Перейти к содержанию

Recommended Posts

demkd
т.е. команда удаляет полный след программы в реестре, не затрагивая файлов на диске?

Нет, удаляется запись в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

мне кажется, лучше не помещать файл лога в архив, поскольку архив должен по идее отправиться в вирлаб, а текстовый лог - если необходимо, на форум.

Ну можно и так.

не добавлять в скрипт команду ZOO при использовании DELALL, если файл имеет статус НЕ НАЙДЕН, т.е. его фактически нет в системе, есть только след в реестре.

Его нет лишь на момент создания образа :) А лишняя команда никогда не помешает ;)

добавить в контекстное меню программы в окне "подозрительные файлы и вирусы" функцию "удалить сигнатуру"

Файл может попадать под несколько сигнатур...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Файл может попадать под несколько сигнатур...

был однажды случай, когда файл winampa попал под одну из сигнатур chkntfs. не жалко было winampa - удалил. :).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1.Вопрос по "Запускался неявно или вручную"

В новой версии 3.41

Информация в окне отсутствует... ?

И - в Образах и В режиме реального времени. ( Даты менять пробовал )

Проверял на - Win XP и на Win7

Или , я что - то неправильно делаю ?

С версией 3.40 Всё отображается нормально... !

Подскажите...

2.Что касается winampa.

Оставляет очень много мусора - Есть ли решение ?

Пример образа :

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1.Вопрос по "Запускался неявно или вручную"

В новой версии 3.41

Информация в окне отсутствует... ?

Глюк это, исправлю.

2.Что касается winampa.

Просить юзера закрывать winamp, как и другие программы перед запуском uVS, о чем и написано в первой строке в окне запуска, после слова ВНИМАНИЕ!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Глюк это, исправлю.

Возможно это излишне - Однако дам небольшой, простой комментарий по данному вопросу.

( Хотел сразу вчера написать, да не стал. Подумал может это у меня Не работает ! )

Проверка: ( Простой exe. файл - не вирус )

Запускаем exe. файл - из корня диска C:\ + Ставим его в автозагрузку.

Дополнительно копируем на Рабочий стол - и также активируем/запускаем.

*Запускаем uVS Смотрим...

Список - "Запускался неявно или вручную" пуст... ( Как с оригинальной базой sha1 так и с дополненной )

Заходим в "Автозагрузка" в uVS находим наш exe. файл, и добавляем его сигнатуру в базу "Win32.Proverka"

Проверяем список !

Результат: Найдено вирусов 1 !

Создаём образ - Пишем скрипт...

Удаляется по сигнатуре также - ТОЛЬКО 1- н.файл. ( Тот, что в авто запуске. )

Соответственно тот, что на рабочем столе остаётся !

В версии 3.40

Обнаруживались 2 файла !

И Удалялись 2 файла по средством скрипта и в режиме реального времени.

2. Что касается ZOO.

Моё мнение - Что в скрипт команда на добавление файла в ZOO _

Должна отдаваться _ Абсолютно во всех случаях при добавлении Сигнатуры.

Каким бы образом не была бы добавлена сигнатура.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

v3.42 глюк исправлен.

o Добавлена автоматическая проверка по _локальной_ базе подозрительных имен при загрузке образа.

o Улучшена функция трансляции имен дисков, теперь можно работать с неактивной системой на виртуальном диске. (Например подключенный диск виртуальной машины VMware).

o В контекстное меню файла имеющего статус вируса добавлена команда "Ложное срабатывание, увеличить длину сигнатуры"

Длины всех подходящих сигнатур будут увеличины на глубину сопадения с сигнатурой этого файла + 1.

o Исправлена ошибка в функции построения списка файлов запускавшихся вручную/неявно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
v3.42 глюк исправлен.

o Улучшена функция трансляции имен дисков, теперь можно работать с неактивной системой на виртуальном диске. (Например подключенный диск виртуальной машины VMware).

uVS создает образ неактивной системы в случае если диск виртуальной машины (VMware) подключен для записи. (Это с прицелом на VMware vSphere? :))

Если map диска выполнен только для чтения, то обработка реестра не выполняется.

o В контекстное меню файла имеющего статус вируса добавлена команда "Ложное срабатывание, увеличить длину сигнатуры"

Длины всех подходящих сигнатур будут увеличины на глубину сопадения с сигнатурой этого файла + 1.

здесь видимо опция не поправлена, судя по рисунку из приложения.

И вопрос. Фиксируется ли в uVS от каких файлов получены сигнатуры?

Дело в том, что некоторые сигнатуры в базе хелпера могут быть получены и сохранены от файлов из систем других юзеров, и соответственно, этих файлов на момент анализа третьей системы нет. Как в этом случае поступит uVS?

Т.е. рассматриваем случай - когда файл детектируется по сигнатуре от файла из сторонней системы. Здесь, видимо может быть только одно решение:

Либо ИСКЛЮЧИТЬ каким то образом данный файл из проверки, либо УДАЛИТЬ_ВРЕМЕННО ИСКЛЮЧИТЬ данную сигнатуру из базы в данном сеансе.

Увеличить глубину сигнатуры в этом случае не получится - потому что нет оригинала файла, с которого была снята сигнатурка.

(Или в базе всегда хранится фрагмент файла максимальной длины 64?)

anti_malware_uvs3_42.jpg

post-1135-1292776974_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Если map диска выполнен только для чтения, то обработка реестра не выполняется

Можно конечно сделать и поддержку R/O дисков, но это уже лишние телодвижения, проще подключить и для записи.

здесь видимо опция не поправлена, судя по рисунку из приложения.

А на шоте глубина совпадения 64, фича будет работать только если для сработавшей сигнатуры установлена длина строго меньше 64. Скажем изначально поставил 12, а этого оказалось мало.

И вопрос. Фиксируется ли в uVS от каких файлов получены сигнатуры?

Нет.

Дело в том, что некоторые сигнатуры в базе хелпера могут быть получены и сохранены от файлов из систем других юзеров, и соответственно, этих файлов на момент анализа третьей системы нет. Как в этом случае поступит uVS?

Увеличит длину сигнатуры если глубина совпадения строго меньше 64.

Сигнатура всегда 64 байта, длина же регулируется по желанию пользователя для регулировки качества детекта, сам файл уже НЕ нужен для этого.

либо УДАЛИТЬ_ВРЕМЕННО ИСКЛЮЧИТЬ данную сигнатуру из базы в данном сеансе

Если вдруг будут факты полного совпадения сигнатур для разных файлов, а не модов одного и того же исполняемого файла, вот тогда можно будет об этом подумать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
А на шоте глубина совпадения 64, фича будет работать только если для сработавшей сигнатуры установлена длина строго меньше 64. Скажем изначально поставил 12, а этого оказалось мало.

...

Увеличит длину сигнатуры если глубина совпадения строго меньше 64.

Сигнатура всегда 64 байта, длина же регулируется по желанию пользователя для регулировки качества детекта, сам файл уже НЕ нужен для этого.

Ясно. Спасибо! Разобрался.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
yura5

уже несколько версий вообще не запускаются на компе через start... открывается главное окно с вариантами запуска и на этом все пропадает.....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
уже несколько версий вообще не запускаются на компе через start... открывается главное окно с вариантами запуска и на этом все пропадает.....

А если сбросить флажок антисплайсинг и другие опасные флажки, в окне запуска?

И возможно виновато что-то из антивирусов, может файл попал в недоверенные и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
yura5
А если сбросить флажок антисплайсинг и другие опасные флажки, в окне запуска?

И возможно виновато что-то из антивирусов, может файл попал в недоверенные и т.п.

хм... а без флажка "антисплайсинг" работает... спасибо )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
без флажка "антисплайсинг" работает

Тогда очень хорошо бы было мне получить образ автозапуска вашей системы на e-mail demkd@mail.ru, с чем-то тут конфликт возникает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindR

Если на разделе, содержащем две установленные системы windows и windows.0, запустить UVS из windows.0 в списке подозрительных и вирусов отображаются файлы из каталога незапущенной системы c:\windows. Остальные списки UVS отображаются правильно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
запустить UVS из windows.0 в списке подозрительных и вирусов отображаются файлы из каталога незапущенной системы c:\windows.

Желательно увидеть образ, но п.н. это не глюк, а просто криво поставленный windows, uVS не содержит в себе жестко прошитых путей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Образ создан в системе windows.0

Ясно, тут дело в том что именно 2 windows-а на одном разделе, что плохо сказвается на обоих системах.

Те файлы, что с путем до \windows (все они из категории запускавшихся неявно) взялись из реестров пользователей второй системы, поскольку uVS не делает различий между найденными пользовательскими реестрами в D&S|Users на системном разделе т.е. все 8 реестров пользователей, что он нашел были обработаны.

Короче все так и должно быть :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindR

Как говорится это не баг - это фича :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
ак говорится это не баг - это фича

Ага :) Но я могу снова включить или сделать доступной фильтрацию каталогов с профилями и грузить только те хайвы, для которых пути указаны в реестре, эта фича давно реализована, я уже и не помню что мне в фильтрации не понравилось, поэтому выключил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

v3.43 последняя в этом году :)

Множество исправлений.

o Новые параметры в settings.ini

[settings]

; при добавлении файла в Zoo (не для сетевого режима) помещать в Zoo файл с описанием.

bSaveZooFileInfo = 1 (1 по умолчанию)

; Дополнительно сканировать D&S/Users и загружать найденные профили пользователей, даже

; если их НЕТ в списке профилей пользователей проверяемой системы.

bAllProfiles = 1 (0 по умолчанию)

o Создание лога выполненного скрипта теперь происходит в соответствии с параметром в settings.ini

[settings]

; 0 = Не создавать файл с логом.

; 1 = Создавать лог в каталоге Zoo _перед выполнением команды CZOO.

; 2 = Создавать лог _после выполнения скрипта в корневом каталоге uVS.

; 3 = Создавать оба лога.

bSaveScrLog = 2 (2 по умолчанию)

o Ускорена функция импорта базы проверенных файлов.

o Добавлен звуковой сигнал при обнаружения повреждений в базах проверенных/известных.

o Твик #22 теперь восстанавливает параметры запуска *.cpl

(всего обрабатывается 15 типов файлов)

o Сокращена процедура антисплайсинга для совместимости с Kerio Firewall.

(как в uVS так и в StartF)

o Исправлена функция разбора logon/logoff скриптов.

o Исправлена и оптимизирована функция переключения мониторов.

o Исправлена ошибка в контекстном меню при работе с образом автозапуска.

o Исправлена функция пересчета координат мыши для мультимониторных систем.

o Исправлена ошибка в функции удаления временных файлов для удаленных систем.

o Исправлена ошибка иногда возникающая при проверке хэшей файлов находящихся в Zoo.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

Дмитрий,

от и поручению технического форума Eset Russia

(santy, ZloyDi, RP55)

Поздравляем с Наступающим Новым годом!

uVS - безусловно лучшая программа 2010г.

Желаем дальнейшего ее успешного развития, багов так незначительных, а функций новых так самых уникальных,

чтобы программирование было вовсе не в тягость, а исключительно из ленности и наличия свободного времени,

когда все работает безукоризненно и без авторского надзирательства. :).

Удачи в 2011 г!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Спасибо :) С наступающим! :beer:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Вот хотел поле нового года написать.

Но не могу удержаться ! :)

1.Если файл находится в буфере обмена - и файлу присваивается статус вируса.

Какая реакция uVS в данном варианте ?

2.Изменить

Пример:

Проверка списка...

В скрипт добавлена команда: addsgn 530BB7DA55ABAC70A83F6EF1649F4336E5355C10C9FAA6046983C5879FA07467ECEB30FD670AF749

C3F6929F464F214ABD9FE8185532C2812D7707C007462219 32 TEST !

Проверено файлов: 881

Найдено вирусов: 1

Проверяем по базе проверенных.

C:\DOCUMENTS AND SETTINGS\USER\РАБОЧИЙ СТОЛ\VIRUS TEST.EXE

SHA1: 61792536C28F9AEC9CA39DF35BD6B7BA9B7CE71F

Хэш найден в базе проверенных файлов, файл помечен как проверенный

Файл - имеет двойной статус ? !

Вероятно следует внести изменния в программу ?

т.е. При присвоении файлу, статуса вируса, его следует автоматически удалять/исключать из базы проверенных sha1

*Выдавать предупреждение.

3.Сценарий.

В Автозапуске Папка, скажем C:\Program Files\CoFiles

Если запустить uVS то результат такой:

Имя: C:\Program Files\CoFiles

Статус: в автозапуске

Файл: НЕ НАЙДЕН, но был успешно открыт по указанному пути.

*

**

Ссылка ***********

А, если папка у нас с Начинкой будет ?

Анализ:

"Основной Автозапуск"

"Весь Автозапуск "

***

т.е. Папка в Автозапуске и из неё - "Запускался неявно или в ручьную " ****

Автоматически добавлять в Список "Подозрительные и вирусы"

4.Возможно стоит сделать ?

Настройка \ Цвета...

В качестве дополнительной настройки.

Авто выделение: при построении списка...

Извесные > Зелёный

Извесные/Проверенный > Зелёный

Неизвесные > Жёлтый

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1.Если файл находится в буфере обмена - и файлу присваивается статус вируса.

Какая реакция uVS в данном варианте ?

Никакой.

Файл - имеет двойной статус ? !

Вероятно следует внести изменния в программу ?

Нет, это дело оператора решать что не так, либо сигнатруа левая, либо файл внесен в базу проверенных ошибочно.

А, если папка у нас с Начинкой будет ?

А кто мешает проверить, что будет :)

т.е. Папка в Автозапуске и из неё - "Запускался неявно или в ручьную " ****

так не бывает, либо в автозапуске, либо запускался ручками.

По поводу цветов, я из программы елку аля AVZ делать не собираюсь, есть все необходимые фильтры причем применяемые в 1 клик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1. Вкладка: "список сигнатур вирусов"

Автоматически регистрировать дату добавления сигнатуры в базу.

Пример:

Win32/Spy.Shiz.NAI | Активно 20 байт из 64 сохранённых | 06.01.2011; 0:05.12 |

Trojan:Win32/Ransom | Активно 64 байт из 64 сохранённых | 05.01.2011; 0:04.11 |

Суть: Просмотр по дате добавления.

* При ошибке добавления просмотр/исправление, по дате/метке времени.

** Возможность оставлять краткий комментарий по объекту. / например - ссылку на страницу вирусной энциклопедии /.

*** Поиск по дате.

2. Автоматическое формирование/ведение базы пользователей.

Пример: Открываем Образ - Работаем с ним.

uVS Автоматически индексирует информацию, по ряду критериев.

*Информация сохраняется в отдельном файле.

И при вторичном/повторном обращении пользователя uVS добавляет информацию к текущему/новому ЛОГ-у.

**Возможность добавлять свой комментарий.

Пример - добавленной информации:

_________________________________________________________

ВНИМАНИЕ...

Повторное ОБРАЩЕНИЕ !

-----------------------------------------------------------------

Образ Создан: uVS v3.37: 0.9.01.2010; 0:05:12

Образ Открыт: uVS v3.37: 0.9.01.2010; 0:25:10

-----------------------------------------------------------------

Комментарий к образу: Пользователь знаком с работой Windows, владение информацией на уровне 4.

Решение проблемы: Стандартная схема лечения.

Ссылка:http://forum.esetnod32.ru/forum**/topic***/

-----------------------------------------------------------------

Обьекты скрипта: 2

Win32/Spy.Shiz.NAI

Win32/Spy.Shiz.NAL

Пути:

C:\WINDOWS\SYSTEM32\LMXJDA.EXE

C:\WINDOWS\SYSTEM32\ADLXML.EXE

-----------------------------------------------------------------

uVS v3.43: Microsoft Windows XP x86 (NT v5.1) build 2600 Service Pack 3 [C:\WINDOWS]

-----------------------------------------------------------------

Internet Explorer v8.0.4001.18412

Firefox v3.5.10 (ru)

-----------------------------------------------------------------

Проиндексированная информация _ Дата: 0.9.01.2010; 0:25:10

Текущий пользователь: Sim30-35.00000Let \Илья Муромцев

Физической памяти 2046Mb Kingston; Part Number:99P5471-002.A00LK

__________________________________________________________________________

Суть: Проверка, сравнение возможных причин заражения.

Проверка: Выполнены ли рекомендации.

Просмотр собственно комментария к предыдущей теме = выводы, подбор оптимальной методики работы с клиентом.

Примерный психологический портрет клиента: /Оптимист/ или...

Быстрый Поиск/просмотр предыдущей темы в топике.

Как результат: Экономия времени, правильный индивидуальный подход.

3.Информация общего плана.

http://forum.esetnod32.ru/forum17/topic1367/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×