Перейти к содержанию

Recommended Posts

zloyDi

Можно ли как то добавить кнопку и функцию помещения в карантин файл HOST. А то что стало много заражений, очистка данного файла есть, а вот как этот завирусованый файл отправить потом на анализ?

Реализуемо ли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1. Вкладка: "список сигнатур вирусов"

Автоматически регистрировать дату добавления сигнатуры в базу.

Добавить дату значит переделывать базу, чего я делать совершенно не хочу ради совершенно бесполезной для меня фичи.

2. Автоматическое формирование/ведение базы пользователей.

Аналогично.

3.Информация общего плана.

Почитаю.

Реализуемо ли?

Да, можно добавить фичу сохранения выжимки hosts из образа, с другой стороны весь hosts и pr складируются в логе, который может сохраняться как в Zoo так и в корне uVS после выполнения скрипта или одновременно и там и там.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
LynxFoxWolf

Здравствуйте Дмитрий! Огромное спасибо за этот Инструмент. Спасал за очень короткое время несколько раз. Желаю вам что б и в этом новом году, он развивался также быстро и успешно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Желаю вам что б и в этом новом году, он развивался также быстро и успешно.

Спасибо :) надеюсь так и будет.

v3.44

В основном исправление серьезных багов и учел мелкие пожелания.

---------------------------------------------------------

3.44

---------------------------------------------------------

o В список очистки временных файлов добавлены:

o _назначенные_пользователем_ каталоги с кэшем MSIE.

o каталоги с кэшем Firefox.

o каталоги с кэшем Opera.

o каталоги с кэшем Chrome.

o Немного ускорен запуск uVS при работе с удаленной системой.

Дополнительно есть возможность настроить параметры загрузки с помощью параметра в settings.ini

[settings]

; Управление загрузкой в сетевом режиме.

bNetFastLoad = 0 (0 по умолчанию, обычный запуск)

1 (не создавать список автозапуска)

2 (не создавать список автозапуска и открыть удаленный рабочий стол)

o В лог добавлена информация о свободном месте на системном диске.

o Исправлен эмулятор редиректора реестра 64-х битных систем.

o Исправлен эмулятор системного редиректора 64-х битных систем.

o Все ограничения для активных/неактивных WinXP/2k3 x64 сняты.

Эти системы теперь поддерживаются в полном объеме.

o Исправлена ошибка в функции удаления ключей реестра вызывавшая

аварийное завершение uVS в 64-х битных системах.

o Исправлена ошибка в функции сверки приводящая к двойной компенсации буквы

диска в имени подозрительного файла и возможно к аварийному завершению uVS.

o Исправлена ошибка в функции смены владельца ключа реестра и сброса прав доступа к нему.

(фнукция НЕ работала под Vista/Seven).

o Исправлена ошибка в функции обмена данными при работе с удаленной системой (зависание по F6).

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Спасибо :) надеюсь так и будет.

v3.44

В основном исправление серьезных багов и учел мелкие пожелания.

Отлично! лед тронулся в 2011. :).

такое еще предложение:

при работе с образом предлагать сохранить рабочий скрипт в папку, которая прописана в настройках settings.ini, как это работает при открытии образа, это сбережет несколько сек,

когда работаешь с образами конкретного юзера.

Если этой папки нет, тогда открывать папку по дефолту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1.Пример ситуации: По необходимости - Удалено обновление безопасности для Windows 7

"Требуется перезагрузка"

User выбрал "Отложить перезагрузку"

Он продолжает работать на своём PC и через пару часов работы забывает о ряде своих действий.

Ему приходит скрипт от Техподдержки.

Скажем такого плана:

breg

sreg

areg

Перезагрузка...

В результате происходит сбой при загрузке - Откате, настроек обновления в Windows 7 .

Суть предложения: Перед выполнением скрипта проводить мониторинг системных процессов и задач.

Соответственно выдавать окно предупреждения - о необходимости предварительного рестарта машины.

2. Ввести режим Охотника - "Захват" окна объекта - ориентируя захват по указателю мышастого зверя.

И соответственно получение максимальной информации по объекту.

В случае если речь идёт о Установленной программе/приложении - то, обнаружение его Uninstall файла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
при работе с образом предлагать сохранить рабочий скрипт в папку, которая прописана в настройках settings.ini

логично.

Соответственно выдавать окно предупреждения - о необходимости предварительного рестарта машины.

в принципе можно добавить.

Ввести режим Охотника - "Захват" окна объекта - ориентируя захват по указателю мышастого зверя.

Это уже есть при запуске в режиме чистого рабочего стола доступна соотв. гор. клавиша.

В случае если речь идёт о Установленной программе/приложении - то, обнаружение его Uninstall файла.

Слишком много возни, сама по себе такая задача стоит отдельной программы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zzkk

demkd, говорят, что ваш сайт блокируется SkyDNS. Разберетесь с ними? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

zzkk

Помнится и Comodo зажигал аналогично. :D Т.е. на самом деле от всех этих бездарных поделок пытающихся чего-то там фильтровать лишь один вред и мало того придет время когда подобные сервисы как и облачные хм... технологии будут... использовать совсем не так как было задумано изначально. Так что стоит подумать, а нужно ли вообще пользоваться подобными сервисами. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

v3.45

Прибил кучку старых багов и добавил приятные мелочи.

o Улучшен модуль антисплайсинга, устранены проблемы с запуском startf

в Win7 при установленном Comodo Firewall.

o В контекстном меню файла доступна новая функция предназначенная для поиска по

хэшу файла на VirusTotal.com. (функция доступна в любом режиме в т.ч. и при работе с образом)

o Добавлена дополнительная информация для некоторых ключей реестра.

Для сервисов/драйверов ImagePath отображается как есть без доп. обработки, далее следует

имя сервиса/драйвера и тип запуска.

o Реализована подстановка пути до открытого образа при сохранении скрипта.

o Добавлена возможность извлечь файл HOSTS из открытого образа автозапуска.

(Файл->Извлечь HOSTS и сохранить его в файл...)

o Исправлена ошибка в функции отображения строк из файла HOSTS.

o Исправлена ошибка в функции копирования ключей для 64-х битных систем.

o Из-за ошибки не работало визуальное разделение условно известных и неизвестных DLL.

o Исправлена ошибка в функции подстановки расширений исполняемых файлов.

(Не распознавались исполняемые файлы с путями содержащими в себе точки)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

uVS - 345. С У П Е Р !!!

VirusTotal !

И как всегда предложение:

1. А может тогда - сразу целую категорию за раз проверять ? а не по отдельным файлам?

А, фильтрацию - сделать автоматическую - Основанную на разборе кода/информации станицы.

Конкретно: У на есть страница VirusTotal И параметр/ы на этой станице: Result

<title>Virustotal. MD5: 3b5aad5ff9b56dfa7b8d039378437df1

Trojan.AutorunINF.Gen Trojan.AutorunINF.Gen VirTool:INF/Autorun.gen </title>

<td>BitDefender</td>

<td>7.2</td>

<td>2010.05.31</td>

<td class="positivo">Trojan.AutorunINF.Gen</td>

</tr>

<tr class="odd">

<td>CAT-QuickHeal</td>

<td>10.00</td>

<td>2010.05.31</td>

<td>-</td>

</tr>

<tr>

<td>ClamAV</td>

<td>0.96.0.3-git</td>

<td>2010.05.30</td>

<td class="positivo">Worm.Autorun-1792</td>

Загружаем страницу на PC ( только txt - html ! ) = Пропускаем код через фильтр [ <td class="positivo"> ] = результат !!!

2.Разбивать файл SHA1 на блоки.

Основной блок №1 = 10mb

Все последующие обновления выкладывать небольшими блоками 1 - 2mb.

С их последующим объединением в блок №2

и т.д.

Смысл в том, что число ошибок при загрузке - напрямую связано с размером файла.

Да и при каждом обновление базы скачивать повторно по 10mb - это в ряде случаев создаёт трудности.

Вот такие вот предложения - Какая версия - Такие и предложения ! :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1. А может тогда - сразу целую категорию за раз проверять ? а не по отдельным файлам?

Это конечно хорошо бы, однако если почитать: http://www.virustotal.com/faq.html

"Note that this feature is subjected to the same 20requests/5minutes limitation as the public API and search feature." То встает вопрос о доступе к private api и тут уже возможны варианты... о которых я еще подумаю.

А вообще есть уже готовая утилита для подобных вещей:

http://forum.oszone.net/thread-183132.html

2.Разбивать файл SHA1 на блоки.

Слишком много ненужной мне лично возни, вообще когда-нибудь И если будет достаточно желающих я могу таки прикрутить платный сервис, который позволит удобно и оперативно импортировать только новые хэши в личную базу так и получать промежуточные стабильные билды uVS c исправлениями критических багов.

В данный момент у меня нет желания этим заниматься.

Смысл в том, что число ошибок при загрузке - напрямую связано с размером файла.

Качалке без разницы сколько там будет обрывов, все равно файл скачается быстро.

Обычным же юзверям sha1 вообще не нужна для создания образа, все равно образ проверяется по локальной базе хелпера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Выложил утилиту для сравнения образов автозапуска uVS.

CmpImg v1.0

Результат работы:

1. Новые объекты в автозапуске.

2. Удаленные объекты из автозапуска.

3. Новые программы.

4. Удаленные программы.

5. Модифицированные файлы.

6. Объекты в автозапуске с изменившимся статусом.

7. Новые записи в HOSTS.

8. Удаленные записи из HOSTS.

Пример импользования:

cmpimg.exe uvs_old.txt uvs_new.txt > out.txt

где:

uvs_old.txt - старый образ автозапуска

uvs_new.txt - новый образ автозапуска

out.txt - результат сравнения образов в виде обычного текстового файла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit

много приятно с каждым релизом... но в последней (uVS - 345) появился глюк прога зависает, если выставлять противодействия, приходится все три снимать !

также часто приходится чистить систему через пункт меню "дополнительно" "чистка корзины ...." а после выполнять пунк "безопасное удаление ..."

нельзя ли сделать безопасное удаление ссылок автоматом через удаление мусора? дабы не жать две кнопки ...

также хотелось бы пояснений для каких целей и в каких случаях будет происходить данное действие:

"Пример использования:

cmpimg.exe uvs_old.txt uvs_new.txt > out.txt

где:

uvs_old.txt - старый образ автозапуска

uvs_new.txt - новый образ автозапуска

out.txt - результат сравнения образов в виде обычного текстового файла.

"

допустим мы сняли образ... грузонулись с PE сделали сверку (еще ни разу не встречалось чтобы что-то было обнаружено)

также из под PE снять новый образ не выйдет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
если выставлять противодействия, приходится все три снимать

Видимо с чем-то опять антисплайсинг конфликтует. Желательно выслать мне образ автозапуска системы, где подобное происходит, тогда посмотрю с чем оно конфликтует.

нельзя ли сделать безопасное удаление ссылок автоматом через удаление мусора? дабы не жать две кнопки ...

Да, надо бы сделать.

также хотелось бы пояснений для каких целей

Не нужно путать файл сверки и образ автозапуска, скажем есть образ месячной давности и есть свежий образ, вот их и можно сравнить и посмотреть что изменилось в системе за этот период времени. Либо можно сравнить пару "одинаковых" систем на предмет различий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Выложил утилиту для сравнения образов автозапуска uVS.

CmpImg v1.0

Пример импользования:

cmpimg.exe uvs_old.txt uvs_new.txt > out.txt

каковы условия применимости утилитки сравнения? образы автозапуска должны быть в одной папке вместе cmpimg.exe?

в чем преимущество (и необходимость) отдельной утилитки сравнения перед встроенной в теле uVS?

возможен ли в идеале встроенный (универсальный) в uVS режим сравнения (пусть даже с внутренним вызовом внешнего модуля):

- сравнить с полным образом автозапуска системы

(в блоке файл - сохранить полный образ, сохранить образ без проверки ЦП, сравнить с полным образом....)

- поиск скрытых и измененных объектов по файлу сверки

(в блоке - меню - руткиты)

обнаружил приятный нюанс для забывчивых хелперов. :)

в скрипт была добавлена команда ADDSGN virus_file, но не поставлены команды chklst & delvir. В итоге вредоносная программа не была естественно скриптом удалена, НО....

добавленная сигнатура сохранилась и при создании нового автозапуска , и при входящей автоматической проверке статус vir_file изменился на VIR и uVS выдал сообщение в лог, что данный файл будет удален при перезагрузке, что и произошло в ДЕЙСТВИТЕЛЬНОСТИ при следующей перезагрузке системы. :).

т.е. интересно, каким образом был инициирован данный блок

--------------------------------------------------------

Persistent routes:

Всего: 0

--------------------------------------------------------

Построение списка процессов и модулей...

....

Анализ завершен.

Список готов.

Запуск служб блокирован

Построение списка процессов и модулей...

Сбор дополнительной информации...

Остановка сервисов и выгрузка драйверов...

Завершение процессов...

D:\DOCUMENTS AND SETTINGS\АДМИН\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE будет удален после перезагрузки

D:\DOCUMENTS AND SETTINGS\АДМИН\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE будет удален после перезагрузки

D:\DOCUMENTS AND SETTINGS\АДМИН\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE будет удален после перезагрузки

D:\DOCUMENTS AND SETTINGS\АДМИН\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE будет удален после перезагрузки

Построение списка процессов и модулей...

Анализ автозапуска...

Построение списка системных модулей и драйверов...

Анализ файлов в списке...

....

SHA1 файла 7916F9E8ED71EF8F22909922413A0B4465DA391C

или здесь каким то образом (естественным_ потому что файл детектировался НОДОМ судя по репорту вирустотала) вмешался обновленный антивирус (после удаления статических маршрутов)?

http://www.virustotal.com/file-scan/report...83ee-1295648091

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
каковы условия применимости утилитки сравнения? образы автозапуска должны быть в одной папке вместе cmpimg.exe?

Условия 2 образа сделанные одно версией uVS, системные кталоги windows должны быть по одному и тому же пути.

Можно указывать полный путь до образа.

в чем преимущество (и необходимость) отдельной утилитки сравнения перед встроенной в теле uVS?

Сравнение идет образов автозапуска, а не файлов сверки, соотв. в uVS такого функционала нет.

В результате на выходе масса полезной информации.

т.е. интересно, каким образом был инициирован данный блок

Команда на удаление так или иначе была в скрипте иначе никак :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
и при входящей автоматической проверке статус vir_file изменился на VIR и uVS выдал сообщение в лог, что данный файл будет удален при перезагрузке

Или пользователь сам надавил кнопку "убить все вирусы", автоматически никаких операций по удалению чего-либо никогда не производится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov

demkd

Попробывал сейчас версию UVS 3.45 + положил файл sha1 в каталог программы.

тест производится на Windows 7 x86 eng с SP1. UAC = Off. Работаю под доменным админом.

1) при запуске программы через start.exe если сразу нажимаю кнопку "Запустить под текущим пользователем"

получаю сразу Exception. (воспроизводится сейчас постоянно - падение одно и тоже). В аттаче трап лог и минидамп от DrWatson'a. Если надо могу выслать полный дамп.

если выбрать 'Запустить под LocalSystem (максимальные права, без доступа к сети)' то программа запускается.

2) Если запускаю программу и нажимаю сначла на кнопку "Выбрать каталог Windows (выбрана активная система)" и выбираю C:\Windows (там где реально стоит OS) и нажимая далее под local system запустить или под тек юзером получаю MessageBox:

---------------------------

Ошибка

---------------------------

Не удалось подключить SYSTEM

The process cannot access the file because it is being used by another process.

---------------------------

OK

---------------------------

после нажатия на OK, появляется на мгновение окно программы а затем схлопывается. Воспроизведение постоянное.

MINI.7Z

MINI.7Z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1) при запуске программы через start.exe если сразу нажимаю кнопку "Запустить под текущим пользователем"

получаю сразу Exception.

Лучше образ вместо дампа, скорее всего опять же конфликтует антисплайсниг с чем-то. Можно попробовать снять флажок антисплайсинга и убрать остальные опасные флажки. Да и SP1 как бы релиз или...?

2) Если запускаю программу и нажимаю сначла на кнопку "Выбрать каталог Windows

Эта кнопка строго для работы с неактивными системами, поэтому ошибку выдает вполне справедливо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov
Лучше образ вместо дампа, скорее всего опять же конфликтует антисплайсниг с чем-то. Можно попробовать снять флажок антисплайсинга и убрать остальные опасные флажки. Да и SP1 как бы релиз или...?

Падение происходит если даже выключить опцию "Антисплайсинг". Если выбрать 'Запустить с выбором пользователя' и авторизоваться под таким же юзером как я и залогинен программа запускается нормально.

Что имеется ввиду чтобы я прислал 'Образ'?

SP1 да RTM. подробности тут: http://wzor.net/page/indexx.html

PS. А какой алгоритм бэкапа реестра у тебя? например http://www4.webng.com/krtech/programs/ERUNTgui.zip бэкапит у меня ветки реестра за пару секунд. А твоя программа пару минут с загрузкой ядра CPU 100%

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Падение происходит если даже выключить опцию "Антисплайсинг".

Тогда надо ковырять, странно.

Что имеется ввиду чтобы я прислал 'Образ'?

uVS->Файл->Сохранить полный образ автозапуска

и результат мне на мыло :)

PS. А какой алгоритм бэкапа реестра у тебя?

Экспорт всего хайва, т.е. примерный аналог ntregopt-а, который тоже быстротой не отличается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1.Возможность просмотра - Показать: "только известные" По категориям.

2.Реализовать возможность поиска объекта исходя из его цифровой подписи.

Например: найти все объекты подписанные Sunamtec. Для всех режимов.

С настройкой режима поиска.

3.Отсев содержимого - списков по размеру файла - по выбору пользователя.

Скажем: Скрыть все объекты > 5000kb.

4.Встроить портативный браузер на базе Firefox в uVS.

Или:

Настройка - Возможность выбрать из списка установленных браузеров - с каким из них будет работать uVS

При обращении к VirusTotal. ( Alt + b )

Возможность выбрать из трёх браузеров: Internet Explorer, Opera, Mozilla Firefox.

5.Поиск файлов - по MFT раздела диска - по первым буквам и фильтрующий.

Для замены битых файлов - проверке - поиску неактивных тушек троянов - просто поиск.

В том числе при работе uVS в режиме Live CD.

В моём понимании хороший вариант примера - это программа UltraSearch

http://www.jam-software.com/freeware/#UltraSearch

6.При старте uVs - Открывать окно из расчёта 51% Экрана = uVS.

*Не открывать на весь экран !

7.Информация общего плана.

http://forum.esetnod32.ru/messages/forum17...1/#message11981

uVS_5.10.JPG

uVS_5.10.JPG

post-8956-1296316442_thumb.jpg

post-8956-1296316632_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

по мини-браузеру, если это реализуемо, идея интересная.

можно сделать стартовой страницей страницу автора, и тогда мы всегда будем в курсе, когда выпущен новый релиз программы. :).

В таком случае, желательно было БЫ добавить детект файла на вирустотал в лог uVS (тот что просматривается по ALT_L),

C:\WINDOWS\SGOPE.SYS

SHA1: BF2BCC0B2870F75491BD44023E99D2313FC9AF40

Хэш НЕ найден в базе проверенных файлов

Проверка на VirusTotal

AntiVir 7.11.2.31 2011.01.28 RKIT/Qhost.be

Avast5 5.0.677.0 2011.01.28 Win32:Rootkit-gen

DrWeb 5.0.2.03300 2011.01.29 Trojan.NtRootKit.1737

Kaspersky 7.0.0.125 2011.01.28 Rootkit.Win32.Qhost.be

NOD32 5828 2011.01.28 -

возможно ввести новый статус для файла - "детект VirusTotal", однако добавление сигнатуры ADDSGN, или команды DELALL оставить за хелпером.

И если это реализуемо,

то следующий шаг - это автоматическая последовательная проверка файлов категории "подозрительные и вирусы" на Вирустотал при создании полного образа автозапуска,

(возможно, добавить отдельный режим - полный образ автозапуска с автопроверкой на Вирустотал, поскольку неизвестно, сколько это будет занимать по времени, и в зависимости от доступа в инет у пользователя)

и внесение детекта основных антивирусов (на выбор) либо в автоматически создаваемый лог, либо в образ автозапуска для просмотра в окне Информация.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1.Возможность просмотра - Показать: "только известные" По категориям.

Для чего?

2.Реализовать возможность поиска объекта исходя из его цифровой подписи.

подумаю.

4.Встроить портативный браузер на базе Firefox в uVS.

Лень, во всяком случае пока лень.

6.При старте uVs - Открывать окно из расчёта 51% Экрана = uVS.

сделаю опцию.

И если это реализуемо,

то следующий шаг - это автоматическая последовательная проверка файлов категории "подозрительные и вирусы" на Вирустотал при создании полного образа автозапуска

Реализуемо все, но опять же лень.

А вот автоматическая проверка это зря, тут и лимит есть, да и доступ к vt может напрочь отсутствовать на зараженной машине.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

×