Перейти к содержанию

Recommended Posts

demkd
8 часов назад, alamor сказал:

Тут специально в конце пробел добавлен?

а кто его помнит :)
 

8 часов назад, alamor сказал:

Так как список значений поля Атрибут постоянный

Он не постоянный, там может произвольное значение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
10 часов назад, demkd сказал:

Он не постоянный, там может произвольное значение.

значение атрибута произвольное, а сам атрибут? На всякий случай, чтобы было понятней, я про это

6f030525eb0ecfd20204bcc59980f191.png

Это ведь в uVS заранее заложено какие именно параметры считывать (и тут перечень этих параметров=атрибутов).

10 часов назад, demkd сказал:

а кто его помнит

Так что насчёт предложения обрезать начальные и конечные пробелы? Правда получается, что надо не только в поле атрибут, но и в поле значение. И может в будущей версии уберёшь этот и если есть какие другие лишние пробелы?

Просто на данный момент составлять сложный критерий поиска, точней его редактировать не удобно. Редактирование критерия находится на одной вкладке, а сам объект в свойствах которого надо смотреть атрибуты которые будут указаны в критерии на другой. И либо надо постоянно туда сюда переходить по вкладкам, чтобы посмотреть и точно скопировать значения, либо это копируется в текстовый файл и уже оттуда заносится в критерий (тогда уже прыгать по вкладкам не надо). Так вот в случае с копирования значений из текстового файла и есть риск что добавится или потеряется пробел в начале\конце.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, alamor сказал:

значение атрибута произвольное, а сам атрибут? На всякий случай, чтобы было понятней, я про это

есть изначально заданные атрибуты, есть произвольные, стандартные намертво вшиты.

1 час назад, alamor сказал:

Так что насчёт предложения обрезать начальные и конечные пробелы?

Если начать что-то менять в именах атрибутов то скорее всего начнутся проблема со старыми критериями, поэтому я не думаю что это разумно. Другое дело что можно отрезать пробелы на этапе проверки это сделать можно. А редактировать лучше набивая шаблон из имен критериев не выходя из окна информации о файле, а потом уже расставить где надо и/или, там вроде была такая функция.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

В список установленных программ следует добавить фильтр.

[ v ] Скрыть известные Системные

[ v ] Скрыть подписанные Microsoft

[ v ] Скрыть Uninstall.exe подписанные по:  WDSL

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Проверять наличие:  дампа, мини\дампа памяти в системе.

Если есть добавлять соответствующую запись в лог.

2)  Фиксировать время создания дампа и автоматически сопоставлять с временем создания\изменения файлов\каталогов в системе. Помещать информацию в Инфо. файла.

Что это даст ?

Пример: Создан файл:  \APPLICATION DATA\BROWSERS\EXE.

Время создания:  28.04.2018 в 23:40:41  Зафиксировано создание  мини\дампа:  28.04.2018 в 23:40:59

Таким образом можно проследить чёткую закономерность. Что позволит не только эффективнее обнаруживать угрозы, но и устранять сбои в работе системы\компонентов.

Время ( интервал ) установить в пределах часа и 24 часов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) В лог писать по состоянию защитника Windows: Вкл/Выкл. 

2) Добавить возможность: Вкл/Выкл.  для защитника Windows

https://www.comss.ru/page.php?id=2698

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Как известно при  подключение через Роутер могут быть проблемы связанные c DNS - настройкой.

Нужно сохранять в образе автозапуска данные о сетевом оборудовании.

ipconfig /all и т.д.

Например получим информацию:

Описание  . . . . . . . . . . . . : Modem Yota #1

Описание  . . . . . . . . . . . . : Huawei Gobi 3000 USB Modem #2

Таким образом оператор видит тип используемого оборудования - то, что проблема не имеет отношения к Роутеру.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

 Отслеживание активности любого расширения в браузере на примере хрома: Chrome

https://xakep.ru/2014/06/16/62643/

Таким образом можно выявить левое расширение.

т.е.  хорошо бы отслеживать активность расширений и прописывать данные в Инфо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

в качестве предложений для новых версий uVS.

1. детектировать в командной строке base64 кодировку.... в последнее время все чаще используется для загрузки и запуска майнеров, объекту добавлять статус "подозрительный".


 

Цитата

 

CommandLineEventConsumer

powershell -exec bypass -W 1 -E aQBmACAAKAAoAGcAZQB0AC0AcAByAG8AYwBlAHMAcwAgAC0AbgBhAG0AZQAgAG0AcwBpAGUAeABlAGMAIAAtAEUCQARgApACkAKQB9ACAALQBXAGkAbgBkAG8AdwBTAHQAeQBsAGUAIABoAGkAZABkAGUAbgB9ADsAZQB4AGkAdAA=


 

+ еще один пример взят из лога hj

Цитата

O25 - WMI Event: Windows Events Consumer - Windows Events Filter - Event="__InstanceModificationEvent WITHIN 5600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  powershell.exe -NoP -NonI -W Hidden -E JABwAGkAbgAgAD0AIABuAGUAdwAtAG8AYgBqAGUAYwB0ACAAcwB5AHMAdABlAG0ALgBuAGUAdAAuAG4AZQB0AHcAbwByAGsAaQBuAGYAbwByAG0AYQB0AGkAbwBuAC4AcABpAG4AZwANAAoAJABzAGUAPQBAACgAKAAnAHUAcABkAGEAd

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt

Стоит прочесть и найти полезное.

Типа:

Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
Добавлена проверка типа виртуализации ключей реестра.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • СФГ
      Добрый день! Рекомендуем металлические силовые опоры СФГ от производителя компании "ШОССЕ". Осуществляют доставку и установку всех типов многогранных дорожных опор: ОГС, СФГ, ОГК, НПК, НФГ, СПГ, ОГСГ, СОДГ, ОСФГ  На силовые опоры СФГ 400 9 метров действует спец цена Опоры СФГ 100 силовые длиной 10 метров - выгодная цена. Установка и продажа опор СФГ 1300 из наличия на складе + фундаменты для опор Компания "ШОССЕ" - все виды дорожных опор по лучшим ценам!
    • Ego Dekker
      Антивирусы были обновлены до версии 12.0.31.
    • Ego Dekker
      ESET Cyber Security/ESET Cyber Security Pro были обновлены до версии 6.7.300.
    • PR55.RP55
      uVS  не видит  расширения FlashPlayer для Opera ( по крайней мере на 64b системах ) Win 7;  Win 10  ( а может и не только FlashPlayer не видит ) http://www.comss.ru/page.php?id=586  
    • clocot
      Я сам жену баловать подарками люблю, и могу что нибудь небольшое и симпатичное ей подарить, просто так. Последний раз, в интернете смотрел женские теплые носки на зиму, и искал какие нибудь прикольные и интересные носочки. В итоге нашел их, сейчас жду когда доедет посылка, и уже представляю ее реакцию на такой подарок
×