Перейти к содержанию

Recommended Posts

PR55.RP55
Цитата

Santy пишет:  смысл в том, что приходится настраивать длину активной части сигнатуры, а так же ее параметры (выгрузки из памяти, удаления  ссылок, и удаления тела).   

Если в каталоге один тип вируса ( или его разновидности ) скажем всего пять файлов тогда достаточно будет одной настройки на все пять файлов. ( в пять раз быстрее )

Цитата

а имя каталога, которым ограничивается поле деятельности сигнатуры тоже потом добавлять и хранить в сигнатуре? 

А если не удаётся путём увеличения длинны сигнатуры избежать ложных срабатываний ?

Это больше технический вопрос - алгоритм работы uVS.  Сама идея стоящая.

Цитата

если потом возвращаться и править, перенастраивать, и переименовать сигнатуры, то где же здесь автоматизация. потом еще надо найти эту сигнатуру с обезличенным именем в списке сигнатур.

Все сигнатуры получают имя\дату. Можно ориентироваться по принципу: если имя угрозы это каталог, значит нужно переименовать ( при аналогичном\повторном случае заражения ), или сортировка по дате.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
32 минут назад, PR55.RP55 сказал:

А если не удаётся путём увеличения длинны сигнатуры избежать ложных срабатываний ?

Это больше технический вопрос - алгоритм работы uVS.  Сама идея стоящая.

может и стоящая, только надо все продумывать основательно, потому что вместе с файлом сигнатур придется хранить и дополнительный файл, который должен описывать  все исключения на  данную сигнатуру. (есть они или их нет), и менять алгоритм проверки файла по сигнатурам.... потому что исключения могут случиться не только при полной длине сигнатуры, но и при меньше чем 64байта. И не факт, что есть большая необходимость в таком усложнении проверки по сигнатурам, когда есть свобода выбора у оператора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Цитата

Santy пишет:  вместе с файлом сигнатур придется хранить и дополнительный файл, который должен описывать  все исключения на  данную сигнатуру. (есть они или их нет) 

Второй файл не понадобиться так, как есть поле комментария к сигнатуре...  все исключения будут ( или не будут ) записаны в комментарий.

Оператор отдаёт команду: "Ограничить действие сигнатуры данным каталогом " > наименование каталога автоматически прописывается в комментарий.  например:                  %SystemDrive%\PROGRAMDATA\RUNDLL\

при работе с живой системой проблем уже нет - все данные на стороне оператора.

А при написании скрипта для форума комментарий может быть добавлен к сигнатуре.

stopper %SystemDrive%\PROGRAMDATA\RUNDLL\ addsgn.................

И ничего менять не нужно.

формат базы тот же.

---------------

А одна команда: " Сигнатуры всех файлов каталога добавить в скрипт и вирусную базу " практичнее чем 10 раз добавлять. Опять же при _однотипной угрозе и с автоматическим пропуском проблемных файлов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
8 минут назад, PR55.RP55 сказал:

Оператор отдаёт команду: "Ограничить действие сигнатуры данным каталогом " > наименование каталога автоматически прописывается в комментарий.  например:                  %SystemDrive%\PROGRAMDATA\RUNDLL\

нет смысла хранить такую сигнатуру, если ее действие ограничено одним каталогом. В таком случае будет проще безсигнатурно удалить данный файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Цитата

" нет смысла хранить такую сигнатуру, если ее действие ограничено одним каталогом. "      

А кто говорит об одном каталоге ?

В комментарии место есть, можно прописать порядка 128 символов.

И так сказать к истории вопроса  :)

v.3.33

o Теперь при добавлении сигнатуры в скрипт помещается полный путь до файла в виде комментария.

Если можно прописать путь до файла то и до каталога можно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Всё проще.
Главное это удалить угрозу и при этом не затронуть чистые файлы.
Для этого нужно ограничение.
Есть команда hide  для _файла...
А если так:
hide %SystemRoot%\SYSWOW64\DRIVERS\
мы получим не отдельный файл, а целый каталог исключённый из всех операций. ( файлы в случае с исключённым каталогом остаются в списке ) фактически нужна команда типа:

hideCat %SystemRoot%\SYSWOW64\DRIVERS\
значит нужна команда: Статус > Скрыть каталог
По сути для сигнатуры получим инверсию по принципу: "Верно для всех каталогов кроме каталога.... "
Исключение каталога прописано в комментарии к сигнатуре.
Таким образом исключение каталога задаётся автоматически.

А если ложных срабатываний\каталогов много тогда ограничить действие сигнатуры одним каталогом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
20 часов назад, PR55.RP55 сказал:

Если можно прописать путь до файла то и до каталога можно.

все это хорошо только на словах выходит, а а деле...

сегодня этот файл в одном каталоге, а завтра в другом....стало быть uVS должен уже следить не только за детектом по сигнатуре, но и какой каталог прописан внутри ее... а если каталог прописан другой, то что в этом случае делать: добавлять новый каталог в коментарии к указанной сигнатуре, так и не хватит 128 отведенных байт для комментария....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Реализовать в меню команду:  "  С учётом фильтра добавить сигнатуры всех файлов  в скрипт и вирусную базу. "

_Команда применяется к файлам которые проверены на V.T. и имеют положительный вердикт.  VT [??/71]

В качестве фильтра может быть применён поиск по дате;  каталогу;  производителю;  типу расширения.

_В случае невозможности добавления сигнатуры файла файл пропускается.

_Команда может быть применена не более чем к 25 файлам за раз.

т.е. если нужно добавить в базу 75 файлов - команда отдаётся три раза.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\Temp\iYHINxfzwABKgPFo
HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\LVfcChiQeObvDEsZIIR
HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ZebyTtMAayhlmsVB
HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Anatoly\AppData\LocalLow\zPlGDytGgACtw
HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Anatoly\AppData\Local\Temp\frhJYnceMSYnYdbbN

Что из этого следует ?

Мы имеем путь\имя потенциального вируса. фактически угроза сама себя раскрывает.

Объекты находятся и им присваивается статус: Подозрителен.

 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Возможно стоит добавить твик для очистки параметра.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

 F6            - Проверка цифр. подписей файлов в списке.

А если нужно проверить не всё, а например только драйверы ?

т.е. оператору нужно проверить одну категорию, а по факту проверяется весь список = потеря темпа\времени.

Предлагаю добавить в меню команду: "Проверить ЭЦП файлов только в этой категории "

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Какие программы установлены мы видим, а вот какие установлены обновления системы ?

Ошибка:
Не удалось зарегистрироваться в центре обеспечения безопасности Windows
" Защитник Windows не обнаруживает, или не регистрирует антивирусное программное обеспечение сторонних производителей "
Для Windows 7 нужно установить исправление: KB2482947

----------------

WMI
MS17-010 ( KB4012212 )

----------------

и т.д.

Обновления могут быть включены - но установлено ли конкретно это обновление ?

https://habr.com/ru/post/467445/

https://github.com/OlegBezverhii/List-Update-Cheker

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Пара предложений на конкретном примере :

https://virusinfo.info/showthread.php?t=224479&s=c331115c4b87439800aaf5e1d48ad9d6

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\8I789T_payload.exe','');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\8I789T_payload.exe','');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\8I789T_payload.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\8I789T_payload.exe','');
 TerminateProcessByName('c:\windows\system32\8i789t_payload.exe');
 QuarantineFile('c:\windows\system32\8i789t_payload.exe','');
 DeleteFile('c:\windows\system32\8i789t_payload.exe','32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\8I789T_payload.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\8I789T_payload.exe','64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\8I789T_payload.exe','64');
 DeleteFile('C:\Windows\System32\Info.hta','64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta','64');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\8I789T_payload.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

1) Добавить в меню команду.

" Удалить файл и все родственные файлы"

т.е. файлы с идентичным SHA1 и именем файла.

* Оператором команда отдаётся одна - но все удаляемые объекты прописываются в скрипт.

2) Добавить в настройку поискового критерия: "Искать файлы с аналогичным именем и\или SHA1"

Предупреждать\менять статус файла [V] если файл найден более чем [ 2 ] раза [?]

3) Возможность создавать временный критерий на время работы с образом.

т.е. найти > удалить и нет критерия.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
12 часов назад, PR55.RP55 сказал:

" Удалить файл и все родственные файлы"

здесь все родственники находятся сразу после добавления единственной сигнатуры. Причем, конкретно для Crysis эта сигнатура работает уже очень давно, если только файл не был перепакован.
 

Цитата

 

;uVS v4.1.8 [http://dsrt.dyndns.org:8888] [Windows 6.2.9200 SP0 ]
; Подозрительные и вирусы          <=

?ВИРУС?    | C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-12D6876E.[[email protected]].HARMA
?ВИРУС?    | C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-12D6876E.[[email protected]].HARMA
?ВИРУС?    | C:\USERS\LEDOVSKIY\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-12D6876E.[[email protected]].HARMA
?ВИРУС?    | C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-12D6876E.[[email protected]].HARMA
?ВИРУС?    | C:\USERS\LEDOVSKIY\APPDATA\ROAMING\INFO.HTA
Win32/Filecoder.Crysis.L(64)| C:\USERS\АДМИНИСТРАТОР\DESKTOP\L033J6_PAYLOAD.EXE
Win32/Filecoder.Crysis.L(64)| C:\USERS\LEDOVSKIY\APPDATA\ROAMING\L033J6_PAYLOAD.EXE
Win32/Filecoder.Crysis.L(64)| C:\WINDOWS\SYSTEM32\L033J6_PAYLOAD.EXE
Win32/Filecoder.Crysis.L(64)| C:\USERS\LEDOVSKIY\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\L033J6_PAYLOAD.EXE
Win32/Filecoder.Crysis.L(64)| C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\L033J6_PAYLOAD.EXE

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Santy пишет:  здесь все родственники находятся сразу после добавления единственной сигнатуры.       

Так никто и не запрещает работать с сигнатурами.

Однако это не всегда нужно.

Как я понимаю с случае с Filecoder.Crysis все директории где помещается тушка вируса жёстко прописываются в момент создания вируса. это не файловый вирус и не червь которые могут действовать по настроению.

Жёсткая привязка прописывается и при работе рекламных агентов.

Сигнатуры устаревают, нужно время для их добавления; определения типа угрозы ( проверка на V.T ), коррекция длинны, проверка списка, сокращения избыточно длинного наименования... т.е. зряшный расход времени, в случае когда это ненужно.

Недавно видел тему  где INFO.HTA  разбросан по системе экземплярах в 30.

При работе с INFO.HTA сигнатуры не нужны в принципе.

А оператор который должен тыкать 30 раз отдавая одну и туже команду...

Да, можно настроить критерий с соответствующий командой. Но работа с шифраторами требует индивидуально подхода и гасить всё подряд не лучшая идея. А если измениться наименование на INFO2.HTA - то и критерий перед его применением потребуется модернизировать.

У оператора должен быть выбор.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
17 часов назад, PR55.RP55 сказал:

Недавно видел тему  где INFO.HTA  разбросан по системе экземплярах в 30.

дак и надо приводить пример с 30 info.hta (сомнительно, что это был случай с Crysis), вместо того примера, где все решается одной сигнатурой, и автоскриптом.

Цитата

У оператора должен быть выбор.

это уже как мантра стала, типа, "времени на раскачку нет" :)

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Цитата

Santy пишет:  дак и надо приводить пример с 30 info.hta? (сомнительно, что это был случай с Crysis)          


Точно, чуть-чуть я ошибся.
это: Scarab
Тема:  https://virusinfo.info/showthread.php?t=224469
README.txt
прописан\ы 64 раза...
При работе с FRST и Текстовым редактором типа Notepad++ удалить все 64 объекта это восемь секунд.
А в uVS оператор бы надорвался подобное удалять.
Да, можно удалить через поисковый критерий - но это уже совсем другая история.
А так в меню отдать одну команду:
" Удалить файл и все родственные файлы"
т.е. файлы с идентичным SHA1 и именем файла.
* Оператором команда отдаётся одна - но все удаляемые объекты прописываются в скрипт.
тем более нет угрозы целостности системы.
Если уж на то пошло и есть опасение - то можно реализовать команду в ограниченном виде ( верно только для не исполняемых файлов ) - чего не хотелось бы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
29 минут назад, PR55.RP55 сказал:

При работе с FRST и Текстовым редактором типа Notepad++ удалить все 64 объекта это восемь секунд.
А в uVS оператор бы надорвался подобное удалять.

 

это необязательно удалять в uVS, обычный текстовый файл, в автозапуск он не помещается.

хоть в том же frst можно удалить, раз он их все отсвечивает в логе. (а в uVS они врядли все попадут в образ)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Цитата

Santy пишет:  в uVS они врядли все попадут в образ


То, что в автозапуске - то попадает. Сейчас проверил:
;
автозапуск | C:\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ПРОБА1.TXT
автозапуск | C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ПРОБА2.TXT

Цитата


 3.83 BETA 18
---------------------------------------------------------
 o Новый параметр в settings.ini
   [Settings]
   ; Значение определяет расширения файлов которые добавляются в список
   ; наряду с исполняемыми файлами функцией Файл->Добавить в список->...
   ; Пример параметра: .BAT.CMD.LNK.VBS
     Add2ListExt (по умолчанию пустая строка) 


Можно бы было удалять любые файлы отставленные шифратором - но НЕ работает...
Вначале всё работало > потом поиск отвалился > добрый и заботливый RP55 об этом писал > но так и не исправили.

Цитата

Santy пишет:   это необязательно удалять в uVS, обычный текстовый файл


Я и написал _подобные этому...
Открываем файл, а в Инфо. есть примечание: файл встречается в системе... встречается 64 раза...
И всё сразу понятно и V.T. не нужен, да и в том случае понятно когда идентичный файл будет 4 раза в системе разгуливать. Бывает, что при удалении оператор может не заметить один из файлов - так, как их много и все с идентичным наименованием - а так одной командой получим полную очистку - это ещё один довод за.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
11 часов назад, PR55.RP55 сказал:

То, что в автозапуске - то попадает. Сейчас проверил:

это текстовая записка о выкупе, она никакой угрозы системе не несет. (лежит себе и лежит в папках, куда их откопируют). в автозапуск из 64 попадет одна или несколько... в uVS их можно удалить, чтобы не всплывали в блокноте при загрузке системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

"времени на раскачку нет"  :)

https://forum.kasperskyclub.ru/index.php?s=35fdc94435f2493d0ac8d0282ba035f4&showtopic=64721

HKLM\...\Run: [1corona.exe] => C:\Windows\System32\1corona.exe [94720 2020-02-14] () [File not signed]
C:\Windows\System32\1corona.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-16] () [File not signed]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
Startup: C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-16] () [File not signed]
C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
Startup: C:\Users\dostyp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-14] () [File not signed]
C:\Users\dostyp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
2020-02-16 17:22 - 2020-02-16 17:22 - 000094720 _____ C:\Users\Dmitriy\AppData\Roaming\1corona.exe
C:\Users\Dmitriy\AppData\Roaming\1corona.exe

------------------

А в uVS это была бы одна команда....  " Удалить файл и все родственные файлы"  :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
10 часов назад, PR55.RP55 сказал:

А в uVS это была бы одна команда....  " Удалить файл и все родственные файлы"

сигнатуры никто не отменял

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Цитата

Demkd пишет:  сигнатуры     

Как мы выше выяснили, не все файлы которые нужно удалять являются исполняемыми. Не для всех файлов возможно добавление сигнатур - как мы помним из опыта в ряде случаев в код вируса намеренно добавляется код системных файлов - что приводит к ложным срабатываниям.

Если у файлов идентичные SHA1 - сигнатуры не нужны так, как определение по SHA1 - надёжнее.

Не все операторы работают с сигнатурами - это занимает больше времени - требуется проверка по V.T.  с целью определения типа угрозы, нужно прописать наименование угрозы, если нет результата по V.T. ; необходимо проверить список и исключить ложные срабатывания, если же корректировка невозможна то приходиться параллельно  работать с сигнатурами + удалять файлы в ручную, или через поисковые критерии\автоскрипт.

таким образом изначально простое действие превращается в целый набор операций.

Если бы удаление работало по типу: " Удалить все объекты с учётом фильтра "  было бы ещё проще.

Удалить все: .bat

Удалить все: .info.hta

Удалить все: .TMP

Удалить все: .HTTP  и т.д.

Если есть опасение за целостность системы - можно установить заглушку на удаление по типам расширений.

uVS  _избыточно требовательна к оператору. Как итог 75% всех случаев заражения  это очистка в FRST и 12% в AVZ

на долю uVS приходиться ( как это ни печально ) 5%

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

1. критерии - это те же самые фильтры, и потому команды удаления, реализованные в критериях - это тоже самое удаление с учетом конкретного фильтра. В snms их может быть много, и uVS строит автоскрипт согласно множеству фильтров одновременно, а не так как ты предлагаешь: один фильтр поднять, удалить все.... второй фильтр поднять - удалить все и т.д.

2. если тебе нравится удалять по хэшам, ты можешь создать критерий black_sha, и вести список черных хэшей в отдельном файле. надеюсь, как подключить файл к критерию ты еще не забыл.

никто изначально и не обещал, что будет легко работать с uVS - только те, кому интересно не просто быстро удалять файлы, но и в первую очередь выполнить анализ заражения системы в комплексе. Зачастую же на форумах выполняют удаление вначале одним, потом вторых и третьим инструментом, (а иногда еще и сканерами) и только когда проблема не решается, тогда делают образ автозапуска в uVS, в итоге проанализировать всю картину заражения в комплексе (и сделать какие то полезные выводы и решения) становится сложнее по тем остаткам, что попадут в образ автозапуска.

процент применения инструментов на форумах, если он такой какой ты его привел здесь не отражает адекватно тот факт, что инструменты FRST, avz удобнее в анализе или удалении, чем uVS. Скорее всего, это отражает привычку тех или иных форумов работать по определенной методике.

avz +hj + скрипты + (adwcleaner) +FRST

или uVS + скрипты+ (adwcleaner)+FRST

и если добавить команду "удалить текущий файл и всю его "родню"", на процент применения инструментов на форумах это не повлияет.

---------------

так что в основном твои предложения сводятся к созданию еще одного удалятора вредоносных программ, которых сейчас предостаточно, вместо реального поиска проблем и анализа, который можно сделать в uVS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
×