Universal Virus Sniffer (uVS), Вопросы разработчику

[santy 153]

вот еще вопрос: в каких случаях полезны функции запуска из uVS смонтировать /демонтировать / *.WIM из дистрибутива Vista/Seven?

[art 0]

благодарю за ответы.

еще появился такой вопрос:

можно ли сделать так, чтобы при нажатии кнопки "проверить все непроверенные на вирустотал" не отображались в логе чистые файлы?

или чтобы файлы с детектов выделялись красным цветом,

а то такой большой поток данных.... рябит

вопрос снят, не разобрался сразу

[PR55.RP55 83]

можно восстановить файл или с помощью SFC (Vista и старше) или из дистрибутива, обе операции доступны в контекстном меню файла.

А при работе с образом XP ?

При написании скрипта...

Я, что предлагал - чтобы была имитация работы SFC.

В скрипте указать путь до файлового хранилища - любого.

И какой файл удалить/заменить.

Например:

;uVS v3.51 script [http://dsrt.jino-net.ru | http://dsrt.dyndns.org]

Open C:\Documents and Settings\!User!\Рабочий стол\Архив

copy \CTFMON.EXE

to remove %Sys32%\CTFMON.EXE

insert %Sys32%\CTFMON.EXE

restart

1.Поиск на V.Total

Например, образ uVS зафиксировал имя файла: CDF36546.EXE и его статус: Активен.

Все прочие данные по файлу отсутствуют...

*Нам нужно понять мог ли данный файл вызвать проблемы в работе PC ?

Но как это сделать если у нас нет доп.данных по объекту кроме его имени.

Предлагаю: Сделать опцию запрос к V.Total по: CDF36546.EXE имени файла/расширению.

Вероятность совпадения имени 1. к 10000000...

*Если имя всё-же совпадёт - то сделать выбраковку по дате, и возможность просмотра альтернативных

результатов поиска.

2.Эвристика.

Пример:

Файл - 4BFDlve.exe

код файла:

A

F

FF

F

FF

A

Где А - это язык программирования X 1

F - язык программирования X 2

FF - язык программирования X 2

A - это язык программирования X 1

*Т.е у нас есть файл имеющий статус: Активен - и простой/сравнительный анализ

даёт информацию о чередовании кода.

Код содержит разные языки...

Статус такого файла - Virus -

3.Совпадение имён файлов каталога.

Совпадение имён файлов каталога при градации расширения файлов.

Сейчас, если файл находится в основном автозапуске Например: C:\WINDOWS\EXPLORER.COM

то в категорию -"Подозрительные и вирусы " он не попадает !

То-есть, если файл запустился/отработал и выгрузился из памяти - то в категорию

"Подозрительные и вирусы " он не...

В качестве конкретного примера прилагаю образ.

* EXPLORER.COM это не вирус - Это просто пример.

В том числе моё предложение включает идею - что необходимо добавить в uVS

функцию автоматического просмотра/анализа содержимого системных каталогов - на предмет совпадения

имён файлов - в рамках градации расширения файлов.

*Для основных системных ресурсов - включая неактивные объекты.

4.Автоматически добавлять файл в категорию "Подозрительные и вирусы"

При четырёхкратном и более, чередовании символов в имени активного объекта.

Пример: k8uy4o7.exe., KLanoEyrr

*Каждое имя написанное человеком несёт в себе смысловую нагрузку.

Такие, как имя объекта - его порядковый номер в библиотеке - версию, или дату создания.

В случае же работы примитивного генератора мы имеем случайный набор/последовательность символов.

** Разумеется с учётом других параметров - таких, как отсутствие цифровой подписи и др...

P.S. Приму любую разгромную критику своих идей/предложений

RP55.

[demkd 636]

вот еще вопрос: в каких случаях полезны функции запуска из uVS смонтировать /демонтировать / *.WIM из дистрибутива Vista/Seven?

Например требуются заведомо чистые файлы из дистрибутива, а начиная с висты достать их не легко, вот тогда и можно смонтировать соотв. wim файл из дистрибутива и достать эти файлы.

В скрипте указать путь до файлового хранилища - любого.

Я добавлю возможность использовать восстановление из хранилища с помощью скриптов эта фича давно запланирована.

Все прочие данные по файлу отсутствуют...

А хэш? Что касается поиска по имени я такой фичи на VT не знаю.

2.Эвристика.

Не понял.

3.Совпадение имён файлов каталога.

Это подумать надо... хотя может есть реальный пример?

При четырёхкратном и более, чередовании символов в имени активного объекта.

В принципе не лишено смысла, как-нибудь подумаю.

[PR55.RP55 83]

Цитата(PR55.RP55 @ 18.04.2011, 17:48) *

2.Эвристика.

Не понял.

1. У нас есть системный файл - скажем CTFMON.EXE

Написанный на C*

Логика: "Все металлы проводят ток - Ртуть металл..."

2. Тело - код вируса написан на Языке X* !

При внедрении кода в файл = C* + ( минус ) X* = ?

Цитата(PR55.RP55 @ 18.04.2011, 17:48) *

Все прочие данные по файлу отсутствуют...

А хэш? Что касается поиска по имени я такой фичи на VT не знаю.

А хэш? - Так нет его !

А, что касается V.Total и поиска по имени - Возможно есть другие варианты...

Вот народ тему читает может что и предложат ?

Цитата(PR55.RP55 @ 18.04.2011, 17:48) *

3.Совпадение имён файлов каталога.

Это подумать надо... хотя может есть реальный пример?

Так я вирусами и не занимаюсь - они страшные и противные.

Но может у кого есть - напишите!

* Народ !: Имеется в виду полное совпадение имени без подмены символов на Кириллические и прочее...

Отличие по расширению файла.

4. Я предлагал поиск по цифровой подписи/производителю как в рамках образа, так в реальном каталоге

Будет ли это реализовано ?

[demkd 636]

При внедрении кода в файл = C* + X* = ?

В смысле детектить заражение, без привязки к типу инфектора, трудновато это, да и фолсов будет море.

А хэш? - Так нет его ! smile.gif

И почему нет? В образе должен быть, раз был файл. Если же файла нет то и смысла разбираться нет.

4. Я предлагал поиск по цифровой подписи/производителю как в рамках образа

Есть же критерии для этого, а в каталоге не вижу смысла.

[PR55.RP55 83]

Цитата(PR55.RP55 @ 18.04.2011, 18:59) *

При внедрении кода в файл = C* + X* = ?

В смысле детектить заражение, без привязки к типу инфектора, трудновато это, да и фолсов будет море.

Да! но...

*Так с учётом дополнительных факторов - отсутствие цифровой подписи и прочее.

Это автоматически отсеет 80% + База проверенных.

Кроме того Следует ввести такой критерий обнаружения: Нам, точно известно, что файл CTFMON.EXE написан "по умолчанию"на языке C*

а результат анализа даёт информацию о том, что анализируемый файл содержит - или полностью написан на языке X*

кроме того нет цифровой подписи.

Или речь идёт о временной замене части кода на вирусный...

[PR55.RP55 83]

Реальный Пример легальной - известной программы: Core Temp, Версия 0, 99, 4, 65

Это программа для измерения температуры.

И результат запуска - на фото.

Файл в архиве*

И, что должен думать культурный человек - при выводе такой информации ?

Кто нибудь решит, что это руткит

Вывод: Даже если файла нет ???

То Оргвыводы по нему сделать необходимо - а значит нужна информация - хотя бы проверка но имени.

* Если мы уже сталкивались с этим - то можно добавить в исключения...

Но если это новый объект то...

2. Необходим.

Поиск по образу - например фильтрующий по первым буквам - по имени Компании - цифровой подписи производителя.

Например для поиска конфликтующих драйверов стороннего производителя - тех, что имеют легальную подпись - но их необходимо удалить.

[demkd 636]

*Так с учётом дополнительных факторов - отсутствие цифровой подписи и прочее.

Это автоматически отсеет 80% + База проверенных.

Подпись или ее отсутствие мало чего дает, скажем тот же stuxnet замечательно подписан и подписи до сих пор проходят проверку, сегодня только прибил два его драйвера... Сборок туча и известные файлы сплошь модифицированные.

Т.е. 80% это очень оптимистично, конечно есть смысл в определении языка написания или нестандартных сигнатур системных файлов, но тут нужны исследования, на которые просто жалко тратить время, результат все равно будет смешной.

То Оргвыводы по нему сделать необходимо - а значит нужна информация - хотя бы проверка но имени.

И чего она даст? Оргвыводы без наличия тушки на руках бесполезны. Любой зловред может назваться как хочет, в т.ч. и именем соотв. вполне безвредному файлу, хоть beep.sys, хоть ntldr, хоть теми же обломками дров для видюхи.

Соотв. вопрос упирается в поиск тела.

Например для поиска конфликтующих драйверов стороннего производителя - тех, что имеют легальную подпись - но их необходимо удалить

Ладно, я подумаю.

[santy 153]

Например требуются заведомо чистые файлы из дистрибутива, а начиная с висты достать их не легко, вот тогда и можно смонтировать соотв. wim файл из дистрибутива и достать эти файлы.

реально проделать такую вещь?

- выдергиваем boot.wim из iso-ного образа загрузочного диска (например ERD 65 с добавленным uVS);

- монтируем boot.wim с помощью uVS;

- открываем regedit и присоединяем куст software из смонтированного образа boot.wim;

- вносим изменения в ветку Run присоединенного куста - например, прописываем автозапуск uVS при загрузке с диска (или флэшки);

- выгружаем присоединенный куст;

- отмонтируем boot.wim обратно же с помощью uVS;

- заменяем в исошном образе диска исходный файл boot.wim модифицированным файлом boot.wim;

---

в итоге получаем загрузочный диск с автозапуском uVS.

[demkd 636]

- монтируем boot.wim с помощью uVS;

uVS специально монтирует образ в R/O режиме во избежании его модификации.

Но вообще можно смонтировать и для изменения.

Например так:

DISM.EXE /mount-wim /wimfile:"y:\sources\boot.wmi" /index:1 /mountdir:"r:\boot"

Для прменения изменений необходимо будет демонтировать образ с помощью uVS или dism-ом.

Монтировать можно только на NTFS разделы.

Насчет необходимости модификации реестра... лучше сперва почитать документацию к Windows AIK там подробно расписано как правильно заточить образ под себя.

[PR55.RP55 83]

Администрирование - безопасность - uVS

ФАЙЛОВАЯ СЕТЬ - и uVS.

В произвольном каталоге создаётся зона наблюдения состоящая из 100 исполняемых файлов.

Размер файлов варьируется от 25 - до 225 kb.

Файлам присваиваются произвольные имена.

Код файлов идентичен - Изменение размера файла производится путём многократного повторения/дублирования

кода.

После создания файлового каталога удовлетворяющего вышеперечисленным требованиям.

Происходит дальнейшая автоматическая генерация - сдаётся контрольная таблица/база SHA1 содержащая

информацию по каждому фалу.

При повторном запуске uVS производит проверку SHA1 - файлов заданного каталога.

При обнаружении изменения значения - Запускается последующие этапы.

1.Объект помещается в Zoo.

2.При обнаружении изменения значения - Известная часть программного кода полностью удаляется,

а на на основе неизвестной автоматически генерируется сигнатура объекта.

3.Подаётся сигнал Оператору PC - Сигнал обнаружения и готовности к принятию команды.

* Все случаи отсутствия/перемещения/наличия новых - также отслеживаются и обрабатываются.

Суть идеи - это оперативное обнаружение вирусного присутствия в рамках корпоративной сети

и своевременное устранение угрозы.

Особую эффективность данное решение имеет в случае использования общих ресурсных - рабочих объектов/каталогов.

Для достижения максимального эффекта при работе с uVS рекомендуется задействовать подпрограмму - планировщик.

1.Файлы каталога создаются автоматически - Идентичный код добавляется автоматически.

2.SHA1 - при создании нового каталога изменяются путём простой перетасовки сегментов кода.

*Что в свою очередь не позволит - вирусу определить - принадлежность модифицируемого объекта к uVS.

Мониторинг общих ресурсов корпоративной сети в рамках применения данной методики позволит мгновенно реагировать, находить и ликвидировать до 80 % угроз.

В качестве простого практического примера:

1.самостоятельно создать Каталог.

2.Поместить в него Х* исполняемых файлов.

3.Открыть его для доступа Система < > Система.

4.Создать базу/таблицу SHA1 текущих/проверенных файлов.

5.Настроить уведомление/планировщик - Заданный интервал по времени.

6.Осуществить проверку - сравнение SHA1 по базе/таблице.

* Отклонение от заданного стандарта - следует расценивать как заражение.

Файл не прошедший процедуру проверки - подвергается изоляции.

*Метод сравнения по хэшам известен - программы: TRIPWIRE, Adinf.

В общем известный метод + творческий подход от меня.

[Smit 29]

В произвольном каталоге создаётся зона наблюдения состоящая из 100 исполняемых файлов.

Размер файлов варьируется от 25 - до 225 kb.

Файлам присваиваются произвольные имена.

Код файлов идентичен - Изменение размера файла производится путём многократного повторения/дублирования

кода.

В общем известный метод + творческий подход от меня.

приведу параллельный пример:

один человек мне предлагал супер оригинальную идею в электронике, каждую деталь сделать на разъеме чтобы легче было ремонтировать и находить неисправности...

[demkd 636]

ФАЙЛОВАЯ СЕТЬ - и uVS.

Это уже дело для отдельной программы. Которая к тому же не нужна, есть же аудит для NTFS.

[PR55.RP55 83]

Это уже дело для отдельной программы.

Как так ?

Ведь всё необходимое для такой проверки уже входит в состав uVS.

А, файловый каталог можно собрать самостоятельно.

Или производить мониторинг Системного каталога.

Проверка...

[demkd 636]

Ведь всё необходимое для такой проверки уже входит в состав uVS.

Подобными вещами должен заниматься продукт с проактивной защитой, uVS же занимается исключительно уничтожением и совсем чуть-чуть восстановлением, втискивать в него какие-либо защитные функции не в ходит в мои планы.

[PR55.RP55 83]

производить мониторинг Системного каталога.

втискивать в него какие-либо защитные функции не в ходит в мои планы.

Как всегда, я неточно выразил свою мысль !

Эх !

Речь совсем о другом... Мониторинг в режиме реала отдыхает!

-------------------------------------------------------------------------------

Речь вот о чём:

Как сейчас в uVS проводится проверка на Руткиты ?

По файлу сверки...

Я же следуя аналогии предлагаю добавить возможность проверить каталог по выбору !

И не на руткиты, а на любое изменение файлов/каталога.

Какие были добавлены - удалены или изменены за эти три* дня !

Суть - Есть каталог - мы делаем его снимок по SHA1.

Сохраняем это снимок - и скажем через два - три дня вновь запускаем считывание данного каталога по по SHA1.

т.е. Создаётся файл сверки.

Т.е мы используем функцию заложенную в uVS для обнаружения Руткитов.

Но используем её в качестве наблюдения за контрольной точкой/файловым-каталогом.

Так, добавляется функция позволяющая проводить при необходимости мониторинг изменений и поиск типичных вирусов.

Используя проработанною методику сверки файла сверки с конкретным каталогом.

С возможностью проверки - без загрузки с Live CD !

...

[demkd 636]

Речь вот о чём:

Бесполезная фича.

[santy 153]

продолжаем тему - анализ изменений.

может стоить прикрутить запуск консольной утилиты CmpImg из интерфейса uVS?

допустим, в режиме работы с образом автозапуска (источник сравнения - "source") открывать опцию - "сравнить с образом",

далее выбираем из диалога цель сравнения - "target", а результат сравнения можно выводить в лог, просматриваемый по alt L.

также, хотелось бы иметь возможность создания полного образа автозапуска в фоновом режиме (с единственным сообщением - создание образа завершено), чтобы включать подобный запуск в планировщик антивируса, например.

[demkd 636]

может стоить прикрутить запуск консольной утилиты CmpImg из интерфейса uVS?

Пока не понятно есть ли вообще польза от подобного сравнения, если польза будет тогда в будущем можно будет подумать о развитии этой темы.

также, хотелось бы иметь возможность создания полного образа автозапуска в фоновом режиме (с единственным сообщением - создание образа завершено), чтобы включать подобный запуск в планировщик антивируса, например.

Если уж хочется его создавать в фоне то сообщения будут излишни. В принципе утилита упрощенного создания образа запланирована, но когда она будет не знаю.

[santy 153]

Пока не понятно есть ли вообще польза от подобного сравнения, если польза будет тогда в будущем можно будет подумать о развитии этой темы.

Если уж хочется его создавать в фоне то сообщения будут излишни. В принципе утилита упрощенного создания образа запланирована, но когда она будет не знаю.

Мне кажется, дополнительный анализ не помешает (и более удобен при запуске из интерфейса uVS) и будет БОЛЕЕ АКТУАЛЕН, если можно будет в фоне создавать образ автозапуска из планировщика. Причем, в этом случае создание образа можно планировать практически из любого антивируса, в котором есть планировщик.

[PR55.RP55 83]

Дополнительный анализ не помешает (и более удобен при запуске из интерфейса uVS) и будет БОЛЕЕ АКТУАЛЕН.

Дополнительная функция = Дополнительной возможности.

Примечания.

1.

В далёком, далёком будущем когда деревья будет большими и будет реализована функция восстановления системных файлов из любого архива

посредством скрипта...

Следует ввести запрет на выполнение скриптовой команды: _Восстановить_, ЕСЛИ файл помещённый в архив и предназначенный для восстановления не имеет цифровой подписи!

*Что позволит защитить PC & uVS от злоупотребления.

2.

Проверять: C:\Documents and Settings\User\Рабочий стол

Добавлять в образ автозапуска при его генерации все стандартные данные об объектах имеющих статус: Скрытый/системный.

*В том случае если они действительно невидимы - не видимы пользователю !

Логика: Зачем пользователю могут понадобиться на рабочем столе скрытые исполняемые объекты, если их

отображение заблокировано ?

Следует проверять каталог на их наличие - во всех случаях даже если активность данных объектов не была явно зафиксирована.

[demkd 636]

Следует ввести запрет на выполнение скриптовой команды: _Восстановить_, ЕСЛИ файл помещённый в архив и предназначенный для восстановления не имеет цифровой подписи!

Большинство системных файлов не имеет внутренней цифровой подписи, поэтому запрет излишен, а подбирать конкретную версию файла для которого есть запись в catroot конкретной системы достаточно утомительная задача.

Проверять: C:\Documents and Settings\User\Рабочий стол

Рабочий стол некоторых пользователей может измеряться миллионами файлов, а SSD способные перелопатить такие объемы за сколько-нибудь разумное время стоят разве что у 1 из 10000. Ни к чему замедлять процесс, тем более что раз пользователь файл не видит и файла нет в автозагрузке, то файл ему никак не угрожает.

[art 0]

а будет ли аналог функции AVZ: Файл -> Исследование системы

со созданием html отчета с возможностью быстрого создания скрипта лечения в браузере?

[santy 153]

а будет ли аналог функции AVZ: Файл -> Исследование системы

со созданием html отчета с возможностью быстрого создания скрипта лечения в браузере?

полный образ автозапуска - это и есть исследование системы. Открыв образ автозапуска с помощью uVS, вы можете использовать всю мощь uVS для автоматического создания скрипта лечения - сигнатуры, эвристику, критерии поиска вредоносных программ, проверку категории подозрительных по SHA1 на ВирусТотал.