Перейти к содержанию
demkd

Новые функции в Universal Virus Sniffer (uVS)

Автор demkd, в Universal Virus Sniffer (uVS) - развитие, использование и решение проблем

Recommended Posts

demkd    561

demkd
Опубликовано
8 часов назад, alamor сказал:

Тут специально в конце пробел добавлен?

а кто его помнит :)
 

8 часов назад, alamor сказал:

Так как список значений поля Атрибут постоянный

Он не постоянный, там может произвольное значение.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

alamor    69

alamor
Опубликовано
10 часов назад, demkd сказал:

Он не постоянный, там может произвольное значение.

значение атрибута произвольное, а сам атрибут? На всякий случай, чтобы было понятней, я про это

6f030525eb0ecfd20204bcc59980f191.png

Это ведь в uVS заранее заложено какие именно параметры считывать (и тут перечень этих параметров=атрибутов).

10 часов назад, demkd сказал:

а кто его помнит

Так что насчёт предложения обрезать начальные и конечные пробелы? Правда получается, что надо не только в поле атрибут, но и в поле значение. И может в будущей версии уберёшь этот и если есть какие другие лишние пробелы?

Просто на данный момент составлять сложный критерий поиска, точней его редактировать не удобно. Редактирование критерия находится на одной вкладке, а сам объект в свойствах которого надо смотреть атрибуты которые будут указаны в критерии на другой. И либо надо постоянно туда сюда переходить по вкладкам, чтобы посмотреть и точно скопировать значения, либо это копируется в текстовый файл и уже оттуда заносится в критерий (тогда уже прыгать по вкладкам не надо). Так вот в случае с копирования значений из текстового файла и есть риск что добавится или потеряется пробел в начале\конце.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

demkd    561

demkd
Опубликовано
1 час назад, alamor сказал:

значение атрибута произвольное, а сам атрибут? На всякий случай, чтобы было понятней, я про это

есть изначально заданные атрибуты, есть произвольные, стандартные намертво вшиты.

1 час назад, alamor сказал:

Так что насчёт предложения обрезать начальные и конечные пробелы?

Если начать что-то менять в именах атрибутов то скорее всего начнутся проблема со старыми критериями, поэтому я не думаю что это разумно. Другое дело что можно отрезать пробелы на этапе проверки это сделать можно. А редактировать лучше набивая шаблон из имен критериев не выходя из окна информации о файле, а потом уже расставить где надо и/или, там вроде была такая функция.

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

PR55.RP55    77

PR55.RP55
Опубликовано

В список установленных программ следует добавить фильтр.

[ v ] Скрыть известные Системные

[ v ] Скрыть подписанные Microsoft

[ v ] Скрыть Uninstall.exe подписанные по:  WDSL

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

PR55.RP55    77

PR55.RP55
Опубликовано

1) Проверять наличие:  дампа, мини\дампа памяти в системе.

Если есть добавлять соответствующую запись в лог.

2)  Фиксировать время создания дампа и автоматически сопоставлять с временем создания\изменения файлов\каталогов в системе. Помещать информацию в Инфо. файла.

Что это даст ?

Пример: Создан файл:  \APPLICATION DATA\BROWSERS\EXE.

Время создания:  28.04.2018 в 23:40:41  Зафиксировано создание  мини\дампа:  28.04.2018 в 23:40:59

Таким образом можно проследить чёткую закономерность. Что позволит не только эффективнее обнаруживать угрозы, но и устранять сбои в работе системы\компонентов.

Время ( интервал ) установить в пределах часа и 24 часов.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

PR55.RP55    77

PR55.RP55
Опубликовано

1) В лог писать по состоянию защитника Windows: Вкл/Выкл. 

2) Добавить возможность: Вкл/Выкл.  для защитника Windows

https://www.comss.ru/page.php?id=2698

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

PR55.RP55    77

PR55.RP55
Опубликовано

Как известно при  подключение через Роутер могут быть проблемы связанные c DNS - настройкой.

Нужно сохранять в образе автозапуска данные о сетевом оборудовании.

ipconfig /all и т.д.

Например получим информацию:

Описание  . . . . . . . . . . . . : Modem Yota #1

Описание  . . . . . . . . . . . . : Huawei Gobi 3000 USB Modem #2

Таким образом оператор видит тип используемого оборудования - то, что проблема не имеет отношения к Роутеру.

 

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

PR55.RP55    77

PR55.RP55
Опубликовано

 Отслеживание активности любого расширения в браузере на примере хрома: Chrome

https://xakep.ru/2014/06/16/62643/

Таким образом можно выявить левое расширение.

т.е.  хорошо бы отслеживать активность расширений и прописывать данные в Инфо.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

santy    149

santy
Опубликовано

в качестве предложений для новых версий uVS.

1. детектировать в командной строке base64 кодировку.... в последнее время все чаще используется для загрузки и запуска майнеров, объекту добавлять статус "подозрительный".


 

Цитата

 

CommandLineEventConsumer

powershell -exec bypass -W 1 -E aQBmACAAKAAoAGcAZQB0AC0AcAByAG8AYwBlAHMAcwAgAC0AbgBhAG0AZQAgAG0AcwBpAGUAeABlAGMAIAAtAEUCQARgApACkAKQB9ACAALQBXAGkAbgBkAG8AdwBTAHQAeQBsAGUAIABoAGkAZABkAGUAbgB9ADsAZQB4AGkAdAA=


 

+ еще один пример взят из лога hj

Цитата

O25 - WMI Event: Windows Events Consumer - Windows Events Filter - Event="__InstanceModificationEvent WITHIN 5600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  powershell.exe -NoP -NonI -W Hidden -E JABwAGkAbgAgAD0AIABuAGUAdwAtAG8AYgBqAGUAYwB0ACAAcwB5AHMAdABlAG0ALgBuAGUAdAAuAG4AZQB0AHcAbwByAGsAaQBuAGYAbwByAG0AYQB0AGkAbwBuAC4AcABpAG4AZwANAAoAJABzAGUAPQBAACgAKAAnAHUAcABkAGEAd

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

PR55.RP55    77

PR55.RP55
Опубликовано

https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt

Стоит прочесть и найти полезное.

Типа:

Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
Добавлена проверка типа виртуализации ключей реестра.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Перейти к списку тем Universal Virus Sniffer (uVS) - развитие, использование и решение проблем

  • Сообщения

    • Dima2_90
      Самозащита АВ полная туфта

      От Dima2_90 · Опубликовано

      На мой взгляд то, что Process Hacker выгружает антивирусы - явление нормальное, потому что Process Hacker - легитимная программа (по мнению некоторых вендоров -  потенциально опасная), а не троянская, и  команду на выгрузку антивируса даёт сам пользователь ( выбрав процесс в списке и нажимая "Terminate"), то есть это действие (завершение процесса, отвечающего за работу антивируса) санкционировано самим пользователем.
    • rownong
      Вопросы по безопасности IT инфраструктуры (VPS сервер)

      От rownong · Опубликовано

      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      Делаю чертежи, 3D моделирование

      От Draft · Опубликовано

      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      Делаю чертежи, 3D моделирование

      От Quincy · Опубликовано

      К тебе именно приходит и на сайт жалуется?)))) 
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×