Перейти к содержанию

Recommended Posts

demkd
или данный файл ВРЕМЕННО на период сессии уходит из списка подозрительных?

Временно до выхода или сброса статуса проверенного.

Если надо на постоянку то есть соотв. команда в контекстном меню, но тогда уже мою базу нужно будет не копировать а импортировать для сохранения своих хэшей.

Или нужен дополнительный твик - восстановление ассоциаций на исполняемые файлы?

Это я уже сделал и релиз как бы готов, поскольку уже приставали с твиком на прошлой неделе, но мне че-то лень было собирать дистрибутив, игрушки одолели :) но в принципе могу завтра релизнуть 3.33 если срочно надо.

...А в некоторых случаях проблему решает файл _unlock.inf идущий в комплекте, если использован простой блок прописанный в ключе Explorer-а

в данном случае - в автозапуске svchost.exe (путь стандартный) определяется как вредоносная программа,

а не нужно верить глазам, нужно верить uVS :)

причем не в том смысле что файл поддельный или зараженный, а в том что имя файла НЕ svchost.exe

трояны давно используют левые (в т.ч. и русские) символы похожие на английские буквы в результате при проверке глазками получается что файл системный и лежит где надо... но почему-то их два, а то и три с "одинаковым" именем. Поэтому как его в uVS не удаляй системный файл затронут не будет, убит будет только зловред.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Временно до выхода или сброса статуса проверенного.

Если надо на постоянку то есть соотв. команда в контекстном меню, но тогда уже мою базу нужно будет не копировать а импортировать для сохранения своих хэшей.

Так нормально. Просто раньше была некоторая путаница понятий: список проверенных, база проверенных файлов. Сейчас четче уяснил, что база проверенных - это файл sha1, а список проверенных - это динамический список файлов, имеющих статус ПРОВЕРЕННЫЙ, т.е. прошедших проверку по списку sha1 или вручную, по функции ПРОВЕРЕН в окне "информация".

Я для себя веду параллельный список sha1_user (приложения от eset, например, разных версий), который импортирую в базовый список разработчика, по мере его выхода.

Это я уже сделал и релиз как бы готов, поскольку уже приставали с твиком на прошлой неделе, но мне че-то лень было собирать дистрибутив, игрушки одолели :) но в принципе могу завтра релизнуть 3.33 если срочно надо.

Видимо, есть необходимость в этом выпуске - у нас был второй случай нарушения ассоциаций.

а не нужно верить глазам, нужно верить uVS :)

причем не в том смысле что файл поддельный или зараженный, а в том что имя файла НЕ svchost.exe

трояны давно используют левые (в т.ч. и русские) символы похожие на английские буквы в результате при проверке глазками получается что файл системный и лежит где надо... но почему-то их два, а то и три с "одинаковым" именем. Поэтому как его в uVS не удаляй системный файл затронут не будет, убит будет только зловред.

А есть возможность ВСКРЫТЬ эту подмену символов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1.В скрипт автоматически добавлять не только сигнатуру объекта НО ! и его "Текущее" Имя из списка: "Подозрительные и вирусы".

Это необходимо в случае последующего анализа самого скрипта.

Анализ - почему Скрипт не сработал, так, как планировалось,проверка ошибок.

Ориентироваться по Имени удобнее,чем по Сигнатуре.

2.Ввести возможность Индикации.

"Скрыть проверенные" Звучит, несколько двусмысленно...

Кроме того, Зачем скрывать,если есть необходимость в Присутствии объекта в списке.

Скажем для Визуального сравнения, по схожим именам Объектов Одного производителя.

Например в случае повреждения файла/отсутствия цифровой подписи.

В ряде случаев в этом есть смысл - Особенно на начальном этапе работы/обучения uVS.

*Возможно это и неэффективно но...

3."ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске"

Прекрасно,что программа проводит автоматический анализ списка.

*Значит все Легитимные варианты ей известны ...

Предлагаю ввести возможность Самостоятельного - Визуального просмотра Всех... Легитимных Значений/Параметров.

Суть: При Автоматической обработке, есть риск потери квалификации персоналом.

Особенно у начинающих или недавно прошедших обучение сотрудников.

*Для потери Квалификации достаточно 4 месяцев.

Не факт,что это произойдёт, однако...

Это, Актуально и в Свете повышенного Интереса к программе со стороны пользователей. ( Число просмотров ресурса ) :rolleyes:

Это, Актуально в перспективе, с выходом Windows 8. ( Обучение )

Windows XP/Vista/7/8 ( Всё помнить...) :facepalm:

* Никаких принципиальных изменений при этом в uVS не произойдёт.

Но как говорил Пётр I, Вижу...

4.скрытый системный. Следует писать так: СКРЫТЫЙ СИСТЕМНЫЙ.

Мелкий и типичный.шрифт.затрудняет.восприятие. :)

5.В Папку ZOO, Автоматически добавлять: Открытый, Программный отчёт uVS,о ходе выполнения скрипта/+-/сбой.

6.Я предлагал ввести предупреждение при наличие не читаемых символов в списке...

Но, это предложение было отклонено " В Windows нет ни читаемых - Уникоддс..."

Я имел в виду не читаемых для Оператора PC!. :)

7.Возможность проверять состояние ключей реестра,на проблемной машине.

Это дополнение к Пункту №5.

Сохранять значение сбойных/изменённых значений - Основных - параметров в txt формате.

Это даст дополнительную информацию для анализа.

8.Проверка HDD, на наличие неизвестной структурированной, файловой системы - простое Информирование Оператора.

Возможность временной блокировки доступа к периферийным областям HDD ?

9.Как написал SANTY: Определение Подмены Языковых Символов ( С информированием пользователя во избежание...! )

a,e,о,p...

10."Размер 2889424 байт"

Это замечательно, можно определить точные параметры ! Однако...

Так будет практичнее 2889424/2889/2.9mb

*Если, что написал не точно, то значит так тому и быть... ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

выскажу свое отношение к некоторым предложениям PR55

1.В скрипт автоматически добавлять не только сигнатуру объекта НО ! и его "Текущее" Имя из списка: "Подозрительные и вирусы".

может и имеет смысл добавить после команды addsgn закоментированную строку с именем файла, но с другой стороны, на одну сигнатурку может попасть несколько файлов. Так же для анализа скриптов (ЕСЛИ КОМУ ИНТЕРЕСНО) можно обмениваться с ХЕЛПЕРОМ сигнатурными базами, тогда все будет видно - какая сигнатура какой файл "спалила".

5.В Папку ZOO, Автоматически добавлять: Открытый, Программный отчёт uVS,о ходе выполнения скрипта/+-/сбой.

имхо, лучший отчет о выполнении скрипта - это новый образ автозапуска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
А есть возможность ВСКРЫТЬ эту подмену символов?

В смысле автоматом добавлять в подозрительные? Это конечно можно, однако ведь есть масса софтописателей, что используют в именах файлов символы отличные от ASCII... хотя можно сделать подобный детект опциональным.

А вот как-то опеределять похожие по написанию имена - это уже тяжелей, ибо Unicode 6-й версии уж очень большой...

Анализ - почему Скрипт не сработал, так, как планировалось,проверка ошибок.

Это можно в виде комментария.

Кроме того, Зачем скрывать,если есть необходимость в Присутствии объекта в списке.

Скрыть смысл есть, а вот зачем-то засорять список проверенными и увеличивать время копания в нем нет совершенно.

Предлагаю ввести возможность Самостоятельного - Визуального просмотра Всех... Легитимных Значений/Параметров.

Список известных можно легко просмотреть.

6.Я предлагал ввести предупреждение при наличие не читаемых символов в списке...

Но, это предложение было отклонено " В Windows нет ни читаемых - Уникоддс..."

Я имел в виду не читаемых для Оператора PC!. smile.gif

В том то и дело, что они все читаемые, тут надо подумать.

Сохранять значение сбойных/изменённых значений - Основных - параметров в txt формате.

Лень.

8.Проверка HDD, на наличие неизвестной структурированной, файловой системы - простое Информирование Оператора

Это совсем лень и мало того будет безумно долго работать... если вообще будет работать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
В смысле автоматом добавлять в подозрительные? Это конечно можно, однако ведь есть масса софтописателей, что используют в именах файлов символы отличные от ASCII... хотя можно сделать подобный детект опциональным.

А вот как-то опеределять похожие по написанию имена - это уже тяжелей, ибо Unicode 6-й версии уж очень большой...

Да, если возможно, вынести его в настройки, чтобы по желанию можно было подключать данные проверки. Может, выбрать для проверки список системных файлов, которые чаще всего подменяются: svchost.exe, userinit.exe, lsass.exe, winlogon.exe, explorer.exe?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Да, если возможно, вынести его в настройки, чтобы по желанию можно было подключать данные проверки. Может, выбрать для проверки список системных файлов, которые чаще всего подменяются: svchost.exe, userinit.exe, lsass.exe, winlogon.exe, explorer.exe?

Если делать то для всех, без полумер.

Велика вероятность пропустить "Очевидное - Невероятное" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Цитируя самого себя:

В скрипт автоматически добавлять не только сигнатуру объекта НО ! и его "Текущее" Имя из списка: "Подозрительные и вирусы".

А если рассмотреть в таком виде: Автоматически...

1- й. Скрипт

addsgn 555444 14 bl

delall \\?\C:\WINDOWS\SYSTEM32\MSSPAINT.EXE

2- й. Скрипт

addsgn 555444 14 bl

delall \\?\C:\WINDOWS\SYSTEM32\SIMANSS.EXE

*Если автоматизировать, то по полной программе!

А ещё лучше так... :)

3- й.

addsgn 555444 14 bl

delall \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

zoo \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

czoo

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Список известных можно легко просмотреть.

Можно.

Но Речь о другом ! :)

Информацию добавить сюда: "Информация"

Возможные Легитимные пути С:**\****\.... ( Все )

Стандартные значения Реестра для Объекта.

Стандартный/размер/размеры 2888 bt ....

Это, Кардинально отличается от того,что есть на данный момент.

Но можно добавить информацию и в список известных.

Только, как мне кажется это будет менее практично.

Или распределить информацию по актуальности.

Перечислять повторно аргументы к этому предложению не буду.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Если делать то для всех, без полумер.

Велика вероятность пропустить "Очевидное - Невероятное" :)

уже сейчас автоматическая проверка по базе sha1 притормаживает загрузку списка подозрительных (оставляю эту проверку только в функции ПРОВЕРИТЬ СПИСОК), поэтому исходить нужно таким образом - лучше меньше, да лучше_быстрее, а если при этом большие ресурсные затраты, то лучше никак - поскольку список подозрительных невелик.

Цитируя самого себя:

В скрипт автоматически добавлять не только сигнатуру объекта НО ! и его "Текущее" Имя из списка: "Подозрительные и вирусы".

А если рассмотреть в таком виде: Автоматически...

1- й. Скрипт

addsgn 555444 14 bl

delall \\?\C:\WINDOWS\SYSTEM32\MSSPAINT.EXE

PR55, вы похоже так и не прочитали документацию по программе.

Какой смысл добавлять сигнатуру файла, если вы хотите убить файл по "прямому пути"?

Смысл моего предложения сводится лишь к внесению комментария в скрипт.

addsgn 555444 14 bl

; \\?\C:\WINDOWS\SYSTEM32\MSSPAINT.EXE

в этом случае, вы будете знать, какой файл из системы будет удален по данной сигнатуре.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
PR55, вы похоже так и не прочитали документацию по программе.

Вот как пишет ВСЕ скрипты zloyDi

;uVS v3.32 script [http://dsrt.jino-net.ru | http://dsrt.dyndns.org]

zoo \\?\C:\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\CHKNTFS.EXE

bl 775DF5D6DE85E54A0FAD5E6E58C7CF33 71680

delall \\?\C:\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\CHKNTFS.EXE

zoo \\?\C:\WINDOWS\SYSTEM32\REKBZSC.EXE

bl 5837CF56CD56ACEBDCEE0E1B36DDD5A6 156616

delall \\?\C:\WINDOWS\SYSTEM32\REKBZSC.EXE

delnfr

regt 12

regt 13

regt 14

deltmp

restart

Или другой пример:

;uVS v3.31 script [http://dsrt.jino-net.ru | http://dsrt.dyndns.org]

zoo \\?\C:\WINDOWS\SYSTEM32\AF90B9F1.EXE

bl 79F493F5105560C0F0CC003C753443AF 44544

delall \\?\C:\WINDOWS\SYSTEM32\AF90B9F1.EXE

zoo \\?\C:\WINDOWS\SYSTEM32\FYDNVKN.EXE

bl 100AD308FB55F50C39472238DDFD6E7D 149504

delall \\?\C:\WINDOWS\SYSTEM32\FYDNVKN.EXE

zoo \\?\C:\WINDOWS\SYSTEM32\KFEXMXY.EXE

bl E2068F5620FF15A31191BCC38989BC8D 175104

delall \\?\C:\WINDOWS\SYSTEM32\KFEXMXY.EXE

delall \\?\C:\WINDOWS\SYSTEM32\OPKJDKW.EXE

delnfr

regt 12

regt 13

regt 14

deltmp

restart

Я так понимаю,что он тоже не читал...!

Кроме того, я показал примеры, а не реальные фрагменты скриптов.

Да в том, что я написал 1. ошибка есть.

"Почему мой самолёт не Летает? - Это Сувенир!"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

v 3.33

Релиз, чего было не лень добавил.

Проверка на левые символы неотключаемая, поскольку побочных эффектов не замечено, потерь в производительности практически нет.

o Добавлен твик #22 "Восстановить из копии параметры запуска файлов".

Восстанавливаются из бэкапа ключи Classes\exefile, Classes\.exe и еще 14 основных типов файлов.

o В меню "Запустить" добавлен пункт "Управление сервисами".

(В случае работы с удаленной системой в открывшемся окне выберите в меню

"Действие->Подключится к другому компьютеру" и введите имя или ip нужного компьютера)

o Улучшена функция анализа имен файлов, теперь файлы с чередованием в имени некоторых

ASCII и NON-ASCII символов считаются подозрительными.

o Теперь при добавлении сигнатуры в скрипт помещается полный путь до файла в виде комментария.

уже сейчас автоматическая проверка по базе sha1 притормаживает

Зато значительно экономит время при последующей проверке за счет отсева ложноподозрительных :)

Стандартные значения Реестра для Объекта.

Это мне ни к чему, а тем кому интересно почитают книгу о реестре Windows.

uVS НЕ для начинающих и никогда не станет таковым.

Стандартный/размер/размеры 2888 bt ....

Нет никаких стандартных размеров, версий одного и того же системного файла море.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
v 3.33

Релиз, чего было не лень добавил.

ок, проверим.

o Теперь при добавлении сигнатуры в скрипт помещается полный путь до файла в виде комментария.

не будет противодействия со стороны зловредов? ибо увидят свое имя в скрипте :)))

А вот по сигнатуре не смогут себя узнать, так надо знать по какому алгоритму вычисляется сигнатура.

Зато значительно экономит время при последующей проверке за счет отсева ложноподозрительных :)

учту. смутил тот факт, что происходит резная смена экрана: скажем при появлении uVS виден один список, затем резко появляется другой после завершения проверки.

Нет никаких стандартных размеров, версий одного и того же системного файла море.

Вот человеку мало контрольных сумм: sha1, md5 еще надо и размер файла записать.

Вот как пишет ВСЕ скрипты zloyDi

ZloyDi, конечно, респект за виртуозную работу с uVS и другими инструментами лечения.

"Почему мой самолёт не Летает? - Это Сувенир!"

Вот и вы чаще практикуйте написание скриптов в uVS, чтобы лучше уяснить тонкости в работе uVS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Уже сейчас автоматическая проверка по базе sha1 притормаживает загрузку списка подозрительных (оставляю эту проверку только в функции ПРОВЕРИТЬ СПИСОК), поэтому исходить нужно таким образом - лучше меньше, да лучше_быстрее, а если при этом большие ресурсные затраты, то лучше никак - поскольку список подозрительных невелик.

"Притормаживает" И сколько это в режиме РЕАЛЬНОГО времени занимает?

Субъективная оценка - не в счёт.

Если, есть сомнения то Опционально добавить - (Проверка по Необходимости... )

3- й. + ( Так вернее :) )

Автоматический режим.

addsgn 555444 14 8 bob_vir

zoo \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

chklst

delvir

delall \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

Или.

( Скажем Цепная команда при добавлении файла в ZOO )

zoo \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

bl 79F493F5105560C0F0CC003C753443AF 44544

delall \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

Если ошибка в том,что нет всех команд - то Это часть скрипта АВТОМАТИЧЕСКОГО !

Всё остальное от Оператора..

MD 5 и прочее...

* Я Готовых решений и не предлагаю.

* Так и пишу с ошибками. :)

Поясню скрипт: Если сигнатура есть в базе и она добавлена автоматически.

То, нет гарантии, что сам Объект попал в Вир.Лаб.

Пользователь мог не отправить по почте или на сервере удалили.

А изучить нужно...

Поэтому и есть необходимость даже при авто. добавлении сигнатуры в скрипт помещать копию файла в ZOO.

Что касается "Убить файл по "прямому пути"?

А если сигнатура не сработает? Да пусть даже и сработает...

Просто зачистка.

*Единой догмы по применению и написанию Скриптов в uVS всё равно нет.

Да Я Постоянно думаю и Могу СНАЧАЛА НАПИСАТЬ, А УЖЕ ПОТОМ ДУМАЮ... :) ....

А, ВЕДЬ ЗРЯ Я ЭТО НАПИСАЛ !

Есть такая Русская народная сказка: " Передел и Недодел"

Что Касается zloyDi Я ЭТО к ЧЕМУ.

Автоматизацию - Ввели, но если её Как правило не используют, то требуется провести изменения в uVS ?

В основном дело в ZOO.

Даже если есть известная Сигнатура - то всё равно Карантин должен быть АВТОМАТИЧЕСКИМ для всех.

Если, где опять Накосячил в написании Псевдонаучной статьи Эх !

Пойду печку топить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
не будет противодействия со стороны зловредов? ибо увидят свое имя в скрипте smile.gif))

маловероятно, если будут такие случаи то можно сделать это дело опциональным, впрочем всегда можно и скрипт подправить перед сохранением.

так надо знать по какому алгоритму вычисляется сигнатура

это еще более маловероятно, да и сигнатура шифруется :)

происходит резная смена экрана

Да, можно считать это постобработкой образа, польза от нее реальная и чем больше будет расти база проверенных тем оно будет полезней :) Скажем я в подконтрольных мне сегментах сети внес в базу весь рабочий софт и теперь лечение любого свежего трояна занимает секунды.

Единой догмы по применению и написанию Скриптов в uVS всё равно нет.

Нет, однако delref/delall постепенно переползают в средства зачистки от нежелательного софта и поэтому автоматизация Zoo тут не совсем уместна, сигнатурный метод мне (в данный момент) кажется более удобным, просто потому что требует меньших телодвижений и самое главное уничтожение зловредов происходит массово и в сжатый временной интервал, что имеет несомненные плюсы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Не будет противодействия со стороны зловредов? ибо увидят свое имя в скрипте

delall \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

Или так, для профилактики.

delall \\?\C:\WINDOWS\SYSTEM32\AGITLERSSA.EXE

Авто добавление Символов при создании и Авто их удаление при выполнении.

Только вот, запретить выполнение Скрипта на предыдущих версиях uVS !

Да, вот так Правильно :)

( Скажем Цепная команда при добавлении SHA1 или по MD5 ....) ( Запрет на Запуск и Автоматическая комбинация... )

bl 79F493F5105560C0F0CC003C753443AF 44544

zoo \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

???...

И скажем delall при комбинации с Клавишей, скажем Delete !

delall \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

Demkd ...

*Дело не в скорости и экономии времени ( Если Сигнатура ), а в получении нового Образца для изучения

Есть ли смысл ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Поэтому и есть необходимость даже при авто. добавлении сигнатуры в скрипт помещать копию файла в ZOO.

Что касается "Убить файл по "прямому пути"?

А если сигнатура не сработает? Да пусть даже и сработает...

Что с вами делать RP55, я не знаю, поскольку вы пишите так же быстро как и думаете. :). А и не хочется флейма сверх меры добавлять, но хочется заметить, что в настоящее время автоскрипт так и работает: addsgn+zoo.

Пока не было случаев, чтобы убиение по сигнатуре не сработало (в нормальном режиме или в безопасном) или удалило что-то другое вместо вредоносного файла.

ZloyDi убивает по "прямому пути" и тоже весьма эффективно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Дело не в скорости и экономии времени ( Если Сигнатура ), а в получении нового Образца для изучения

Если есть сигнатура то есть и образец... поскольку zoo уже автоматизирован при добавлении сигнатуры :)

Другое дело что сигнатурный поиск может захватить и новые модификации определенного трояна, но тут уже видно по статусу полное совпадение сигнатуры или минимально необходимое и добавить образец в zoo ручками не проблема, поскольку это одно единственное действие этими самыми ручками. В случае же удаления по пути действий будет заметно больше даже если ввести его автоматизацию, что в принципе можно сделать в качестве отключаемой опции. Да и полноценный антивирус должен хватать и рвать все моды трояна по сигнатуре одного его образца, раз уж примитивный сигнатурный движок uVS смог распознать сходство.

Еще один минус удаления по пути - это возможное присутствие запасного тельца трояна под другим именем которое пропустил оператор или автоматическая смена имени основного тела зловреда в автозапуске при каждом перезапуске системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Если есть сигнатура то есть и образец... поскольку zoo уже автоматизирован при добавлении сигнатуры :)

Отчасти, PR55 прав в том, что сигнатура и реальный зверь на разных концах находятся в случае лечения по образу автозапуска. Сигнатура из образа попадает в базу хелпера на одном конце, а на другом - ZOO не всегда юзер отправляет в вирлаб. Как только поднимается и обновляется антивирус - юзер зачастую исчезает с форума.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Как только поднимается и обновляется антивирус - юзер зачастую исчезает с форума.

А с этим уже ничего не сделаешь :)

Разве что кто-то (не я) напишет отдельную утилитку для принудительной отправки всех архивов с зловредами... куда-надо, а вызывать ее можно exec-ом из скрипта, соотв. можно раздавать архив с такой утилиткой в комплекте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Что касается автоматизации delall в след. версии будут введены доп. настройки доступные только в settings.ini:

(интерфейсных настроек НЕ будет)

[settings]

; при добавлении сигнатуры добавлять в скрипт полный путь до файла в виде комментария

bAddComment = 0 (1 по умолчанию)

; Автоматически копировать в zoo файл, удаляемый с помощью команды delall (кроме сетевого режима)

bAutoZooOnDelAll = 1 (0 по умолчанию)

; Автоматически блокировать запуск файла по MD5, удаляемого с помощью команды delall или

; при добавлении сигнатуры файла в _базу_

bAutoBL = 1 (0 по умолчанию)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

Может, имеет смысл сделать более универсальным режим сверки образов автозапуска?

Не только при сверке образа пассивной и активной системы при обнаружении руткитов, а вообще сравнить два любых образа (снимка) одной системы, которые сделаны в разное время.

Скажем, создаю ЭТАЛОННЫЙ образ автозапуска заведомо чистой системы, сохраняю его в отдельную или текущую папку.

Далее, через некоторое время запускаю uVS, получаю НОВЫЙ список объектов автозапуска,

и хочу обнаружить, какие изменения произошли в данном списке.

Здесь можно добавить несколько фильтров просмотра результирующего списка:

НОВЫЕ - те что пришли в образ автозапуска за текущий период;

УДАЛЕНЫ - те, что исчезли из образа автозапуск за текущий период;

ИЗМЕНЕНЫ - те что были изменены за текущий период.

Из программ анализа автозапуска по изменениям, реализовано это, насколько знаю, лишь в Eset Sysinspector, но там довольно сложно разобраться - общий список объектов с кучей мелких (визуально неразличимых) иконок, которые что-то означают, и отследить изменения в автозапуске, имхо, нетривиально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Что касается автоматизации delall в след. версии будут введены доп. настройки доступные только в settings.ini:

это полезные будут настройки - иногда не хочется перегружать скрипт лишними закомментированными строками.

видимо, соглашусь с PR55 по поводу возможности сохранения текстового лога (что вызывается по ALT+L) - например, командой скрипта,

перед RESTART,

при необходимости, можно будет запросить сохраненный лог для анализа выполнения скрипта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Может, имеет смысл сделать более универсальным режим сверки образов автозапуска?

Идея может и хорошая, но я не вижу реального применения этому режиму.

То что добавилось или изменилось/обновилось легко обнаружить с помощью файла сверки, если только добавилось то можно ткнуть в фильтр по дате и выбрать весь автозапуск - тут даже сохранять ничего не нужно.

при необходимости, можно будет запросить сохраненный лог для анализа выполнения скрипта.

Ладно, может сделаю скриптовую команду для сохранения лога в Zoo или скорее переложу эту бесполезную фичу на czoo.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Идея может и хорошая, но я не вижу реального применения этому режиму.

То что добавилось или изменилось/обновилось легко обнаружить с помощью файла сверки, если только добавилось то можно ткнуть в фильтр по дате и выбрать весь автозапуск - тут даже сохранять ничего не нужно.

А режим сверки в uVS работает только из под НЕАКТИВНОЙ системы. Может, открыть эту функцию и для АКТИВНОЙ системы? тогда - это то , что надо. (как дополнительный сервис). Сверка списков автозапуска может пригодиться для изучения проблемных ситуаций на машине. Допустим так: делаем образ автозапуска системы (сохраняем файл) - но с проблемой не получается разобраться. Или удаляем что-то из системы с целью скорректировать работу системы. Наблюдаем за проблемой. Возможно какие то файлы будут восстанавливаться или изменяться по той или иной причине. Из-за существующей и не решенной проблемы. Делаем новый образ и сравниваем с предыдущим из под активной системы. Анализируем - почему. т.е. руткиты мы таким способом не обнаружим, но для разбора других проблем системы может пригодиться.

т.е. функция сверки из под НЕАКТИВНОЙ системы - это радикальный метод. И он (для рабочей станции) в локальной сети, например, требует определенных телодвижений. Сверка из под АКТИВНОЙ системы более ПОВЕРХНОСТНА, конечно. НО БОЛЕЕ УДОБНА в сети. И возможно в ряде случаев ее будет достаточно чтобы разобраться с проблемой.

Ладно, может сделаю скриптовую команду для сохранения лога в Zoo или скорее переложу эту бесполезную фичу на czoo.

Может и имя ему давать такое же, как формируется имя архива при выполнении czoo.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Quinzy
      Новый телефончик не желаете приобрести для супруги ? Сейчас ожидается "Чёрная пятница" у Самсунга и товары можно будет приобрести со скидкой аж до 90%. Правда не думаю, что такая скидка будет на последние модели. Но на них тоже обещают существенное понижение цены. Почитайте тут https://bfday.ru/brendy/chernaya-pyatnica-v-samsung/ когда она проводится и какие ещё привилегии можно получить за участие в "Чёрной пятнице". А ваша любимая останется довольна на 100%. 
    • Quinzy
      Соглашусь со многими, что у нас техника есть нормальная, да и можно всегда подешевле её купить. Особенно в дни "Чёрной пятницы". Сейчас в конце ноября-начале декабря многие такие распродажи делают. Вот даже про ДНС https://bfday.ru/magaziny/chernaya-pyatnica-v-dns/ почитайте, у них тоже скоро будут хорошие скидки. 
    • soty20
      С Госсектором сейчас всё в порядке. Оборудование ставится российское, с образованием, вроде как, тоже всё  в норме. С ПО полная жопа) отечественный софт...даже не знаю, что должно случиться, чтобы на него перешли в определенных органах
    • Quinzy
      Ну конечно, проигрывая деньги на ставках, ты конечно заработаешь себе на бизнес, ага. Не обязательно на обычной работе собирать деньги, чтобы вложиться в бизнес. Я даже скажу, что никакой бизнесмен так не делал. Все идёт через кредиты. И, кстати, игровой бизнес очень выгодный, когда ты сам ведешь казино или букмекерскую контору. Я вот подобным и пробую сейчас заниматься. Пока доделывают сайт, уже купил ПО с игровыми автоматами champion club casino https://sharks-soft.com/champion-club-casino/ , взял кредит, чтобы на развитие этого всего. Надеюсь быстро всё на игроманах окупится. 
    • AM_Bot
      «СёрчИнформ Контур информационной безопасности» («СёрчИнформ КИБ», КИБ) – российская DLP-система для защиты от утечек конфиденциальных данных, а также предотвращения и расследования внутреннего мошенничества. Ранее мы рассматривали ее архитектуру и технические требования, теперь же сосредоточимся на новых возможностях и сценариях применения.     Введение АрхитектураЧто умеет «СёрчИнформ КИБ»3.1. Контроль коммуникаций и передвижения информации по максимально возможному числу каналов3.2. Анализ перехвата3.3. Расследование инцидентовНовые возможности «СёрчИнформ КИБ»4.1. Контроль привилегированных пользователей: удаленные доступы и сессии4.2. Отключение сетевых устройств при связи по LAN4.3. Контроль новых каналов4.4. Расширение возможности контроля корпоративных облачных хранилищ4.5. Расширение функциональности для агентов на Linux4.6. Интеграция со СКУД «Орион Про»Выводы Введение  «Однозадачность» DLP-систем ушла в прошлое. Современные программы должны создавать полноценный контур информационной безопасности в компании, защищать от:утечек информации (в личных целях, в пользу конкурентов, по глупости и ошибке, из мести);корпоративного мошенничества (создания «боковых схем», взяточничества, кумовства);непродуктивного использования рабочего времени и ресурсов компании.«СёрчИнформ» фокусируется на оптимизации работы системы, расширении ее функциональности, а также выпускает родственные решения, которые работают в связке с DLP («СёрчИнформ SIEM», «СёрчИнформ ProfileCenter», «СёрчИнформ TimeInformer» и «СёрчИнформ FileAuditor», о котором писали недавно).Это — тоже в духе потребностей рынка, потому что в идеальном случае софт должен избавлять заказчика от необходимости переключаться с одного решения на другое, снимать вопросы внутренней безопасности в едином интерфейсе.Это — не первый обзор «СёрчИнформ КИБ». Вы можете прочесть полную информацию о предыдущих версиях программного обеспечения в обзорах 2016 и 2018 годов. В этом тексте для удобства повторимся в описании основных функциональных возможностей системы и расскажем об обновлениях. Рисунок 1. Линейка продуктов «СёрчИнформ». Все бесшовно интегрируются друг с другом  Архитектура«СёрчИнформ КИБ» имеет клиент-серверную структуру, защита данных обеспечивается:на конечных рабочих станциях;посредством взаимодействия с сетевым оборудованием или прокси-серверами;за счет интеграции с корпоративными системами.Продукт имеет 15 модулей контроля каналов передачи информации, 2 аналитических модуля. Что умеет «СёрчИнформ КИБ»Главное современное требование к DLP-системам – защищать информацию по всем каналам в любом формате, анализировать поток данных и немедленно выявлять среди них факты нарушения политик безопасности, в том числе в ретроспективном режиме.Рассмотрим, как это реализовано в «СёрчИнформ КИБ». Контроль коммуникаций и передвижения информации по максимально возможному числу каналовПередача данных, а также коммуникации сотрудников друг с другом и пользователями за пределами компании полностью берутся под контроль.«СёрчИнформ КИБ» собирает информацию из:почты;внешних устройств;FTP-серверов;принтеров;мессенджеров, включая те, что используют end-to-end шифрование (Telegram, WhatsApp, Viber);с микрофона, камеры, монитора и клавиатуры компьютера;трафика, переданного по HTTP/HTTPS-протоколам, а также запущенных программ;действий пользователей через удаленные соединения;облачных хранилищ.Контроль также возможен в режиме реального времени, т.к. DLP-система позволяет подключаться к монитору, микрофону, веб-камере. Рисунок 2. В «СёрчИнформ КИБ» — 15 модулей, которые держат под контролем все основные каналы передачи информации Анализ перехватаАналитические возможности – сильная сторона «СёрчИнформ КИБ». В отличие от решений конкурентов, система работает на движке собственной разработки – SearchServer, который создавался исключительно для использования в DLP. В прошлом году движок был обновлен, что повысило производительность всей программы на 30% (по результатам некоторых тестов — на 40%). Это ускорило все процессы, от первичной обработки информации до итоговой поисковой выдачи.SearchServer позволяет индексировать данные перехвата и искать по нему информацию, используя множество разных видов анализа: по словам, словарям, морфологии, атрибутам, по регулярным выражениям, цифровым отпечаткам, по алгоритму «поиск похожих», статистическим и комплексным поисковым запросам, а также любым комбинациям вышеперечисленных. В систему встроен бесплатный OCR-модуль – средство распознавания символов. Он позволяет обнаружить в массиве документов те, которые отвечают установленному образцу. «СёрчИнформ КИБ» также интегрирован с решением ABBYY FineReader Engine, имеющим более широкие, чем у бесплатной OCR, возможности распознавания текста на изображениях (более 200 языков, более качественное распознавание рукописных символов).Также система «понимает» попытки обхода политик безопасности, уловки, например использование цифр вместо букв, транслитерацию, умышленное искажение слов и даже попытки шифровать архивы.Поисковый движок КИБ поддерживает Unicode – он работает с документами на разных языках (решение адаптировано для работы в 26 странах), имеет совместимость со всеми популярными типами файлов.В новой версии также реализована возможность находить заданную комбинацию символов в точной последовательности. Эта опция появилась как альтернатива поиску по регулярным выражениям и позволяет не создавать лишнюю нагрузку на сервер. Она подходит, когда ИБ-специалист точно знает, какую комбинацию ищет (номер машины, договора, паспорта и т.д.). Рисунок 3. Обнаружены документы (авиабилеты) с помощью модуля распознавания текста   Запись аудио для экономии времени можно настроить по критериям: например, она может включаться каждый раз при запуске конкретных критичных процессов или программ.Такие мощные поисковые возможности позволяют реализовывать текущий контроль даже по самым сложно настроенным политикам безопасности, предотвращать преступления на этапе их планирования, а также проводить ретроспективные расследования, анализируя архив собранных данных.Расследование инцидентовВсе описанные выше возможности востребованны не только для одномоментного обнаружения инцидента по политикам безопасности, но и для сбора информации обо всех обстоятельствах нарушения, восстановления цепочки действий и круга причастных лиц. Всё это становится основой для доказательной базы.Сценарий использования:После установки DLP стало понятно, что региональный директор производственной компании и ее подчиненная берут «откаты». Более того, стало ясно, что происходило это на протяжении 12 лет. Суммы контрактов были большими, и за годы накопились миллионы долларов.Заподозрили схему благодаря анализу коммуникаций коллег друг с другом (устные переговоры, сообщения в мессенджерах). Далее ИБ-служба начала собирать всю информацию за эти годы. Подняли все заключенные обеими сотрудницами контракты, изучили цены и рынок, пообщались с представителями контрагентов. В итоге выяснилось, что сотрудница и руководитель закладывали «откат» в размере 10% от итоговой стоимости контракта. Во время общения со службой безопасности сотрудница признала наличие схемы. Обе причастные коллеги уволены.В качестве иллюстрации обстоятельств инцидента КИБ предлагает больше 30 базовых шаблонов отчетов. Они удобны для работы пользователей программы – ИБ-специалистов и ИБ-директоров. Кроме того, они позволяют быстро собрать информацию для отчета перед руководством.Отчет по связям – показывает каналы коммуникации, число сообщений по пользователям как внутри сети, так и с внешними адресатами.Рисунок 4. Граф отношений, построенный в Консоли аналитика  Контентный маршрут – описывает перемещение документов от отправителя к получателю как по внутренним, так и по внешним каналам связи. Рисунок 5. Контентный маршрут в «СёрчИнформ КИБ»  Отчет продуктивности и эффективности пользователей – показывает загрузку, фактически отработанное время, фиксирует ранние и поздние уходы, а также наглядно иллюстрирует эффективность сотрудников по тем процессам, которыми они были заняты в течение дня.Отчет по программам и устройствам – упорядочивает данные об установке и удалении программ, отражает изменения в комплектующих и устройствах, которые пользователи подключают к компьютеру.Пользователь может настроить для себя и другие отчеты под собственные нужды. Рисунок 6. Скриншот отчета    Новые возможности «СёрчИнформ КИБ»Контроль привилегированных пользователей: удаленные доступы и сессииВ новой версии функции контроля усилены, реализована функциональность для предотвращения опасных действий пользователей.В «СёрчИнформ КИБ» можно комплексно контролировать протокол подключения к удаленному рабочему столу (RDP) – основному средству удаленного администрирования Windows. С помощью гибких настроек стало удобнее управлять действиями пользователей при активном RDP-подключении:  задавать разные правила для ПК пользователя и удаленной машины – например, запретить копирование с одной стороны или вставку с другой;делать теневую копию всех файлов, обмен которыми идет в RDP;запрещать любое перемещение файлов через RDP-подключение.Также специалисты по безопасности смогут ограничивать действия сотрудников, которые используют VMware/VirtualBox для доступа к виртуальным средам (машинам, ресурсам, приложениям). КИБ заблокирует флешки и другие съемные устройства, если пользователь попытается подключить их к виртуальной машине. Рисунок 7. Настройка действий при использовании VMware/VirtualBox  Основная цель обоих инструментов – не дать пользователям с привилегиями занести на удаленную машину нежелательные файлы или украсть оттуда информацию. На данный момент в DLP конкурентов нет таких широких возможностей защиты терминальных серверов, виртуальных сред и средств удаленного администрирования. Первым шагом было взятие под контроль TeamViewer и его аналогов как самых популярных средств удаленного администрирования. После появились решения для контроля других инструментов, с помощью которых пользователи получают доступ к удаленным хранилищам и машинам.Сценарий использования:Сотрудник банка с привилегированным доступом был в курсе, что действия пользователей контролируются с помощью DLP «СёрчИнформ КИБ», но о том, что система видит действия пользователей во время удаленных сессий, не знал. В результате ИБ-служба увидела попытку сотрудника скопировать часть базы с персональными данными клиентов через интерфейс TeamViewer и предотвратила утечку.Отключение сетевых устройств при связи по LANВ КИБ появилась возможность контролировать действия пользователя при подключении сетевых устройств – реализована опция блокировки беспроводных соединений, если подключен сетевой кабель. Рисунок 8. Настройка действий при подключении по LAN  Опциональная блокировка работы Opera VPNВ КИБ добавлена возможность блокировать работу VPN-соединений в HTTPS/SOCKS в браузере Opera, что позволяет закрыть потенциальную «дыру» в безопасности сети. Без блокировки трафик VPN-соединений в Opera окажется фактически невидимым, и пользователь сможет обходить правила безопасности.Контроль новых каналовС момента прошлого обзора в «СёрчИнформ КИБ» расширена функциональность контроля переписки в бизнес-чате Bitrix24. Теперь мониторинг сообщений происходит путем интеграции с внутренним сервером Bitrix, что не создает дополнительную нагрузку на агент, облегчает возможность перехвата.Под контроль КИБ также взяты бизнес-мессенджеры Microsoft Teams, Slack, Lotus Sametime. В поле зрения специалистов по безопасности попадут документы, изображения и ссылки, которыми обмениваются пользователи.Корпоративные мессенджеры интегрированы с популярными облачными хранилищами и онлайн-планировщиками. Информация оттуда тоже станет доступной. Рисунок 9. Контроль мессенджера Slack. Сработала политика безопасности по «откатной» тематике  Теперь КИБ обеспечивает контроль наибольшего числа популярных мессенджеров – как общедоступных, так и корпоративных. Перехват информации из популярных мессенджеров с end-to-end-шифрованием (Telegram, WhatsApp, Viber и др.) осуществляется на уровне рабочих станций. При этом контролируются не отдельные приложения и типы коммуникаций, а клиенты для рабочего стола, веб-версии, тексты, звонки и файлы.«СёрчИнформ КИБ» находит утечки документов и файлов через переписки, а также обнаруживает коммуникации, сигнализирующие об опасных склонностях и поведении сотрудников.Сценарий использования:На производстве сдавали кислоту на утилизацию, за что организация платила подрядчику 12 тысяч рублей за каждую сданную тонну. В перехват DLP попала переписка из WhatsApp (веб-версия), сработала политика по словарю «боковые схемы». Из нее следовало, что сотрудник, ответственный за сдачу кислоты, каждый раз дописывает 5 лишних тонн. В результате по каждой сделке компания переплачивала 60 тысяч рублей (360 тысяч рублей за год).Расширение возможности контроля корпоративных облачных хранилищВ DLP-системе «СёрчИнформ КИБ» расширена возможность сканирования облачных хранилищ. Содержимое проверяется на соответствие политикам безопасности. Можно проверять документы, которые загружаются или скачиваются сотрудниками из корпоративной инфраструктуры, а также все данные, хранящиеся на аккаунтах. В новой версии функциональность доступна и для популярного хранилища OneDrive. В более ранних версиях КИБ под контроль были взяты Yandex.Disk, DropBox, CMIS.Расширение функциональности для агентов на Linux«СёрчИнформ КИБ» была первой системой, прошедшей сертификацию на совместимость с ОС Astra Linux Special Edition по программе «Software Ready for Astra Linux». Первоначально возможности КИБ для Linux были скромными, но вендор продолжает наращивать их, и сейчас они приближаются к возможностям для Windows-систем.Реализован сбор данных по протоколам HTTP, IM, Mail, FTP, Cloud для операционных систем Ubuntu 16.04.5 LTSи CentOS 7.6. Для CentOS 7.6 также доступна блокировка USB-устройств и сетевых ресурсов. Появилась возможность создавать белые/черные списки – обеспечивать контроль доступа.В новой версии реализована возможность добавления сайтов в черный и белый списки блокировки HTTP. Ранее это делалось на сетевом уровне, что не решало вопроса блокировки в том случае, если пользователь подключался к интернету посредством, например, Wi-Fi, розданного с личного телефона. Теперь блокировка возможна на уровне агента, что в случае необходимости ограничит или, наоборот, разрешит доступ к определенным сайтам с конкретного компьютера.Интеграция со СКУД «Орион Про»Решение поддерживает интеграцию со СКУД с 2017 года. В новой версии добавлена поддержка еще одной распространенной системы, «Орион-Болид». Данные из нее теперь возможно опционально отобразить в отчетах ProgramController:опоздания сотрудников,ранние уходы,журнал рабочего времени,посещения сотрудников,табель рабочего времени.Интеграция DLP со СКУД дополняет отчеты о соблюдении режима доступа информацией о продуктивности сотрудников и показывает, кто появляется на работе в срок, но проводит время за разговорами и кофе, симулирует сверхурочную занятость и т.д. DLP-система фиксирует на видео события, попадающие в поле обзора камеры компьютера. Но интеграция со СКУД позволяет дополнить картину инцидента еще и по «физическим» уликам в офисном пространстве.Сценарий использования:В тех компаниях, где предусмотрена оплата за отработанные часы, встречается форма «латентного» воровства – ненужные переработки, когда человек может сделать задачу за 4 часа, но будет делать ее весь день, а может, и останется на часок после работы. Для сотрудника это — «переработки», которые оплачиваются как сверхурочные.ИБ-служба должна выявлять такие факты. В этой истории ИБ-специалист проверил отчеты по ProgramController, выбрал сотрудников, которые работают более 10 часов, выгрузил данные из СКУД. Внимание привлекла аномалия по одному работнику. Он прошёл через турникет в 18:02, как и все, но судя по запущенным на компьютере процессам, работал за ним до 21:27. Возможные причины:кто-то работал за его машиной из-под его учетки,сам сотрудник работал удаленно,сбой в СКУД.Дальнейшее расследование показало, что «старательный» сотрудник логинился через TeamViewer Portable. Программы удаленного доступа в компании были запрещены, но для TeamViewer Portable не нужны права администратора. Так ИБ-служба раскрыла лазейку, которой воспользовался сотрудник, а также предотвратила «кражу времени» в компании. ВыводыВ целом «СёрчИнформ КИБ» уже можно рассматривать как многофункциональную «машину» для защиты не только данных, но и всего бизнеса от внутренних угроз. Задачи трансформации DLP перед вендорами встают регулярно, и «СёрчИнформ» движется в русле этого тренда.ДостоинстваПродукт позволяет выполнять смежные для DLP функции: eDiscovery, Time Tracking, Risk Management, криптозащита информации, аудит IТ-инфраструктуры, контроль привилегированных пользователей и другое. Также «СёрчИнформ КИБ» легко интегрируется с другими продуктами с «родственными» задачами (SIEM, FileAuditor, ProfileCenter).«СёрчИнформ КИБ» –  отечественная разработка. Наличие сертификатов и опыт позволяют реализовывать крупные и сложные проекты (максимальный размер внедрения – 50 тысяч рабочих станций), в том числе в госсекторе.Большое число контролируемых каналов (почта, внешние устройства, принтеры, мессенджеры, в том числе end-to-end, облачные хранилища, интеграция со СКУД и др.)Развитые возможности поиска и анализа информации, проведения расследований и сбора доказательной базы: обширный архив, в том числе теневых копий файлов с устройств, облачных хранилищ и т.п.Самые широкие среди конкурирующих продуктов возможности контроля удаленных и привилегированных пользователей.  Высокая скорость внедрения и возможность быстрого расширения функциональности благодаря модульной структуре.Более низкая, чем у продуктов конкурентов, нагрузка на IT-инфраструктуру.НедостаткиВ КИБ пока нет поддержки бесплатных СУБД.Нет поддержки macOS на агентах, нет агентов для мобильных платформ.Нет возможности использовать бесплатную операционную систему для сервера, работа только на платной ОС Windows Server.Функциональность для Linux развивается, но пока уступает возможностям агентов для Windows-систем.Вы можете запросить систему для бесплатного полноценного триала на любое число рабочих станций в течение месяца.  Читать далее
×