Новые функции в Universal Virus Sniffer (uVS)

[demkd 562]

8 часов назад, alamor сказал:

Тут специально в конце пробел добавлен?

а кто его помнит
 

8 часов назад, alamor сказал:

Так как список значений поля Атрибут постоянный

Он не постоянный, там может произвольное значение.

[alamor 69]

10 часов назад, demkd сказал:

Он не постоянный, там может произвольное значение.

значение атрибута произвольное, а сам атрибут? На всякий случай, чтобы было понятней, я про это

Это ведь в uVS заранее заложено какие именно параметры считывать (и тут перечень этих параметров=атрибутов).

10 часов назад, demkd сказал:

а кто его помнит

Так что насчёт предложения обрезать начальные и конечные пробелы? Правда получается, что надо не только в поле атрибут, но и в поле значение. И может в будущей версии уберёшь этот и если есть какие другие лишние пробелы?

Просто на данный момент составлять сложный критерий поиска, точней его редактировать не удобно. Редактирование критерия находится на одной вкладке, а сам объект в свойствах которого надо смотреть атрибуты которые будут указаны в критерии на другой. И либо надо постоянно туда сюда переходить по вкладкам, чтобы посмотреть и точно скопировать значения, либо это копируется в текстовый файл и уже оттуда заносится в критерий (тогда уже прыгать по вкладкам не надо). Так вот в случае с копирования значений из текстового файла и есть риск что добавится или потеряется пробел в начале\конце.

[demkd 562]

1 час назад, alamor сказал:

значение атрибута произвольное, а сам атрибут? На всякий случай, чтобы было понятней, я про это

есть изначально заданные атрибуты, есть произвольные, стандартные намертво вшиты.

1 час назад, alamor сказал:

Так что насчёт предложения обрезать начальные и конечные пробелы?

Если начать что-то менять в именах атрибутов то скорее всего начнутся проблема со старыми критериями, поэтому я не думаю что это разумно. Другое дело что можно отрезать пробелы на этапе проверки это сделать можно. А редактировать лучше набивая шаблон из имен критериев не выходя из окна информации о файле, а потом уже расставить где надо и/или, там вроде была такая функция.

 

[PR55.RP55 78]

В список установленных программ следует добавить фильтр.

[ v ] Скрыть известные Системные

[ v ] Скрыть подписанные Microsoft

[ v ] Скрыть Uninstall.exe подписанные по:  WDSL

 

[PR55.RP55 78]

1) Проверять наличие:  дампа, мини\дампа памяти в системе.

Если есть добавлять соответствующую запись в лог.

2)  Фиксировать время создания дампа и автоматически сопоставлять с временем создания\изменения файлов\каталогов в системе. Помещать информацию в Инфо. файла.

Что это даст ?

Пример: Создан файл:  \APPLICATION DATA\BROWSERS\EXE.

Время создания:  28.04.2018 в 23:40:41  Зафиксировано создание  мини\дампа:  28.04.2018 в 23:40:59

Таким образом можно проследить чёткую закономерность. Что позволит не только эффективнее обнаруживать угрозы, но и устранять сбои в работе системы\компонентов.

Время ( интервал ) установить в пределах часа и 24 часов.

[PR55.RP55 78]

1) В лог писать по состоянию защитника Windows: Вкл/Выкл. 

2) Добавить возможность: Вкл/Выкл.  для защитника Windows

https://www.comss.ru/page.php?id=2698

[PR55.RP55 78]

Как известно при  подключение через Роутер могут быть проблемы связанные c DNS - настройкой.

Нужно сохранять в образе автозапуска данные о сетевом оборудовании.

ipconfig /all и т.д.

Например получим информацию:

Описание  . . . . . . . . . . . . : Modem Yota #1

Описание  . . . . . . . . . . . . : Huawei Gobi 3000 USB Modem #2

Таким образом оператор видит тип используемого оборудования - то, что проблема не имеет отношения к Роутеру.

 

 

[PR55.RP55 78]

 Отслеживание активности любого расширения в браузере на примере хрома: Chrome

https://xakep.ru/2014/06/16/62643/

Таким образом можно выявить левое расширение.

т.е.  хорошо бы отслеживать активность расширений и прописывать данные в Инфо.

[santy 149]

в качестве предложений для новых версий uVS.

1. детектировать в командной строке base64 кодировку.... в последнее время все чаще используется для загрузки и запуска майнеров, объекту добавлять статус "подозрительный".

 

Цитата

 

CommandLineEventConsumer

powershell -exec bypass -W 1 -E aQBmACAAKAAoAGcAZQB0AC0AcAByAG8AYwBlAHMAcwAgAC0AbgBhAG0AZQAgAG0AcwBpAGUAeABlAGMAIAAtAEUCQARgApACkAKQB9ACAALQBXAGkAbgBkAG8AdwBTAHQAeQBsAGUAIABoAGkAZABkAGUAbgB9ADsAZQB4AGkAdAA=

 

+ еще один пример взят из лога hj

Цитата

O25 - WMI Event: Windows Events Consumer - Windows Events Filter - Event="__InstanceModificationEvent WITHIN 5600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  powershell.exe -NoP -NonI -W Hidden -E JABwAGkAbgAgAD0AIABuAGUAdwAtAG8AYgBqAGUAYwB0ACAAcwB5AHMAdABlAG0ALgBuAGUAdAAuAG4AZQB0AHcAbwByAGsAaQBuAGYAbwByAG0AYQB0AGkAbwBuAC4AcABpAG4AZwANAAoAJABzAGUAPQBAACgAKAAnAHUAcABkAGEAd

 

[PR55.RP55 78]

https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt

Стоит прочесть и найти полезное.

Типа:

Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
Добавлена проверка типа виртуализации ключей реестра.

[santy 149]

demkd,

можно добавить команды delwmi и deltsk в конструктор условий? (вместе с auto, del, delref, delall, skip, deldir, deldirex...)

[PR55.RP55 78]

Получение информации из журнала USN на NTFS и ReFS

Цитата

Как только какой-то файл изменился, в журнал пишется информация об этом. Эту информацию можно из журнала извлечь

http://hex.pp.ua/usn-journal.php

[santy 149]

demkd,

есть такая возможность,  из окна инфо, в поле сигнатура вызвать форму для переименования сигнатуры? (с учетом того, что сигнатур с одинаковыми именами может быть много, поэтому для редактирования должна быть открыта нужная запись)

т.е. вызвать эту форуму:

[demkd 562]

1 час назад, santy сказал:

есть такая возможность, 

такого нет, можно конечно сделать, но не ясно зачем

[santy 149]

23 минут назад, demkd сказал:

такого нет, можно конечно сделать, но не ясно зачем

в списке сигнатур, в данном случае 2-3 десятка записей с именем Win32/Adware.ConvertAd, а файл, который попал под детект данной сигнатуры, детектируется на VT как  NSIS/CoinMiner. захотел переименовать сигнатуру, а какую именно - не определить наугад :).

-------

т.е. понятно, что переименоваться должна не строка в инфо, а запись в signs, и как следствие, потом уже и отображение названия в Инфо будет новое.

[PR55.RP55 78]

При поиске в uVS есть такая проблема как:

e

е

a

а

c

с

р

p

o

о

----------- и т.д.

Оператор не знает какой символ юникода  содержит слово.

Соответственно при наборе поискового запроса будет существенный недочёт.

Практически: Пользователь жалуется - процесс: poxx.exe  грузит систему...

Оператор думает - нужно глянуть... > вбивает запрос...  И ничего по данному запросу не находит...

Программа должна показывать два варианта поискового запроса:  как для: рохх.exe так и для poxx.exe

Что позволит не повторять поисковый запрос, не совершать ошибку, не тратить время, видеть записи имитирующие названия известных\системных файлов.

Будет полезно, как для начинающих операторов, так и для людей с опытом.

 

[alamor 69]

19 часов назад, PR55.RP55 сказал:

Программа должна показывать два варианта поискового запроса:  как для: рохх.exe так и для poxx.exe

А как программа должна узнать, что эти два похожи внешне? Для неё ведь это два совершенно разных имени.

@demkd, очень не хватает возможности создавать логические блоки в критериях.

К примеру, чтобы написать что-то вроде

a&(b||c||D) приходится писать a&b||a&c||a&d

А тем более, что для каждого элемента приходится заполнять два поля то получается очень неудобно.

 

[PR55.RP55 78]

2 часа назад, alamor сказал:

А как программа должна узнать, что эти два похожи внешне? Для неё ведь это два совершенно разных имени.

Как работает поиск ?

программа ищет не слово, а символ введённый оператором.

Например символ:  А или A  ( в зависимости от раскладки клавиатуры )

-------------

Предложение же звучит так:

Оператор вводит поисковый запрос: A

И получает результат:  a&а

Или вводит: А

И получает результат: а&a

-------------

Сейчас оператор не знает должен ли его поисковый запрос содержат символы кириллицы или латиницы.

не знает написано ли слово целиком на кириллице или содержит символы латиницы.

сейчас оператор не знает написано ли слово целиком на латинице или содержит кириллические символы.

Я предлагаю выводить в результаты поиска оба варианта.

т.е.  A  соответствует  А  ;   O соответствует О

 

[alamor 69]

18 минут назад, PR55.RP55 сказал:

Как работает поиск ?

программа ищет не слово, а символ введённый оператором.

Например символ:  А или A  ( в зависимости от раскладки клавиатуры )

Только работает это не совсем так. Вы вводит символ, он преобразуется в код этого символа и программа ищёт символ с таким кодом. В разных раскладках А имеет разные коды, а как следствие это разные символы хотя для человека они и выглядят похоже.
 

[PR55.RP55 78]

alamor

                      = a

   а  >                    = A

                      = а

                              = А

Верно.

Я и говорю о том, что не оператор должен думать, что ему вводить и как это искать, какие символы в какой раскладке работать - на испанском, португальском, английском, английском-американском, кириллице.

Программа должна найти соответствие запросу.

Все варианты.

[demkd 562]

29 минут назад, PR55.RP55 сказал:

Я и говорю о том, что не оператор должен думать, что ему вводить и как это искать, какие символы в какой раскладке работать - на испанском, португальском, английском, английском-американском, кириллице.

ну да, отличная идея, убить поддельный csrss вместе с легитимным, а может их вообще в одну запись объединить? xD

[PR55.RP55 78]

demkd

В Инфо. файла есть запись:

ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ [Запускался неявно или вручную]

Речь идёт о том, что видит оператор = результат поискового запроса в строке поиска.

Речь не идёт о командах для скрипта, или иных вариантах.

Оператор всё равно визуально не отличает кириллицу от латиницы. Или есть такие кто отличает ?

Системные записи защищены от удаления.

Системный файл может на равных с вирусом попасть под сигнатурное определение - откажемся от сигнатур ?

[santy 149]

а чем Вам это решение не нравится? оно уже есть и работает в uVS
 

Цитата

 

C:\WINDОWS\ЕХРLОRЕR.EXE

Trojan.Winlock.8811 [DrWeb] (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2017-04-14

(ИМЯ ФАЙЛА ~ СОДЕРЖИТ NON-ASCII СИМВОЛЫ)(1) [auto (0)]

ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Типичное для вирусов или содержит Non-ASCII символы

 

uVS на стадии формирования списка файлов автозапуска уже проверил возможность подмены символов ASCII на символы в нац. кодировке. И пометил соответствующим образом подобные файлы: изменением статуса и комментарием Non-ASCII символы.

Единственно, предусмотреть делать запрос по отдельно выбранному критерию, чтобы отфильтровать записи Non-ASCII для оперативного просмотра.

--------------------

о том, что предлагает RP55, если я правильно понимаю,

Например, ASCII-символ A может иметь одинаковые начертания в разных национальных кодировках: в русском, немецком, английском и еще бог знает где.... Получается, что uVS должен знать таблицу визуального соответствия ASCII символов и символов в нац. кодировке. Найдутся ли новые "Кирилл и Мефодий", которые захотят установить такое соответствие между кодами ASCII и нац. кодами?

 

Это как с цифровыми подписями: белый и черный список... в черном списке может быть сколько угодно записей, всех их оперативно не отследить и не добавить, а вот на соответствие белому списку легко проверить, поскольку этот список ограничен.

[PR55.RP55 78]

santy

Да, в таком ключе я и думал.

Только не так глобально. ( с uVS работают в Русско говорящем мире )

При поиске оператору приходиться выбирать-переключать раскладку.

Оператору нужно найти: poxx.exe

Однако оператор не знает Кириллица это или Латиница. ( или же в списке есть и тот и другой варианты )

Не найдя нужного объекта в Латинице оператор переключает раскладку и ищет в Кириллице.

Программа должна - без дополнительного переключения раскладки найти искомый объект.

Один поисковый запрос выдаёт два итоговых результата.

т.е. если в системе есть и такой и такой варианты:

рохх.exe

и

poxx.exe

В списке ( фильтре ) - окажутся оба объекта.

----------------------------

А не замахнуться ли нам на Вильяма, понимаете ли, нашего Шекспира?

[santy 149]

32 минут назад, PR55.RP55 сказал:

poxx.exe

В списке ( фильтре ) - окажутся оба объекта.

не факт, что в имя файла ради ввода в заблуждение пользователя символы  могут быть добавлены только в русской кодировке,

могут быть в любой кодировке добавлены, лишь бы это соответствовало визуальному образу символа.

-----------

Цитата

При поиске оператору приходиться выбирать-переключать раскладку.

переключить расклад несложно, если ты знаешь что искать....

потому, считаю, что лучше использовать по максимуму из того что уже сейчас заложено  в uVS (фильтр по критерию для Non-ASCII имен файлов) чем расширять функции чтобы получить практически тот же результат.