Universal Virus Sniffer (uVS), Вопросы разработчику

[demkd 636]

Sergey Dindikov

все забывают починить это дело, исправлю.

[alamor 69]

Скачиваем образ и пытаемся с помощью комбинации Shift+Space всем файлы в разделе Подозрительные и вирусы установить статус Проверенный. У меня срабатывает только для первых двух файлов (EAPA3HST.DLL, EAPAHOST.DLL). Для остальных шести файлов статус проверенный нельзя установить даже через контекстное меню.

[santy 153]

alamor,

видимо это инфо влияет на смену статуса.

При проверке цифровой подписи произошла ошибка

во всех указанных (шести) объектах произошла ошибка при проверке цифровой подписи.

(!) Ошибка проверки подписи: C:\PROGRAM FILES\VMWARE\VMWARE TOOLS\TPAUTOCONNSVC.EXE

Ошибка [An internal certificate chaining error has occurred. ]

[PR55.RP55 83]

Santy пишет: видимо это инфо влияет на смену статуса.

Моё мнение такое: Если оператор желает применить Shift+Space - это его право.

Команда должна работать вне зависимости от статуса.

Решение принимает оператор - и ответственность за решение на операторе.

[alamor 69]

Разумеется это баг. Если я проверил файл, то должен иметь возможность отметить его проверенным в независимости от того проверил у него uVS подпись или нет.

[santy 153]

здесь лучше дождаться пояснения разработчика,

поскольку объекты с ошибкой при проверке подписи и со статусом ?ВИРУС? (если попадают под критерий )

после применения к ним статуса "проверенный", откатываются к статусу ПОДОЗРИТЕЛЬНЫЙ.

------------------

для меня (если это и баг) то некритичен, поскольку я разбираю в первую очередь список объектов ?ВИРУС?, т.е. те, что попадут в автоскрипт.

[demkd 636]

завтра гляну, пока некогда

[demkd 636]

Да, это был глюк, исправил v3.80.12

[santy 153]

demkd,

проверь еще один глюк.

при открытии образа, если имя файла (внутри) и архива не совпадают, то uVS завершает свою работу.

Раньше это было только при первом запуске start.exe, а сейчас вылет происходит и в том случае, когда уже несколько образов в данном сеансе было открыто, и после открытия следующего образа (с несоответствующими именами) происходит завершение работы.

[demkd 636]

santy

да, надо бы разобраться с несовпадающими именами.

[alamor 69]

Открываем образ uVS - Проверяем все непроверенные файлы на VirusTotal.com (проверка идёт успешно) - ставливаем нажатием на Esc на середине проверке - нажимаем снова Проверить все непроверенные на VirusTotal.com - вместо результата проверки

Не удалось получить ответ от сервера.

Открываем образ заново и снова нажимаем Проверить все непроверенные на VirusTotal.com (только на этот раз не останавливаем) - все файлы успешно проверены

[demkd 636]

alamor

да, так и должно быть, msie api глючный, не любит он когда насильно его прерывают или может просто подвиснуть в любой момент, с этим похоже ничего не сделать, разве что с нуля переписать работу с https сервером, мелкософт о проблеме знает, но править они ничего не будут, я в принципе тоже не горю желанием переписать https с нуля, единственный пока рабочий вариант вынос работы с api за пределы процесса, но это уже на порядок снизит скорость работы.

[santy 153]

demkd,

является ли признаком заражения системы, в частности, загрузчика, если в образе полученном uVS из активной системы такой вид загрузчика IPL C?

(С в данном случае является системным разделом.)

Полное имя IPL NTFS [C:]

Имя файла IPL NTFS [C:]

Сохраненная информация на момент создания образа

Статус загрузчик

Размер 7680 байт

Доп. информация на момент обновления списка

SHA1 4981187399D35298834BAE86C5D94EAD173D5126

#BINOBJ# 0000000000000000000000000000000000000000000000000000000000000000000000

бинарный код полностью состоит из нулей.

[demkd 636]

santy

по идее ipl не должен быть зануленным в нормальном состоянии, разве что раздел таки не загрузочный.

[santy 153]

demkd,

в том и дело, что раздел загрузочный.

зато из под LiveCD уже другая картинка оказалась.

#BINOBJ# 070042004F004F0054004D00470052000400240049003300300000D40000002400000

в данном случае, хорошо, что антивир обнаруживал в памяти вирусняк, потому обнуленный IPL вызвал подозрение...

[santy 153]

demkd,

в связи с чем может быть такая стойкая реакция на удаление в uVS? вроде обыкновенный Dorkbot

uVS v3.80.1: Windows 7 Ultimate x86 (NT v6.1) build 7600 [C:\WINDOWS]

UAC: 0

.....................

delvir

--------------------------------------------------------

Запуск служб блокирован

Построение списка процессов и модулей...

Сбор дополнительной информации...

Остановка сервисов и выгрузка драйверов...

Завершение процессов...

(!) Обнаружены защищенные процессы (!)

Активирую ASA...

C:\USERS\111\APPDATA\ROAMING\A9C7.EXE

Первый этап прошел успешно (1059 циклов)

Второй этап провалился

--------------------------------------------------------

C:\USERS\111\APPDATA\ROAMING\B8B6.EXE

Первый этап провалился

--------------------------------------------------------

Активирую IJ...

Ошибка выделения памяти: [Отказано в доступе. ]

Ошибка выделения памяти: [Отказано в доступе. ]

Ошибка выделения памяти: [Отказано в доступе. ]

Ошибка выделения памяти: [Отказано в доступе. ]

Ошибка выделения памяти: [Отказано в доступе. ]

Ошибка выделения памяти: [Отказано в доступе. ]

Ошибка выделения памяти: [Отказано в доступе. ]

Ошибка выделения памяти: [Отказано в доступе. ]

Не удалось выгрузить C:\USERS\111\APPDATA\ROAMING\A9C7.EXE [pid=300]

Успешно выгружен C:\USERS\111\APPDATA\ROAMING\A9C7.EXE [pid=828]

Успешно выгружен C:\USERS\111\APPDATA\ROAMING\B8B6.EXE [pid=1144]

Успешно выгружен C:\USERS\111\APPDATA\ROAMING\SCREENSAVERPRO.SCR [pid=2680]

Не удалось выгрузить C:\USERS\111\APPDATA\ROAMING\B8B6.EXE [pid=2908]

Успешно выгружен C:\USERS\111\APPDATA\ROAMING\SCREENSAVERPRO.SCR [pid=2996]

Успешно выгружен C:\USERS\111\APPDATA\ROAMING\SCREENSAVERPRO.SCR [pid=3068]

C:\USERS\111\APPDATA\ROAMING\A9C7.EXE будет удален после перезагрузки

C:\USERS\111\APPDATA\ROAMING\B8B6.EXE будет удален после перезагрузки

Построение списка процессов и модулей...

Анализ автозапуска...

[demkd 636]

santy

видимо какая-то проактивная защита или может процесс хорошо подвис, бывает такое подвисший процесс который невозможно убить ничем и никак, хотя в данном случае скорее всего первое, поскольку IJ провалился.

[alamor 69]

поскольку IJ провалился

А что такое IJ ?

[demkd 636]

alamor

последний метод выгрузки процессов, пока только для 32-х битных систем.

сперва идут станадртные подходы к выгрузке, потом asa потом IJ.

[Sergey Dindikov 10]

demkd

А как можно сделать дамп при падении процесса UVS?

у меня uvs_v3811 некоторое время устойчиво падала при запуске под windows 8.1 preview.

procdump.exe нужно имя процесса, а у uvs он всё время разный.

[demkd 636]

Sergey Dindikov

лучше скачать дебаг версию и уже по ней делать дамп, там имя не меняется запускать из каталога uvs который рубится.

http://dsrt.dyndns.org/files/uvs3811d.7z

[Sergey Dindikov 10]

test under win8.1preview

1) http://screencast.com/t/1iEm4ryd

---------------------------

Microsoft Visual C++ Debug Library

---------------------------

Debug Error!

Program: C:\DOWNLOADS\uvs3811d\uvs.exe

Module: C:\DOWNLOADS\uvs3811d\uvs.exe

File:

Run-Time Check Failure #2 - Stack around the variable 'szName' was corrupted.

(Press Retry to debug the application)

---------------------------

Прервать Повтор Пропустить

---------------------------

2) если запускать из каталога где есть хотя бы 1 пробел получаем

---------------------------

Ошибка

---------------------------

Не удалось подключить SYSTEM

Системе не удается найти указанный путь.

---------------------------

ОК

---------------------------

[demkd 636]

Sergey Dindikov

хорошо бы еще минидамп

[Sergey Dindikov 10]

http://rghost.ru/48295700

uvs_130822_165230.dmp

пойманный через procdump -e 1 -b uvs.exe

uvs.dmp полный дамп сдампленный через Process Explorer когда показало сообщение об ошибке

[Sergey Dindikov 10]

ещё проблемки:

на w2003R2 EE x86 sp2 +all sec upd

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

при попытке запуска UVS под local system

сразу выдается

---------------------------

Ошибка

---------------------------

Не удалось запустить процесс под LocalSystem!

---------------------------

OK

---------------------------

запуск под текущим юзером -ok

запуск debug версии uvs.exe -ok

на w2008R2 x64

~~~~~~~~~~~~~~

появляется окно

installing service -ok

starting service-ok

пропадает, и ........ и ничего.......

запуск под текущим юзером -ok

запуск debug версии uvs.exe -ok

в обоих случаях в системе находился под учёткой с админскими полномочиями