Перейти к содержанию

Recommended Posts

demkd
или данный файл ВРЕМЕННО на период сессии уходит из списка подозрительных?

Временно до выхода или сброса статуса проверенного.

Если надо на постоянку то есть соотв. команда в контекстном меню, но тогда уже мою базу нужно будет не копировать а импортировать для сохранения своих хэшей.

Или нужен дополнительный твик - восстановление ассоциаций на исполняемые файлы?

Это я уже сделал и релиз как бы готов, поскольку уже приставали с твиком на прошлой неделе, но мне че-то лень было собирать дистрибутив, игрушки одолели :) но в принципе могу завтра релизнуть 3.33 если срочно надо.

...А в некоторых случаях проблему решает файл _unlock.inf идущий в комплекте, если использован простой блок прописанный в ключе Explorer-а

в данном случае - в автозапуске svchost.exe (путь стандартный) определяется как вредоносная программа,

а не нужно верить глазам, нужно верить uVS :)

причем не в том смысле что файл поддельный или зараженный, а в том что имя файла НЕ svchost.exe

трояны давно используют левые (в т.ч. и русские) символы похожие на английские буквы в результате при проверке глазками получается что файл системный и лежит где надо... но почему-то их два, а то и три с "одинаковым" именем. Поэтому как его в uVS не удаляй системный файл затронут не будет, убит будет только зловред.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Временно до выхода или сброса статуса проверенного.

Если надо на постоянку то есть соотв. команда в контекстном меню, но тогда уже мою базу нужно будет не копировать а импортировать для сохранения своих хэшей.

Так нормально. Просто раньше была некоторая путаница понятий: список проверенных, база проверенных файлов. Сейчас четче уяснил, что база проверенных - это файл sha1, а список проверенных - это динамический список файлов, имеющих статус ПРОВЕРЕННЫЙ, т.е. прошедших проверку по списку sha1 или вручную, по функции ПРОВЕРЕН в окне "информация".

Я для себя веду параллельный список sha1_user (приложения от eset, например, разных версий), который импортирую в базовый список разработчика, по мере его выхода.

Это я уже сделал и релиз как бы готов, поскольку уже приставали с твиком на прошлой неделе, но мне че-то лень было собирать дистрибутив, игрушки одолели :) но в принципе могу завтра релизнуть 3.33 если срочно надо.

Видимо, есть необходимость в этом выпуске - у нас был второй случай нарушения ассоциаций.

а не нужно верить глазам, нужно верить uVS :)

причем не в том смысле что файл поддельный или зараженный, а в том что имя файла НЕ svchost.exe

трояны давно используют левые (в т.ч. и русские) символы похожие на английские буквы в результате при проверке глазками получается что файл системный и лежит где надо... но почему-то их два, а то и три с "одинаковым" именем. Поэтому как его в uVS не удаляй системный файл затронут не будет, убит будет только зловред.

А есть возможность ВСКРЫТЬ эту подмену символов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1.В скрипт автоматически добавлять не только сигнатуру объекта НО ! и его "Текущее" Имя из списка: "Подозрительные и вирусы".

Это необходимо в случае последующего анализа самого скрипта.

Анализ - почему Скрипт не сработал, так, как планировалось,проверка ошибок.

Ориентироваться по Имени удобнее,чем по Сигнатуре.

2.Ввести возможность Индикации.

"Скрыть проверенные" Звучит, несколько двусмысленно...

Кроме того, Зачем скрывать,если есть необходимость в Присутствии объекта в списке.

Скажем для Визуального сравнения, по схожим именам Объектов Одного производителя.

Например в случае повреждения файла/отсутствия цифровой подписи.

В ряде случаев в этом есть смысл - Особенно на начальном этапе работы/обучения uVS.

*Возможно это и неэффективно но...

3."ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске"

Прекрасно,что программа проводит автоматический анализ списка.

*Значит все Легитимные варианты ей известны ...

Предлагаю ввести возможность Самостоятельного - Визуального просмотра Всех... Легитимных Значений/Параметров.

Суть: При Автоматической обработке, есть риск потери квалификации персоналом.

Особенно у начинающих или недавно прошедших обучение сотрудников.

*Для потери Квалификации достаточно 4 месяцев.

Не факт,что это произойдёт, однако...

Это, Актуально и в Свете повышенного Интереса к программе со стороны пользователей. ( Число просмотров ресурса ) :rolleyes:

Это, Актуально в перспективе, с выходом Windows 8. ( Обучение )

Windows XP/Vista/7/8 ( Всё помнить...) :facepalm:

* Никаких принципиальных изменений при этом в uVS не произойдёт.

Но как говорил Пётр I, Вижу...

4.скрытый системный. Следует писать так: СКРЫТЫЙ СИСТЕМНЫЙ.

Мелкий и типичный.шрифт.затрудняет.восприятие. :)

5.В Папку ZOO, Автоматически добавлять: Открытый, Программный отчёт uVS,о ходе выполнения скрипта/+-/сбой.

6.Я предлагал ввести предупреждение при наличие не читаемых символов в списке...

Но, это предложение было отклонено " В Windows нет ни читаемых - Уникоддс..."

Я имел в виду не читаемых для Оператора PC!. :)

7.Возможность проверять состояние ключей реестра,на проблемной машине.

Это дополнение к Пункту №5.

Сохранять значение сбойных/изменённых значений - Основных - параметров в txt формате.

Это даст дополнительную информацию для анализа.

8.Проверка HDD, на наличие неизвестной структурированной, файловой системы - простое Информирование Оператора.

Возможность временной блокировки доступа к периферийным областям HDD ?

9.Как написал SANTY: Определение Подмены Языковых Символов ( С информированием пользователя во избежание...! )

a,e,о,p...

10."Размер 2889424 байт"

Это замечательно, можно определить точные параметры ! Однако...

Так будет практичнее 2889424/2889/2.9mb

*Если, что написал не точно, то значит так тому и быть... ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

выскажу свое отношение к некоторым предложениям PR55

1.В скрипт автоматически добавлять не только сигнатуру объекта НО ! и его "Текущее" Имя из списка: "Подозрительные и вирусы".

может и имеет смысл добавить после команды addsgn закоментированную строку с именем файла, но с другой стороны, на одну сигнатурку может попасть несколько файлов. Так же для анализа скриптов (ЕСЛИ КОМУ ИНТЕРЕСНО) можно обмениваться с ХЕЛПЕРОМ сигнатурными базами, тогда все будет видно - какая сигнатура какой файл "спалила".

5.В Папку ZOO, Автоматически добавлять: Открытый, Программный отчёт uVS,о ходе выполнения скрипта/+-/сбой.

имхо, лучший отчет о выполнении скрипта - это новый образ автозапуска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
А есть возможность ВСКРЫТЬ эту подмену символов?

В смысле автоматом добавлять в подозрительные? Это конечно можно, однако ведь есть масса софтописателей, что используют в именах файлов символы отличные от ASCII... хотя можно сделать подобный детект опциональным.

А вот как-то опеределять похожие по написанию имена - это уже тяжелей, ибо Unicode 6-й версии уж очень большой...

Анализ - почему Скрипт не сработал, так, как планировалось,проверка ошибок.

Это можно в виде комментария.

Кроме того, Зачем скрывать,если есть необходимость в Присутствии объекта в списке.

Скрыть смысл есть, а вот зачем-то засорять список проверенными и увеличивать время копания в нем нет совершенно.

Предлагаю ввести возможность Самостоятельного - Визуального просмотра Всех... Легитимных Значений/Параметров.

Список известных можно легко просмотреть.

6.Я предлагал ввести предупреждение при наличие не читаемых символов в списке...

Но, это предложение было отклонено " В Windows нет ни читаемых - Уникоддс..."

Я имел в виду не читаемых для Оператора PC!. smile.gif

В том то и дело, что они все читаемые, тут надо подумать.

Сохранять значение сбойных/изменённых значений - Основных - параметров в txt формате.

Лень.

8.Проверка HDD, на наличие неизвестной структурированной, файловой системы - простое Информирование Оператора

Это совсем лень и мало того будет безумно долго работать... если вообще будет работать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
В смысле автоматом добавлять в подозрительные? Это конечно можно, однако ведь есть масса софтописателей, что используют в именах файлов символы отличные от ASCII... хотя можно сделать подобный детект опциональным.

А вот как-то опеределять похожие по написанию имена - это уже тяжелей, ибо Unicode 6-й версии уж очень большой...

Да, если возможно, вынести его в настройки, чтобы по желанию можно было подключать данные проверки. Может, выбрать для проверки список системных файлов, которые чаще всего подменяются: svchost.exe, userinit.exe, lsass.exe, winlogon.exe, explorer.exe?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Да, если возможно, вынести его в настройки, чтобы по желанию можно было подключать данные проверки. Может, выбрать для проверки список системных файлов, которые чаще всего подменяются: svchost.exe, userinit.exe, lsass.exe, winlogon.exe, explorer.exe?

Если делать то для всех, без полумер.

Велика вероятность пропустить "Очевидное - Невероятное" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Цитируя самого себя:

В скрипт автоматически добавлять не только сигнатуру объекта НО ! и его "Текущее" Имя из списка: "Подозрительные и вирусы".

А если рассмотреть в таком виде: Автоматически...

1- й. Скрипт

addsgn 555444 14 bl

delall \\?\C:\WINDOWS\SYSTEM32\MSSPAINT.EXE

2- й. Скрипт

addsgn 555444 14 bl

delall \\?\C:\WINDOWS\SYSTEM32\SIMANSS.EXE

*Если автоматизировать, то по полной программе!

А ещё лучше так... :)

3- й.

addsgn 555444 14 bl

delall \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

zoo \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

czoo

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Список известных можно легко просмотреть.

Можно.

Но Речь о другом ! :)

Информацию добавить сюда: "Информация"

Возможные Легитимные пути С:**\****\.... ( Все )

Стандартные значения Реестра для Объекта.

Стандартный/размер/размеры 2888 bt ....

Это, Кардинально отличается от того,что есть на данный момент.

Но можно добавить информацию и в список известных.

Только, как мне кажется это будет менее практично.

Или распределить информацию по актуальности.

Перечислять повторно аргументы к этому предложению не буду.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Если делать то для всех, без полумер.

Велика вероятность пропустить "Очевидное - Невероятное" :)

уже сейчас автоматическая проверка по базе sha1 притормаживает загрузку списка подозрительных (оставляю эту проверку только в функции ПРОВЕРИТЬ СПИСОК), поэтому исходить нужно таким образом - лучше меньше, да лучше_быстрее, а если при этом большие ресурсные затраты, то лучше никак - поскольку список подозрительных невелик.

Цитируя самого себя:

В скрипт автоматически добавлять не только сигнатуру объекта НО ! и его "Текущее" Имя из списка: "Подозрительные и вирусы".

А если рассмотреть в таком виде: Автоматически...

1- й. Скрипт

addsgn 555444 14 bl

delall \\?\C:\WINDOWS\SYSTEM32\MSSPAINT.EXE

PR55, вы похоже так и не прочитали документацию по программе.

Какой смысл добавлять сигнатуру файла, если вы хотите убить файл по "прямому пути"?

Смысл моего предложения сводится лишь к внесению комментария в скрипт.

addsgn 555444 14 bl

; \\?\C:\WINDOWS\SYSTEM32\MSSPAINT.EXE

в этом случае, вы будете знать, какой файл из системы будет удален по данной сигнатуре.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
PR55, вы похоже так и не прочитали документацию по программе.

Вот как пишет ВСЕ скрипты zloyDi

;uVS v3.32 script [http://dsrt.jino-net.ru | http://dsrt.dyndns.org]

zoo \\?\C:\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\CHKNTFS.EXE

bl 775DF5D6DE85E54A0FAD5E6E58C7CF33 71680

delall \\?\C:\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\CHKNTFS.EXE

zoo \\?\C:\WINDOWS\SYSTEM32\REKBZSC.EXE

bl 5837CF56CD56ACEBDCEE0E1B36DDD5A6 156616

delall \\?\C:\WINDOWS\SYSTEM32\REKBZSC.EXE

delnfr

regt 12

regt 13

regt 14

deltmp

restart

Или другой пример:

;uVS v3.31 script [http://dsrt.jino-net.ru | http://dsrt.dyndns.org]

zoo \\?\C:\WINDOWS\SYSTEM32\AF90B9F1.EXE

bl 79F493F5105560C0F0CC003C753443AF 44544

delall \\?\C:\WINDOWS\SYSTEM32\AF90B9F1.EXE

zoo \\?\C:\WINDOWS\SYSTEM32\FYDNVKN.EXE

bl 100AD308FB55F50C39472238DDFD6E7D 149504

delall \\?\C:\WINDOWS\SYSTEM32\FYDNVKN.EXE

zoo \\?\C:\WINDOWS\SYSTEM32\KFEXMXY.EXE

bl E2068F5620FF15A31191BCC38989BC8D 175104

delall \\?\C:\WINDOWS\SYSTEM32\KFEXMXY.EXE

delall \\?\C:\WINDOWS\SYSTEM32\OPKJDKW.EXE

delnfr

regt 12

regt 13

regt 14

deltmp

restart

Я так понимаю,что он тоже не читал...!

Кроме того, я показал примеры, а не реальные фрагменты скриптов.

Да в том, что я написал 1. ошибка есть.

"Почему мой самолёт не Летает? - Это Сувенир!"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

v 3.33

Релиз, чего было не лень добавил.

Проверка на левые символы неотключаемая, поскольку побочных эффектов не замечено, потерь в производительности практически нет.

o Добавлен твик #22 "Восстановить из копии параметры запуска файлов".

Восстанавливаются из бэкапа ключи Classes\exefile, Classes\.exe и еще 14 основных типов файлов.

o В меню "Запустить" добавлен пункт "Управление сервисами".

(В случае работы с удаленной системой в открывшемся окне выберите в меню

"Действие->Подключится к другому компьютеру" и введите имя или ip нужного компьютера)

o Улучшена функция анализа имен файлов, теперь файлы с чередованием в имени некоторых

ASCII и NON-ASCII символов считаются подозрительными.

o Теперь при добавлении сигнатуры в скрипт помещается полный путь до файла в виде комментария.

уже сейчас автоматическая проверка по базе sha1 притормаживает

Зато значительно экономит время при последующей проверке за счет отсева ложноподозрительных :)

Стандартные значения Реестра для Объекта.

Это мне ни к чему, а тем кому интересно почитают книгу о реестре Windows.

uVS НЕ для начинающих и никогда не станет таковым.

Стандартный/размер/размеры 2888 bt ....

Нет никаких стандартных размеров, версий одного и того же системного файла море.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
v 3.33

Релиз, чего было не лень добавил.

ок, проверим.

o Теперь при добавлении сигнатуры в скрипт помещается полный путь до файла в виде комментария.

не будет противодействия со стороны зловредов? ибо увидят свое имя в скрипте :)))

А вот по сигнатуре не смогут себя узнать, так надо знать по какому алгоритму вычисляется сигнатура.

Зато значительно экономит время при последующей проверке за счет отсева ложноподозрительных :)

учту. смутил тот факт, что происходит резная смена экрана: скажем при появлении uVS виден один список, затем резко появляется другой после завершения проверки.

Нет никаких стандартных размеров, версий одного и того же системного файла море.

Вот человеку мало контрольных сумм: sha1, md5 еще надо и размер файла записать.

Вот как пишет ВСЕ скрипты zloyDi

ZloyDi, конечно, респект за виртуозную работу с uVS и другими инструментами лечения.

"Почему мой самолёт не Летает? - Это Сувенир!"

Вот и вы чаще практикуйте написание скриптов в uVS, чтобы лучше уяснить тонкости в работе uVS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Уже сейчас автоматическая проверка по базе sha1 притормаживает загрузку списка подозрительных (оставляю эту проверку только в функции ПРОВЕРИТЬ СПИСОК), поэтому исходить нужно таким образом - лучше меньше, да лучше_быстрее, а если при этом большие ресурсные затраты, то лучше никак - поскольку список подозрительных невелик.

"Притормаживает" И сколько это в режиме РЕАЛЬНОГО времени занимает?

Субъективная оценка - не в счёт.

Если, есть сомнения то Опционально добавить - (Проверка по Необходимости... )

3- й. + ( Так вернее :) )

Автоматический режим.

addsgn 555444 14 8 bob_vir

zoo \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

chklst

delvir

delall \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

Или.

( Скажем Цепная команда при добавлении файла в ZOO )

zoo \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

bl 79F493F5105560C0F0CC003C753443AF 44544

delall \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

Если ошибка в том,что нет всех команд - то Это часть скрипта АВТОМАТИЧЕСКОГО !

Всё остальное от Оператора..

MD 5 и прочее...

* Я Готовых решений и не предлагаю.

* Так и пишу с ошибками. :)

Поясню скрипт: Если сигнатура есть в базе и она добавлена автоматически.

То, нет гарантии, что сам Объект попал в Вир.Лаб.

Пользователь мог не отправить по почте или на сервере удалили.

А изучить нужно...

Поэтому и есть необходимость даже при авто. добавлении сигнатуры в скрипт помещать копию файла в ZOO.

Что касается "Убить файл по "прямому пути"?

А если сигнатура не сработает? Да пусть даже и сработает...

Просто зачистка.

*Единой догмы по применению и написанию Скриптов в uVS всё равно нет.

Да Я Постоянно думаю и Могу СНАЧАЛА НАПИСАТЬ, А УЖЕ ПОТОМ ДУМАЮ... :) ....

А, ВЕДЬ ЗРЯ Я ЭТО НАПИСАЛ !

Есть такая Русская народная сказка: " Передел и Недодел"

Что Касается zloyDi Я ЭТО к ЧЕМУ.

Автоматизацию - Ввели, но если её Как правило не используют, то требуется провести изменения в uVS ?

В основном дело в ZOO.

Даже если есть известная Сигнатура - то всё равно Карантин должен быть АВТОМАТИЧЕСКИМ для всех.

Если, где опять Накосячил в написании Псевдонаучной статьи Эх !

Пойду печку топить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
не будет противодействия со стороны зловредов? ибо увидят свое имя в скрипте smile.gif))

маловероятно, если будут такие случаи то можно сделать это дело опциональным, впрочем всегда можно и скрипт подправить перед сохранением.

так надо знать по какому алгоритму вычисляется сигнатура

это еще более маловероятно, да и сигнатура шифруется :)

происходит резная смена экрана

Да, можно считать это постобработкой образа, польза от нее реальная и чем больше будет расти база проверенных тем оно будет полезней :) Скажем я в подконтрольных мне сегментах сети внес в базу весь рабочий софт и теперь лечение любого свежего трояна занимает секунды.

Единой догмы по применению и написанию Скриптов в uVS всё равно нет.

Нет, однако delref/delall постепенно переползают в средства зачистки от нежелательного софта и поэтому автоматизация Zoo тут не совсем уместна, сигнатурный метод мне (в данный момент) кажется более удобным, просто потому что требует меньших телодвижений и самое главное уничтожение зловредов происходит массово и в сжатый временной интервал, что имеет несомненные плюсы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Не будет противодействия со стороны зловредов? ибо увидят свое имя в скрипте

delall \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

Или так, для профилактики.

delall \\?\C:\WINDOWS\SYSTEM32\AGITLERSSA.EXE

Авто добавление Символов при создании и Авто их удаление при выполнении.

Только вот, запретить выполнение Скрипта на предыдущих версиях uVS !

Да, вот так Правильно :)

( Скажем Цепная команда при добавлении SHA1 или по MD5 ....) ( Запрет на Запуск и Автоматическая комбинация... )

bl 79F493F5105560C0F0CC003C753443AF 44544

zoo \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

???...

И скажем delall при комбинации с Клавишей, скажем Delete !

delall \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

Demkd ...

*Дело не в скорости и экономии времени ( Если Сигнатура ), а в получении нового Образца для изучения

Есть ли смысл ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Поэтому и есть необходимость даже при авто. добавлении сигнатуры в скрипт помещать копию файла в ZOO.

Что касается "Убить файл по "прямому пути"?

А если сигнатура не сработает? Да пусть даже и сработает...

Что с вами делать RP55, я не знаю, поскольку вы пишите так же быстро как и думаете. :). А и не хочется флейма сверх меры добавлять, но хочется заметить, что в настоящее время автоскрипт так и работает: addsgn+zoo.

Пока не было случаев, чтобы убиение по сигнатуре не сработало (в нормальном режиме или в безопасном) или удалило что-то другое вместо вредоносного файла.

ZloyDi убивает по "прямому пути" и тоже весьма эффективно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Дело не в скорости и экономии времени ( Если Сигнатура ), а в получении нового Образца для изучения

Если есть сигнатура то есть и образец... поскольку zoo уже автоматизирован при добавлении сигнатуры :)

Другое дело что сигнатурный поиск может захватить и новые модификации определенного трояна, но тут уже видно по статусу полное совпадение сигнатуры или минимально необходимое и добавить образец в zoo ручками не проблема, поскольку это одно единственное действие этими самыми ручками. В случае же удаления по пути действий будет заметно больше даже если ввести его автоматизацию, что в принципе можно сделать в качестве отключаемой опции. Да и полноценный антивирус должен хватать и рвать все моды трояна по сигнатуре одного его образца, раз уж примитивный сигнатурный движок uVS смог распознать сходство.

Еще один минус удаления по пути - это возможное присутствие запасного тельца трояна под другим именем которое пропустил оператор или автоматическая смена имени основного тела зловреда в автозапуске при каждом перезапуске системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Если есть сигнатура то есть и образец... поскольку zoo уже автоматизирован при добавлении сигнатуры :)

Отчасти, PR55 прав в том, что сигнатура и реальный зверь на разных концах находятся в случае лечения по образу автозапуска. Сигнатура из образа попадает в базу хелпера на одном конце, а на другом - ZOO не всегда юзер отправляет в вирлаб. Как только поднимается и обновляется антивирус - юзер зачастую исчезает с форума.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Как только поднимается и обновляется антивирус - юзер зачастую исчезает с форума.

А с этим уже ничего не сделаешь :)

Разве что кто-то (не я) напишет отдельную утилитку для принудительной отправки всех архивов с зловредами... куда-надо, а вызывать ее можно exec-ом из скрипта, соотв. можно раздавать архив с такой утилиткой в комплекте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Что касается автоматизации delall в след. версии будут введены доп. настройки доступные только в settings.ini:

(интерфейсных настроек НЕ будет)

[settings]

; при добавлении сигнатуры добавлять в скрипт полный путь до файла в виде комментария

bAddComment = 0 (1 по умолчанию)

; Автоматически копировать в zoo файл, удаляемый с помощью команды delall (кроме сетевого режима)

bAutoZooOnDelAll = 1 (0 по умолчанию)

; Автоматически блокировать запуск файла по MD5, удаляемого с помощью команды delall или

; при добавлении сигнатуры файла в _базу_

bAutoBL = 1 (0 по умолчанию)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

Может, имеет смысл сделать более универсальным режим сверки образов автозапуска?

Не только при сверке образа пассивной и активной системы при обнаружении руткитов, а вообще сравнить два любых образа (снимка) одной системы, которые сделаны в разное время.

Скажем, создаю ЭТАЛОННЫЙ образ автозапуска заведомо чистой системы, сохраняю его в отдельную или текущую папку.

Далее, через некоторое время запускаю uVS, получаю НОВЫЙ список объектов автозапуска,

и хочу обнаружить, какие изменения произошли в данном списке.

Здесь можно добавить несколько фильтров просмотра результирующего списка:

НОВЫЕ - те что пришли в образ автозапуска за текущий период;

УДАЛЕНЫ - те, что исчезли из образа автозапуск за текущий период;

ИЗМЕНЕНЫ - те что были изменены за текущий период.

Из программ анализа автозапуска по изменениям, реализовано это, насколько знаю, лишь в Eset Sysinspector, но там довольно сложно разобраться - общий список объектов с кучей мелких (визуально неразличимых) иконок, которые что-то означают, и отследить изменения в автозапуске, имхо, нетривиально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Что касается автоматизации delall в след. версии будут введены доп. настройки доступные только в settings.ini:

это полезные будут настройки - иногда не хочется перегружать скрипт лишними закомментированными строками.

видимо, соглашусь с PR55 по поводу возможности сохранения текстового лога (что вызывается по ALT+L) - например, командой скрипта,

перед RESTART,

при необходимости, можно будет запросить сохраненный лог для анализа выполнения скрипта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Может, имеет смысл сделать более универсальным режим сверки образов автозапуска?

Идея может и хорошая, но я не вижу реального применения этому режиму.

То что добавилось или изменилось/обновилось легко обнаружить с помощью файла сверки, если только добавилось то можно ткнуть в фильтр по дате и выбрать весь автозапуск - тут даже сохранять ничего не нужно.

при необходимости, можно будет запросить сохраненный лог для анализа выполнения скрипта.

Ладно, может сделаю скриптовую команду для сохранения лога в Zoo или скорее переложу эту бесполезную фичу на czoo.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Идея может и хорошая, но я не вижу реального применения этому режиму.

То что добавилось или изменилось/обновилось легко обнаружить с помощью файла сверки, если только добавилось то можно ткнуть в фильтр по дате и выбрать весь автозапуск - тут даже сохранять ничего не нужно.

А режим сверки в uVS работает только из под НЕАКТИВНОЙ системы. Может, открыть эту функцию и для АКТИВНОЙ системы? тогда - это то , что надо. (как дополнительный сервис). Сверка списков автозапуска может пригодиться для изучения проблемных ситуаций на машине. Допустим так: делаем образ автозапуска системы (сохраняем файл) - но с проблемой не получается разобраться. Или удаляем что-то из системы с целью скорректировать работу системы. Наблюдаем за проблемой. Возможно какие то файлы будут восстанавливаться или изменяться по той или иной причине. Из-за существующей и не решенной проблемы. Делаем новый образ и сравниваем с предыдущим из под активной системы. Анализируем - почему. т.е. руткиты мы таким способом не обнаружим, но для разбора других проблем системы может пригодиться.

т.е. функция сверки из под НЕАКТИВНОЙ системы - это радикальный метод. И он (для рабочей станции) в локальной сети, например, требует определенных телодвижений. Сверка из под АКТИВНОЙ системы более ПОВЕРХНОСТНА, конечно. НО БОЛЕЕ УДОБНА в сети. И возможно в ряде случаев ее будет достаточно чтобы разобраться с проблемой.

Ладно, может сделаю скриптовую команду для сохранения лога в Zoo или скорее переложу эту бесполезную фичу на czoo.

Может и имя ему давать такое же, как формируется имя архива при выполнении czoo.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×