Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 82]

В списке могут быть два файла с разной кодировкой.

Имя файла может содержать как символы Кириллицы так и Латиницы.

Оператор не знает есть ли в системе Известный\Системный файл с таким именем, или файл был удалён ?

т.е. как минимум _4_ варианта.

Если в результатах поиска ( фильтр ) будут отображены все результаты это позволит оператору увидеть картину в целом.

Например в списке есть: amdxata.sys

Как его искать ?

Например первая буква это Кириллический символ а все последующие Латиница.

Здесь четыре символа которые могут быть заменены ( умышленно или случайно )

Программа должна выдать все варианты.

Оператор должен видеть всю картину - не заморачиваясь.

т.е. оператор вообще не должен обращать внимание на раскладку. ( если что-то требуется уточнить - то вся информация должна быть в Инфо. файла )

Оператор вбивает запрос и получает результат.

 

[santy 153]

RP55,

если я вижу символы в китайской кодировке, при том что у меня расклад клавиатуры en-ru, с таким же успехом я могу видеть символ A в немецкой кодировке.

(а в поиск не смогу вбить этот символ, точнее вбить то смогу в англ. или русской кодировке, но он не будет найден в результате твоего запроса.)

E:\Coding\xmrig\SuperMiner\定制功能\SuperMiner\SuperMiner\Release\pdb\SuperXmr.pdb

[PR55.RP55 82]

santy

Может отказаться от поиска, как такового...

Кто-то ищет символы прописанные в немецкой кодировке, или Китайской ?

Не будет результата  - значит не судьба.

Оператор сам посмотрит и найдёт\увидит.

Идеально не бывает.

Оператор работает в: en < > ru

-----------

Ещё раз.

Оператор не должен заморачиваться и думать какую ему выбрать раскладку.  en  или  ru

И не более того.

-----------

Задал фильтр\поиск > Получил результат, или два результата ( если таковые будут )

или не получил. ( но на два варианта он должен\может рассчитывать )

 

[PR55.RP55 82]

uVS не проводит проверку связанности файлов.

Как минимум нужно в Инфо. файла писать перечень исполняемых файлов созданных в это же время.

------------

По отдельному запросу от Оператора из Инфо. проводить сопоставление: Имени файла; ЭЦП; SHA1

Оператор получит возможность найти все схожие\идентичные\взаимосвязанные файлы.

-------------

Реализовать команду:

Добавить все файлы с данной ЭЦП в очередь на удаление.

Добавить все файлы с данной SHA1 в очередь на удаление.

Удалить файл и все файлы с данной SHA1

Удалить файл и все файлы с данной ЭЦП

[PR55.RP55 82]

Цитата

 

В Chrome появится журнал активности расширений

Компания Google планирует интегрировать систему мониторинга активности расширений в собственный браузер Chrome. В журнале активности будут фиксироваться все действия расширений во время установки и работы в браузере.

 

https://www.comss.ru/page.php?id=5828

[PR55.RP55 82]

По vtcache

В каталоге сохраняются файлы.

Но можно пойти дальше.

И вести лог. ( единый файл с записями )

00ab6ed9a9b6e09f3091d2569e460995d5ef****

1Дата: 2017-12-16 [n/a]
2www.virustotal.com    2017-12-16
1Детектов: 0 из 68
2-    Файл был чист на момент проверки.
1Файл был чист на момент проверки.
4VTOK [2017-12-16]

----------------

00ab6ed9a9b6e09f3091d2569e460995d5ef****

1Дата: 2018-12-19 [n/a]
2www.virustotal.com    2018-12-19
1Детектов: 0 из 68
2-    Файл был чист на момент проверки.
1Файл был чист на момент проверки.
4VTOK [2018-12-19]

--------------

Как мы видим по логу прошёл год...

Файл чист.

Файл может быть автоматически добавлен в базу:  VT1 или ( VT2 )

[PR55.RP55 82]

Например есть рекламное окно...

По образу автозапуска можно будет определить какой программе оно принадлежит.

Например смещается фокус окна программы - чтобы пользователь перешёл к просмотру рекламы.

Определять окно и его владельца. ( при смене фокуса ! )

 

[demkd 619]

6 минут назад, PR55.RP55 сказал:

Определять окно и его владельца. ( при смене фокуса ! )

такая функция есть уже много лет

[PR55.RP55 82]

19 минут назад, demkd сказал:

такая функция есть уже много лет

Я знаю.

Однако речь не об этом.

Функция реализованная в uVS нацелена на определение блокирующего окна...

А я говорю о смещении окна ввода текста, смещении курсора мыши на рекламную ссылку в окне, выделение из нескольких окон именно окна с рекламой.

Push реклама и т.д.

 

[PR55.RP55 82]

загрузочный режим PreOS в программе AOMEI Partition Assistant

т.е. можно запустить программу и без всяких загрузочных дисков загрузить PC в режим PreOS

А всего несколько мегабайт...

 

 

[PR55.RP55 82]

Если без радикализма.

" Добавить все файлы подписанные данной ЭЦП в очередь команд с #  "

" Добавить все файлы данного Производителя в очередь команд с #   "

Это будет как:

;uVS v4.1.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
# %Sys32%\DRIVERS\ASWARPOT.SYS
#  %Sys32%\DRIVERS\ASWBIDSDRIVER.SYS
#  %Sys32%\DRIVERS\ASWBIDSH.SYS
#  %Sys32%\DRIVERS\ASWBLOG.SYS
#  %Sys32%\DRIVERS\ASWBUNIV.SYS
#  %Sys32%\DRIVERS\ASWHDSKE.SYS
#  %Sys32%\DRIVERS\ASWKBD.SYS
#  %Sys32%\DRIVERS\ASWMONFLT.SYS
#  %Sys32%\DRIVERS\ASWRDR2.SYS
#  %Sys32%\DRIVERS\ASWSNX.SYS
#  %Sys32%\DRIVERS\ASWSP.SYS
# %Sys32%\DRIVERS\ASWVMM.SYS
deltmp
restart

На втором этапе оператор открывает вкладку: " Очередь команд "

и отдаёт нужную команду:

" Применить для всех объектов с # команду: delref "

" Применить для всех объектов с # команду: delall "

" Применить для всех объектов с # команду: dell "

( само собой - можно работать, как с группой объектов, так и с одиночным объектом )

Этапность позволит оператору не совершить ошибки и выбрать нужную команду.

[PR55.RP55 82]

Нашёл программу для работы с Push уведомлениями браузеров.

Программа: Рубильник

Но как и что не проверял. ( боюсь ) 

 

[PR55.RP55 82]

1) Фиксировать время доступа к файлу.

В случае большой задержки оправлять данные http://dsrt.dyndns.org:8888

смотреть и оптимизировать...

2) Если удаляемый файл содержит ЭЦП - предупреждать оператора: "В списке найдены другие файлы с данной ЭЦП" > автоматически помечать все файлы с  ЭЦП  как Подозрительные.

3) Добавить в меню команду: "Все файлы с данной ЭЦП - Подозрительные"

[santy 153]

возможно, имеет смысл ввести пятую колонку в таблицу (после "производитель": цифр. подпись, со всеми атрибутами: сортировкой по данному полю).

+ это (это актуально, только для работы с образом автозапуска)

Цитата

3) Добавить в меню команду: "Все файлы с данной ЭЦП - Подозрительные"

но против функции "удалить все файлы с данной цифровой подписью".

[PR55.RP55 82]

В 07.11.2019 at 6:12 PM, santy сказал:

возможно, имеет смысл ввести пятую колонку в таблицу (после "производитель": цифр. подпись, со всеми атрибутами: сортировкой по данному полю).

Компания Nirsoft разработала новую программу для поиска файлов.

https://www.comss.ru/page.php?id=6713

Можно включать\отключать отображение тех или иных столбцов.

т.е. оператор получает возможность настроить программу под свои требования.

 

 

 

[PR55.RP55 82]

В  Инфо.  файла добавлять: 

Пример:

Цифр. подпись  |  120  |  Действительна, подписано "ESET, spol. s r.o."

где запись |  120  |  это число обнаруженных файлов с данной цифровой подписью.

т.е. Легальных - подписанных файлов в системе как правило много.

У вирусов файлов значительно меньше.

т.е. речь идёт не просто о файле - речь идёт о группе файлов.

+

Это подстраховка оператора от ошибки.

Оператор удалил два файла, но в Инфо. оператор видит |  3  |

-----------

Дополнительный анализ может проходить на стороне оператора ( для экономии времени на создание образа )

По настройке: settings.ini или командой меню.

------------

Можно добавить в лог уведомление:

Операция удаления объекта добавлена в очередь: C:\WINDOWS\RSS\CSRSS.EXE

! Файл подписан AtuZi всего удалено файлов  _3_  из | 4 |

 

 

[PR55.RP55 82]

1) В uVS есть:  известные файлы.

А если известный файл проявляет сетевую активность этому файлу не свойственную...

т.е. это нужно обязательно учитывать.

2) Если сетевую активность проявляет файл с нестандартным расширением.

3) Файл на данный момент не проявляет сетевой активности...

Но есть ли у него такая возможность в принципе ?

по возможности это должно быть отражено в Инфо. ( для стандартных случаев ) - только для ( объектов автозапуска )

 

[PR55.RP55 82]

Реализовать возможность добавлять произвольную информацию в Инфо.

Информация добавляется в Инфо. аналогично тому, как это реализовано с критериями поиска, но без влияния на статус файла\объекта.

Например оператор произвёл замену\обновление ряда системных файлов\драйверов с версии ??? на версию ???

Оператор работая с системой может зайти в Инфо. прописать информацию и затем при необходимости посмотреть всю историю того, или иного файла - что с ним происходило.

т.е. Можно создать себе некую памятку.

Например оператору не хватает информации которую предоставляет ему UVS по умолчанию.

Оператор может добавить данные по времени создания\изменения файла. Сравнительную информацию одного файла с другим. Какие записи в реестре были и какие новые появились, была у файла ЭЦП или её изначально не было, Оригинальный это файл или это патч.  и т.д.

+ Возможность сохранить не отдельную строку, а всю информацию из окна Инфо.

т.е. делать быстрые записи\сохранение информации.

Актуально, как при работе с системой, так и при работе с образами.

[santy 153]

demkd,

если есть или будет время,

предлагаю, улучшить работу по критериям:

1. в форме редактирования критерия добавить список полей из uVS (которые можно добавить в критерий), чтобы можно было выбирать (помимо того механизма в инфо) из списка нужное поле_аргумент, и создавать комбинированный критерий. (не вручную писать имя поля).

2. добавить возможность фильтровать список по одному единственному критерию из списка snms (из списка критериев по контекстным функциям или другим способом выбирать нужный критерий для фильтра.

3. на базе формы со списком полей, то, что запланировано в 1, можно создавать сложный фильтр для отбора по всему списку, без применения к объектам списка действий и команд;

4. в списке критериев добавить возможность быстрого поиска не только по именам критериев, но и по строке условий. (это второе поле)

 

[PR55.RP55 82]

Santy пишет: добавить возможность фильтровать список по одному единственному критерию из списка snms (из списка критериев по контекстным функциям или другим способом выбирать нужный критерий для фильтра.   

+ сделать возможность задать _временный критерий такой критерий  сохраняется только до завершения работы uVS  ( можно добавить чек-бокс ): Задать временный критерий [v]

А затем должна быть возможность: "фильтровать список по одному единственному критерию из списка"

Бывает, что нужно что-то найти - но нет смысла сохранять этот мусор в настройках.

[santy 153]

следует добавить (для 2 и 3), что при фильтрации по одному критерию из списка статус объекта не меняется. (т.е. не присваивается, и не пере_присваивается статус ?ВИРУС?

 

[PR55.RP55 82]

Интегрировать в меню команду: " Добавить сигнатуры всех файлов каталога в скрипт и вирусную базу. "

Примерно для таких случаев:

https://forum.esetnod32.ru/messages/forum3/topic15563/message107797/#message107797

Например есть каталог и в нём 10-20 файлов.

Добавлять поочерёдно сигнатуры долго... Удалять по одному файлу - без сигнатур, если это вирус удаление может быть не эффективно.

Название сигнатуры _автоматически по имени каталога + дата добавления сигнатуры.

Если есть ложное срабатывание, или файл подписан известной ЭЦП  - файл пропускается.

* Для всех каталогов _кроме системных.

[santy 153]

1 час назад, PR55.RP55 сказал:

Добавлять поочерёдно сигнатуры долго... Удалять по одному файлу - без сигнатур, если это вирус удаление может быть не эффективно.

Название сигнатуры _автоматически по имени каталога + дата добавления сигнатуры.

если лень добавить сигнатуры, можно и через deldir зачистить.

а название сигнатуры должно иметь смысл, соответствующий угрозе, а не от каталога.

[PR55.RP55 82]

Оператор проверяет файлы > файлы получают соответствующий вердикт по результату V.T. > тип угрозы пишется в имя сигнатуры > сигнатура всех файлов каталога добавляется в скрипт и вирусную базу. Если в каталоге есть файл подписанный известной ЭЦП  - файл пропускается.

Можно одной командой добавить и 10 и 20 сигнатур.

Мы же за автоматизацию.

Какой смысл добавлять по одной сигнатуре за раз ?

Ложные срабатывания, как и раньше в ручную обрабатывает оператор.

Или, как я уже предлагал добавить команду: " Ограничить действие сигнатуры данным каталогом "

тогда любое срабатывание на файл вне каталога - ложное.

Цитата

Santy пишет:  можно и через deldir зачистить.

А для чего тогда сигнатуры.

У оператора должен быть выбор - свобода действия.

Цитата

название сигнатуры должно иметь смысл, соответствующий угрозе, а не от каталога.         

А если файл не проверен на V.T., или нет доступа к сети. Оператор может позже в свободное время вернуться к сигнатуре и переименовать её. ( что имеет смысл только при аналогичном\повторном случае ) т.е. пролечили РС, на другом РС тот же вирус - пишем верное наименование угрозы.

[santy 153]

16 минут назад, PR55.RP55 сказал:

Какой смысл добавлять по одной сигнатуре за раз ?

смысл в том, что приходится настраивать длину активной части сигнатуры, а так же ее параметры (выгрузки из памяти, удаления  ссылок, и удаления тела).

17 минут назад, PR55.RP55 сказал:

Ложные срабатывания, как и раньше в ручную обрабатывает оператор.

.

17 минут назад, PR55.RP55 сказал:

Или, как я уже предлагал добавить команду: " Ограничить действие сигнатуры данным каталогом "

а имя каталога, которым ограничивается поле деятельности сигнатуры тоже потом добавлять и хранить в сигнатуре?

17 минут назад, PR55.RP55 сказал:

А для чего тогда сигнатуры.

У оператора должен быть выбор - свобода действия.

а у него и так есть свобода выбора: удалять через сигнатуру, удалить просто файл или вместе с ссылкой, удалить файл через удаление исполняемых в данном каталоге....

17 минут назад, PR55.RP55 сказал:

А если файл не проверен на V.T., или нет доступа к сети. Оператор может позже в свободное время вернуться к сигнатуре и переименовать её. ( что имеет смысл только при аналогичном\повторном случае ) т.е. пролечили РС, на другом РС тот же вирус - пишем верное наименование угрозы.

если потом возвращаться и править, перенастраивать, и переименовать сигнатуры, то где же здесь автоматизация. потом еще надо найти эту сигнатуру с обезличенным именем в списке сигнатур.