Перейти к содержанию

Recommended Posts

santy

следует действительно  убирать расширение из списка при отдаче delref

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

@santy,


а ты Ctrl + Shift + Del попробуй
Для тех, кто не успел попробовать скажу, что при этом расширение из списка убирается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

во-первых, с праздниками всеми майскими, "майскими короткими ночами..."

во-вторых, вопрос:

что это означает. статус файла выходит в списке  "испорчен", при том что в инфо указана цифровая подпись

 

status.jpg

 

образ

http://rghost.ru/87NlGcNlF

 

post-1135-0-63558400-1431789001_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Аркалык

demkd
uVS восстанавливает MBR сектор, а GPT сектор будет восстанавливать в будущем?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@santy,

испорчен значит файл не запустится.

 

@Аркалык,

gpt я еще не разбирался с ним, так что не отвечу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
goover

http://www.securitylab.ru/news/473285.php

 

 

Poweliks использует несколько способов защиты вредоносной записи системного реестра. Троянская программа создает дополнительный подраздел реестра с механизмом, который предотвращает его открытые и просмотр. Подраздел содержит запись, созданную с использованием символов, которые отсутствуют в наборе печатаемых символов Unicode. Это предотвращает целый подраздел LocalServer32 от чтения и удаления. Некоторые инструменты для работы с реестром позволяют осуществить чтение подраздела, но стандартный редактор реестра Windows не предоставляет такой возможности.

uVS покажет / удалит ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

В теории да, эта фича в основном точилась именно против регедита.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Где-то после Вашего теста гуляло несколько сэмплов (Stoned, Poweliks и руткит Uroburos), можно было бы проверить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

что это может быть?

при запуске uVS выходит такое сообщение:

image.png.jpg

post-1135-0-09581300-1434548557_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
arraga

Не секрет, что скорость версии 3.85 почти в три раза ниже, чем версии 3.82 - и при первом запуске, и при использовании опции "удалить все ссылки вместе с файлами". Из-за этого я редко использую 3.85 - времени нет.. Вопрос - будет ли в дальнейших версиях устранён этот недостаток?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@santy, видимо испрочен файл, хэш стоит сравнить с оригинальным.

 

@arraga, нет, просто потому что 3.85 показывает больше файлов, а 3.86 будет показывать еще больше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

хэши одинаковые. до запуска, и после запуска (после вылета этой ошибки)

т.е. судя по хэшу файл не был изменен. (сравнил у себя со start.exe)

что-то гасит запуск, кроме того часть антивирусных утилит гасится т.о. (бывает сообщение по мбам, что поврежден инсталлер), а часть  проходит: adwcleaner, frst.exe

-------

тоже самое из безопаски.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@santy, это больше похоже на битую память

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Не секрет, что скорость версии 3.85 почти в три раза ниже, чем версии 3.82 - и при первом запуске, и при использовании опции "удалить все ссылки вместе с файлами".

 

 

@arraga, нет, просто потому что 3.85 показывает больше файлов.

 

Demkd

а) Оператор удаляет один файл.

Программа обновляет список...

 

б) Оператор удаляет 10 файлов.

Программа 10 раз обновляет список...

 

Здесь у uVS есть недостаток...

программа не знает сколько файлов будет удалено.

1 файл или 10 файлов.

 

Логично обновить список  ОДИН РАЗ _после удаления всех файлов.

-------

Вот и получается огромный перерасход времени.

----

Или вот лог и его записи....

В системе отсутствует системный файл ХХХХ.exe

Если оператор скриптом удаляет 20 объектов/файлов...

то uVS 20 раз и напишет в логе: отсутствует файл ХХХХ.exe - рекомендуется восстановить.

Разве это правильно ?

Бесполезная трата времени и захламление лога.

-----------

1) Если оператор удалил файл - пусть оператор _тогда, когда будет нужно и обновит список.

2) Если это скрипт - пусть, программа _автоматически определит на каком этапе нужно обновить список.

-------

Дело не в числе файлов - дело в НЕ рациональном подходе.

 

В конце концов, если нужно обновить информацию после удаления файла - то, пусть действует ограничение.

Например фиксируется инфо. по удаляемому файлу...

После удаления происходит ограниченный сбор данных, в тех рамках которые были зафиксированы в инфо.

---------

Сейчас какое нибудь убогое расширение может удаляться 30 и более секунд.

Сидишь и ждёшь...

И чего ради такая потеря времени ?

--------

В конце концов можно ввести ограничения - после удаления какого файла/объекта будет обновлён список/данные, а после какого удаления нет.

------

Или ввести в меню команды:

" Удаление группы объектов - начать "

" Удаление группы объектов - завершить > обновить список "

-------

Порой люди пишут, что скрипт выполняется по полтора часа.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@PR55.RP55, есть режим работы с образом где ничего и никогда не обновляется, а удаление файла обязано обновлять список, поскольку удаление файла или объекта влечет за собой массу действие в результате которых могут быть удалены другие файла, остановлены процесс, выгружены dll, выгружены драйвера, файл может быть не удален и все последующие действия станут бесполезными и т.п. и т.д.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

Порой люди пишут, что скрипт выполняется по полтора часа.

RP55, как люди напишут скрипты, так они и выполняются.

некоторые и виртуализацию всегда включают, хотя бывает что и нет ссылок из реестра которые будут удаляться скриптом.

и

Не надо злоупотреблять командой delall (раз команда выгружает процессы, то она же должна и восстановить список процессов после удаления файла, иначе дальнейшая работа с ложным списком процессов будет фикцией), когда есть просто del и delref, а еще есть команда удаления группы объектов: chklst&delvir (две большие кнопки в меню: "проверить список" и "убить все вирусы")

так же обновление списка добавлено здесь

 

 o Модифицирована функция:

   "Очистить корзину, удалить временные файлы, затем удалить ссылки на отсутствующие" (Alt+Delete)

   После удаления временных файлов и перед удалением ссылок добавлено обновление списка.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

 

можно ввести ограничения - после удаления какого файла/объекта будет обновлён список/данные, а после какого удаления нет.

 

http:

url

расширения.

если объект не имеет ссылок - а фигурирует только как "запускался"

удаление ярлыков

----

может быть что -то ещё.

----------

 

 


santy

delall (раз команда выгружает процессы, то она же должна и восстановить список процессов

 

Можно же сделать чтобы команда delall

работала, как : del + delref

 

Результат один...

Удалён файл и удалены ссылки.

Что по: delall

Что по: del + delref

А действие/процесс очистки/удаления будет идти быстрее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

А действие/процесс очистки/удаления будет идти быстрее.

а если активный процесс (без его выгрузки) не даст удалить свой файл и ссылку на него? как в этом случае пойдет процесс очистки? быстрее или медленнее?

наверное забыл уже тот же ciavax. удаляешь один файл, он тут же создает второй и прописывает его в автозапуск.

 

по лежачим файлам никто не мешает применить del & delref

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

 

Вот я и предлагаю дифференцировать/разграничивать объекты.

Если это активный процесс - то, один подход...

Если лежачий файл - другой.

-------

Программа стала работать медленнее, а со временем ( при увеличении числа файлов ) будет работать ещё медленнее.

В случае с лежачим/неактивным  файлом - обновление списка не требуется.

-------

Суть в том чтобы uVS удалял правильно...

А Оператор мог отдавать команды - так, как ему удобно.

Пример: оператор применил del + delref в отношении активного объекта/процесса.

uVS - понимает, что не в коня аллигатор...

и _дополняет комбинацию выгрузкой. ( если возможно )

------

Как на самолёте/истребителе:

Машина не даст свалить себя в штопор, или выйти на запредельные углы атаки.

Оператор выполняет свою работу - система свою.

Система корректирует человека - человек корректирует систему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
arraga

Программа стала работать медленнее, а со временем ( при увеличении числа файлов ) будет работать ещё медленнее.

 

Собственно, в этом и было (для меня) главное преимущество uvs - быстродействие. А если оно постоянно будет падать "при увеличении числа файлов" - то старая добрая ручная чистка реестра снова станет актуальной. 

 

Смысл проги изначально - если я не ошибаюсь - был автоматизировать те действия, которые пользователь может сделать и сам через реестр, но быстрее. Я не прав?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

santy Вот я и предлагаю дифференцировать/разграничивать объекты. Если это активный процесс - то, один подход... Если лежачий файл - другой. ------- Программа стала работать медленнее, а со временем ( при увеличении числа файлов ) будет работать ещё медленнее. В случае с лежачим/неактивным файлом - обновление списка не требуется. ------- Суть в том чтобы uVS удалял правильно... А Оператор мог отдавать команды - так, как ему удобно. Пример: оператор применил del + delref в отношении активного объекта/процесса.

1. я думаю, вначале надо дифференцировать в своей голове все команды удаления, которые созданы в uVS

delvir, del, delref, delall, deldirex, deldir

 

-------------------------------------------------------------

DEL файл

Удалить файл.

и здесь вопрос: будет ли поставлен на удаление файл после перезагрузки, если файл занят и не удаляется.

-------------------------------------------------------------

DELDIR имя_каталога

Удалить каталог вместе со всем содержимым, права на доступ к файлам игнорируются,

занятые файлы удаляются после перезагрузки.

Все ссылки на файлы удаляются, после удаления соотв. файла.

(при наличии файла в списке)

-------------------------------------------------------------

DELDIREX имя_каталога

Удалить все исполняемые файлы из каталога и всех его подкаталогов,

права на доступ к файлам игнорируются, занятые файлы/каталоги

удаляются после перезагрузки.

Все ссылки на файлы удаляются, после удаления соотв. файла.

(при наличии файла в списке)

-------------------------------------------------------------

и т.д.

2. методы удаления для объектов ?ВИРУС? и ВИРУС детектед различаются.

для объектов ВИРУС детектед используется метод chklst&delvir

(лучшего здесь не придумаешь, все детектируемые объекты удаляются за один проход)

 

для объектов ?ВИРУС? используются настраиваемые методы удаления: либо в режиме авто, либо через настраиваемые действия в критериях

в режиме авто используются настройки из settings.ini

   ; Значение управляет методом удаления файлов со статусом "?ВИРУС?" в функции

   ; автоскрипта.

     ImgAutoDelMethod1 (по умолчанию 1)

     0 - игнорировать

     1 - применить delall

     2 - применить delref

     3 - применить delref+del

 o Новый параметр в settings.ini

   [settings]

   ; Значение управляет методом удаления файлов со статусом "?ВИРУС?" в функции

   ; автоскрипта с виртуализацией реестра.

     ImgAutoDelMethod2 (по умолчанию 3)

     0 - игнорировать

     1 - применить delall

     2 - применить delref

     3 - применить delref+del

 

т.е. по сути к этим методам: 0, 1, 2, 3 добавлены еще три метода удаления через настраиваемые действия: del, deldir, deldirex

------------------

если uVS начнет читать и анализировать твой скрипт, построенный по образу автозапуска, и затем по своему усмотрению подбирать команды удаления из этого списка, то выглядеть это будет:

а). странно и непредсказуемо. пишем одно действие, а на выходе получаем другое действие.

б). как раз это может и привести к обратному эффекту, хотели быстрее, а получили наоборот, еще более медленное выполнение скрипта.

 

-------------------

единственно, что здесь возможно сделать: это добавить к 0-3 еще один метод 4, когда uVS исходя из своей логики и входимости объекта в ту или иную секцию: процессы, сервисы, драйвера, и проч. при анализе образа автозапуска автоматически добавит нужное с его точки зрения действие.

 

но, этого же результата можно добавиться с помощью системы критериев и настраиваемых действий.

без дополнительного программирования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

Пример: оператор применил del + delref в отношении активного объекта/процесса. uVS - понимает, что не в коня аллигатор... и _дополняет комбинацию выгрузкой. ( если возможно )

+

можно добавить:

что щупать активный вирусняк, а можно ли его удалить без выгрузки из памяти или нет, бесперспективно и чревато.

вирусняк и сам может в таком случае принять контр-меры против uVS, или отправить систему в BSOD

 

из за нежелания (и упрямства -а вот я сейчас новый метод удаления придумаю в UVS и найду замену сигнатурам) использовать сигнатуры и единый метод удаления всех детектируемых с помощью  chklst&delvir  начались ломки:

а вот медленно все удаляется,

а давайте добавим интеллектуальный метод удаления, т.е. пишем одни команды, а uVS это интерпретирует по своему,

и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
А если оно постоянно будет падать "при увеличении числа файлов" - то старая добрая ручная чистка реестра снова станет актуальной. 

посмеялся :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

вопрос:

можно ли создавать критерии по атрибутам, которые являются как бы динамическими, т.е. они добавляются в инфо не при создании, а при анализе(например с помощью критериев)  образа уже после его открытия.

 

например, в данном случае динамическим атрибутом будет поле FALSE.SIGN.LIST а его значением будет (ЦИФР. ПОДПИСЬ ~ BEIJING BAIDU)(1):

Полное имя                  C:\USERS\DNS\APPDATA\LOCAL\BAIDU\BAIDU\1.3.1.157\BAIDU.EXE
Имя файла                   BAIDU.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                            
Удовлетворяет критериям     
FALSE.SIGN.LIST             (ЦИФР. ПОДПИСЬ ~ BEIJING BAIDU)(1) [auto]
FALSE.ANTIVIRUS             (ПОЛНОЕ ИМЯ ~ \BAIDU\)(1) [deldirex]
                            
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ [Запускался неявно или вручную]
File_Id                     544DE8944B000
Linker                      10.0
Размер                      297352 байт
Создан                      05.11.2014 в 15:03:18
Изменен                     05.11.2014 в 15:03:18
                            
TimeStamp                   27.10.2014 в 06:39:16
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Beijing baidu Netcom science and technology co.ltd
                            
Оригинальное имя            Baidu.exe

 


и сложно ли реализовать такую вещь чтобы созданные таким образом (комбинированные) критерии так же работали при анализе образа.

 

пример на видео.

http://rghost.ru/6dv4Tfm5q

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

 

Замечания правильные.

Но, над ускорением работы программы стоит подумать.

-------------

Всегда ли нужно обновлять список после удаления объекта ?

можно ли разбить объекты по категориям А ; В

Объекты категории: _А_ Нужно обновлять список.

В...

----

Есть объект + ссылки

Есть объект - без ссылок.

Есть активные.

Есть не активные.

Исполняемые типа: exe; dll; sys

Исполняемые типа: bat; com...

Не исполняемые.

и т.д.

Соответственно и разный к ним подход/метод/методика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×