Новые функции в Universal Virus Sniffer (uVS)

[demkd 558]

8 часов назад, alamor сказал:

Тут специально в конце пробел добавлен?

а кто его помнит
 

8 часов назад, alamor сказал:

Так как список значений поля Атрибут постоянный

Он не постоянный, там может произвольное значение.

[alamor 69]

10 часов назад, demkd сказал:

Он не постоянный, там может произвольное значение.

значение атрибута произвольное, а сам атрибут? На всякий случай, чтобы было понятней, я про это

Это ведь в uVS заранее заложено какие именно параметры считывать (и тут перечень этих параметров=атрибутов).

10 часов назад, demkd сказал:

а кто его помнит

Так что насчёт предложения обрезать начальные и конечные пробелы? Правда получается, что надо не только в поле атрибут, но и в поле значение. И может в будущей версии уберёшь этот и если есть какие другие лишние пробелы?

Просто на данный момент составлять сложный критерий поиска, точней его редактировать не удобно. Редактирование критерия находится на одной вкладке, а сам объект в свойствах которого надо смотреть атрибуты которые будут указаны в критерии на другой. И либо надо постоянно туда сюда переходить по вкладкам, чтобы посмотреть и точно скопировать значения, либо это копируется в текстовый файл и уже оттуда заносится в критерий (тогда уже прыгать по вкладкам не надо). Так вот в случае с копирования значений из текстового файла и есть риск что добавится или потеряется пробел в начале\конце.

[demkd 558]

1 час назад, alamor сказал:

значение атрибута произвольное, а сам атрибут? На всякий случай, чтобы было понятней, я про это

есть изначально заданные атрибуты, есть произвольные, стандартные намертво вшиты.

1 час назад, alamor сказал:

Так что насчёт предложения обрезать начальные и конечные пробелы?

Если начать что-то менять в именах атрибутов то скорее всего начнутся проблема со старыми критериями, поэтому я не думаю что это разумно. Другое дело что можно отрезать пробелы на этапе проверки это сделать можно. А редактировать лучше набивая шаблон из имен критериев не выходя из окна информации о файле, а потом уже расставить где надо и/или, там вроде была такая функция.

 

[PR55.RP55 77]

В список установленных программ следует добавить фильтр.

[ v ] Скрыть известные Системные

[ v ] Скрыть подписанные Microsoft

[ v ] Скрыть Uninstall.exe подписанные по:  WDSL

 

[PR55.RP55 77]

1) Проверять наличие:  дампа, мини\дампа памяти в системе.

Если есть добавлять соответствующую запись в лог.

2)  Фиксировать время создания дампа и автоматически сопоставлять с временем создания\изменения файлов\каталогов в системе. Помещать информацию в Инфо. файла.

Что это даст ?

Пример: Создан файл:  \APPLICATION DATA\BROWSERS\EXE.

Время создания:  28.04.2018 в 23:40:41  Зафиксировано создание  мини\дампа:  28.04.2018 в 23:40:59

Таким образом можно проследить чёткую закономерность. Что позволит не только эффективнее обнаруживать угрозы, но и устранять сбои в работе системы\компонентов.

Время ( интервал ) установить в пределах часа и 24 часов.

[PR55.RP55 77]

1) В лог писать по состоянию защитника Windows: Вкл/Выкл. 

2) Добавить возможность: Вкл/Выкл.  для защитника Windows

https://www.comss.ru/page.php?id=2698