Перейти к содержанию

Recommended Posts

demkd
1."Ложное срабатывание, увеличить длину сигнатуры"

подумаю.

Как добавлять/интегрировать доп. драйверы устройств ?

Самостоятельно редактировать готовый образ.

Скажем, есть подозрительный файл в папке Х* и мы хотим инициировать проверку - есть ли КАКАЯ ЛИБО запись в реестре...

Смысла не вижу.

4.Возможно стоит - Создать доп. тему

Новые/Интересные/Нестандартные примеры образов Автозапуска генерированных uVS.

А кто-то запрещает создавать темы самостоятельно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindR

Неплохо было бы сделать изменяемым размер окна логов. Само собой напрашивается перетащить мышкой верхнюю границу окна логов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

Alt+L - радикальное изменение размера окна логов, до максимума. Это более удобный и информативный режим просмотра логов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Severnyj

Желания возиться с этим нет, а пользы для себя не вижу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
qbk69

1. Очень спасибо, uVS спас в момент жесточайшего цейтнота!

2. Хотелка второстепенная, несрочная: добавить в саму программу процедурку встраивания в Utility Manager [Win+U] в новых ОС, чтобы сразу по этому хоткею открывалась или хотя бы была в списке. Или по какому-то иному глобальному условно неиспользуемому хоткею. Вижу как дополнение в секцию твиков или в качестве ключа на запуск, как вариант, только для StartF или как-то совсем автоматически если uVS детектит нечто особо гадкое.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Так, как новая версия uVS выйдет к народу: Утром 1.01.2012 у меня, есть пара предложений. : )

1.Возможность добавить для очистки, по аналогии с очисткой папок Temp.

Например папку: "Главное меню\Программы\Автозагрузка".

2.В параметрах Импорта.

Файл > Импорт > Импортировать сигнатуры из скрипта.

3. Отправка Загрузчика, для проверки на Jotti.org при работе с образом автозапуска.

4. Групповая Отправка файлов - очередь/список отправки.

Меню: "Добавить файлы в очередь загрузки/проверки на Jotti.org"

т.е. добавляем группу файлов каталога и uVS их поочерёдно загружает с выводом результата в лог.

5. toolbarcleaner

://***.toolbarcleaner.com/

toolbarcleaner

Инструмент для удаления: баров; add-ons; плагинов \ дополнений к браузеру.

Например, такие нежелательные дополнения как: Yahoo, Ask Toolbar и другие.

Поддержка браузеров: Mozilla Firefox; IE; Chrome;

*см.фото.

Возможно, функционал программы будет полезен при модернизации uVS в плане работы с браузерами.

Да и вообще, может кому - то и пригодиться ! ;)

toolbar_cleaner.jpg

post-8956-1322055843_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Так, как новая версия uVS выйдет к народу: Утром 1.01.2012 у меня, есть пара предложений. : )

1. а если в папке автозагрузки полезные программы кроме трояна Carberp, которого может и не быть совсем - тоже под нож uVS как temp?

2. импортировать сигнатуры из скрипта - вопрос: зачем? понимаю, что лень бывает просматрировать и анализировать образы автозапуска пользователей - лучше из готовых скриптов выдергивать сигнатуры. Или фишка в чем то другом?

3. по проверке загрузчика на Jotti может и имеет смысл (когда до ВТ не получается достучаться), тем более детект IPL (на примере rt.Cidox.A) работает.

http://virusscan.jotti.org/ru/scanresult/6...30a5b54d32b2da7

4. групповая отправка файлов, имхо, малоинтересна. Иногда приходится скан одного файла дольше ждать, чем длится по времени процесс лечения в uVS (если только в дальней перспективе, для работы uVS в режиме полуавтомата);

5. тулбар_клинер малоинтересен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
1. а если в папке автозагрузки полезные программы кроме трояна Carberp, которого может и не быть совсем - тоже под нож uVS как temp?
Возможность добавить для очистки, по аналогии с очисткой папок Temp.

Где фигурирует слово: Возможность добавлять папку.

А вот способ добавления - это уже отдельный разговор.

Возможно твик №25.

Или модификация команды ADDDIR.

т.е. Добавили файлы все и удалили.

В том числе и при работе со скриптом...

2. импортировать сигнатуры из скрипта - вопрос: зачем? понимаю, что лень бывает просматрировать и анализировать образы автозапуска пользователей - лучше из готовых скриптов выдергивать сигнатуры. Или фишка в чем то другом?

Экономия времени в ряде случаев; Создание базы сигнатур ( когда скрипт написан опытным человеком ) : )

Может быть даже добавление из самостоятельно написанных скриптов.

Да и просто удобно - раз! и добавил...

3. по проверке загрузчика на Jotti может и имеет смысл (когда до ВТ не получается достучаться), тем более детект IPL (на примере rt.Cidox.A) работает.

http://virusscan.jotti.org/ru/scanresult/6...30a5b54d32b2da7

Да я про это и говорил.

4. групповая отправка файлов, имхо, малоинтересна. Иногда приходится скан одного файла дольше ждать, чем длится по времени процесс лечения в uVS (если только в дальней перспективе, для работы uVS в режиме полуавтомата);

Можно проверить и после лечения...

Файлы из Zoo.

Там может быть 10 - 15 файлов и отправлять каждый в отдельности - это трата времени.

А так - Все файлы в Zoo - Запустить конвейер - и готово!

5. тулбар_клинер малоинтересен.

Возможно и так...

Но всё таки хоть и мало но интересен.

Возможно какие - либо функции обнаружения и очистки найдут своё место в uVS.

А если и не найдут... То и что с того.

Вот вычитал сегодня по uVS 372. Хорошо написали :)

Обновление предположительно последнее в этом году, по крайней мере по словам автора, но и оно привнесло много положительных изменений.

Одним из самых ярких нововведений стала возможность создания встроенной утилитой livecd образа на базе WAIK, что позволяет использовать программу для сканирования и лечения, казалось бы неизлечимых систем, зараженных буткитами, руткитами и такими вредоносными программами, лечение которых невозможно, работая в пораженной системе.

Так же была добавлена возможность просмотра содержимого загрузчика для ручного анализа на предмет заражения вредоносными программами, записывающими свой код в загрузочные сектора диска.

Другой новой функцией стала возможность проверки процесса на сервисе SystemExplorer.net, который содержит большую и постоянно пополняемую базу процессов и файлов с записями о их вредоносности или легитимности.

Другими словами, автор не останавливается на достигнутом и совершенствует Universal Virus Sniffer таким образом делая ее настоящим швейцарским ножом для лечения вредоносных программ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg
делая ее настоящим швейцарским ножом

Да-да, автор - настоящий швейцарский... ножовщик, вот ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Может быть даже добавление из самостоятельно написанных скриптов.

это как? открыл образ, снял сигнатуры с подозрительных файлов с автоматическим формированием команд скрипта, сохранил скрипт,

потом открыл сохраненный скрипт, и забрал обратно сигнатуры в базу? игра такая интеллектуальная. :).

Вот вычитал сегодня по uVS 372. Хорошо написали :)

...

Другими словами, автор не останавливается на достигнутом и совершенствует Universal Virus Sniffer таким образом делая ее настоящим швейцарским ножом для лечения вредоносных программ.

и ссылку неплохо указать на блог автора с данным отзывом.

http://onthar.in/news/universal-virus-snif...do-versii-3-72/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Цитата(PR55.RP55 @ 23.11.2011, 21:48) *

Может быть даже добавление из самостоятельно написанных скриптов.

это как? открыл образ, снял сигнатуры с подозрительных файлов с автоматическим формированием команд скрипта, сохранил скрипт,

потом открыл сохраненный скрипт, и забрал обратно сигнатуры в базу? игра такая интеллектуальная. smile.gif.

Например когда есть альтернативная копия uVS.

Да, можно и всю базу сигнатур копировать - А можно, как я предложил из своего собственного скрипта.

Может будут нужны отдельные - выборочные сигнатуры ?

Чем больше возможностей uVS тем больше возможностей у её оператора.

и ссылку неплохо указать на блог автора с данным отзывом.

Вероятно - да.

Однако, на anti-malware не очень любят ссылки на стороннее ресурсы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Например когда есть альтернативная копия uVS.

Да, можно и всю базу сигнатур копировать - А можно, как я предложил из своего собственного скрипта.

Может будут нужны отдельные - выборочные сигнатуры ?

Чем больше возможностей uVS тем больше возможностей у её оператора.

ну, я как оператор считаю,

что надо использовать все заложенные возможности, и не заниматься расширением спектра нюансов до бесконечности.

скажем: есть простое копирование баз,

есть импорт баз сигнатур.

есть возможность подгрузить образ и снять необходимые сигнатуры

если нет возможности загрузить образ (из сети), скажем удален с файлообменников за сроком давности,

можно просто скопировать скрипт со страниц в буфер, закоментировать команды удаления и очистки, и оставить активными addsgn,

и выполнить скрипт... так и пополнить базу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
2. Хотелка второстепенная, несрочная: добавить в саму программу процедурку встраивания в Utility Manager [Win+U] в новых ОС

подумаю, но вообще сделать reg файл и самому не трудно.

1.Возможность добавить для очистки, по аналогии с очисткой папок Temp.

Слишком радикально.

Файл > Импорт > Импортировать сигнатуры из скрипта.

Лень, но может и сделаю.

3. Отправка Загрузчика, для проверки на Jotti.org при работе с образом автозапуска.

Добавлю.

Добавлю.Меню: "Добавить файлы в очередь загрузки/проверки на Jotti.org"

Jotti сервис своеобразный, могут и отрубить после n загрузок... надо бы лимит выяснить точно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Цитата

Файл > Импорт > Импортировать сигнатуры из скрипта.

Лень, но может и сделаю.

в таком случае, имеет смысл добавить: импорт избранных сигнатур из внешнего списка, или базы,

т.е. в данном режиме импортируется не полностью внешняя база сигнатур, и лишь выбранные или отмеченные для импорта сигнатуры.

тем более, что интерфейс просмотра базы сигнатур есть.

Думаю актуально будет импортировать сигнатуры детекта rt.Cidox.A, в связи с волной заражений Carberp.

-------

для тех кто ленится посмотреть список "загрузчики" не прошедшие проверку по списку проверенных_безопасных, детект IPL по добавленным сигнатурам будет хорошей помощью в составлении скрипта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
в таком случае, имеет смысл добавить: импорт избранных сигнатур из внешнего списка, или базы,

Смысл то в чём ?

Сейчас можно добавлять выбранные сигнатуры в скрипт...

Накидать в этот скрипт все необходимые сигнатуры и предать этот файл кому нужно.

Или получить файл/скрипт с нужными сигнатурами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

экспорт в файл - тоже неплохой вариант.

тут главное выбрать оптимальный вариант обмена (как на барахолке)

-----

тот кто имеет базу с ценными сигнатурами - говорит, вот файл с ценными сигнатурами, добавьте его к себе.

или говорит. вот моя база сигнатур с подписанными комментами: выбирайте из нее, то что вам нужно.

или такой обмен: скиньте мне через экспорт такие то сигнатуры, если есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel-iz-Ada

Хотелось бы чтобы программа автоматом отображала все *.sys файлы из директории Windows в Подозрительных. Частенько там руткиты сидят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Хотелось бы чтобы программа автоматом отображала все *.sys файлы из директории Windows в Подозрительных. Частенько там руткиты сидят.

Вот...

Уважаю, за такое предложение !

Angel-iz-Ada !

Вы, уже сейчас можете насладиться данной возможностью !!!

Так, как она - ( возможность ) уже реализована в рамках "критериев поиска !"

Просто создайте новый критерий и наслаждайтесь!

Смотрите фото роботs !

________________________________________________________________________________

_

Да и ещё, раз такая оказия выпала...

Предлагаю новый символ для uVS ( Стая волков не прошла... предлагаю пушистую БЕЛОЧКУ ) в качестве символа программы.

Белочка она как раз самое - то.

Очень подходящий по предложению символ.

P.S. Заранее благодарю за внимание !

______1.jpg

______2.jpg

post-8956-1322768433_thumb.jpg

post-8956-1322768448_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel-iz-Ada

PR55.RP55

спасибо. про создание правил не знал. создал несколько, потом долго искал в меню программы как их удалить пока не подумал найти файл который отвечает за эту настройку - snms.

но это немного не то. у меня так и не вышло настроить так, чтобы он только отображал файлы из корня директории Windows. а то он отображает все файлы, из подкаталогов включиться, и получается целая куча ?ВИРУСОВ? :facepalm:

хотелось бы иметь эту возможность "из коробки", а не настраивать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
про создание правил не знал. создал несколько, потом долго искал в меню программы

Есть соотв. категория для критериев, сигнатур и т.п. там можно удалять и редактировать.

хотелось бы иметь эту возможность "из коробки", а не настраивать

подумаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Сегодня только два предложения:

1. Добавить команду: Очистить ZOO

2. По базе SystemExplorer.

В программу SystemExplorer встроен модуль проверки по базе данных.

Проверка занимает секунды - с минимальным расходом трафика ( практически, без его расхода ).

Вот я и думаю - может будет желание, поработать с протоколами проверки & передачи данных и встроить данный алгоритм в uVS.

*Да и сам файл: SystemExplorer = data.fdb Видимо :facepalm: можно использовать на форумах по безопасности. :)

1.jpg

2.jpg

3.jpg

4.jpg

5.jpg

6.jpg

post-8956-1323208268_thumb.jpg

post-8956-1323208279_thumb.jpg

post-8956-1323208289_thumb.jpg

post-8956-1323208311_thumb.jpg

post-8956-1323208318.jpg

post-8956-1323208329_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Сегодня только два предложения:

1. Добавить команду: Очистить ZOO

а зачем нужна очистка ZOO? во вторых: CZOO все переносит в архив, и очищает ZOO

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
А зачем нужна очистка ZOO

Скажем в папке ZOO есть ненужные файлы - которые в отправке в Вир.Лаб. не нуждаются...

Можно конечно найти паку ZOO и самостоятельно её удалить/очистить.

Но так, как это физически чрезвычайно тяжело - я и предлагаю ввести отдельную команду.

CZOO все переносит в архив, и очищает ZOO

А зачем НАМ архив ? нет ! "Архив нам не нужен!"

P.S. Впрочем я в данном случае и не настаиваю...

Просто посчитал, что может быть полезная команда.

В скрипте она действительно не нужна!

Так, я про скрипт и не говорил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Скажем в папке ZOO есть ненужные файлы - которые в отправке в Вир.Лаб. не нуждаются...

Можно конечно найти паку ZOO и самостоятельно её удалить/очистить.

Но так, как это физически чрезвычайно тяжело - я и предлагаю ввести отдельную команду.

скажем, так: несколько вариантов.

если работаем с uVS на рабочем столе, то можно это сделать удалением просто папки с uVS.

распаковал UVS, очистил систему, удалил uVS

если работаем в локальной сети с удаленной машиной, то файлы карантинятся не на удаленной системе, а на стороне оператора. т.е. здесь как раз и нужен карантин.

если на "очень удаленной системе" очистка выполняется скриптами, то понадобится написать еще один скрипт очистки карантина.

для завершения лечения.

очистил систему, выполнил сканирование системы, отправил карантин в почту, потом еще и зачистил карантин (ОТДЕЛЬНЫМ скриптом.)

а если не отправил сразу, и очистил карантин, то ЦЕЛЬ НЕ ДОСТИГНУТА.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
×