Universal Virus Sniffer (uVS), Вопросы разработчику - Страница 56 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

demkd

Sergey Dindikov

все забывают починить это дело, исправлю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Скачиваем образ и пытаемся с помощью комбинации Shift+Space всем файлы в разделе Подозрительные и вирусы установить статус Проверенный. У меня срабатывает только для первых двух файлов (EAPA3HST.DLL, EAPAHOST.DLL). Для остальных шести файлов статус проверенный нельзя установить даже через контекстное меню.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

alamor,

видимо это инфо влияет на смену статуса.

При проверке цифровой подписи произошла ошибка

во всех указанных (шести) объектах произошла ошибка при проверке цифровой подписи.

(!) Ошибка проверки подписи: C:\PROGRAM FILES\VMWARE\VMWARE TOOLS\TPAUTOCONNSVC.EXE

Ошибка [An internal certificate chaining error has occurred. ]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Santy пишет: видимо это инфо влияет на смену статуса.

Моё мнение такое: Если оператор желает применить Shift+Space - это его право.

Команда должна работать вне зависимости от статуса.

Решение принимает оператор - и ответственность за решение на операторе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Разумеется это баг. Если я проверил файл, то должен иметь возможность отметить его проверенным в независимости от того проверил у него uVS подпись или нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

здесь лучше дождаться пояснения разработчика,

поскольку объекты с ошибкой при проверке подписи и со статусом ?ВИРУС? (если попадают под критерий )

после применения к ним статуса "проверенный", откатываются к статусу ПОДОЗРИТЕЛЬНЫЙ.

------------------

для меня (если это и баг) то некритичен, поскольку я разбираю в первую очередь список объектов ?ВИРУС?, т.е. те, что попадут в автоскрипт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

завтра гляну, пока некогда

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Да, это был глюк, исправил v3.80.12

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

проверь еще один глюк.

при открытии образа, если имя файла (внутри) и архива не совпадают, то uVS завершает свою работу.

Раньше это было только при первом запуске start.exe, а сейчас вылет происходит и в том случае, когда уже несколько образов в данном сеансе было открыто, и после открытия следующего образа (с несоответствующими именами) происходит завершение работы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

santy

да, надо бы разобраться с несовпадающими именами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Открываем образ uVS - Проверяем все непроверенные файлы на VirusTotal.com (проверка идёт успешно) - ставливаем нажатием на Esc на середине проверке - нажимаем снова Проверить все непроверенные на VirusTotal.com - вместо результата проверки

Не удалось получить ответ от сервера.

Открываем образ заново и снова нажимаем Проверить все непроверенные на VirusTotal.com (только на этот раз не останавливаем) - все файлы успешно проверены ^_^

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

alamor

да, так и должно быть, msie api глючный, не любит он когда насильно его прерывают или может просто подвиснуть в любой момент, с этим похоже ничего не сделать, разве что с нуля переписать работу с https сервером, мелкософт о проблеме знает, но править они ничего не будут, я в принципе тоже не горю желанием переписать https с нуля, единственный пока рабочий вариант вынос работы с api за пределы процесса, но это уже на порядок снизит скорость работы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

является ли признаком заражения системы, в частности, загрузчика, если в образе полученном uVS из активной системы такой вид загрузчика IPL C?

(С в данном случае является системным разделом.)

Полное имя IPL NTFS [C:]

Имя файла IPL NTFS [C:]

Сохраненная информация на момент создания образа

Статус загрузчик

Размер 7680 байт

Доп. информация на момент обновления списка

SHA1 4981187399D35298834BAE86C5D94EAD173D5126

#BINOBJ# 0000000000000000000000000000000000000000000000000000000000000000000000

бинарный код полностью состоит из нулей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

santy

по идее ipl не должен быть зануленным в нормальном состоянии, разве что раздел таки не загрузочный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

в том и дело, что раздел загрузочный.

зато из под LiveCD уже другая картинка оказалась.

#BINOBJ# 070042004F004F0054004D00470052000400240049003300300000D40000002400000

в данном случае, хорошо, что антивир обнаруживал в памяти вирусняк, потому обнуленный IPL вызвал подозрение...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

в связи с чем может быть такая стойкая реакция на удаление в uVS? вроде обыкновенный Dorkbot

uVS v3.80.1: Windows 7 Ultimate x86 (NT v6.1) build 7600 [C:\WINDOWS]

UAC: 0

.....................

delvir

--------------------------------------------------------

Запуск служб блокирован

Построение списка процессов и модулей...

Сбор дополнительной информации...

Остановка сервисов и выгрузка драйверов...

Завершение процессов...

(!) Обнаружены защищенные процессы (!)

Активирую ASA...

C:\USERS\111\APPDATA\ROAMING\A9C7.EXE

Первый этап прошел успешно (1059 циклов)

Второй этап провалился

--------------------------------------------------------

C:\USERS\111\APPDATA\ROAMING\B8B6.EXE

Первый этап провалился

--------------------------------------------------------

Активирую IJ...

Ошибка выделения памяти: [Отказано в доступе. ]

Ошибка выделения памяти: [Отказано в доступе. ]

Ошибка выделения памяти: [Отказано в доступе. ]

Ошибка выделения памяти: [Отказано в доступе. ]

Ошибка выделения памяти: [Отказано в доступе. ]

Ошибка выделения памяти: [Отказано в доступе. ]

Ошибка выделения памяти: [Отказано в доступе. ]

Ошибка выделения памяти: [Отказано в доступе. ]

Не удалось выгрузить C:\USERS\111\APPDATA\ROAMING\A9C7.EXE [pid=300]

Успешно выгружен C:\USERS\111\APPDATA\ROAMING\A9C7.EXE [pid=828]

Успешно выгружен C:\USERS\111\APPDATA\ROAMING\B8B6.EXE [pid=1144]

Успешно выгружен C:\USERS\111\APPDATA\ROAMING\SCREENSAVERPRO.SCR [pid=2680]

Не удалось выгрузить C:\USERS\111\APPDATA\ROAMING\B8B6.EXE [pid=2908]

Успешно выгружен C:\USERS\111\APPDATA\ROAMING\SCREENSAVERPRO.SCR [pid=2996]

Успешно выгружен C:\USERS\111\APPDATA\ROAMING\SCREENSAVERPRO.SCR [pid=3068]

C:\USERS\111\APPDATA\ROAMING\A9C7.EXE будет удален после перезагрузки

C:\USERS\111\APPDATA\ROAMING\B8B6.EXE будет удален после перезагрузки

Построение списка процессов и модулей...

Анализ автозапуска...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

santy

видимо какая-то проактивная защита или может процесс хорошо подвис, бывает такое подвисший процесс который невозможно убить ничем и никак, хотя в данном случае скорее всего первое, поскольку IJ провалился.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
поскольку IJ провалился

А что такое IJ ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

alamor

последний метод выгрузки процессов, пока только для 32-х битных систем.

сперва идут станадртные подходы к выгрузке, потом asa потом IJ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov

demkd

А как можно сделать дамп при падении процесса UVS?

у меня uvs_v3811 некоторое время устойчиво падала при запуске под windows 8.1 preview.

procdump.exe нужно имя процесса, а у uvs он всё время разный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Sergey Dindikov

лучше скачать дебаг версию и уже по ней делать дамп, там имя не меняется :) запускать из каталога uvs который рубится.

http://dsrt.dyndns.org/files/uvs3811d.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov

test under win8.1preview

1) http://screencast.com/t/1iEm4ryd

---------------------------

Microsoft Visual C++ Debug Library

---------------------------

Debug Error!

Program: C:\DOWNLOADS\uvs3811d\uvs.exe

Module: C:\DOWNLOADS\uvs3811d\uvs.exe

File:

Run-Time Check Failure #2 - Stack around the variable 'szName' was corrupted.

(Press Retry to debug the application)

---------------------------

Прервать Повтор Пропустить

---------------------------

2) если запускать из каталога где есть хотя бы 1 пробел получаем

---------------------------

Ошибка

---------------------------

Не удалось подключить SYSTEM

Системе не удается найти указанный путь.

---------------------------

ОК

---------------------------

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Sergey Dindikov

хорошо бы еще минидамп

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov

http://rghost.ru/48295700

uvs_130822_165230.dmp

пойманный через procdump -e 1 -b uvs.exe

uvs.dmp полный дамп сдампленный через Process Explorer когда показало сообщение об ошибке

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov

ещё проблемки:

на w2003R2 EE x86 sp2 +all sec upd

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

при попытке запуска UVS под local system

сразу выдается

---------------------------

Ошибка

---------------------------

Не удалось запустить процесс под LocalSystem!

---------------------------

OK

---------------------------

запуск под текущим юзером -ok

запуск debug версии uvs.exe -ok

на w2008R2 x64

~~~~~~~~~~~~~~

появляется окно

installing service -ok

starting service-ok

пропадает, и ........ и ничего.......

запуск под текущим юзером -ok

запуск debug версии uvs.exe -ok

в обоих случаях в системе находился под учёткой с админскими полномочиями

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×