Universal Virus Sniffer (uVS), Вопросы разработчику - Страница 45 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

Vvvyg
А как встроить uVS на существующую загрузочную флешку с WinXPE?

Просто скопировать - простейший вариант.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
А как встроить uVS на существующую загрузочную флешку с WinXPE?

Кинуть uVS в корень, а запускать руками. :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
g0dl1ke

использую livecd, что выдрал с диска simplix, записал на флеху, на ней же лежит uvs+дополнительный софт, типа autoruns и прочее

загружается даже на 96+ ram, сети нет, но и не надо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg

Использую Hiren's BootCD, т. к. mini-Windows XP там не очень русская, в uVS есть проблемы со шрифтами только в окне выбора режима просмотра: "Подозрительные и вирусы" и пр. - всё квадратиками. Только из-за этого приходится пользоваться английской версией.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
g0dl1ke

у меня предложение, по расширению функционала восстановления систем(ы):

реально ли восстановить по "клику" службы, то есть например uvs рапортует "не найдена/удалена служба lanmanserver", мы переходим в "твики" или в другое меню и выбираем "восстановить стандартные службы windows"

uvs импортирует данные в реестр, в зависимости от версии гостевой системы и после перезагрузки, все работает.

часто вирус портит службы, меняя значения параметров ServiceDll на тело вируса и/или удаляя службу(ы)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
часто вирус портит службы, меняя значения параметров ServiceDll на тело вируса и/или удаляя службу(ы)

насчет удаления служб не встречалось такое, а вот если параметр ServiceDll очищен, и в образе uVS есть запись что файл не найден (который был прописан в качестве сервисной dll для тойже lanmanserver),

то удаление этой записи через delall восстанавливает нормальное значение параметра,

как и в том случае, если левый файл живой и активный. (часто сейчас это Win32\Corkow)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
g0dl1ke

сегодня была проблема: испорчены ключи служб ipsec и lanmanserver, я конечно все сделал, но хотелось бы автоматизации

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg

demkd, ай-я-яй в базе проверенных:

Полное имя C:\USERS\USER\APPDATA\ROAMING\ZIPEXECUTE\ZIPEXECUTE.EXE

Имя файла ZIPEXECUTE.EXE

Тек. статус ПРОВЕРЕННЫЙ в автозапуске

Сохраненная информация на момент создания образа

Статус ПРОВЕРЕННЫЙ в автозапуске

Размер 1246256 байт

Создан 18.11.2011 в 15:11:46

Изменен 18.11.2011 в 15:11:46

Тип файла 32-х битный ИСПОЛНЯЕМЫЙ

Цифр. подпись Действительна, подписано TopperSoftware

Доп. информация на момент обновления списка

SHA1 6961C40835F8BF02F68F0D97B4EB140F9C3E145B

MD5 C739BDF93EC0A563DEC9ED20889A1493

Ссылки на объект

Ссылка HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\valprozip

valprozip "C:\Users\user\AppData\Roaming\zipexecute\zipexecute.exe" autostar_1917

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
demkd, ай-я-яй в базе проверенных:

можно добавить ссылку на образ автозапуска?

ПРОВЕРЕННЫЙ

Файл прошедший проверку цифровой подписи или проверку хэша (по SHA1) или статус "проверенный"

был присвоен файлу пользователем вручную (в окне информации о файле).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

1. сбрасываем статус проверенные у всех файлов.

2. находим данный файл в автозапуске,

3. в контекстном меню выполняем проверку хэша файла по базе проверенных.

------------

результат

--------------------------------------------------------

Проверка файлов по базе проверенных...

--------------------------------------------------------

Проверено файлов: 119

Всего неизвестных файлов: 55

Всего подписанных файлов: 64

C:\USERS\USER\APPDATA\ROAMING\ZIPEXECUTE\ZIPEXECUTE.EXE

SHA1: 6961C40835F8BF02F68F0D97B4EB140F9C3E145B

Хэш НЕ найден в базе проверенных файлов

--------------------------------------------------------

MAIN от 01_12_2011.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel-iz-Ada
Хэш НЕ найден в базе проверенных файлов

Да, в таком случае он Не проверенный. Но если стоит галочка Скрыть проверенные - файл скрывается из списка

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Да, в таком случае он Не проверенный. Но если стоит галочка Скрыть проверенные - файл скрывается из списка

это не фокус, Арвид,

это тонкости понимания работы uVS

проделай все по порядку: 1,2,3

и будет результат.

66c81f8b3f46.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Vvvyg

Цифр. подпись Действительна, подписано TopperSoftware

А это не ко мне, если бы ЭТО было в базе проверенных подписано было бы "пользователем". B)

Если зачем-то доверяете проверке цифр. подписей то будьте готовы к сюрпризам, поэтому и сделан отдельный пункт меню для сохранения образов без проверки цифр. подписей.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel-iz-Ada

Почему программа не верно высчитывает и отображает SHA1 загрузчика?

Показывает 165946398A73E839FA96DC5F45BB269BFC8DB4F4

42_image-212.png

А на самом деле - 2B58C3891A6F84A496AB4E12620FAB08390FDA41.

Если сохранить загрузчик в файл, то SHA1 правильно высчитывается. По этой причине очень часто программа говорит что хэш на сервере на найден, хотя на самом деле загрузчик там проверен уже и он заражен.

http://www.virustotal.com/file-scan/report...f879-1324053774

http://virusscan.jotti.org/en/scanresult/3...618fe9dc4c20287

Ссылка на образ автозапуска - http://zalil.ru/32294681

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel-iz-Ada

Сначала подумал что программа отправляет на проверку хэш VBR загрузчика, но ошибся - у него тоже другой хэш

И еще один вопрос. Как бороться с тем, что при добавлении сигнатуры к загрузчику - второй загрузчик (не зараженный) также подходит по этой сигнатуре и отмечается как вирус?

Вот пример - http://zalil.ru/32292990

Заражен IPL C, добавил сигнатуру (64) в базу. Пофиксил загрузчик. Если открыть заново образ или просто Отменить все, то видим что красным отмечены диск С и диск F. Второй загрузчик чистый.

Тут нельзя править пост что ли?:) Придется еще один написать

В том же образе что выше, почему не получается извлечь сигнатуру для C:\WINDOWS\SODFA.SYS? Для этого файла извлечение сигнатуры не поддерживается. Хотя подобные руткиты до этого нормально добавлялись в базу по сигнатурам

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Сначала подумал что программа отправляет на проверку хэш VBR загрузчика, но ошибся - у него тоже другой хэш

Согласен со всем,что написано.

Но как мне кажется данная ошибка? характерна не для всех образов.

Кроме этого: В 95% если не в 100% случаев невозможно скорректировать длину сигнатуры для загрузчика.

Пишет, что сигнатуры идентичны...

т.е. Ее длину невозможно увеличить и всё...

Хоть сигнатуру удаляй !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel-iz-Ada
Хоть сигнатуру удаляй !

удалять не надо. просто приходится повторно проверять их на VT или Jotti.

santy,

помнишь когда я человеку сразу 2 загрузчика фиксил? теперь я понял откуда у меня сигнатура такая появилась))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel-iz-Ada

Открыл один из логов

231_image-214.png

Даже не знаешь что тут думать:) То ли все заражены, то ли половина, а может вообще ничего - и в сигнатурах может ошибка, а на VT может вообще другие хэши отправлялись, вот и чистые :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
А на самом деле - 2B58C3891A6F84A496AB4E12620FAB08390FDA41.

по поводу пересчета SHA1 IPL возможно и есть косяк для какой-то из систем (возможно Win 7),

поскольку довольно таки часто по хэшу нормально находятся страницы проверки IPL на VT.

для MBR и VBR хэши совпадают с хэшами сохраненных загрузчиков.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

возможно, это является причиной расхождения SHA1 для загрузчика в IPL из образа и сохраненного загрузчика:

3.71

---------------------------------------------------------

o Внесены изменения в подсчет SHA1 IPL.

SHA1 теперь считается на модифицированном коде, где область 0x1C00-0x1C70 всегда заполняется нулями.

Данное изменение значительно упростит проверку IPL и в большинстве случаев избавит от необходимости анализа

"неизвестного" кода, который на самом деле ничем не отличается от кода стандартного загрузчика.

Функция сохранения загрузчика сохраняет НЕ_модифицированный код.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Angel-iz-Ada

1. по хэшу я думаю уже понятно, внесу в FAQ.

2. SODFA.SYS либо испорчен, либо не является исполняемым если это не так то образец мне на мыло, посмотрю.

3. автоизвлечение сигнатур из загрузчиков тяжелый процесс и никаких улучшений тут не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
1. по хэшу я думаю уже понятно, внесу в FAQ.

demkd,

это расхождение по SHA1 возможно на всех системах, или только на определенных?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

santy

На всех, так и задумано для исключения бесконечных вариантов одного и того же загрузчика из базы проверенных, разве что поиск по хэшу придется переделать, передавать для поиска по хэшу на VT надо таки реальный хэш.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Есть возможность дополнять скрипт заранее заготовленным скриптами.

Скрипты должны быть в виде текстовых UNICODE файлов.

Имена файлов: от 0.txt до 9.txt

Расположение: в каталоге "script".

Добавить нужный скрипт можно с помощью горячей клавиши Ctrl+Shift+цифра

Дорогие читатели !

Предлагаю Вашему вниманию:

Новый - проверенный - подход к написанию скрипта с полуавтоматическим добавлением коментария обращённого к пользователю.

Время создания скрипта & комментария 15-ть секунд с момента обнаружения вируса.

Порядок работы:

Используем вставку №1.

Далее > "пишем" текст скрипта - после чего Используем две вставки №2 и №3

Открываем - смотрим результат.

Радуемся...

И пишем здесь комментарии...

Новые самостоятельно создаваемые файлы - должны быть в нужной кодировке!

Папка: Script с примером прилагается.

Script.7z

Script.7z

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×