Universal Virus Sniffer (uVS), Вопросы разработчику

[santy 153]

Прикрепленные файлы Прикрепленный файл 2016-01-14_13-48-23_log.txt 9.83К 3 скачиваний

остается проверить -возможно ли здесь удаление из под Winpe&uVS

(может быть там косяк какой то с правами в реестре за эти записи)

[demkd 636]

@santy, из под Winpe возможно все

@Vvvyg, теперь видно, наконец-то доперли и начали защищать не по полному пути в реестре, а по его существенной части и 5 лет не прошло

тут уже только с диска или нужна специальная утилита с доступом, хотя может оно и загрузку драйверов в рантайме блокирует, тогда только с диска.

Еще конечно можно подгрузить только сам проблемный ключ в случае отказа стандартного способа удаления и попробовать хотя бы снести с него все значения и подключи, но даже если эту дырку не закрыли то блокируется это все равно элементарно перехватом еще одной функции, можно сделать конечно, но работать будет лишь до выхода след. версии этой упорной гадости, если уже не закрыто, короче если дадите эти 2 файла и копии их ключей тогда попробую в вмварь ручками прикрутить может запустится, тогда можно будет и отладить новый смешной способ удаления ключей

[PR55.RP55 83]

Demkd

 

а с файлами какие проблемы ?

Даже если программа не устанавливается, то она прекрасно распаковывается архиватором.

И можно брать файлы.

Всё нужное в файле: \MPC_2.0.7652.0923.exe\Source\  ( MPC.dat  )

А файл: MPCKpt.inf

\MPC_2.0.7652.0923.exe\Source\MPC.dat\Drivers\

 

Содержит сведения для установки драйверов:

 

 

   

[MiniFilter.Service]
DisplayName      = %ServiceName%
Description      = %ServiceDescription%
ServiceBinary    = %12%\%DriverName%.sys        ;%windir%\system32\drivers\
Dependencies     = "FltMgr"
ServiceType      = 2                            ;SERVICE_FILE_SYSTEM_DRIVER
StartType        = 1                            ;SERVICE_AUTO_START
ErrorControl     = 1                            ;SERVICE_ERROR_NORMAL
LoadOrderGroup   = "Base"
AddReg           = MiniFilter.AddRegistry

;
; Registry Modifications
;

[MiniFilter.AddRegistry]
HKR,,"DebugFlags",0x00010001 ,0x0
HKR,"Instances","DefaultInstance",0x00000000,%DefaultInstance%
HKR,"Instances\"%Instance1.Name%,"Altitude",0x00000000,%Instance1.Altitude%
HKR,"Instances\"%Instance1.Name%,"Flags",0x00010001,%Instance1.Flags%

;
; Copy Files
;

[MiniFilter.DriverFiles]
%DriverName%.sys

[sourceDisksFiles]
MPCKpt.sys = 1,,

 

 

[demkd 636]

@PR55.RP55, драйвер поставился, сам клинер запускается, но все равно надо копию ключа Services\MPCProtectService иначе защита не работает.

[demkd 636]

Щас еще выложу .11 я там придумал еще более смешной способ удаления защищенных ключей, например бесплатному касперскому хватило даже без виртуализации - ключ с avp удален легко, скорее всего и mpc хватит не думаю что у него защита реестра на уровне авиры, вот ее ключи из юзермода не вынесешь.

Теперь защита ключей не то что по части пути не катит, по одному имени ключа уже не катит, кое-кому придется насмерть затыкать некотрые апишные функции из-за чего будет геморрой аля самозащита авиры.

[PR55.RP55 83]

Demkd

 

если на чём и тестировать защиту так это на 360 Total security:

www.comss.ru/page.php?id=1952

Посмотрел - у него  движок Авира +  Bitdefender

 

защита железная - снести через uVS вообще не возможно ( он как только появился мы пытались )

и виртуализация не помогала. ( в том числе и в безопасном режиме )

 

Потом оказалось, что вполне нормальный антивирус. ( по мнению пользователей )

( просто его слишком агрессивно навязывали )

И он хорошо удаляется через штатный uninstall ( и мы его оставил в покое   )

-----

А ключ: Services\MPCProtectService  постараюсь добыть.

[alamor 69]

1) Надо бы в справке указать, что файл VT1 надо класть в папку \SHA рядом с MAIN, а то у некоторых возникают вопросы и в справке ответа нет.

2) Может стоит с релизными версиями и VT1 открыто выкладывать на сайте?

[demkd 636]

@alamor,

1) Базы проверенных файлов.txt - первая строчка.

2) Этой базы не будет в свободном доступе и в пакетах в будущем не будет, она только для тех кто подписан.

[santy 153]

demkd,

с чем связано ограничение в uVS по списку используемых полей_атрибутов при создании условий критерия?

есть какое то правило которое устанавливает: какие поля_атрибуты можно использовать а какие нет?

[demkd 636]

@santy, Какое ограничение?

[santy 153]

demkd,

когда не по всем атрибутам из инфо, которые используются для создания критерия действует детект

например, в качестве примера: атрибут сигнатура.

по нему создаю критерий сигнатура ~ sign_name

[demkd 636]

@santy, посмотрю

[santy 153]

demkd,

я предположил, что в критерии можно добавить только те (базовые) атрибуты, которые используются при создании образа автозапуска.

(точнее, добавить можно любые, но работают только базовые атрибуты)

на другие атрибуты в критериях, которые появляются в инфо после проверок uVS не реагирует.

[PR55.RP55 83]

santy

 

Всё таки потребовался критерий  с участием сигнатур ?

--------

Но, по хорошему нужно бы наоборот...

Сигнатура с участием критерия.

-------

Вот тогда, при такой _корректировке их срабатывания можно и команду DELALL много реже применять.

Всего то и надо, что сохранять не голую сигнатуру...

А сигнатуру с корректором.

Где в качестве Корректора\условия выступают полученные из Инфо. устойчивые данные.

[santy 153]

santy

 

Всё таки потребовался критерий  с участием сигнатур ?

--------

атрибут "сигнатура" я привел как пример тех атрибутов (не базовых), которые появляются не в момент создания образа автозапуска (на стороне юзера), а после анализа образа на стороне хелпера.

Таких атрибутов может быть предостаточно.

цель же у меня другая.

[alamor 69]

o Расширено контекстное меню в окне установленных программ.

@demkd, можно в следующих версиях ещё расширить это меню контекстное меню и добавить пункт для копирования в буфер ключа реестра в котором прописан деинсталятор программы?

К примеру для программы "Adobe AIR" копировать

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Adobe AIR

[Аркалык 19]

@demkd, Можно сделать так, что бы можно было посмотреть пароль учетной записи, сейчас можно только сбрасывать (удалить)?

[santy 153]

Аркалик,

не проще ли будет воспользоваться утилитами от Elcomsoft, чтобы из хэша пароля, который хранится в системе,  получить пароль?

[demkd 636]

@santy, там есть трудности с этими атрибутами, я буду подумать.

@alamor, а зачем оно? удалить так просто del нажать

@Аркалык, получить пароль невозможно, можно лишь расчитать подходящий, а это может занять до суток и более.

[alamor 69]

alamor, а зачем оно? удалить так просто del нажать

Например, чтобы сделать экспорт ключа.

Да и при удаление иногда бывает, что в uVS удалишь этот ключ - программа в списке установленных в uVS не отображается, а в логе другой утилиты по прежнему видно (бывает и наоборот).

В общем эта информация порой требуется и приходится делать целиком экспорт ключа Uninstall, а добавить такой пункт контекстного меню надеюсь не сложно.

[demkd 636]

@alamor, а это надо смотреть вполне возможно придется менять формат образа.

[PR55.RP55 83]

Demkd

1) Если запустить исполняемый файл непосредственно из памяти Android  устройства то  uVS не видит _реального пути откуда был запущен файл.

 

Соответственен и не может его удалить.

 

2) Можно ли реализовать поддержку Android  устройств.

Как я понимаю опыт работы с телефонами есть ?

т.е. чтобы uVS определял устройство.

 

По типу программ: Nokia_Ovi_Suite ;  Samsung Kies

[грум 0]

Demkd в Windows 10  кракозябры какие-то. Почему так.

[demkd 636]

@грум, кривые региональные настройки.

[PR55.RP55 83]

Demkd

 

При просмотре образов.

Я периодически вижу в пути файла запись  \\

Ошибка - файл не найден...

----------

 

Пути длиной более 259 символов в Windows NT+

Для Пути, общей длиной более 259 символов, здесь необходимо добавить префикс \\?\

например: \\?\C:\.