Universal Virus Sniffer (uVS), Вопросы разработчику

[PR55.RP55 83]

1.Реакция uVS на аппаратный обрыв интернет соединения во время проверки на V.T. ?

Дополнительно давать предупреждение.

2.Как следует корректно остановить/завершить проверку, если есть необходимость прервать процесс ?

3.Действительно при проверке цифровых подписей в Звериной Windows 7 Prof i Max

Происходит зависание uVS, или связанных с ним процессов.

*В первом случае был 4-х ядерный процессор от intel + Panda I.S. 2011

Во втором случае был 4-х ядерный AMD. + NOD32.4.2 SS.

Именно - при попытке доступа/проверке активных компонентов антивирусов.

И ИМЕННО В РУЧНОМ РЕЖИМЕ !

т.е. при генерации образа зависания не наблюдалось, или оно происходило в более корректной форме...

4.В Логе делать разрыв: при проверке новой категории - чётко разграничивать, уведомлять, какая категория проверялась.

И Пара шутошных предложений.

1.Организовать свою A.V. компанию.

2.Добавить монитор в режиме реального времени на базе HIPS classic.

3.Организовать Серверы с возможностью интерактивного обновления основной базы sha1 проверенных по сети.

4.Включить модуль HIPS classic + автоматическая проверка, запрос системы/пользователя к VirusTotal в случае обнаружения неизвестного

процесса.

5.Интегрировать uVS в контекстное меню - для удобства работы с образами.

Добавить в контекстное меню функцию расчёта MD5,SHA1 и проверки по MD5,SHA1

Добавить в автозагрузку модуль для борьбы с Winlock.

uVS будет автоматически выполнять startF.exe по таймеру задержки - настроенному пользователем.

Или, по комбинации команд с клавиатуры.

6.т.к. Образы упаковывают в Rar i Zip архивы предусмотреть возможность работы с такими штатными архивами;

Зачем распаковывать, если можно открыть и посмотреть напрямую из архива ?

7.Так- как предложения шутошные: Интегрировать в uVS модуль виртуализации - хотя бы, для открытия архивных файлов,а то вдруг

там зверь какой в этом архиве будет ?

Да и вообще зверьё вертуализации боиться страшно - и сразу прячется...

* В общем, больше забавных предложений в теме. И всё будет хорошо!

[demkd 638]

Проверка подписи файла на windows 7 x64 приводит к зависанию программы.

А если проверить подпись файла в "моем компьютере"?

сигнатура+VT(21), где 21 - количество детектов по ВТ

?ВИРУС?(2), где 2 - количество детектов по ВТ

А имеет ли это число вообще какой-то смысл? Бывает и более 10 антивирусов дают фолс.

Я так думаю, тут надо идти другим путем, сделать какой-то настраиваемый список доверенных антивирусов и учитывать только его, как при выводе в лог, так и при подсчете детектов.

1.Реакция uVS на аппаратный обрыв интернет соединения во время проверки на V.T. ?

Напишет в лог что "не удалось" и т.п.

2.Как следует корректно остановить/завершить проверку, если есть необходимость прервать процесс ?

никак, нажал - значит надо.

3.Действительно при проверке цифровых подписей в Звериной Windows 7 Prof i Max

Я за пионерские сборки не отвечаю, потестирую в полноценном windows, если проблема локализуема, то исправлю.

т.е. при генерации образа зависания не наблюдалось, или оно происходило в более корректной форме...

Это как?

4.В Логе делать разрыв: при проверке новой категории - чётко разграничивать, уведомлять, какая категория проверялась.

Это можно.

[WindR 0]

А если проверить подпись файла в "моем компьютере"?

Как именно?

[santy 153]

А имеет ли это число вообще какой-то смысл? Бывает и более 10 антивирусов дают фолс.

Я так думаю, тут надо идти другим путем, сделать какой-то настраиваемый список доверенных антивирусов и учитывать только его, как при выводе в лог, так и при подсчете детектов.

согласен, так будет лучше.

есть смысл так же подумать над настройками под запуск обновления антивируса, запуск антивирусного сканера из командной строки, но уже после выпуска стабильной версии 3.47

[demkd 638]

Как именно?

Правой кнопкой по файлу->Свойства->Цифровая подпись->Сведения и должно открыться окно с результатом проверки хэша и датой действия сертификата.

Конечно желательно на том же файле на котором точно вешается uVS, если НЕ повиснет тогда из лога uVS строчку с версией Windows мне, буду тестировать.

согласен, так будет лучше.

Пока буду выпукать бетки, слушать отзывы и думать, может в результате что полезное получится.

есть смысл так же подумать над настройками под запуск обновления антивируса, запуск антивирусного сканера из командной строки

А чего тут думать? Из uVS и так все запускается без проблем.

но уже после выпуска стабильной версии 3.47

А это будет неизвестно когда.

[santy 153]

Пока буду выпуcкать бетки, слушать отзывы и думать, может в результате что полезное получится.

а для реализации вывода детального сообщения о детектах файла на ВТ в окно информации uVS необходимо изменение структуры образа автозапуска?

[santy 153]

думаю, имеет смысл обсудить автоматические действия uVS после завершения детекта на ВТ и присвоения статуса ?ВИРУС?

можно добавить в настройках реакцию uVS на подобные записи, чтобы при следующем запуске "проверить список"

реакция стандартная как и на файлы с обнаруженной сигнатурой. (ZOO, addsgn)

настройка, либо разрешает это действие для записей с детектом ?ВИРУС?, либо игнорирует эти записи.

если значимые антивирусы из списка выполнили детект файла на ВТ.

[demkd 638]

а для реализации вывода детального сообщения о детектах файла на ВТ в окно информации uVS необходимо изменение структуры образа автозапуска?

Если делать единообразно для всех режимов то необходимо, но можно сделать разделение выводимой информации на две части то что в образе и то что есть на тек. момент, тогда не нужно, но я пока этим вопросом не занимался, добавил вывод только для (не)активного режима.

можно добавить в настройках реакцию uVS на подобные записи, чтобы при следующем запуске "проверить список" реакция стандартная как и на файлы с обнаруженной сигнатурой. (ZOO, addsgn)

Есть более правильный путь: после проверки оператор просто добавляет сигнатуры особо понравившихся файлов в вирусную базу, после чего работает как обычно и этот путь дает очевидны бонусы.

А вот "стандартная реакция" приведет лишь к тому что вместе с вирусами умрут все фолсы, что не есть правильно.

Как например на днях авира зачислилила в ряды дропперов один из файлов подписанных касперским.

Т.е. на мой взгляд из этой фичи не стоит делать что-то большее чем вспомогательный чисто информационный сервис, который иногда поможет ускорить анализ.

[santy 153]

Есть более правильный путь: после проверки оператор просто добавляет сигнатуры особо понравившихся файлов в вирусную базу, после чего работает как обычно и этот путь дает очевидны бонусы.

да, пожалуй, можно и не торопиться с включением этих записей в автоскрипт.

Т.е. на мой взгляд из этой фичи не стоит делать что-то большее чем вспомогательный чисто информационный сервис, который иногда поможет ускорить анализ.

заметил еще такую вещь, когда сокращаю список "подозрительные" для автоматической проверки на ВТ.

функция скрыть не найденные и с заполненным производителем ЧЕСТНО все убирает.

предложение - не скрывать при этом записи с сигнатурным детектом, даже если указан производитель, чтобы иметь возможность получить инфо о детекте для таких записей с ВТ.

[demkd 638]

предложение - не скрывать при этом записи с сигнатурным детектом, даже если указан производитель, чтобы иметь возможность получить инфо о детекте для таких записей с ВТ.

Пожалуй я тут сделаю опцию и еще проверку всего списка, поскольку VT _пока благосклонно относится к заметному количеству поисковых запросов. (конечно аналогично проверке категории, с обязательным отсевом файлов с хэшем в SHA1). Рекомендую кстати покрутить ручку настройки (MaxInetThreads) возможно увеличение количества одновременных запросов к серверу повысит производительность... правда на моем соединении больше 8 уже не дает заметного эффекта в скорости.

[WindR 0]

Свойства->Цифровая подпись-

Вкладка отсутствует.

[demkd 638]

Вкладка отсутствует.

тогда стоит прислать это файл мне (архив в почту), а я на него посмотю, тут возможно 2 варианта, файл не имеет цифровой подписи или система по тем или иным причинам просто не способна проверять цифровые подписи... правда возможно просто поврежден CatRoot или отключен CryptSvc, если у файла таки есть внешняя подпись.

Работоспособность проверки эцп под чистым Win7 x64 без SP1 со всеми апдейтами на тек. момент я проверил, проблем нет ни при ручной проверке, ни при массовой... правда попутно нашел и исправил старый глюк в окне выбора файлов, но он проверке не мешает.

[demkd 638]

BETA3

похоже фича принимает законченный вид, тестируйте и добавил инфу с VT в окно информации о файле по второму варианту, заодно выкинул из лога мусор и пофиксил мелкие баги не связанные с VT.

[santy 153]

BETA3

похоже фича принимает законченный вид, тестируйте и добавил инфу с VT в окно информации о файле по второму варианту, заодно выкинул из лога мусор и пофиксил мелкие баги не связанные с VT.

на XP SP3 все замечательно отработало.

Детальный вывод инфо о детектах на VT: в список, в лог, в инфо о записи - лучше не пожелаешь.

непонятен лишь один момент, образ для тестирования в архиве test.rar

на рисунке 1 список подозрительных с отсевом известных, провереннных, ненайденных,

три записи, одна из них под сигнатурным детектом до проверки на ВТ.

после проверки на вирустотал (см рисунок2) - имеем два детекта по ВТ:

svhost.exe - сигнатурный + VT

notepad2.exe - детект по VT

но запись о notepad2.exe исчезла из списка подозрительных, хотя имеет статус ?ВИРУС?

отсюда вопрос: глюк или непонятная мне логика?

по моим представлениям запись о notepad2.exe должна была остаться в списке подозрительных.

test.rar

test.rar

[demkd 638]

по моим представлениям запись о notepad2.exe должна была остаться в списке подозрительных.

а он там и остался, просто флаг "скрыть ненайденные и с..." его скрыл, подглючивает флажок, я его до конца еще не отрегулировал.

[santy 153]

а он там и остался, просто флаг "скрыть ненайденные и с..." его скрыл, подглючивает флажок, я его до конца еще не отрегулировал.

тогда - пожелание.

добавить в контектсное меню - отменить статус проверенного у текущего (отдельного файла)

удобно будет манипулировать небольшим списком при различных тестах, чтобы наблюдать как записи меняют статусы, переходят из одной категии в другую.

сейчас есть - отменить статус проверенного у всех файлов в списке.

и добавить стату проверенный у отдельного файла в окне информация.

т.е. я хотел отследить как ведет себя запись из списка ВСЕ, перекинул туда подозрительную notepad2.exe что бы проверить реакция на статус ?ВИРУС? и обнаружить - попадает она после проверки на ВТ в список подозрительных или нет.

Нет - не увидел.

---

нет, все ок, есть там... не видна из-за третьего флажка "скрыть ненайденные и с заполненным производителем"

[PR55.RP55 83]

1.Добавить пункт:

?Вирус? Поместить копии всех файлов в ZOO ?

2.Для settings.ini добавить настройку: Не открывать окно браузера - работать в рамках uVS

*При проверке 1-го файла по sha1.

3.Для settings.ini добавить настройку: Выбор браузера.

4.Для settings.ini добавить настройку: По умолчанию запрещающею проверку списка на VT.

*В случае отсутствия базы Sha1

**Найдутся виртуозы,что будут проверять по 900- 1200 файлов.

А, так хоть инструкцию к программе почитают.

5.Я, так понимаю, что в режиме реального времени uVS Самостоятельно - не проверяет цифровую подпись файла перед

запросом к VT ?

6.При проверке на VT может быть эффект "Затирания" окна uVS другим окном - при их перемещении.

7.В версии 3.47 Предусмотреть возможность поддержки - создания скриптов для предыдущих версий программы.

*При выполнении стандартных операций/команд.

таких как:

DELALL

DELREF

ZOO

**В ряде случаев user не имеет возможности использовать актуальную программную версию.

8.Пункт.

OK[2011-02-10]VT

OK[2011-02-19]USER

Логика написания такая: Проверен > Дата Проверки > Кем проверен.

[PR55.RP55 83]

Не удалось считать...

Версии 3.45 и 3.46

[demkd 638]

Не удалось считать...

У некоторых драйверов нет физического тела с _таким именем (тело в данном случае usbstor.sys), соотв. и проверочную сигнатуру прямым доступом к диску не считать.

А "параметр задан неверно когда вываливается"?

?Вирус? Поместить копии всех файлов в ZOO ?

Логично.

2.Для settings.ini добавить настройку: Не открывать окно браузера - работать в рамках uVS

Лень и так хорошо.

3.Для settings.ini добавить настройку: Выбор браузера.

Это можно.

**Найдутся виртуозы,что будут проверять по 900- 1200 файлов.

А, так хоть инструкцию к программе почитают.

И пусть проверяют если время лишнее есть, криминала тут нет.

5.Я, так понимаю, что в режиме реального времени uVS Самостоятельно - не проверяет цифровую подпись файла перед

запросом к VT ?

Нет и это правильно, воровство подписей еще никто не отменял.

6.При проверке на VT может быть эффект "Затирания" окна uVS другим окном - при их перемещении.

Если тесно то второй монитор тоже никто не отменял.

7.В версии 3.47 Предусмотреть возможность поддержки - создания скриптов для предыдущих версий программы.

Версии полностью совместимы, как по скриптам так и по форматам всех файлов.

Логика написания такая: Проверен > Дата Проверки > Кем проверен.

VTOK не означает что файл проверенный, а проверенный юзером смысла помечать нет, раз проверил знчит знает что делает.

[PR55.RP55 83]

"Параметр задан неверно когда вываливается"? Как на фото...

Win.XP.Prof.SP3.

Все остальные параметры в данном разделе работают!

И версия 3.45 Работает.

Не работает Именно на 3.46 !

"Версии полностью совместимы, как по скриптам так и по форматам всех файлов."

Вот в этом есть сомнение - Хотя возможно дело снова в форуме ESET и типе прикрепления файлов.

[demkd 638]

Не работает Именно на 3.46 !

Ага, есть такой глюк, исправлю, хоть от этого морально устаревшего теста толку нет

А ошибка вызвана поддержкой быстрого бэкапа реестра, который как установила практика работает только для хайвов, но не их ключей.

Вот в этом есть сомнение - Хотя возможно дело снова в форуме ESET и типе прикрепления файлов.

Единственная проблема в том что новые скриптовые команды не поддерживаются старыми версиями, но тут уже ничего не сделать, не может старая версия воспринимать скрипты с новыми командами.

И конечно в 3.46 есть глюк с введеной в ней командой BDREG (бэкап с дефрагом), скрипты с ней создаются, но _всегда отвергаются при попытке исполнения, поэтому пока не стоит использовать эту команду, исправлено в BETA4.

А вот что прикрепление у них зловредное - это однозначно.

[demkd 638]

Выложил BETA4, скорее всего последняя бета.

Дошли руки сделать список исправлений:

o Добавлены новые функции в меню "Подпись/Хэш"

"Проверить все файлы на VirusTotal.com" (Alt+Shift+W)

"Проверить НЕПРОВЕРЕННЫЕ файлы в текущей категории на VirusTotal.com" (Alt+W)

Результат проверки доступен в логе и отображается в столбце "Производитель" в виде:

VT [xx/yy]

где xx = кол-во детектов, yy = всего антивирусов.

VTOK [yyyy-mm-dd]

где yyyy-mm-dd = submisson date _без_времени в выходной форме VirusTotal.com

(!) В случае ошибки или отсутствии соотв. хэша в базе VirusTotal.com производитель не изменяется.

Видимый в списке статус файла изменяется на "?ВИРУС?" (если файл НЕ имел статуса "ВИРУС").

При проверке активной/неактивной системы результат дополнительно доступен в окне

информации о файле.

Используются системные (MSIE) настройки доступа в интернет.

При работе с удаленной системой подключение к интернету требуется лишь для системы проверяющего.

o Добавлены новые функции в меню файл.

"Поместить копии всех файлов со статусом "ВИРУС" в Zoo"

"Поместить копии всех файлов со статусом "?ВИРУС?" в Zoo"

o В категории Zoo больше не отображаются файлы описаний (*.txt)

Теперь файлы описаний удаляются автоматически вместе с основным файлом.

o Список файлов в Zoo теперь обновляется только при обновлении всего списка.

o Новые параметры в settings.ini

[settings]

; Количество одновременных потоков для закачки файлов из интернета.

; Допустимые значения от 1 до 100

MaxInetThreads = 4 (4 по умолчанию)

; Используемый бразуер (полный путь без кавычек)

Browser (по умолчанию используется дефолтный)

o Флаг "Скрыть ненайденные и с заполненным производителем" теперь НЕ скрывает файлы

со статусами "ВИРУС" и "?ВИРУС?".

o Исправлены ошибки в функциях запуска файлов.

o Исправлена ошибка в функции удаления файлов из Zoo.

o Исправлена ошибка в функции проверки скрипта перед исполнением.

(отвергались скрипты с командой BDREG).

o Исправлена ошибка в функции сохранения ключей реестра (с поднятым флагом bFastBackup).

Теперь при отказе в быстром сохранении ключа происходит автоматический переход

на обычный метод сохранения ключей с дефрагментацией содержимого.

o Исправлена ошибка в функции удаления файлов: не удалялись файловые потоки в корне NTFS раздела.

o Исправлена ошибка в окне выбора файла (не отключался системный редиректор под x64)

[PR55.RP55 83]

Очередное предложение

В честь наступающего 23 февраля.

Добавить: Проверить Файл на VirusTotal.com

[santy 153]

Выложил BETA4, скорее всего последняя бета.

Дошли руки сделать список исправлений:

o Добавлены новые функции в меню "Подпись/Хэш"

"Проверить все файлы на VirusTotal.com" (Alt+Shift+W)

"Проверить НЕПРОВЕРЕННЫЕ файлы в текущей категории на VirusTotal.com" (Alt+W)

...

первое впечатление о версии 3.47: заметно удобнее стало работать именно с проверкой подозрительных записей без детекта сигнатур, и то, что информация о детектах на ВТ попадает теперь в окно uVS (не надо "выуживать" из окна браузера) позволяет давать нормальное имя новым сигнатурам и положительно влияет на скорость анализа образа автозапуска.

[demkd 638]

v3.50 релиз

Исправлений много, отмечу лишь основные моменты:

1. тема virustotal.com раскрыта полностью, разве что нет аплоада.

2. snms превращен в базу критериев поиска, теперь каждый может расширять поисковую логику как ему нравится, поэтому база snms больше в комплект uVS не входит. За идею спасибо santy

3. Поддержка автоархивации образов, разархивировать теперь тоже не нужно.

4. Как обычно убиты старые баги и добавлены новые