Перейти к содержанию

Recommended Posts

santy
Ангела так и не поняли...

RP55, Арвид,

было четкое предложение - не разводить оф_топ в теме новых функций. или формулируем конкретные предложения по новым функциям, или продолжаем офтопить в соотвествующей теме форума.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
формулируем конкретные предложения

Да куда, как конкретно !

Вроде всё яснее ясного написали !

КОНКРЕТНО:

Иметь возможность для удаления НЕ ВСЕХ ССЫЛОК - А только 1-й конкретной ссылки !

Пример:

Реестр.

Параметр: PuntoSwitcher

Значение: "C:\Program Files\Punto\PuntoSwitcher .exe"

Вот, так, чтобы программа не теряя своей работоспособности не была в Автозагрузке !

И чтобы это можно было сделать быстро и эффективно.

С поддержкой данной опции в рамках скрипта !

Например в автозагрузке 30 программ.

И не хватает оперативной или ещё чего острая нехватка...

И через скрипт 10 второстепенных программ отключаем !

Система работает...

Программы работают...

Все довольны...

Если есть подозрение, что 2-ве программы конфликтуют между собой...

Можно одну отключить аналогичным способом - и посмотреть на результат.

Проще это сделать посредством скрипта - например в процессе лечения.

Чем объяснить, что и как следует делать и чего уж совсем делать не следует !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
omnilynx13

Может, мне не хватает опыта в лечении, но я в упор не понимаю как, это может помочь в лечении от зловредов. Конфликт программ это не лечение... "разгрузка автозапуска" это тоже... сохранение работоспособности заразы при отключении её в автозапуске :blink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel-iz-Ada
не понимаю как, это может помочь в лечении от зловредов

Да куча примеров когда зловред (не обязательно вирус) сидит в обычной автозагрузке и раздражает людей.

Один из последних примеров. Чистка в 20 сообщении. Обратите внимания на количество удаленных пунктов - половина автозагрузки пользователя - и это все хлам, который нафиг не нужен при загрузке системы. Но и не удалять же все записи из реестра - тогда все эти 20 программ тупо откажутся работать - и тут начнется настоящий геморрой. Разве что-то сверхъестественного прошу? Зачем, например, качать HijackThis, если можно бы было обойтись одним uVS?

Лично я за повышение функционала, а вы как хотите. Решать автору программы конечно же.

*читать с 15 поста. ссыль немного кривая получилась

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
omnilynx13

Понимаю, что мое предложение еретическое по сути, но может всё ж стоит вывести при старте, кнопочку создание полного образа автозапуска. А то я сегодня устал объяснять одной барышне, где там образ…

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel-iz-Ada

Тоже хочется кое чего в этом направлении - ввести новые ключи запуска - это автоматическое создание образа и закрытие программы (ну можно и не закрываться автоматом) и запуск программы сразу с предложением выбрать образ автозапуска для анализа

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

omnilynx13

bCreateImage (см. FAQ)

и запуск программы сразу с предложением выбрать образ автозапуска для анализа

я подумаю.

Старые предложения рассмотрю на неделе, пока нет времени.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Сохранение данных/результата проверки V.T.

* По окончании запроса/поверки по SHA1 Создаётся/сохраняется файл с подробными результатами проверки.

Например: АР-ПК_2012-01-05_11-32-44.db

Для каждого образа/системы формируется свой файл.

При этом, появляется возможность обойти зависший V.T. и повторно просмотреть результаты.

Или, использовать в качестве источника доп.информации при работе с Live CD

Принцип: При обращении к образу автозапуска uVS проверяет наличие файла данных и подгружает.

Таким образом, можно просмотреть результат например часовой давности...

При повторной проверке на V.T. сохранённая информация частично или полностью обновляется.

Опция может быть доступна по настройке в settings.ini

** Или же информация дописывается в сам образ без создания доп.файла. типа: "АР-ПК_2012-01-05_11-32-44.txt"

2) Контекстное меню файла.

Выделить на время сессии красный; желтый; зелёный

см.фото.

3) Добавить в меню команду: "Скрыть все файлы прошедшие проверку на V.T. в период: * - 2009г"

т.е. Если файл известен с 2009года и он проходит проверку 0/43

то...

4) По базе/базам SHA1

Пример, есть две базы проверенных файлов - Одна из них это авторская база MAIN*.

Вторая база AAA*

База MAIN* содержит 600.000 файлов.

База AAA* содержит 150.000 файлов.

В силу того, что обе базы регулярно пополняются - sha1 файлов начинают дублироваться%повторяться.

Что может замедлять проверку.

+ Лишнее место на HDD занимают.

* Если баз не две, а 3 - 4 Это ещё больше может замедлить проверку.

Особенно с учётом того, что объём базы будет постоянно расти.

И на слабых PC - это потеря времени на проверку - Особенно при работе с командой ADDDIR.

Что предлагаю: В меню uVS/Импорт - добавить команду:

"Произвести сравнение пользовательской базы sha1 с базой MAIN и исключить дубликаты "

5) При наличие 2-х и более баз проверенных файлов - при проверке файла через контекстное меню -

при совпадении результатов выводить информацию _Файл есть в базе N1 & №2_

Получается, что файл будет иметь повышенный статус надёжности, так, как он проходит двойную или тройную проверку по базе.

* Возможно пункт №5 уже предлагали.

6) Возможность поиска/просмотра/сохранение информации по драйверу.

Пример: ehdrv.sys = ehdrv.inf

Соответственно поиск: ehdrv.inf - Что может дать доп.информацию по этому объекту - параметрам его установки.

Поиск по таблице MFT раздела NTFS.

Что быстро и вполне реально.

С просмотром и сохранением информации в образ.

7) При проверке на V.T. IPL; MBR

Сейчас имя созданному файлу присваивается случайным образом.

Предлагаю присваивать имя исходя из имени диска/системы/образа.

Например: "MBR#0_АР-ПК-2012-01-05"

Пример: Происходит одновременная проверка 2-3-х объектов.

Это позволит избежать путаницы при работе с браузером/станицами.

Так, как будут чёткие данные по диску - загрузчику - имени системы.

* Удобно, когда над задачей одновременно работает консилиум из 2-3-х человек.

Что, также позволит чётко ориентироваться и при проверке по sha1 в дальнейшем.

uVS_375.jpg

post-8956-1325773325_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Контекстное меню - для IP прописанного в "Host" ;

uVS по запросу открывает в браузере или же логе, информацию по принадлежности данного IP объекта.

подумаю.

2. по критериям: составные критерии для отбора необходимых записей в образе + селектирование отобранных записей.

еще думаю.

3. по сигнатурам: дополнительно экспорт сигнатур из списка в файл (контекстное меню в списке сигнатур)

через скрипт.

4. по анализу инфо: использовать для поиска инфо о файлах/процессах дополнительно ресурс runscanner.net

посмотрю

5. по созданию образа загрузочного диска: добавить в настройки выбор_установку фонового рисунка для Live.CD.

добавлю.

6. по режиму автоскрипта.

добавить скриптовую команду CLRSGN - очистка начального списка сигнатур.

смысл ускальзнул

7. по автоархивированию.

подумаю.

1.В случае ошибки возможность: "Отменить крайнюю команду скрипта"

подумаю.

6.Селектирование файлов списка по типу:

подумаю.

"Произвести сравнение пользовательской базы sha1 с базой MAIN и исключить дубликаты "

подумаю.

5) При наличие 2-х и более баз проверенных файлов - при проверке файла через контекстное меню -

при совпадении результатов выводить информацию _Файл есть в базе N1 & №2_

подумаю.

7) При проверке на V.T. IPL; MBR

подумаю.

остальное отклонено.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
>>>>>>>добавить скриптовую команду CLRSGN - очистка начального списка сигнатур.

смысл ускальзнул

гипотетическая ситуация: в базе юзера, который в очередной раз пришел лечиться уже есть сигнатуры, которые были ранее добавлены хелперами, или им самим (любопытным).

если в его настройках settings не выставлено автоматически проверять список по сигнатурам при входе (открытие uVS), то детект по его сигнатуам (а возможно и ложное срабатывание на новых файлах) не засветится в создаваемом образе автозапуска.

хелпер скриптом добавляет сигнатуру в новый скрипт, и выполняет chklst&delvir. при этом в проверке участвуют и прежние сигнатуры, которые могут сыграть на ложное срабатывание, и будет выполнено непридусмотренное удаление.

--------

в данном случае, возможность очистить список сигнатур вначале (CLRSGN) перед командами ADDSGN позволит избежать ненужного ложного детекта и удаления.

+ следующие предложения.

добавить в контекстное меню окна Информация:

- проверка по SHA1 на VT, jotti. (в случае разбора LNK файла в инфо по запускаемому файлу есть его SHA1, но поиск из списка ведется по SHA LNK-файла. (или ошибаюсь?))

- поиск описания вирусяки в заданных вирусных энциклопедиях по результатам проверки на VT. (возможно, достаточно высветить нужную страницу в браузере, если поиск будет успешен.)

т.е. эти функции подвешиваются к определенным (не ко всем) полям инфо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg

Вообще, возникает частенько идея, что стоит сделать вариант uVS для юзера с функциями только создания образа и выполнения скриптов. Ну, может ещё несколько пунктов меню на недеструктивные функции. А то у меня уже два знакомых попросили помочь с вирусами сразу после НГ, попросил прислать образ - так оба, как сговорились, начали экскрементировать с различными меню. Результат - один д[о|е]бил-таки систему напрочь, пришлось переустанавливать (да ещё и злобУ на меня затаил непонятно за что), второй даже не помнил, что именно сотворил, но откатом системы вернули всё взад...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
что стоит сделать вариант uVS для юзера с функциями только создания образа и выполнения скриптов

bCreateImage (см. FAQ)

и script.cmd

в данном случае, возможность очистить список сигнатур вначале (CLRSGN) перед командами ADDSGN позволит избежать ненужного ложного детекта и удаления.

понятно, подумаю.

добавить в контекстное меню окна Информация:

подумаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1.При формировании скрипта, в обязательном порядке - автоматически, в шапку скрипта вносить версию OC.

Пример:

-------------------

;uVS v3.75 script [http://dsrt.dyndns.org]

;NT61

fixvbr C: 5

restart

-------------------

И сразу становиться ясно...

Что в этом скрипте НЕ правильно !

* Так, Оператор будет визуально наблюдать команды!

Причина: Были случаи некорректно отданных команд...

2.Поисковые критерии.

Добавить, возможность применения символов шаблона типа: («*» и «?»).

т.е. Произвольная замена одного или группы символов/переменных на: («*» и «?»); при поиске заданного/известного значения/параметра.

3.В uVS появилась функция поддержки/записи Live-USB.

Предлагаю, в рамках борьбы с файловыми вирусами добавить поддержку/запись Live-USB _ISO Linux

Дисков на базе 3-х основных производителей: Dr.Web; ESET ; Kaspersky.

4. Удаление.

Удаление по производителю:

Что это даёт - sha1 может изменяться, имя и сигнатура...

А вот, если в графе: "Производитель" значение остаётся неизменным то...

То всегда можно будет произвести удаление!

Пример: \WINDOWS\system32\S-s

В каталоге 10-ть файлов - новые файлы регулярно создаются - и соответственно имеют новые значения/параметры.

При неизменности значения "Производитель"

*Допустим в данном случае это будет "[email protected]"

Как же произвести эффективные удаление & зачистку ?

Пример:

-------------------

;uVS v3.75 script [http://dsrt.dyndns.org]

;NT61

adddir %Sys32%\S-s

P DELALL [email protected]

restart

-------------------

Алгоритм такой:

1) В список по команде ADDDIR добавляются файлы каталога.

2) Происходит считывание/сопоставление производителя и соответствующей команды - ( P DELALL [email protected] )

3) Считываются имена данных файлов - происходит проверка значений Реестра.

4) Происходит удаление и копирование в Zoo & Зачистка реестра.

* Также может иметь место автоматическая команда bl

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg
bCreateImage

Отлично, может тогда выкладывать отдельный дистрибутив с соответствующим settings.ini? И с 7-zip в комплекте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
4. Удаление.

Удаление по производителю:

P DELALL [email protected]

довольно рискованная процедура,

как раз зловреды часто используют имена производителей антивирусных продуктов,

так что вместе с водой можно выплеснуть и "ребенка".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
4. Удаление.

Удаление по производителю:

P DELALL [email protected]

Довольно рискованная процедура,

как раз зловреды часто используют имена производителей антивирусных продуктов,

так что вместе с водой можно выплеснуть и "ребенка".

Так всё на воле оператора - Посмотрел, кто производитель - Посмотрел, есть ли легитимные продукты в системе - от данного производителя

и принял решение...

Кроме того, моё предложение - это каркас/основа.

Можно развивать идею - "Например: удалить все файлы данного производителя не имеющие цифровой подписи"

Ввести по умолчанию ограничения - для файлов от Microsoft.

* Просто в ряде случаев такая методика удаления может дать большие возможности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Можно развивать идею - "Например: удалить все файлы данного производителя не имеющие цифровой подписи"

имхо, следует подождать решения по селектированным объектам. если будет. его и дальше развивать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
omnilynx13
Посмотрел, кто производитель - Посмотрел, есть ли легитимные продукты в системе - от данного производителя

и принял решение.

простой пример: троян подписанный Comodo и сам Comodo. что будешь делать? Имхо вредно и излишне.

"uVS реализовать команду - удалить все, кроме перечисленных записей hosts" (с) santy всё ж думаю будет нелишнее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Простой пример: троян подписанный Comodo и сам Comodo. что будешь делать? Имхо вредно и излишне.

"uVS реализовать команду - удалить все, кроме перечисленных записей hosts" (с) santy всё ж думаю будет нелишнее.

1.Команда на удаление - Это команда по выбору !

Хочешь удаляешь, а хочешь нет...

А, что делать при вышеприведённом варианте ? - Для это есть другие известные варианты.

Насильно, же не заставляют, её применять ?

*Да и для зачистки от следов антивируса - при желании можно применить.

Зато когда будет левый производитель - по этой команде + adddir можно весь системный диск прогнать !!!

Без ВСЯКИХ ложных срабатываний по сигнатуре.

И без разницы будет какой sha1/сигнатура/имя/путь - ВСЁ заданное будет очищено !

При разумном подходе это даёт очень большие возможности !

2.По hosts - идею поддерживаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1. "Сбросить статус проверенный у всех файлов списка кроме - Microsoft"

*Это позволит проверить список и при этом сократить число проверяемых файлов имеющих цифровую подпись.

2.По проверке загрузчиков.

Из контекстного меню загрузчик можно проверить на V.T.

Однако, проверка IPL Если проверять: "Проверить все непроверенные в данной категории на V.T."...

Не работает - или это так задумано ?

3. Какие мысли будут по этому поводу:

* Речь о всей странице в целом !

http://forum.esetnod32.ru/messages/forum6/...0/#message30570

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
1. "Сбросить статус проверенный у всех файлов списка кроме - Microsoft"

*Это позволит проверить список и при этом сократить число проверяемых файлов имеющих цифровую подпись.

Я это к тому, что у Microsoft вроде цифровые подписи не крали ?

А сейчас много заражений с левой цифровой подписью например: PRIMETECH LTD

И значит, есть необходимость при проверке ( при работе с образом ) сбрасывать статус всех файлов с цифровой подписью.

А, это резко повышает количество проверяемых объектов.

Поэтому команда: "Сбросить статус проверенный у всех файлов списка кроме - Microsoft"

Может существенно повысить скорость проверки.

-------------------------------------------------------------------

2.Контекстное меню файла - "Влючить обратный отсчёт для процесса"

* Смысл в чём?

Есть, группа процессов и нет возможности/смысла завершать их каждый по отдельности!

Соответсвенно, при активации функции: "Влючить обратный отсчёт для процесса"

Происходит Активация обратного отсчёта - причём, для всех последовательно выбраных объеков в рамках одной задачи.

Каждый последующий процесс, будет АВТОМАТИЧЕСКИ, по команде - из контекстного меню завершаться по сокращённому интервалу времени.

т.е. Стоит отдать первую команду - как автоматически начинается обратный отсчёт для всей группы последовательно добавляемых оператором в задачу остановки процессов.

И по истечении времени происходит "одноврмеменное" их завершение.

* По умалчанию время задержки установить = 45.s

т.е. Сколько, было добавленно в теченни этих 45 секунд процессов столько и будет завершено на 46-й секунде.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

571.Сбросить статус "проверен" у всех файлов списка - кроме "белый список"

* Добавить функцию создания "Белого списка" - цифровых подписей.

Например: Microsoft; ESET; Kaspersky...

Варианты: настройка по settings.ini или на основе поисковых критериев - "Белый список поисковых критериев"

"Белый список поисковых критериев" - В отличие от "Чёрного" НЕ отображает, объекты со статусом "Вирус?" - Наоборот он скрывает их

при активации соответствующей команды.

**Быстрый отбор информации и добавление её в список.

+ Полная поддержка Импорта/Экспорта списка.

Суть предложения - минимизация визуальной информации/объектов проверки, после сброса статуса "проверен" для всех файлов списка прошедших проверку по цифровой подписи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
;uVS v3.75 script [http://dsrt.dyndns.org]

;NT61

добавлю.

Добавить, возможность применения символов шаблона типа: («*» и «?»).

подумаю.

может тогда выкладывать отдельный дистрибутив с соответствующим settings.ini? И с 7-zip в комплекте.

делайте самостоятельно.

1. "Сбросить статус проверенный у всех файлов списка кроме - Microsoft"

не имеет смысла.

Однако, проверка IPL Если проверять: "Проверить все непроверенные в данной категории на V.T."...

Не работает - или это так задумано ?

исправлю.

Добавить функцию создания "Белого списка" - цифровых подписей.

отклоняется... но тут появилась идея как-то переложить проверку цифр. подписей на сторону хелпера, вот тут надо думать.

остальное отклоняется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1. Очень переживаю за реализацию - "Отменить"

Ведь сейчас, есть только - "Отменить всё"

А порой так хочется отменить только последнее/крайнее действие/команду.

Вот например - при работе с uvs_v373\Script нажал другую кнопку...

И весь скрипт нужно - заново создавать, а если там - 10 зловредов - по каждому нужно будет все команды переписывать ?...

А так - отдал не ну команду...

Раз и исправил !

А реализовать это можно просто - путём маркировки каждой "отдельно*" отданной команды.

* С учётом заданных настроек/параметров в settings.ini.

Например:

;uVS v3.73.3 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\.#\[email protected]@3F3238.###

bl 92BE20DFBB66E6EA70FFF9E04F3EEC4D 2048

delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\.#\[email protected]@3F3238.###

;#

deltmp

delnfr

;#

restart

Где: ;# Это маркер/точка отсчёта для новой команды - " в процессе генерации скрипта "

Соответственно при отдаче команды: "Отменить" - будет происходить отмена для последней команды.

* uVS - находит в стоке нужный маркер/символ - и производит зачистку.

** В момент сохранения скрипта в файл: ;# - доп. метки удаляются. ( да и с ними можно оставить )

*** Образ с [email protected]@3F3238.### библиотекой прилагается ( можно читать ;) )

Наука по данному файлу ещё не в курсе дела ???

2.Команда: " Отменить ВСЁ " - Сбрасывает результаты проверки на V.T...

Что, как правило излишне...

И, в ряде случаев приводит к необходимости повторной проверки - что отнимает время; расходует трафик; нагружает V.T.

* Думаю, что это особенно актуально в тех случаях, когда происходит сброс для файлов прошедших проверку по цифровой подписи.

Возможно ли это исправить ?

3. "Цифровая подпись - белый список"

Считаю возможным - реализовать функцию на базе поисковых критериев.

Как именно: Сейчас поисковый критерий в рамках задачи отображает файл как ? Вирус ?

Если возможен такой показ/отображение результата - значит можно работать и в обратном направлении !

т.е. Скрыть файл со статусом Подозрительный/Вирус ? ... По результату сличения/сравнения имеющийся у данного файла цифровой подписи с

базой/списком "Белый список"

Что позволит - при сбросе статуса проверен у файлов прошедших проверку по цифровой подписи резко сократь список для

проверки - Что облегчит работу и снизит вероятность ошибки/пропуска нужного файла.

И в ряде случае позволит экономнее расходовать трафик при обращении к V.T. !

* Белый список формируется - по известному принципу в Свойствах/Информации по файлу.

4.Имеет место ряд случаев когда человек говорит о том, что браузер постоянно - в момент запуска открывает: webalta.ru

При этот информация по сайту в uVS и HiJackThis отсутствует.

Как, это предлагают решать в документации на yandex.ru

webalta.ru - О том, как с этим бороться!

://help.yandex.ru/search/?id=1112565

+ см.фото.

Вероятно требуется новый алгоритм поиска и очистки для uVS.

11_M.png

22.png

post-8956-1328021038.png

post-8956-1328021066_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Quinzy
      Ну видать немного выиграл и радуется. Хотя казино - это такое дело, где выигрывает только владелец. А остальным он отдает немного, чтобы игроки не разбежались. Так то я сам знаю как это делается. Есть удобный софт для казино, причём разнообразный, можно у шарк софт https://sharks-soft.com/  купить. Вот он настраивается так, как вам удобно. Устанавливаешь, сколько там можно максимум выиграть, сколько раз выпадет та или иная комбинация и тд. А дальше только зарабатываешь на азарте других игроков. 
    • Kirs
    • Kirs
      Надо работать в той сфере, в которой лучше всего разбираетесь. К примеру, я неплохо умею прогнозировать исходы матчи спортивные, поэтому зарабатываю на ставках https://favoritnr1.com/41370-zenit.html . Если вы тоже умеете это делать, то можете попробовать себя на этом поприще.
    • sarge
      А какой нынче бизнес лучше открывать?
    • sarge
      За предложение спасибо конечно! Но я лучше на ставках https://sportfakt.ru/zerkala/zerkalo-leon , тут шансов поднять денег побольше, как говорится, чем в казино разных))
×