Перейти к содержанию

Recommended Posts

Angel107
Навык и опыт эт хорошо но лишняя сигнатура такой мощной утилитке - непомеха! Я ведь и сам в процессе нахождения новых зверей чтобы другие уже немучались тож веду базу сигнатур. Да и комерция зачем?! Я помог мне помогут. Как говорится "даш на даш" больше подходит слово бартер! Порабы уже нам научится быть бескорысней.

Вот моя база на 10 сигнатур все 64 байтные. Переработана из предшествующей которую здесь чуть ранее выкладывали. ;)

sgnz.zip

sgnz.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

Вот кстате лог-файл. Если будут вопросы по сигнатурам и базе проверенных файлов.

Текстовый_документ.txt

Текстовый_документ.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
а может заблокировать размер сигнатуры. Установить 64 байта и забыть.

Мелкие сигнатуры как раз полезны, часто одной сигнатурой можно вылавливать несколько модов зловреда.

А сама база интересна только на этапе лечения как оперативная.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

А как насчёт шифрующихся вирусов? У них нет статичной сигнатуры да и контрольная сумма тоже небудет совподать. Может добавить в прогу Sign1 AND Sign2. Где Sign1 - сигнатура процедуры дешифровщика и Sign2 - сигнатура основного тела вируса после дешифровки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
А как насчёт шифрующихся вирусов?

Без разницы шифрованный он там или нет, однако простенький сигнатурный движок uVS НЕ способен работать с настоящими полиморфными файловыми вирусами (инфекторами) класса Sality, uVS может автоматически опеределить активность подобных файловых вирусов но не более того, для лечения их необходима антивирусная утилита типа Dr.Web Cureit! или KVRT(AVPtool).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

Так в Этой утилите есть еще после убиения процесса даже шифрующих вирусов есть очистка всех придатков этого процесса на диске и в реестре?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Angel107

А какой смысл убивать зловреда не зачищая его хвосты в реестре? Я считаю что наплевательский подход антивирусов к процессу лечения есть прямое издевательство над пользователем, который в т.ч. и за это "лечение" платит деньги, а система после такого лечения не способна загрузиться. Поэтому uVS старается восстановить критически важные ссылки на известные файлы при удаление зловреда и предупредить об отсутствии или повреждении важных для загрузки системных файлов.

Особенно полезна функция удаление ссылок на отсутствующие объекты с очисткой от файлового мусора (гор. клавиша Alt+Delete) которую стоит рекомендуется всегда использовать по окончании лечения или после "лечения" антивирусом.

Но стоит всегда помнить что конкретная сигнатура подходит только для конкретного зловреда упакованного конкретным упаковщиком, т.е. дешифровка НЕ производится, поэтому для uVS и не важно чем упакован/зашифрован зловред. Но и простая смена ключа шифрования приведет к тому что старая сигнатура станет бесполезна, поэтому нет смысла долго хранить сигнатуры, база сигнатур полезна в основном лишь при массовом лечении.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

Вот я и заметил что в uVS основной упор делается на базу чистых (проверенных) файлов, судя по внушительной численности определений. Есть ещё один вопрос при запуске startf.exe в рижиме максимального доступа к системе при запуске функции "Поиск отсутствующих объектов в списке PEB_LDR_DATA" программа виснет на Ctrl+Alt+Del нереагирует может время требуется для анализа больше чем моего терпения? :D

Вот я и заметил что в uVS основной упор делается на базу чистых (проверенных) файлов, судя по внушительной численности определений. Есть ещё один вопрос при запуске startf.exe в рижиме максимального доступа к системе при запуске функции "Поиск отсутствующих объектов в списке PEB_LDR_DATA" программа виснет на Ctrl+Alt+Del нереагирует может время требуется для анализа больше чем моего терпения? :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

Здесь как-то спрашивали за базы "поисковых критериев" в качестве примера вот файл:

snms.zip

snms.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Есть ещё один вопрос при запуске startf.exe

Startf небезопасная штучка, так что может быть что угодно.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

Где-то прочитал про последовательность работы с uVS. Хотелось бы об этом узнать у автора программы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

Я пользуюсь методом что называется постепенным "затягиванием гаек" тоесть прогоняю start.exe "Запустить под текущим пользователем" (я на ПК Администратор) потом "Проверить каталог" далее "Вверх" до С:\ Сканирую. Если ненашёл перехожу к методу "Виртуализации" прогоняю Тесты и Анализирую Убиваю Зверей и Полная Чистка после Удаления Зловредов. Ну и "Актуализация"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Я пользуюсь методом что называется постепенным "затягиванием гаек" тоесть прогоняю start.exe "Запустить под текущим пользователем" (я на ПК Администратор) потом "Проверить каталог" далее "Вверх" до С:\ Сканирую. Если ненашёл перехожу к методу "Виртуализации" прогоняю Тесты и Анализирую Убиваю Зверей и Полная Чистка после Удаления Зловредов. Ну и "Актуализация"

еще есть поиск скрытых и измененных объектов по файлу сверки... технология описана в ДОКументации. В первую очередь проводится анализ автозапуска и очистка от вредоносных программ стартующих в автозапуске. Сканирование каталогов можно предоставить обновленному антивирусу после снятия в uVS всевозможных блоков, которые мешают нормальному его_антивируса запуску и обновлению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

Обновил файл с "критериями":

snms.zip

snms.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Похоже мой роутер скоро загнется, поэтому сайт будет работать как попало или вообще пропадет на продолжительное время и появится лишь после того как руки дойдут до замены железа, а может даже и модернизации всей сети с бонусной сменой провайдера, короче возможны технические проблемы.

v3.65

o Функция проверки списка автозапуска (F7) теперь _иногда сможет выявить подмену известного файла,

о чем будет выдано предупреждение в лог и файл попадет в категорию подозрительных.

(в т.ч. и при работе с образами сделанными предыдущими версиями uVS)

o Подкаталог STORE теперь является дефолтным хранилищем файлов.

Структура хранилища:

Файлы должны лежать в подкаталогах с именами NTVv (где V = версия NT до точки, v после точки)

для 64-х битных систем NTVvx64, допускается сжатие файлов compress-ом, в этом случае

последняя буква расширения должна быть заменена на подчеркивание.

Допускается расположение файлов во вложенных подкаталогах.

Примеры имен основных каталогов: NT50, NT61x64 и т.п.

o В контекстное меню файла добавлена команда "Скопировать файл в STORE".

o Скриптовая команда exec теперь допускает использование сокращений пути до файла:

%SYS32% = подкаталог SYSTEM32 проверяемой системы

%SYSTEMROOT% = каталог проверяемой системы

%SYSTEMDRIVE% = имя диска где расположена система

o Новый пункт меню: "Дополнительно->Восстановить все отсутствующие известные файлы"

Функция либо использует ранее установленный каталог с дистрибутивом, либо _однократно его

запрашивает.

Скриптовая команда "rknown".

(!) Если дистрибутив не был выбран перед использованием этой _скриптовой _команды

(!) то считается, что хранилище находится в подкаталоге STORE как и для команды RF.

o В контекстное меню _окна информации о файле добавлен пункт "Все в буфер обмена".

o Работа со скриптами вынесена в отдельное меню "Скрипт".

o Новый пункт меню: "Скрипт->Проверить скрипт".

o Модифицирована функция:

"Очистить корзину, удалить временные файлы, затем удалить ссылки на отсутствующие" (Alt+Delete)

После удаления временных файлов и перед удалением ссылок добавлено обновление списка.

o Добавлена новая скриптовая команда "crimg".

Команда создает полный образ автозапуска.

o В твик номер 12 добавлено удаление значений:

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, LegalNoticeText

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, LegalNoticeCaption

o Исправлена и улучшена функция восстановления отсутствующих файлов из дистрибутива/хранилища.

o Для jotti.org введено ограничение на 1 поток.

Максимальное количество запросов ограничивается сервером (60 запросов максимум).

o Для virustotal.com введено ограничение на 4 потока.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

Недавно протестировал uVS на Windows 7 - исправил ссылку на отсутствующий неиспользуемый файл (остался от предыдущей Windows XP SP3) чистильщик WinTools'a его незаметил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov

demkd

UVS 3.65

XP SP3 RUS + all sec updates

UVS запущена под админом, start.exe, под LocalSystem, [X] Антисплайсинг

на компе была вирусяка http://www.virustotal.com/file-scan/report...3f6d-1308639702

которая грузится у юзера xxx через

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

C:\Documents and Settings\xxx.yyy\Application Data\Ohzqze.exe

UVS нашёл этот файл, я по правой кнопки мыши в меню выбрал режим "Удалить все ссылки вместе с файлом"

В итоге файл удалился, но запись в реестре у пользователя нет.

бага?

PS: Я ещё плохо знаю все фичи программы но интересует следующий вопрос:

можно ли чтобы после первоначального сканирования программой исключались из списка файлы которые имеют цифровую подпись?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107
можно ли чтобы после первоначального сканирования программой исключались из списка файлы которые имеют цифровую подпись?

клавиша F6 - что-бы проверить цифр. подписи файлов списка

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit
demkd

UVS 3.65

XP SP3 RUS + all sec updates

UVS нашёл этот файл, я по правой кнопки мыши в меню выбрал режим "Удалить все ссылки вместе с файлом"

В итоге файл удалился, но запись в реестре у пользователя нет.

бага?

PS: Я ещё плохо знаю все фичи программы но интересует следующий вопрос:

можно ли чтобы после первоначального сканирования программой исключались из списка файлы которые имеют цифровую подпись?

попробуйте еще пункт меню "дополнительно" и нажмите на "безопасное удаление ссылок на все отсутствующие объекты"

а вообще глюк...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov
клавиша F6 - что-бы проверить цифр. подписи файлов списка

Я хотел чтобы проверились на наличие ЦП и убрались из списка только те файлы которые после первоначального скана в списке подозрительных значатся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107
Я хотел чтобы проверились на наличие ЦП и убрались из списка только те файлы которые после первоначального скана в списке подозрительных значатся.

Список должен обновится

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107
списке подозрительных значатся

Если таковые остаются в списке - добавить Хеш файла в базу проверенных.

Хеш файла тех что в списке подозрительных. Предварительно выбрав интересующий файл.

При этом нет гарантии что вы добавили чистый файл!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Stong
demkd

можно ли чтобы после первоначального сканирования программой исключались из списка файлы которые имеют цифровую подпись?

Ты имеешь виду чтоб снять с подозрение "Чистую" Программу?

Если "Да"

Тогда просто добавь в Хэш Проверенных

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov
Список должен обновится

Ага обновится, только в списке могут появится новые файлы.

+ время сканирования >1000 файлов приличное.

а мне надо функционал просто сразу после обычного сканирования исключить те файлы у которых есть ЦП.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В итоге файл удалился, но запись в реестре у пользователя нет.

Не обязательно баг, возможно нечто восстановило или защитило запись в реестре. Тут надо сам зловред посмотреть, по всякому бывает. В любом случае стоит давить Alt+Delete в конце лечения, оно подотрет все следы. А вот если и этого окажется мало значит остался висеть какой-то зловредный драйвер или руткитик.

можно ли чтобы после первоначального сканирования программой исключались из списка файлы которые имеют цифровую подпись?

Можно нажать F6, а вот смысла автоматизировать это нет по двум причинам:

1. редко но таки бывает, что сертификат украден и зловред им подписан.

2. сколько займет процесс проверки подписей неизвестно и затянуться это может больше чем на десяток и более минут. Поэтому всегда стоит давить F4 (при наличии базы проверенных) что быстро отсеет значительную часть файлов, затем уже можно будет вдавить F6, проверка пойдет только по тем что остались. Но таки не стоит излишне доверять цифровой подписи, особенно если компьютер не подключен к интернету и соотв. у системы, а значит и у uVS нет возможности проверить отозван сертификат или нет.

а мне надо функционал просто сразу после обычного сканирования исключить те файлы у которых есть ЦП.

Невозможно определить подписан файл или нет, не проверив подпись, т.е. быстрее чем сейчас сделать физически невозможно. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×