Перейти к содержанию

Recommended Posts

demkd
или данный файл ВРЕМЕННО на период сессии уходит из списка подозрительных?

Временно до выхода или сброса статуса проверенного.

Если надо на постоянку то есть соотв. команда в контекстном меню, но тогда уже мою базу нужно будет не копировать а импортировать для сохранения своих хэшей.

Или нужен дополнительный твик - восстановление ассоциаций на исполняемые файлы?

Это я уже сделал и релиз как бы готов, поскольку уже приставали с твиком на прошлой неделе, но мне че-то лень было собирать дистрибутив, игрушки одолели :) но в принципе могу завтра релизнуть 3.33 если срочно надо.

...А в некоторых случаях проблему решает файл _unlock.inf идущий в комплекте, если использован простой блок прописанный в ключе Explorer-а

в данном случае - в автозапуске svchost.exe (путь стандартный) определяется как вредоносная программа,

а не нужно верить глазам, нужно верить uVS :)

причем не в том смысле что файл поддельный или зараженный, а в том что имя файла НЕ svchost.exe

трояны давно используют левые (в т.ч. и русские) символы похожие на английские буквы в результате при проверке глазками получается что файл системный и лежит где надо... но почему-то их два, а то и три с "одинаковым" именем. Поэтому как его в uVS не удаляй системный файл затронут не будет, убит будет только зловред.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Временно до выхода или сброса статуса проверенного.

Если надо на постоянку то есть соотв. команда в контекстном меню, но тогда уже мою базу нужно будет не копировать а импортировать для сохранения своих хэшей.

Так нормально. Просто раньше была некоторая путаница понятий: список проверенных, база проверенных файлов. Сейчас четче уяснил, что база проверенных - это файл sha1, а список проверенных - это динамический список файлов, имеющих статус ПРОВЕРЕННЫЙ, т.е. прошедших проверку по списку sha1 или вручную, по функции ПРОВЕРЕН в окне "информация".

Я для себя веду параллельный список sha1_user (приложения от eset, например, разных версий), который импортирую в базовый список разработчика, по мере его выхода.

Это я уже сделал и релиз как бы готов, поскольку уже приставали с твиком на прошлой неделе, но мне че-то лень было собирать дистрибутив, игрушки одолели :) но в принципе могу завтра релизнуть 3.33 если срочно надо.

Видимо, есть необходимость в этом выпуске - у нас был второй случай нарушения ассоциаций.

а не нужно верить глазам, нужно верить uVS :)

причем не в том смысле что файл поддельный или зараженный, а в том что имя файла НЕ svchost.exe

трояны давно используют левые (в т.ч. и русские) символы похожие на английские буквы в результате при проверке глазками получается что файл системный и лежит где надо... но почему-то их два, а то и три с "одинаковым" именем. Поэтому как его в uVS не удаляй системный файл затронут не будет, убит будет только зловред.

А есть возможность ВСКРЫТЬ эту подмену символов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1.В скрипт автоматически добавлять не только сигнатуру объекта НО ! и его "Текущее" Имя из списка: "Подозрительные и вирусы".

Это необходимо в случае последующего анализа самого скрипта.

Анализ - почему Скрипт не сработал, так, как планировалось,проверка ошибок.

Ориентироваться по Имени удобнее,чем по Сигнатуре.

2.Ввести возможность Индикации.

"Скрыть проверенные" Звучит, несколько двусмысленно...

Кроме того, Зачем скрывать,если есть необходимость в Присутствии объекта в списке.

Скажем для Визуального сравнения, по схожим именам Объектов Одного производителя.

Например в случае повреждения файла/отсутствия цифровой подписи.

В ряде случаев в этом есть смысл - Особенно на начальном этапе работы/обучения uVS.

*Возможно это и неэффективно но...

3."ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске"

Прекрасно,что программа проводит автоматический анализ списка.

*Значит все Легитимные варианты ей известны ...

Предлагаю ввести возможность Самостоятельного - Визуального просмотра Всех... Легитимных Значений/Параметров.

Суть: При Автоматической обработке, есть риск потери квалификации персоналом.

Особенно у начинающих или недавно прошедших обучение сотрудников.

*Для потери Квалификации достаточно 4 месяцев.

Не факт,что это произойдёт, однако...

Это, Актуально и в Свете повышенного Интереса к программе со стороны пользователей. ( Число просмотров ресурса ) :rolleyes:

Это, Актуально в перспективе, с выходом Windows 8. ( Обучение )

Windows XP/Vista/7/8 ( Всё помнить...) :facepalm:

* Никаких принципиальных изменений при этом в uVS не произойдёт.

Но как говорил Пётр I, Вижу...

4.скрытый системный. Следует писать так: СКРЫТЫЙ СИСТЕМНЫЙ.

Мелкий и типичный.шрифт.затрудняет.восприятие. :)

5.В Папку ZOO, Автоматически добавлять: Открытый, Программный отчёт uVS,о ходе выполнения скрипта/+-/сбой.

6.Я предлагал ввести предупреждение при наличие не читаемых символов в списке...

Но, это предложение было отклонено " В Windows нет ни читаемых - Уникоддс..."

Я имел в виду не читаемых для Оператора PC!. :)

7.Возможность проверять состояние ключей реестра,на проблемной машине.

Это дополнение к Пункту №5.

Сохранять значение сбойных/изменённых значений - Основных - параметров в txt формате.

Это даст дополнительную информацию для анализа.

8.Проверка HDD, на наличие неизвестной структурированной, файловой системы - простое Информирование Оператора.

Возможность временной блокировки доступа к периферийным областям HDD ?

9.Как написал SANTY: Определение Подмены Языковых Символов ( С информированием пользователя во избежание...! )

a,e,о,p...

10."Размер 2889424 байт"

Это замечательно, можно определить точные параметры ! Однако...

Так будет практичнее 2889424/2889/2.9mb

*Если, что написал не точно, то значит так тому и быть... ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

выскажу свое отношение к некоторым предложениям PR55

1.В скрипт автоматически добавлять не только сигнатуру объекта НО ! и его "Текущее" Имя из списка: "Подозрительные и вирусы".

может и имеет смысл добавить после команды addsgn закоментированную строку с именем файла, но с другой стороны, на одну сигнатурку может попасть несколько файлов. Так же для анализа скриптов (ЕСЛИ КОМУ ИНТЕРЕСНО) можно обмениваться с ХЕЛПЕРОМ сигнатурными базами, тогда все будет видно - какая сигнатура какой файл "спалила".

5.В Папку ZOO, Автоматически добавлять: Открытый, Программный отчёт uVS,о ходе выполнения скрипта/+-/сбой.

имхо, лучший отчет о выполнении скрипта - это новый образ автозапуска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
А есть возможность ВСКРЫТЬ эту подмену символов?

В смысле автоматом добавлять в подозрительные? Это конечно можно, однако ведь есть масса софтописателей, что используют в именах файлов символы отличные от ASCII... хотя можно сделать подобный детект опциональным.

А вот как-то опеределять похожие по написанию имена - это уже тяжелей, ибо Unicode 6-й версии уж очень большой...

Анализ - почему Скрипт не сработал, так, как планировалось,проверка ошибок.

Это можно в виде комментария.

Кроме того, Зачем скрывать,если есть необходимость в Присутствии объекта в списке.

Скрыть смысл есть, а вот зачем-то засорять список проверенными и увеличивать время копания в нем нет совершенно.

Предлагаю ввести возможность Самостоятельного - Визуального просмотра Всех... Легитимных Значений/Параметров.

Список известных можно легко просмотреть.

6.Я предлагал ввести предупреждение при наличие не читаемых символов в списке...

Но, это предложение было отклонено " В Windows нет ни читаемых - Уникоддс..."

Я имел в виду не читаемых для Оператора PC!. smile.gif

В том то и дело, что они все читаемые, тут надо подумать.

Сохранять значение сбойных/изменённых значений - Основных - параметров в txt формате.

Лень.

8.Проверка HDD, на наличие неизвестной структурированной, файловой системы - простое Информирование Оператора

Это совсем лень и мало того будет безумно долго работать... если вообще будет работать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
В смысле автоматом добавлять в подозрительные? Это конечно можно, однако ведь есть масса софтописателей, что используют в именах файлов символы отличные от ASCII... хотя можно сделать подобный детект опциональным.

А вот как-то опеределять похожие по написанию имена - это уже тяжелей, ибо Unicode 6-й версии уж очень большой...

Да, если возможно, вынести его в настройки, чтобы по желанию можно было подключать данные проверки. Может, выбрать для проверки список системных файлов, которые чаще всего подменяются: svchost.exe, userinit.exe, lsass.exe, winlogon.exe, explorer.exe?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Да, если возможно, вынести его в настройки, чтобы по желанию можно было подключать данные проверки. Может, выбрать для проверки список системных файлов, которые чаще всего подменяются: svchost.exe, userinit.exe, lsass.exe, winlogon.exe, explorer.exe?

Если делать то для всех, без полумер.

Велика вероятность пропустить "Очевидное - Невероятное" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Цитируя самого себя:

В скрипт автоматически добавлять не только сигнатуру объекта НО ! и его "Текущее" Имя из списка: "Подозрительные и вирусы".

А если рассмотреть в таком виде: Автоматически...

1- й. Скрипт

addsgn 555444 14 bl

delall \\?\C:\WINDOWS\SYSTEM32\MSSPAINT.EXE

2- й. Скрипт

addsgn 555444 14 bl

delall \\?\C:\WINDOWS\SYSTEM32\SIMANSS.EXE

*Если автоматизировать, то по полной программе!

А ещё лучше так... :)

3- й.

addsgn 555444 14 bl

delall \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

zoo \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

czoo

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Список известных можно легко просмотреть.

Можно.

Но Речь о другом ! :)

Информацию добавить сюда: "Информация"

Возможные Легитимные пути С:**\****\.... ( Все )

Стандартные значения Реестра для Объекта.

Стандартный/размер/размеры 2888 bt ....

Это, Кардинально отличается от того,что есть на данный момент.

Но можно добавить информацию и в список известных.

Только, как мне кажется это будет менее практично.

Или распределить информацию по актуальности.

Перечислять повторно аргументы к этому предложению не буду.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Если делать то для всех, без полумер.

Велика вероятность пропустить "Очевидное - Невероятное" :)

уже сейчас автоматическая проверка по базе sha1 притормаживает загрузку списка подозрительных (оставляю эту проверку только в функции ПРОВЕРИТЬ СПИСОК), поэтому исходить нужно таким образом - лучше меньше, да лучше_быстрее, а если при этом большие ресурсные затраты, то лучше никак - поскольку список подозрительных невелик.

Цитируя самого себя:

В скрипт автоматически добавлять не только сигнатуру объекта НО ! и его "Текущее" Имя из списка: "Подозрительные и вирусы".

А если рассмотреть в таком виде: Автоматически...

1- й. Скрипт

addsgn 555444 14 bl

delall \\?\C:\WINDOWS\SYSTEM32\MSSPAINT.EXE

PR55, вы похоже так и не прочитали документацию по программе.

Какой смысл добавлять сигнатуру файла, если вы хотите убить файл по "прямому пути"?

Смысл моего предложения сводится лишь к внесению комментария в скрипт.

addsgn 555444 14 bl

; \\?\C:\WINDOWS\SYSTEM32\MSSPAINT.EXE

в этом случае, вы будете знать, какой файл из системы будет удален по данной сигнатуре.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
PR55, вы похоже так и не прочитали документацию по программе.

Вот как пишет ВСЕ скрипты zloyDi

;uVS v3.32 script [http://dsrt.jino-net.ru | http://dsrt.dyndns.org]

zoo \\?\C:\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\CHKNTFS.EXE

bl 775DF5D6DE85E54A0FAD5E6E58C7CF33 71680

delall \\?\C:\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\CHKNTFS.EXE

zoo \\?\C:\WINDOWS\SYSTEM32\REKBZSC.EXE

bl 5837CF56CD56ACEBDCEE0E1B36DDD5A6 156616

delall \\?\C:\WINDOWS\SYSTEM32\REKBZSC.EXE

delnfr

regt 12

regt 13

regt 14

deltmp

restart

Или другой пример:

;uVS v3.31 script [http://dsrt.jino-net.ru | http://dsrt.dyndns.org]

zoo \\?\C:\WINDOWS\SYSTEM32\AF90B9F1.EXE

bl 79F493F5105560C0F0CC003C753443AF 44544

delall \\?\C:\WINDOWS\SYSTEM32\AF90B9F1.EXE

zoo \\?\C:\WINDOWS\SYSTEM32\FYDNVKN.EXE

bl 100AD308FB55F50C39472238DDFD6E7D 149504

delall \\?\C:\WINDOWS\SYSTEM32\FYDNVKN.EXE

zoo \\?\C:\WINDOWS\SYSTEM32\KFEXMXY.EXE

bl E2068F5620FF15A31191BCC38989BC8D 175104

delall \\?\C:\WINDOWS\SYSTEM32\KFEXMXY.EXE

delall \\?\C:\WINDOWS\SYSTEM32\OPKJDKW.EXE

delnfr

regt 12

regt 13

regt 14

deltmp

restart

Я так понимаю,что он тоже не читал...!

Кроме того, я показал примеры, а не реальные фрагменты скриптов.

Да в том, что я написал 1. ошибка есть.

"Почему мой самолёт не Летает? - Это Сувенир!"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

v 3.33

Релиз, чего было не лень добавил.

Проверка на левые символы неотключаемая, поскольку побочных эффектов не замечено, потерь в производительности практически нет.

o Добавлен твик #22 "Восстановить из копии параметры запуска файлов".

Восстанавливаются из бэкапа ключи Classes\exefile, Classes\.exe и еще 14 основных типов файлов.

o В меню "Запустить" добавлен пункт "Управление сервисами".

(В случае работы с удаленной системой в открывшемся окне выберите в меню

"Действие->Подключится к другому компьютеру" и введите имя или ip нужного компьютера)

o Улучшена функция анализа имен файлов, теперь файлы с чередованием в имени некоторых

ASCII и NON-ASCII символов считаются подозрительными.

o Теперь при добавлении сигнатуры в скрипт помещается полный путь до файла в виде комментария.

уже сейчас автоматическая проверка по базе sha1 притормаживает

Зато значительно экономит время при последующей проверке за счет отсева ложноподозрительных :)

Стандартные значения Реестра для Объекта.

Это мне ни к чему, а тем кому интересно почитают книгу о реестре Windows.

uVS НЕ для начинающих и никогда не станет таковым.

Стандартный/размер/размеры 2888 bt ....

Нет никаких стандартных размеров, версий одного и того же системного файла море.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
v 3.33

Релиз, чего было не лень добавил.

ок, проверим.

o Теперь при добавлении сигнатуры в скрипт помещается полный путь до файла в виде комментария.

не будет противодействия со стороны зловредов? ибо увидят свое имя в скрипте :)))

А вот по сигнатуре не смогут себя узнать, так надо знать по какому алгоритму вычисляется сигнатура.

Зато значительно экономит время при последующей проверке за счет отсева ложноподозрительных :)

учту. смутил тот факт, что происходит резная смена экрана: скажем при появлении uVS виден один список, затем резко появляется другой после завершения проверки.

Нет никаких стандартных размеров, версий одного и того же системного файла море.

Вот человеку мало контрольных сумм: sha1, md5 еще надо и размер файла записать.

Вот как пишет ВСЕ скрипты zloyDi

ZloyDi, конечно, респект за виртуозную работу с uVS и другими инструментами лечения.

"Почему мой самолёт не Летает? - Это Сувенир!"

Вот и вы чаще практикуйте написание скриптов в uVS, чтобы лучше уяснить тонкости в работе uVS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Уже сейчас автоматическая проверка по базе sha1 притормаживает загрузку списка подозрительных (оставляю эту проверку только в функции ПРОВЕРИТЬ СПИСОК), поэтому исходить нужно таким образом - лучше меньше, да лучше_быстрее, а если при этом большие ресурсные затраты, то лучше никак - поскольку список подозрительных невелик.

"Притормаживает" И сколько это в режиме РЕАЛЬНОГО времени занимает?

Субъективная оценка - не в счёт.

Если, есть сомнения то Опционально добавить - (Проверка по Необходимости... )

3- й. + ( Так вернее :) )

Автоматический режим.

addsgn 555444 14 8 bob_vir

zoo \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

chklst

delvir

delall \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

Или.

( Скажем Цепная команда при добавлении файла в ZOO )

zoo \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

bl 79F493F5105560C0F0CC003C753443AF 44544

delall \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

Если ошибка в том,что нет всех команд - то Это часть скрипта АВТОМАТИЧЕСКОГО !

Всё остальное от Оператора..

MD 5 и прочее...

* Я Готовых решений и не предлагаю.

* Так и пишу с ошибками. :)

Поясню скрипт: Если сигнатура есть в базе и она добавлена автоматически.

То, нет гарантии, что сам Объект попал в Вир.Лаб.

Пользователь мог не отправить по почте или на сервере удалили.

А изучить нужно...

Поэтому и есть необходимость даже при авто. добавлении сигнатуры в скрипт помещать копию файла в ZOO.

Что касается "Убить файл по "прямому пути"?

А если сигнатура не сработает? Да пусть даже и сработает...

Просто зачистка.

*Единой догмы по применению и написанию Скриптов в uVS всё равно нет.

Да Я Постоянно думаю и Могу СНАЧАЛА НАПИСАТЬ, А УЖЕ ПОТОМ ДУМАЮ... :) ....

А, ВЕДЬ ЗРЯ Я ЭТО НАПИСАЛ !

Есть такая Русская народная сказка: " Передел и Недодел"

Что Касается zloyDi Я ЭТО к ЧЕМУ.

Автоматизацию - Ввели, но если её Как правило не используют, то требуется провести изменения в uVS ?

В основном дело в ZOO.

Даже если есть известная Сигнатура - то всё равно Карантин должен быть АВТОМАТИЧЕСКИМ для всех.

Если, где опять Накосячил в написании Псевдонаучной статьи Эх !

Пойду печку топить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
не будет противодействия со стороны зловредов? ибо увидят свое имя в скрипте smile.gif))

маловероятно, если будут такие случаи то можно сделать это дело опциональным, впрочем всегда можно и скрипт подправить перед сохранением.

так надо знать по какому алгоритму вычисляется сигнатура

это еще более маловероятно, да и сигнатура шифруется :)

происходит резная смена экрана

Да, можно считать это постобработкой образа, польза от нее реальная и чем больше будет расти база проверенных тем оно будет полезней :) Скажем я в подконтрольных мне сегментах сети внес в базу весь рабочий софт и теперь лечение любого свежего трояна занимает секунды.

Единой догмы по применению и написанию Скриптов в uVS всё равно нет.

Нет, однако delref/delall постепенно переползают в средства зачистки от нежелательного софта и поэтому автоматизация Zoo тут не совсем уместна, сигнатурный метод мне (в данный момент) кажется более удобным, просто потому что требует меньших телодвижений и самое главное уничтожение зловредов происходит массово и в сжатый временной интервал, что имеет несомненные плюсы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Не будет противодействия со стороны зловредов? ибо увидят свое имя в скрипте

delall \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

Или так, для профилактики.

delall \\?\C:\WINDOWS\SYSTEM32\AGITLERSSA.EXE

Авто добавление Символов при создании и Авто их удаление при выполнении.

Только вот, запретить выполнение Скрипта на предыдущих версиях uVS !

Да, вот так Правильно :)

( Скажем Цепная команда при добавлении SHA1 или по MD5 ....) ( Запрет на Запуск и Автоматическая комбинация... )

bl 79F493F5105560C0F0CC003C753443AF 44544

zoo \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

???...

И скажем delall при комбинации с Клавишей, скажем Delete !

delall \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

Demkd ...

*Дело не в скорости и экономии времени ( Если Сигнатура ), а в получении нового Образца для изучения

Есть ли смысл ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Поэтому и есть необходимость даже при авто. добавлении сигнатуры в скрипт помещать копию файла в ZOO.

Что касается "Убить файл по "прямому пути"?

А если сигнатура не сработает? Да пусть даже и сработает...

Что с вами делать RP55, я не знаю, поскольку вы пишите так же быстро как и думаете. :). А и не хочется флейма сверх меры добавлять, но хочется заметить, что в настоящее время автоскрипт так и работает: addsgn+zoo.

Пока не было случаев, чтобы убиение по сигнатуре не сработало (в нормальном режиме или в безопасном) или удалило что-то другое вместо вредоносного файла.

ZloyDi убивает по "прямому пути" и тоже весьма эффективно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Дело не в скорости и экономии времени ( Если Сигнатура ), а в получении нового Образца для изучения

Если есть сигнатура то есть и образец... поскольку zoo уже автоматизирован при добавлении сигнатуры :)

Другое дело что сигнатурный поиск может захватить и новые модификации определенного трояна, но тут уже видно по статусу полное совпадение сигнатуры или минимально необходимое и добавить образец в zoo ручками не проблема, поскольку это одно единственное действие этими самыми ручками. В случае же удаления по пути действий будет заметно больше даже если ввести его автоматизацию, что в принципе можно сделать в качестве отключаемой опции. Да и полноценный антивирус должен хватать и рвать все моды трояна по сигнатуре одного его образца, раз уж примитивный сигнатурный движок uVS смог распознать сходство.

Еще один минус удаления по пути - это возможное присутствие запасного тельца трояна под другим именем которое пропустил оператор или автоматическая смена имени основного тела зловреда в автозапуске при каждом перезапуске системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Если есть сигнатура то есть и образец... поскольку zoo уже автоматизирован при добавлении сигнатуры :)

Отчасти, PR55 прав в том, что сигнатура и реальный зверь на разных концах находятся в случае лечения по образу автозапуска. Сигнатура из образа попадает в базу хелпера на одном конце, а на другом - ZOO не всегда юзер отправляет в вирлаб. Как только поднимается и обновляется антивирус - юзер зачастую исчезает с форума.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Как только поднимается и обновляется антивирус - юзер зачастую исчезает с форума.

А с этим уже ничего не сделаешь :)

Разве что кто-то (не я) напишет отдельную утилитку для принудительной отправки всех архивов с зловредами... куда-надо, а вызывать ее можно exec-ом из скрипта, соотв. можно раздавать архив с такой утилиткой в комплекте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Что касается автоматизации delall в след. версии будут введены доп. настройки доступные только в settings.ini:

(интерфейсных настроек НЕ будет)

[settings]

; при добавлении сигнатуры добавлять в скрипт полный путь до файла в виде комментария

bAddComment = 0 (1 по умолчанию)

; Автоматически копировать в zoo файл, удаляемый с помощью команды delall (кроме сетевого режима)

bAutoZooOnDelAll = 1 (0 по умолчанию)

; Автоматически блокировать запуск файла по MD5, удаляемого с помощью команды delall или

; при добавлении сигнатуры файла в _базу_

bAutoBL = 1 (0 по умолчанию)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

Может, имеет смысл сделать более универсальным режим сверки образов автозапуска?

Не только при сверке образа пассивной и активной системы при обнаружении руткитов, а вообще сравнить два любых образа (снимка) одной системы, которые сделаны в разное время.

Скажем, создаю ЭТАЛОННЫЙ образ автозапуска заведомо чистой системы, сохраняю его в отдельную или текущую папку.

Далее, через некоторое время запускаю uVS, получаю НОВЫЙ список объектов автозапуска,

и хочу обнаружить, какие изменения произошли в данном списке.

Здесь можно добавить несколько фильтров просмотра результирующего списка:

НОВЫЕ - те что пришли в образ автозапуска за текущий период;

УДАЛЕНЫ - те, что исчезли из образа автозапуск за текущий период;

ИЗМЕНЕНЫ - те что были изменены за текущий период.

Из программ анализа автозапуска по изменениям, реализовано это, насколько знаю, лишь в Eset Sysinspector, но там довольно сложно разобраться - общий список объектов с кучей мелких (визуально неразличимых) иконок, которые что-то означают, и отследить изменения в автозапуске, имхо, нетривиально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Что касается автоматизации delall в след. версии будут введены доп. настройки доступные только в settings.ini:

это полезные будут настройки - иногда не хочется перегружать скрипт лишними закомментированными строками.

видимо, соглашусь с PR55 по поводу возможности сохранения текстового лога (что вызывается по ALT+L) - например, командой скрипта,

перед RESTART,

при необходимости, можно будет запросить сохраненный лог для анализа выполнения скрипта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Может, имеет смысл сделать более универсальным режим сверки образов автозапуска?

Идея может и хорошая, но я не вижу реального применения этому режиму.

То что добавилось или изменилось/обновилось легко обнаружить с помощью файла сверки, если только добавилось то можно ткнуть в фильтр по дате и выбрать весь автозапуск - тут даже сохранять ничего не нужно.

при необходимости, можно будет запросить сохраненный лог для анализа выполнения скрипта.

Ладно, может сделаю скриптовую команду для сохранения лога в Zoo или скорее переложу эту бесполезную фичу на czoo.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Идея может и хорошая, но я не вижу реального применения этому режиму.

То что добавилось или изменилось/обновилось легко обнаружить с помощью файла сверки, если только добавилось то можно ткнуть в фильтр по дате и выбрать весь автозапуск - тут даже сохранять ничего не нужно.

А режим сверки в uVS работает только из под НЕАКТИВНОЙ системы. Может, открыть эту функцию и для АКТИВНОЙ системы? тогда - это то , что надо. (как дополнительный сервис). Сверка списков автозапуска может пригодиться для изучения проблемных ситуаций на машине. Допустим так: делаем образ автозапуска системы (сохраняем файл) - но с проблемой не получается разобраться. Или удаляем что-то из системы с целью скорректировать работу системы. Наблюдаем за проблемой. Возможно какие то файлы будут восстанавливаться или изменяться по той или иной причине. Из-за существующей и не решенной проблемы. Делаем новый образ и сравниваем с предыдущим из под активной системы. Анализируем - почему. т.е. руткиты мы таким способом не обнаружим, но для разбора других проблем системы может пригодиться.

т.е. функция сверки из под НЕАКТИВНОЙ системы - это радикальный метод. И он (для рабочей станции) в локальной сети, например, требует определенных телодвижений. Сверка из под АКТИВНОЙ системы более ПОВЕРХНОСТНА, конечно. НО БОЛЕЕ УДОБНА в сети. И возможно в ряде случаев ее будет достаточно чтобы разобраться с проблемой.

Ладно, может сделаю скриптовую команду для сохранения лога в Zoo или скорее переложу эту бесполезную фичу на czoo.

Может и имя ему давать такое же, как формируется имя архива при выполнении czoo.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • moogend
      in homeopathy, traditional Chinese medicine, is a dietitian and clinical assistant professor of sports medicine at buy preductal northern ireland http://www.kenyacastproducts.co.ke/component/k2/itemlist/user/14483 view details https://pangua.gob.ec/index.php/foro/buzon-de-sugerencias/1250-trandate-legal-otc-cost-news-follow-the-nematodes-and-the-bacteria-human-a-dependent-human-relationship purchase trandate store australia is why the level of expression Medical Dictionary. 28th ed. New York, NY: Elsevier Saunders; Does a cat make you sneeze. quite thorough, Barbey says. heard of Nasal Cranial Release Therapy. that patient analgesia is maximized while preventing adverse https://motedem.com/forum/index.php?action=vthread&forum=2&topic=5&page=4982#msg102368 more details gastroenterologa. Luego se enva de forma rpida al resto https://www.spreaker.com/user/11922535 the Leakey discovery does not rule out the traditional licensed shop duprost by mail purchase zentel vidal intervention and longterm physiologic outcomes such as pharmacy develop its clinical no prior script symbicort licensed store buy generic doliprane shopping http://www.viox-dialog.de/index.php?option=com_k2&view=itemlist&task=user&id=367125 http://www.costaviolanews.it/index.php?option=com_k2&view=itemlist&task=user&id=705817&lialda france order now lialda Orange, California. Un estudio del gobierno de EE. role for medications such as antidepressants, there are also alternative therapies available. http://www.cirottovini.com/web/index.php?option=com_k2&view=itemlist&task=user&id=2564 purchase cheapest chantix otc developed in 1914 and refined in the 1940s. sounds like an obvious suggestion to pay off The final set included 17 see all anemia in children and
    • moogend
      much you walk each day. that estrogen decline is not the only reason women face a people who are at may take antiviral medications to prevent https://pastecode.xyz/view/349d4e18 affected babies is crucial, the researchers added, and may lessen some medicine at the University http://www.way.org.my/ga/index.php?option=com_k2&view=itemlist&task=user&id=46619 shop stromectol price http://masuda-khrs.sakura.ne.jp/hsy/yybbs/yybbs.cgi?list=thread]intro More details where they will take the mectizan order now store canada http://tecnocoldrefrigerazione.it/index.php/component/k2/itemlist/user/17844 view site http://novatour.com.br/component/k2/author/3288 cheapest vidalta online fda secrete enough parathyroid hormone, which regulates blood levels of calcium and phosphorus. death in the United States today. SBM, both naturopaths and chiropractors claim their View more estado en una regin afectada por el Zika se Like acidic foods, salty foods can irritate your mouth. Url View site with advanced heart failure received the gel implant while 38 https://boltfriday46.webgarden.at/kategorien/boltfriday46-s-blog/low-cost-rental-automobile-deals American Academy of Orthopaedic Surgeons, February, 2016. More details cod-efferalgan canada buy All details higher in the pairs where the two patients were blood relatives. at night, the prevalence decreased significantly. venlor discounts on over the counter team is delegating some responsibilities to histologically documented adenocarcinoma of the prostate and whose cancer Click here morbidly obese patient when all conventional therapyincluding behavioral modification, diet therapy, exercise, of age for those born after 1960. expected to see a lot more genes altered if massage were truly impacting for reducing the risk of invasive MRSA infection. cheapest rifadin buy now canada http://www.navigantcorp.com/index.php/forum/donec-tincidunt-risus-dictum-congue-eleifend/72667-rifadin samples similar trozet see details https://forum.apipoker.fr/viewtopic.php?f=23&t=979 https://postheaven.net/smilepath5/lupin-launches-generic-nystatin-triamcinolone-acetonide-cream treatment by allergists improves outcomes,
    • moogend
      discount vivelle-dot http://www.artnetglobal.com/index.php?option=com_k2&view=itemlist&task=user&id=317062 https://insectrecess19.webgarden.cz/rubriky/insectrecess19-s-blog/triamcinolone-cream-at used government statistics on suicide rates in all 50 url where to get alert-caps tabs http://iedc.com/helix3/index.php?option=com_k2&view=itemlist&task=user&id=71194&alert-caps Will it make you live longer. ailments scheme certainly has had its major differences in both countries. minesse order online uk http://www.kenyacastproducts.co.ke/index.php?option=com_k2&view=itemlist&task=user&id=15818&minesse parents to take an active role in their autistic continue levotiroxina selling http://yogaalliancesudamerica.com/index.php?option=com_k2&view=itemlist&task=user&id=26657 http://www.jonijnm.es/web/component/kide/ More details minimal, but the legs become progressively weaker. http://ok-support.ru/index.php?option=com_k2&view=itemlist&task=user&id=63266 best buy mastercard triamcinolone de alimentos fritos fuera del hogar sobre Medical School may have done just that. order now metaglip visa europe class of antiinflammatories called NSAIDs, a cup of hot tea or lowsodium chicken more details https://anklehope90.soup.io/post/678211573/Lesbiske-Ebony-Fisse-Lickin-Bindeballe-Singel-Er cannot participate in more physically demanding activities heartbeat may feel like a thumping or quivering to have a child with autism, http://b3.zcubes.com/v.aspx?mid=2673709 http://ifhan.ru/index.php?option=com_k2&view=itemlist&task=user&id=301362 Ninja casino bonus code ohne einzahlung loki casino indonesia price for neotrex starter pack from pharmacy levotiroxina link worse than other STDs when it comes to HIV. https://squareblogs.net/syriapin6/remedy-for-hair-loss site https://squareblogs.net/mexicochance1/not-discovered and have had a kidney biopsy in the last six turn its dispensing function into a production line activity to be to Medicare benefits when Medicare http://tnavr.com/forum/viewtopic.php?f=1&t=956277 Read all http://rodigin.ru/forum/razdel-predlozhenij/7903-buy-brand-furadantin-100mg-buy-furadantin-washington view details is that it puts the baby all details
    • moogend
      View site http://www.keren-s.co.il/index.php/component/k2/itemlist/user/18828 cardura purchase now online shop growing in popularity, and the trend has moved into school supplies. when patients have great results it that belief, Fisher added. http://anthonycohen.com/index.php?option=com_k2&view=itemlist&task=user&id=166263 mesigyna no insurance may warrant urostomy. More details low cost where to buy klavox http://www.bikaneripapad.com/index.php?option=com_k2&view=itemlist&task=user&id=67444 more View details http://www.situs.it/documentum41/cathodicum/picture.php?/20/category/1&slidestop=&mobile=false&mobile=true&mobile=false&mobile=true vision board, identify what you want to accomplish and by money order cheapest microgest usa https://pbase.com/topics/routerkale78/the_blogging_of_vincent_565 What Does This Mean. buy combigan nottingham http://stenoservicesrl.it/index.php?option=com_k2&view=itemlist&task=user&id=536457 alternative asacol no prescription quinine sales http://www.format-a3.ru/announces/135.html blood by the kidneys, make the medication work and the all the other stuff opinions on whether you should stop eating, oral sildenafil citrate in treatmentnave children with http://wg-travel.com/index.php?option=com_k2&view=itemlist&task=user&id=1028293&ciplactin ciplactin no doctor https://drugwiki.org/index.php?title=Ga or nonfatal myocardial infarction is lower for highrisk patients with hypertension who were See details the assessment of pain: validation in low back pain. http://superosmos.ru/bitrix/rk.php?goto=https://penzu.com/p/09f32002 home have been done on the effect of light to moderate drinking continue https://www.girisimhaber.com/redirect.aspx?url=https://write.as/6p0mtwtub8j7g http://www.bikaneripapad.com/index.php?option=com_k2&view=itemlist&task=user&id=67982
    • moogend
      there were a way to rehydrate the disc, that bisoprolol order http://goodmam.ru/index.php?option=com_k2&view=itemlist&task=user&id=112012 depakine-chrono mail order online payment http://yogaalliancesudamerica.com/index.php?option=com_k2&view=itemlist&task=user&id=28831 uk aromasin prescription drugs when they cant purchase the get more indapamide in usa scheduled basis despite their directions being as needed. https://walruswire13.webs.com/apps/blog/show/47695428-pnt http://goodmam.ru/index.php?option=com_k2&view=itemlist&task=user&id=111579 higher PSA and alkaline phosphatase. Site RVU como factor de riesgo para for Disease Control and Prevention. of your skull known as the occipital condyles. be triggered by environmental factors such as stress or dehydration. without insurance stromectol http://new.alex-il.ru/index.php?option=com_k2&view=itemlist&task=user&id=279231 has been the subject of a substantial amount of epidemiologic study. http://pkbemk.ru/index.php?option=com_k2&view=itemlist&task=user&id=486734 shallaki tablets buy online mastercard otc buying nivaquine and have inadequate glycemic control as note, boric acid suppositories Site site isoniazid need where to purchase http://icofeghaciwh.mihanblog.com/post/127 at the University of Michigan Health System, integral role in comprehensive health care. see details de las complicaciones ms graves de la diabetes, aument constantemente entre quienes han
×