Перейти к содержанию

Recommended Posts

PR55.RP55

В списке могут быть два файла с разной кодировкой.

Имя файла может содержать как символы Кириллицы так и Латиницы.

Оператор не знает есть ли в системе Известный\Системный файл с таким именем, или файл был удалён ?

т.е. как минимум _4_ варианта.

Если в результатах поиска ( фильтр ) будут отображены все результаты это позволит оператору увидеть картину в целом.

Например в списке есть: amdxata.sys

Как его искать ?

Например первая буква это Кириллический символ а все последующие Латиница.

Здесь четыре символа которые могут быть заменены ( умышленно или случайно )

Программа должна выдать все варианты.

Оператор должен видеть всю картину - не заморачиваясь.

т.е. оператор вообще не должен обращать внимание на раскладку. ( если что-то требуется уточнить - то вся информация должна быть в Инфо. файла )

Оператор вбивает запрос и получает результат.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

если я вижу символы в китайской кодировке, при том что у меня расклад клавиатуры en-ru, с таким же успехом я могу видеть символ A в немецкой кодировке.

(а в поиск не смогу вбить этот символ, точнее вбить то смогу в англ. или русской кодировке, но он не будет найден в результате твоего запроса.)

E:\Coding\xmrig\SuperMiner\定制功能\SuperMiner\SuperMiner\Release\pdb\SuperXmr.pdb

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

Может отказаться от поиска, как такового...

Кто-то ищет символы прописанные в немецкой кодировке, или Китайской ?

Не будет результата  - значит не судьба.

Оператор сам посмотрит и найдёт\увидит.

Идеально не бывает.

Оператор работает в: en < > ru

-----------

Ещё раз.

Оператор не должен заморачиваться и думать какую ему выбрать раскладку.  en  или  ru

И не более того.

-----------

Задал фильтр\поиск > Получил результат, или два результата ( если таковые будут )

или не получил. ( но на два варианта он должен\может рассчитывать )

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

uVS не проводит проверку связанности файлов.

Как минимум нужно в Инфо. файла писать перечень исполняемых файлов созданных в это же время.

------------

По отдельному запросу от Оператора из Инфо. проводить сопоставление: Имени файла; ЭЦП; SHA1

Оператор получит возможность найти все схожие\идентичные\взаимосвязанные файлы.

-------------

Реализовать команду:

Добавить все файлы с данной ЭЦП в очередь на удаление.

Добавить все файлы с данной SHA1 в очередь на удаление.

Удалить файл и все файлы с данной SHA1

Удалить файл и все файлы с данной ЭЦП

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Цитата

 

В Chrome появится журнал активности расширений

Компания Google планирует интегрировать систему мониторинга активности расширений в собственный браузер Chrome. В журнале активности будут фиксироваться все действия расширений во время установки и работы в браузере.

 

https://www.comss.ru/page.php?id=5828

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

По vtcache

В каталоге сохраняются файлы.

Но можно пойти дальше.

И вести лог. ( единый файл с записями )

00ab6ed9a9b6e09f3091d2569e460995d5ef****

1Дата: 2017-12-16 [n/a]
2www.virustotal.com    2017-12-16
1Детектов: 0 из 68
2-    Файл был чист на момент проверки.
1Файл был чист на момент проверки.
4VTOK [2017-12-16]

----------------

00ab6ed9a9b6e09f3091d2569e460995d5ef****

1Дата: 2018-12-19 [n/a]
2www.virustotal.com    2018-12-19
1Детектов: 0 из 68
2-    Файл был чист на момент проверки.
1Файл был чист на момент проверки.
4VTOK [2018-12-19]

--------------

Как мы видим по логу прошёл год...

Файл чист.

Файл может быть автоматически добавлен в базу:  VT1 или ( VT2 )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Например есть рекламное окно...

По образу автозапуска можно будет определить какой программе оно принадлежит.

Например смещается фокус окна программы - чтобы пользователь перешёл к просмотру рекламы.

Определять окно и его владельца. ( при смене фокуса ! )

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
6 минут назад, PR55.RP55 сказал:

Определять окно и его владельца. ( при смене фокуса ! )

такая функция есть уже много лет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
19 минут назад, demkd сказал:

такая функция есть уже много лет

Я знаю.

Однако речь не об этом.

Функция реализованная в uVS нацелена на определение блокирующего окна...

А я говорю о смещении окна ввода текста, смещении курсора мыши на рекламную ссылку в окне, выделение из нескольких окон именно окна с рекламой.

Push реклама и т.д.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

загрузочный режим PreOS в программе AOMEI Partition Assistant

т.е. можно запустить программу и без всяких загрузочных дисков загрузить PC в режим PreOS

А всего несколько мегабайт...

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Если без радикализма.

" Добавить все файлы подписанные данной ЭЦП в очередь команд с #  "

" Добавить все файлы данного Производителя в очередь команд с #   "

Это будет как:

;uVS v4.1.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
# %Sys32%\DRIVERS\ASWARPOT.SYS
#  %Sys32%\DRIVERS\ASWBIDSDRIVER.SYS
#  %Sys32%\DRIVERS\ASWBIDSH.SYS
#  %Sys32%\DRIVERS\ASWBLOG.SYS
#  %Sys32%\DRIVERS\ASWBUNIV.SYS
#  %Sys32%\DRIVERS\ASWHDSKE.SYS
#  %Sys32%\DRIVERS\ASWKBD.SYS
#  %Sys32%\DRIVERS\ASWMONFLT.SYS
#  %Sys32%\DRIVERS\ASWRDR2.SYS
#  %Sys32%\DRIVERS\ASWSNX.SYS
#  %Sys32%\DRIVERS\ASWSP.SYS
# %Sys32%\DRIVERS\ASWVMM.SYS
deltmp
restart

На втором этапе оператор открывает вкладку: " Очередь команд "

и отдаёт нужную команду:

" Применить для всех объектов с # команду: delref "

" Применить для всех объектов с # команду: delall "

" Применить для всех объектов с # команду: dell "

( само собой - можно работать, как с группой объектов, так и с одиночным объектом )

Этапность позволит оператору не совершить ошибки и выбрать нужную команду.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Нашёл программу для работы с Push уведомлениями браузеров.

Программа: Рубильник

Но как и что не проверял. ( боюсь )  ;)

rubilnik-mid-2.jpg

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Фиксировать время доступа к файлу.

В случае большой задержки оправлять данные http://dsrt.dyndns.org:8888

смотреть и оптимизировать...

2) Если удаляемый файл содержит ЭЦП - предупреждать оператора: "В списке найдены другие файлы с данной ЭЦП" > автоматически помечать все файлы с  ЭЦП  как Подозрительные.

3) Добавить в меню команду: "Все файлы с данной ЭЦП - Подозрительные"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

возможно, имеет смысл ввести пятую колонку в таблицу (после "производитель": цифр. подпись, со всеми атрибутами: сортировкой по данному полю).

+ это (это актуально, только для работы с образом автозапуска)

Цитата

3) Добавить в меню команду: "Все файлы с данной ЭЦП - Подозрительные"

но против функции "удалить все файлы с данной цифровой подписью".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
В 07.11.2019 at 6:12 PM, santy сказал:

возможно, имеет смысл ввести пятую колонку в таблицу (после "производитель": цифр. подпись, со всеми атрибутами: сортировкой по данному полю).

Компания Nirsoft разработала новую программу для поиска файлов.

https://www.comss.ru/page.php?id=6713

Можно включать\отключать отображение тех или иных столбцов.

т.е. оператор получает возможность настроить программу под свои требования.

mobilefilesearch_5.png

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

В  Инфо.  файла добавлять: 

Пример:

Цифр. подпись  |  120  |  Действительна, подписано "ESET, spol. s r.o."

где запись |  120  |  это число обнаруженных файлов с данной цифровой подписью.

т.е. Легальных - подписанных файлов в системе как правило много.

У вирусов файлов значительно меньше.

т.е. речь идёт не просто о файле - речь идёт о группе файлов.

+

Это подстраховка оператора от ошибки.

Оператор удалил два файла, но в Инфо. оператор видит |  3  |

-----------

Дополнительный анализ может проходить на стороне оператора ( для экономии времени на создание образа )

По настройке: settings.ini или командой меню.

------------

Можно добавить в лог уведомление:

Операция удаления объекта добавлена в очередь: C:\WINDOWS\RSS\CSRSS.EXE

! Файл подписан AtuZi всего удалено файлов  _3_  из | 4 |

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) В uVS есть:  известные файлы.

А если известный файл проявляет сетевую активность этому файлу не свойственную...

т.е. это нужно обязательно учитывать.

2) Если сетевую активность проявляет файл с нестандартным расширением.

3) Файл на данный момент не проявляет сетевой активности...

Но есть ли у него такая возможность в принципе ?

по возможности это должно быть отражено в Инфо. ( для стандартных случаев ) - только для ( объектов автозапуска )

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Реализовать возможность добавлять произвольную информацию в Инфо.

Информация добавляется в Инфо. аналогично тому, как это реализовано с критериями поиска, но без влияния на статус файла\объекта.

Например оператор произвёл замену\обновление ряда системных файлов\драйверов с версии ??? на версию ???

Оператор работая с системой может зайти в Инфо. прописать информацию и затем при необходимости посмотреть всю историю того, или иного файла - что с ним происходило.

т.е. Можно создать себе некую памятку.

Например оператору не хватает информации которую предоставляет ему UVS по умолчанию.

Оператор может добавить данные по времени создания\изменения файла. Сравнительную информацию одного файла с другим. Какие записи в реестре были и какие новые появились, была у файла ЭЦП или её изначально не было, Оригинальный это файл или это патч.  и т.д.

+ Возможность сохранить не отдельную строку, а всю информацию из окна Инфо.

т.е. делать быстрые записи\сохранение информации.

Актуально, как при работе с системой, так и при работе с образами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Реализовать возможность добавлять произвольную информацию в Инфо. Информация добавляется в Инфо. аналогично тому, как это реализовано с критериями поиска, но без влияния на статус файла\объекта. Например оператор произвёл замену\обновление ряда системных файлов\драйверов с версии ??? на версию ??? Оператор работая с системой может зайти в Инфо. прописать информацию и затем при необходимости посмотреть всю историю того, или иного файла - что с ним происходило. т.е. Можно создать себе некую памятку. Например оператору не хватает информации которую предоставляет ему UVS по умолчанию. Оператор может добавить данные по времени создания\изменения файла. Сравнительную информацию одного файла с другим. Какие записи в реестре были и какие новые появились, была у файла ЭЦП или её изначально не было, Оригинальный это файл или это патч.  и т.д. + Возможность сохранить не отдельную строку, а всю информацию из окна Инфо. т.е. делать быстрые записи\сохранение информации. Актуально, как при работе с системой, так и при работе с образами.
    • santy
      может быть проблема в том, что часть файлов от известных производителей просто не подписана. судя по этому образу только два файла из каталога vmware с нарушенной подписью, остальные с действительной. C:\PROGRAM FILES (X86)\VMWARE\VMWARE WORKSTATION\VMWAREBASE.DLL
      C:\PROGRAM FILES (X86)\VMWARE\VMWARE WORKSTATION\X64\VMWARE-VMX.EXE проверка этих файлов по VT показывает что файлы не подписаны. Signature Info Signature Verification  File is not signed https://www.virustotal.com/gui/file/9c04db2177eabca00c1ae0788c31ce9c041cfbbfd02ea569b6364ebede5e9b69/details возможно, ты уже о таких случаях писал раньше, но уже как то забылось а это по lsass.exe на VT не подписан, Signature Verification Highlights whether the file being studied is signed and whether the signature is valid.  File is not signed а в образе с нарушенной цифровой НАРУШЕНА, файл модифицирован или заражен https://www.virustotal.com/gui/file/dcf9d744fe1b1cf47ec2870b44c852846c221d604b50de8adf79f60629a92a55/details   PROBOOK_2019-12-11_20-15-06_v4.1.8.7z
    • Svetik2244
      Можно электронную книгу, планшет или беспроводные наушники подарить...
    • Svetik2244
      Мне тоже нравятся игры на ПК и на смартфоне. Обожаю аркады.
    • natalie_irbis
      Коллеги, предлагаем протестировать систему «Ирбис»: проверить физических, юридических лиц и недвижимость. Главные отличия от других систем — акцент сделан на проверке физических лиц и есть полная база всех судов с 2005 года. В системе более 100 открытых государственных баз, которые обновляются 24/7. Вся информация выводится в одном окне. Есть следующие инструменты: — судимость — задолженность по ФССП — заложенное имущество — банкротство — список террористов — список дисквалифицированных — ЕГРЮЛ/ЕГРИП — история юрлица — действительность паспорта — бухгалтерская отчетность — обременение на недвижимости — право собственности недвижимости — и другие источники.   Бесплатный доступ на сутки: https://ir-bis.org/ Будем рады любым отзывам.
×