

в списке сигнатур, в данном случае 2-3 десятка записей с именем Win32/Adware.ConvertAd, а файл, который попал под детект данной сигнатуры, детектируется на VT как  NSIS/CoinMiner. захотел переименовать сигнатуру, а какую именно - не определить наугад :).

-------

т.е. понятно, что переименоваться должна не строка в инфо, а запись в signs, и как следствие, потом уже и отображение названия в Инфо будет новое.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

При поиске в uVS есть такая проблема как:

e

е

a

а

c

с

р

p

o

о

----------- и т.д.

Оператор не знает какой символ юникода  содержит слово.

Соответственно при наборе поискового запроса будет существенный недочёт.

Практически: Пользователь жалуется - процесс: poxx.exe  грузит систему...

Оператор думает - нужно глянуть... > вбивает запрос...  И ничего по данному запросу не находит...

Программа должна показывать два варианта поискового запроса:  как для: рохх.exe так и для poxx.exe

Что позволит не повторять поисковый запрос, не совершать ошибку, не тратить время, видеть записи имитирующие названия известных\системных файлов.

Будет полезно, как для начинающих операторов, так и для людей с опытом.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
19 часов назад, PR55.RP55 сказал:

Программа должна показывать два варианта поискового запроса:  как для: рохх.exe так и для poxx.exe

А как программа должна узнать, что эти два похожи внешне? Для неё ведь это два совершенно разных имени.

@demkd, очень не хватает возможности создавать логические блоки в критериях.

К примеру, чтобы написать что-то вроде

a&(b||c||D) приходится писать a&b||a&c||a&d

А тем более, что для каждого элемента приходится заполнять два поля то получается очень неудобно.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
2 часа назад, alamor сказал:

А как программа должна узнать, что эти два похожи внешне? Для неё ведь это два совершенно разных имени.

Как работает поиск ?

программа ищет не слово, а символ введённый оператором.

Например символ:  А или A  ( в зависимости от раскладки клавиатуры )

-------------

Предложение же звучит так:

Оператор вводит поисковый запрос: A

И получает результат:  a&а

Или вводит: А

И получает результат: а&a

-------------

Сейчас оператор не знает должен ли его поисковый запрос содержат символы кириллицы или латиницы.

не знает написано ли слово целиком на кириллице или содержит символы латиницы.

сейчас оператор не знает написано ли слово целиком на латинице или содержит кириллические символы.

Я предлагаю выводить в результаты поиска оба варианта.

т.е.  A  соответствует  А  ;   O соответствует О

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
18 минут назад, PR55.RP55 сказал:

Как работает поиск ?

программа ищет не слово, а символ введённый оператором.

Например символ:  А или A  ( в зависимости от раскладки клавиатуры )

Только работает это не совсем так. Вы вводит символ, он преобразуется в код этого символа и программа ищёт символ с таким кодом. В разных раскладках А имеет разные коды, а как следствие это разные символы хотя для человека они и выглядят похоже.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

alamor

                      = a

   а  >                    = A

                      = а

                              = А

Верно.

Я и говорю о том, что не оператор должен думать, что ему вводить и как это искать, какие символы в какой раскладке работать - на испанском, португальском, английском, английском-американском, кириллице.

Программа должна найти соответствие запросу.

Все варианты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
29 минут назад, PR55.RP55 сказал:

Я и говорю о том, что не оператор должен думать, что ему вводить и как это искать, какие символы в какой раскладке работать - на испанском, португальском, английском, английском-американском, кириллице.

ну да, отличная идея, убить поддельный csrss вместе с легитимным, а может их вообще в одну запись объединить? xD

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

demkd

В Инфо. файла есть запись:

ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ [Запускался неявно или вручную]

Речь идёт о том, что видит оператор = результат поискового запроса в строке поиска.

Речь не идёт о командах для скрипта, или иных вариантах.

Оператор всё равно визуально не отличает кириллицу от латиницы. Или есть такие кто отличает ?

Системные записи защищены от удаления.

Системный файл может на равных с вирусом попасть под сигнатурное определение - откажемся от сигнатур ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

а чем Вам это решение не нравится? оно уже есть и работает в uVS
 

Цитата

 

C:\WINDОWS\ЕХРLОRЕR.EXE

Trojan.Winlock.8811 [DrWeb] (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2017-04-14

(ИМЯ ФАЙЛА ~ СОДЕРЖИТ NON-ASCII СИМВОЛЫ)(1) [auto (0)]

ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Типичное для вирусов или содержит Non-ASCII символы

 

uVS на стадии формирования списка файлов автозапуска уже проверил возможность подмены символов ASCII на символы в нац. кодировке. И пометил соответствующим образом подобные файлы: изменением статуса и комментарием Non-ASCII символы.

Единственно, предусмотреть делать запрос по отдельно выбранному критерию, чтобы отфильтровать записи Non-ASCII для оперативного просмотра.

--------------------

о том, что предлагает RP55, если я правильно понимаю,

Например, ASCII-символ A может иметь одинаковые начертания в разных национальных кодировках: в русском, немецком, английском и еще бог знает где.... Получается, что uVS должен знать таблицу визуального соответствия ASCII символов и символов в нац. кодировке. Найдутся ли новые "Кирилл и Мефодий", которые захотят установить такое соответствие между кодами ASCII и нац. кодами?

 

Это как с цифровыми подписями: белый и черный список... в черном списке может быть сколько угодно записей, всех их оперативно не отследить и не добавить, а вот на соответствие белому списку легко проверить, поскольку этот список ограничен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

Да, в таком ключе я и думал.

Только не так глобально. ( с uVS работают в Русско говорящем мире )

При поиске оператору приходиться выбирать-переключать раскладку.

Оператору нужно найти: poxx.exe

Однако оператор не знает Кириллица это или Латиница. ( или же в списке есть и тот и другой варианты )

Не найдя нужного объекта в Латинице оператор переключает раскладку и ищет в Кириллице.

Программа должна - без дополнительного переключения раскладки найти искомый объект.

Один поисковый запрос выдаёт два итоговых результата.

т.е. если в системе есть и такой и такой варианты:

рохх.exe

и

poxx.exe

В списке ( фильтре ) - окажутся оба объекта.

----------------------------

А не замахнуться ли нам на Вильяма, понимаете ли, нашего Шекспира?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
32 минут назад, PR55.RP55 сказал:

poxx.exe

В списке ( фильтре ) - окажутся оба объекта.

не факт, что в имя файла ради ввода в заблуждение пользователя символы  могут быть добавлены только в русской кодировке,

могут быть в любой кодировке добавлены, лишь бы это соответствовало визуальному образу символа.

-----------

Цитата

При поиске оператору приходиться выбирать-переключать раскладку.

переключить расклад несложно, если ты знаешь что искать....

потому, считаю, что лучше использовать по максимуму из того что уже сейчас заложено  в uVS (фильтр по критерию для Non-ASCII имен файлов) чем расширять функции чтобы получить практически тот же результат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Quincy
      Серёга Лысый известный балабол же
    • Александр Полиграф
      Проведение расследований с применением полиграфа. Выявление сотрудников "сливающих" информацию, осуществляющих попытки- получения данных, шпионаж, работа на конкурентов, сбор компромата и т.п. Осуществляем выезд к вам в офис. Гарантия конфиденциальности.  poligraf.msk.ru ПОЛИГРАФ МСК.pdf
    • PR55.RP55
      vesorv 1) С отключенным интернетом вы не сможете активировать лицензию на антивирус. а раз не сможете - то и не получите защиту. Значит активируем антивирус > Создаём образ системы и переносим его на внешний носитель. Получаем возможность проводить тестирование повторно. 2) Вам для тестирования не нужны "свежие" угрозы. Разработчик регулярно обновляет установочный пакет. Скажем за 2018 год вышла - 12 версия антивируса, затем вышла версия. 12.01> 12.02 > 12.03  и т.д. Интервал между версиями пару месяцев. За пару месяцев ничего принципиального и прорывного в защите не сделать. Установив вместо версии: 12.03  "устаревшую" версию 12.02 вы получите и устаревшую базу сигнатур вирусов. И здесь можно тестировать угрозы о которых антивирус не осведомлён. 3) Антивирус нужен для постоянной защиты. Установка не производиться на заражённую машину. так, как установочный пакет не предназначен для очистки системы. ( Да, в рекламных целях разработчик может написать, что есть такая возможность... Однако ) Вирус может повредить реестр, заблокировать работу Windows Installer, модифицировать критически важные системные файлы - система просто не будет работать должным образом. _Эффективная очистка возможна только на НЕ активной системе - при работе с Live CD или при загрузке с другой не заражённой системой. 4) Отключать нужно не только интернет  - но  и беспроводные блютус и Wi-Fi иначе вы рискуете получить заражение всех доступных устройств. 5) Многие вредоносные программы вы просто не сможете запустить. так, как могут быть ограничения на регион распространения  - тот кто заказывал разработку\модификацию например рассчитывает на атаку конкретной страны, банка. 6) По очистке и лечению. Это не одно и тоже. Есть антивирусы которые удаляют файлы\угрозы но при этом не очищают реестр от лишних записей. Удаление файла\угрозы без удаления записей может приводить к ошибкам в работе системы. Лечение файлов - здесь речь идёт прежде всего о файловых вирусах. Антивирус должен найти заражённый файл, найти нужный участок и очистить - причём очистить так, чтобы сохранилась работоспособность системы. Но очистка исполняемых файлов не имеет смысла - всё равно _современная система не сможет нормально работать так, как у файла не будет ЭЦП... а если критически важный  файл не пройдёт проверку на наличие ЭЦП то и система не запуститься... Единственно, что можно сделать - это заменить файл на оригинальный. А учитывая число файлов, разнообразие их версий  - это становиться нетривиальной задачей. Некоторые антивирусы\сканеры имеют архив с такими файлами ( для замены: EXPLORER.EXE; NTDETECT.COM; NTSD.EXE и т.д ) А большинство антивирусов таких архивов не имеет. 7) Вы не учитываете уровень ложных срабатываний\определений. Антивирус  может сработать на чистый файл. Значит нужно проверять систему ещё до работы с реальными угрозами. 8) Угроза, или нет ? Это философский вопрос. Здесь каждый разработчик решает сам - что является угрозой, а что нет. т.е. на файл ХХХ одни антивирус сработает - а другой антивирус на файл ХХХ не сработает. + Программы разработанные спец. службами например страна ****а разработала вирус с целью нарушения работы оборудования, в целях шпионажа, получения удалённого доступа. Разве разработчики антивирусов находящиеся под её юрисдикцией будут искать эту угрозу ? 9) Легальные шпионские программы - одни антивирусы их будут находить, а другие антивирусы их находить не будут. Под легальными нужно понимать такие компоненты системы которые устанавливает разработчик оборудования - мониторинг - обнаружение украденного оборудования - диагностические отчёты. т.е. антивирусы по умолчанию находятся вне равных условий. 10) У всех разное железо - и производитель распространяет установщики  с некими средними настройками - чтобы на старых\слабых PC не наблюдалось зависание. С разными настройками эвристики будет  разная  скорость\эффективность работы. Значит нужно, или тестировать всё по умолчанию, или накручивать параметры на максимум. Нужно будет оценивать стабильность работы системы после внесения изменений в работу антивируса. 11) Куда ушли ?  Да куда угодно. Потеряли интерес, стало больше информации и меньше времени на её обсуждение. Помните песню: " Куда уехал цирк ? он был ещё вчера " https://www.comss.ru/page.php?id=5777 Дело в том, что всё уже давно обсудили, и вся информация есть в сети. а все эти _публичные тестирования ( как бы это помягче сказать... ) Средняя температура по больнице в норме !    
    • vesorv
      1. На жесткий диск загружаются дистрибутивы антивирусов и "свежие" вредоносные программы (только те, которые не обнаруживает сканер антивируса, то есть кнопочка эта в антивирусе называется "выборочная проверка файлов"), работающие без интернета. 2. На операционной системе запускают вредоносные программы (антивирус не установлен) и убеждаются в том, что они работают. 3. На чистую операционную систему из дистрибутива устанавливают антивирус, отключают интернет, и запускают вредоносные программы. Записывают все действия антивируса - сколько угроз обнаружил, когда обнаружил, какой компонент обнаружил, проводил ли антивирус лечение, что изменилось в системе после лечения. Потом ставят другой антивирус на чистую систему и проводят те же операции.  Данный тест покажет способность антивирусов защищать от угроз и лечить систему без использования облака. Насколько данный тест отображает реальные возможности (то есть с применением облака) защиты антивирусов от новейших угроз и лечения системы от действий вредоносных программ ? Раньше на форуме было относительно много людей, которые обсуждали интерестные темы (в том числе эксперты). Куда ушли эти люди, где они сейчас общаются, на каких интернет-площадках ?
    • Deniis
×