Universal Virus Sniffer (uVS), Вопросы разработчику

[demkd 639]

т.е. команда удаляет полный след программы в реестре, не затрагивая файлов на диске?

Нет, удаляется запись в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

мне кажется, лучше не помещать файл лога в архив, поскольку архив должен по идее отправиться в вирлаб, а текстовый лог - если необходимо, на форум.

Ну можно и так.

не добавлять в скрипт команду ZOO при использовании DELALL, если файл имеет статус НЕ НАЙДЕН, т.е. его фактически нет в системе, есть только след в реестре.

Его нет лишь на момент создания образа А лишняя команда никогда не помешает

добавить в контекстное меню программы в окне "подозрительные файлы и вирусы" функцию "удалить сигнатуру"

Файл может попадать под несколько сигнатур...

[santy 153]

Файл может попадать под несколько сигнатур...

был однажды случай, когда файл winampa попал под одну из сигнатур chkntfs. не жалко было winampa - удалил. .

[PR55.RP55 84]

1.Вопрос по "Запускался неявно или вручную"

В новой версии 3.41

Информация в окне отсутствует... ?

И - в Образах и В режиме реального времени. ( Даты менять пробовал )

Проверял на - Win XP и на Win7

Или , я что - то неправильно делаю ?

С версией 3.40 Всё отображается нормально... !

Подскажите...

2.Что касается winampa.

Оставляет очень много мусора - Есть ли решение ?

Пример образа :

[demkd 639]

1.Вопрос по "Запускался неявно или вручную"

В новой версии 3.41

Информация в окне отсутствует... ?

Глюк это, исправлю.

2.Что касается winampa.

Просить юзера закрывать winamp, как и другие программы перед запуском uVS, о чем и написано в первой строке в окне запуска, после слова ВНИМАНИЕ!

[PR55.RP55 84]

Глюк это, исправлю.

Возможно это излишне - Однако дам небольшой, простой комментарий по данному вопросу.

( Хотел сразу вчера написать, да не стал. Подумал может это у меня Не работает ! )

Проверка: ( Простой exe. файл - не вирус )

Запускаем exe. файл - из корня диска C:\ + Ставим его в автозагрузку.

Дополнительно копируем на Рабочий стол - и также активируем/запускаем.

*Запускаем uVS Смотрим...

Список - "Запускался неявно или вручную" пуст... ( Как с оригинальной базой sha1 так и с дополненной )

Заходим в "Автозагрузка" в uVS находим наш exe. файл, и добавляем его сигнатуру в базу "Win32.Proverka"

Проверяем список !

Результат: Найдено вирусов 1 !

Создаём образ - Пишем скрипт...

Удаляется по сигнатуре также - ТОЛЬКО 1- н.файл. ( Тот, что в авто запуске. )

Соответственно тот, что на рабочем столе остаётся !

В версии 3.40

Обнаруживались 2 файла !

И Удалялись 2 файла по средством скрипта и в режиме реального времени.

2. Что касается ZOO.

Моё мнение - Что в скрипт команда на добавление файла в ZOO _

Должна отдаваться _ Абсолютно во всех случаях при добавлении Сигнатуры.

Каким бы образом не была бы добавлена сигнатура.

[demkd 639]

v3.42 глюк исправлен.

o Добавлена автоматическая проверка по _локальной_ базе подозрительных имен при загрузке образа.

o Улучшена функция трансляции имен дисков, теперь можно работать с неактивной системой на виртуальном диске. (Например подключенный диск виртуальной машины VMware).

o В контекстное меню файла имеющего статус вируса добавлена команда "Ложное срабатывание, увеличить длину сигнатуры"

Длины всех подходящих сигнатур будут увеличины на глубину сопадения с сигнатурой этого файла + 1.

o Исправлена ошибка в функции построения списка файлов запускавшихся вручную/неявно.

[santy 153]

v3.42 глюк исправлен.

o Улучшена функция трансляции имен дисков, теперь можно работать с неактивной системой на виртуальном диске. (Например подключенный диск виртуальной машины VMware).

uVS создает образ неактивной системы в случае если диск виртуальной машины (VMware) подключен для записи. (Это с прицелом на VMware vSphere? )

Если map диска выполнен только для чтения, то обработка реестра не выполняется.

o В контекстное меню файла имеющего статус вируса добавлена команда "Ложное срабатывание, увеличить длину сигнатуры"

Длины всех подходящих сигнатур будут увеличины на глубину сопадения с сигнатурой этого файла + 1.

здесь видимо опция не поправлена, судя по рисунку из приложения.

И вопрос. Фиксируется ли в uVS от каких файлов получены сигнатуры?

Дело в том, что некоторые сигнатуры в базе хелпера могут быть получены и сохранены от файлов из систем других юзеров, и соответственно, этих файлов на момент анализа третьей системы нет. Как в этом случае поступит uVS?

Т.е. рассматриваем случай - когда файл детектируется по сигнатуре от файла из сторонней системы. Здесь, видимо может быть только одно решение:

Либо ИСКЛЮЧИТЬ каким то образом данный файл из проверки, либо УДАЛИТЬ_ВРЕМЕННО ИСКЛЮЧИТЬ данную сигнатуру из базы в данном сеансе.

Увеличить глубину сигнатуры в этом случае не получится - потому что нет оригинала файла, с которого была снята сигнатурка.

(Или в базе всегда хранится фрагмент файла максимальной длины 64?)

[demkd 639]

Если map диска выполнен только для чтения, то обработка реестра не выполняется

Можно конечно сделать и поддержку R/O дисков, но это уже лишние телодвижения, проще подключить и для записи.

здесь видимо опция не поправлена, судя по рисунку из приложения.

А на шоте глубина совпадения 64, фича будет работать только если для сработавшей сигнатуры установлена длина строго меньше 64. Скажем изначально поставил 12, а этого оказалось мало.

И вопрос. Фиксируется ли в uVS от каких файлов получены сигнатуры?

Нет.

Дело в том, что некоторые сигнатуры в базе хелпера могут быть получены и сохранены от файлов из систем других юзеров, и соответственно, этих файлов на момент анализа третьей системы нет. Как в этом случае поступит uVS?

Увеличит длину сигнатуры если глубина совпадения строго меньше 64.

Сигнатура всегда 64 байта, длина же регулируется по желанию пользователя для регулировки качества детекта, сам файл уже НЕ нужен для этого.

либо УДАЛИТЬ_ВРЕМЕННО ИСКЛЮЧИТЬ данную сигнатуру из базы в данном сеансе

Если вдруг будут факты полного совпадения сигнатур для разных файлов, а не модов одного и того же исполняемого файла, вот тогда можно будет об этом подумать

[santy 153]

А на шоте глубина совпадения 64, фича будет работать только если для сработавшей сигнатуры установлена длина строго меньше 64. Скажем изначально поставил 12, а этого оказалось мало.

...

Увеличит длину сигнатуры если глубина совпадения строго меньше 64.

Сигнатура всегда 64 байта, длина же регулируется по желанию пользователя для регулировки качества детекта, сам файл уже НЕ нужен для этого.

Ясно. Спасибо! Разобрался.

[yura5 5]

уже несколько версий вообще не запускаются на компе через start... открывается главное окно с вариантами запуска и на этом все пропадает.....

[demkd 639]

уже несколько версий вообще не запускаются на компе через start... открывается главное окно с вариантами запуска и на этом все пропадает.....

А если сбросить флажок антисплайсинг и другие опасные флажки, в окне запуска?

И возможно виновато что-то из антивирусов, может файл попал в недоверенные и т.п.

[yura5 5]

А если сбросить флажок антисплайсинг и другие опасные флажки, в окне запуска?

И возможно виновато что-то из антивирусов, может файл попал в недоверенные и т.п.

хм... а без флажка "антисплайсинг" работает... спасибо )

[demkd 639]

без флажка "антисплайсинг" работает

Тогда очень хорошо бы было мне получить образ автозапуска вашей системы на e-mail demkd@mail.ru, с чем-то тут конфликт возникает.

[WindR 0]

Если на разделе, содержащем две установленные системы windows и windows.0, запустить UVS из windows.0 в списке подозрительных и вирусов отображаются файлы из каталога незапущенной системы c:\windows. Остальные списки UVS отображаются правильно.

[demkd 639]

запустить UVS из windows.0 в списке подозрительных и вирусов отображаются файлы из каталога незапущенной системы c:\windows.

Желательно увидеть образ, но п.н. это не глюк, а просто криво поставленный windows, uVS не содержит в себе жестко прошитых путей.

[WindR 0]

Образ создан в системе windows.0

uvs.zip

uvs.zip

[demkd 639]

Образ создан в системе windows.0

Ясно, тут дело в том что именно 2 windows-а на одном разделе, что плохо сказвается на обоих системах.

Те файлы, что с путем до \windows (все они из категории запускавшихся неявно) взялись из реестров пользователей второй системы, поскольку uVS не делает различий между найденными пользовательскими реестрами в D&S|Users на системном разделе т.е. все 8 реестров пользователей, что он нашел были обработаны.

Короче все так и должно быть

[WindR 0]

Как говорится это не баг - это фича

[demkd 639]

ак говорится это не баг - это фича

Ага Но я могу снова включить или сделать доступной фильтрацию каталогов с профилями и грузить только те хайвы, для которых пути указаны в реестре, эта фича давно реализована, я уже и не помню что мне в фильтрации не понравилось, поэтому выключил.

[demkd 639]

v3.43 последняя в этом году

Множество исправлений.

o Новые параметры в settings.ini

[settings]

; при добавлении файла в Zoo (не для сетевого режима) помещать в Zoo файл с описанием.

bSaveZooFileInfo = 1 (1 по умолчанию)

; Дополнительно сканировать D&S/Users и загружать найденные профили пользователей, даже

; если их НЕТ в списке профилей пользователей проверяемой системы.

bAllProfiles = 1 (0 по умолчанию)

o Создание лога выполненного скрипта теперь происходит в соответствии с параметром в settings.ini

[settings]

; 0 = Не создавать файл с логом.

; 1 = Создавать лог в каталоге Zoo _перед выполнением команды CZOO.

; 2 = Создавать лог _после выполнения скрипта в корневом каталоге uVS.

; 3 = Создавать оба лога.

bSaveScrLog = 2 (2 по умолчанию)

o Ускорена функция импорта базы проверенных файлов.

o Добавлен звуковой сигнал при обнаружения повреждений в базах проверенных/известных.

o Твик #22 теперь восстанавливает параметры запуска *.cpl

(всего обрабатывается 15 типов файлов)

o Сокращена процедура антисплайсинга для совместимости с Kerio Firewall.

(как в uVS так и в StartF)

o Исправлена функция разбора logon/logoff скриптов.

o Исправлена и оптимизирована функция переключения мониторов.

o Исправлена ошибка в контекстном меню при работе с образом автозапуска.

o Исправлена функция пересчета координат мыши для мультимониторных систем.

o Исправлена ошибка в функции удаления временных файлов для удаленных систем.

o Исправлена ошибка иногда возникающая при проверке хэшей файлов находящихся в Zoo.

[santy 153]

Дмитрий,

от и поручению технического форума Eset Russia

(santy, ZloyDi, RP55)

Поздравляем с Наступающим Новым годом!

uVS - безусловно лучшая программа 2010г.

Желаем дальнейшего ее успешного развития, багов так незначительных, а функций новых так самых уникальных,

чтобы программирование было вовсе не в тягость, а исключительно из ленности и наличия свободного времени,

когда все работает безукоризненно и без авторского надзирательства. .

Удачи в 2011 г!

[demkd 639]

Спасибо С наступающим!

[PR55.RP55 84]

Вот хотел поле нового года написать.

Но не могу удержаться !

1.Если файл находится в буфере обмена - и файлу присваивается статус вируса.

Какая реакция uVS в данном варианте ?

2.Изменить

Пример:

Проверка списка...

В скрипт добавлена команда: addsgn 530BB7DA55ABAC70A83F6EF1649F4336E5355C10C9FAA6046983C5879FA07467ECEB30FD670AF749

C3F6929F464F214ABD9FE8185532C2812D7707C007462219 32 TEST !

Проверено файлов: 881

Найдено вирусов: 1

Проверяем по базе проверенных.

C:\DOCUMENTS AND SETTINGS\USER\РАБОЧИЙ СТОЛ\VIRUS TEST.EXE

SHA1: 61792536C28F9AEC9CA39DF35BD6B7BA9B7CE71F

Хэш найден в базе проверенных файлов, файл помечен как проверенный

Файл - имеет двойной статус ? !

Вероятно следует внести изменния в программу ?

т.е. При присвоении файлу, статуса вируса, его следует автоматически удалять/исключать из базы проверенных sha1

*Выдавать предупреждение.

3.Сценарий.

В Автозапуске Папка, скажем C:\Program Files\CoFiles

Если запустить uVS то результат такой:

Имя: C:\Program Files\CoFiles

Статус: в автозапуске

Файл: НЕ НАЙДЕН, но был успешно открыт по указанному пути.

*

**

Ссылка ***********

А, если папка у нас с Начинкой будет ?

Анализ:

"Основной Автозапуск"

"Весь Автозапуск "

***

т.е. Папка в Автозапуске и из неё - "Запускался неявно или в ручьную " ****

Автоматически добавлять в Список "Подозрительные и вирусы"

4.Возможно стоит сделать ?

Настройка \ Цвета...

В качестве дополнительной настройки.

Авто выделение: при построении списка...

Извесные > Зелёный

Извесные/Проверенный > Зелёный

Неизвесные > Жёлтый

[demkd 639]

1.Если файл находится в буфере обмена - и файлу присваивается статус вируса.

Какая реакция uVS в данном варианте ?

Никакой.

Файл - имеет двойной статус ? !

Вероятно следует внести изменния в программу ?

Нет, это дело оператора решать что не так, либо сигнатруа левая, либо файл внесен в базу проверенных ошибочно.

А, если папка у нас с Начинкой будет ?

А кто мешает проверить, что будет

т.е. Папка в Автозапуске и из неё - "Запускался неявно или в ручьную " ****

так не бывает, либо в автозапуске, либо запускался ручками.

По поводу цветов, я из программы елку аля AVZ делать не собираюсь, есть все необходимые фильтры причем применяемые в 1 клик.

[PR55.RP55 84]

1. Вкладка: "список сигнатур вирусов"

Автоматически регистрировать дату добавления сигнатуры в базу.

Пример:

Win32/Spy.Shiz.NAI | Активно 20 байт из 64 сохранённых | 06.01.2011; 0:05.12 |

Trojan:Win32/Ransom | Активно 64 байт из 64 сохранённых | 05.01.2011; 0:04.11 |

Суть: Просмотр по дате добавления.

* При ошибке добавления просмотр/исправление, по дате/метке времени.

** Возможность оставлять краткий комментарий по объекту. / например - ссылку на страницу вирусной энциклопедии /.

*** Поиск по дате.

2. Автоматическое формирование/ведение базы пользователей.

Пример: Открываем Образ - Работаем с ним.

uVS Автоматически индексирует информацию, по ряду критериев.

*Информация сохраняется в отдельном файле.

И при вторичном/повторном обращении пользователя uVS добавляет информацию к текущему/новому ЛОГ-у.

**Возможность добавлять свой комментарий.

Пример - добавленной информации:

_________________________________________________________

ВНИМАНИЕ...

Повторное ОБРАЩЕНИЕ !

-----------------------------------------------------------------

Образ Создан: uVS v3.37: 0.9.01.2010; 0:05:12

Образ Открыт: uVS v3.37: 0.9.01.2010; 0:25:10

-----------------------------------------------------------------

Комментарий к образу: Пользователь знаком с работой Windows, владение информацией на уровне 4.

Решение проблемы: Стандартная схема лечения.

Ссылка:http://forum.esetnod32.ru/forum**/topic***/

-----------------------------------------------------------------

Обьекты скрипта: 2

Win32/Spy.Shiz.NAI

Win32/Spy.Shiz.NAL

Пути:

C:\WINDOWS\SYSTEM32\LMXJDA.EXE

C:\WINDOWS\SYSTEM32\ADLXML.EXE

-----------------------------------------------------------------

uVS v3.43: Microsoft Windows XP x86 (NT v5.1) build 2600 Service Pack 3 [C:\WINDOWS]

-----------------------------------------------------------------

Internet Explorer v8.0.4001.18412

Firefox v3.5.10 (ru)

-----------------------------------------------------------------

Проиндексированная информация _ Дата: 0.9.01.2010; 0:25:10

Текущий пользователь: Sim30-35.00000Let \Илья Муромцев

Физической памяти 2046Mb Kingston; Part Number:99P5471-002.A00LK

__________________________________________________________________________

Суть: Проверка, сравнение возможных причин заражения.

Проверка: Выполнены ли рекомендации.

Просмотр собственно комментария к предыдущей теме = выводы, подбор оптимальной методики работы с клиентом.

Примерный психологический портрет клиента: /Оптимист/ или...

Быстрый Поиск/просмотр предыдущей темы в топике.

Как результат: Экономия времени, правильный индивидуальный подход.

3.Информация общего плана.

http://forum.esetnod32.ru/forum17/topic1367/