Universal Virus Sniffer (uVS), Вопросы разработчику

[PR55.RP55 83]

Предлагаю ряд идей, как полезных, так и просто идей.

1.Отправка файла на V.T через меню uVS.

2.Сканирование каталога по выбору - через меню uVS = проверка по SHA1 = обработка результата через V.T

*Возможность задать критерий обработки - по типу и размеру, дате создания объекта.

3.Возможность добавлять данные HOSTS в базу критериев поиска. "snms"

Как пример:

odnaklassnki.ru

wkontakte.ru

*Или возможность задать стандарт "Известный" и соответственно реагирование uVS на его изменение.

4.Добавить: В меню "Подпись/Хэш"

ПРОВЕРИТЬ ЦИФРОВУЮ ПОДПИСЬ ФАЙЛ-ОВ ТЕКУЩЕЙ КАТЕГОРИИ.

*Это позволит сэкономить время проверки на слабых машинах.

5.Автоматическое сопоставление/сравнение, данных запуска файлов.

Как вариант категория: "Запускались неявно или вручную"

Например у файлов идентичная/схожая сигнатура но разные имена.

Таким образом можно обнаружить объект по его подозрительному поведению "В ПрошлоМ" !

Зачем легальному файлу изменять своё имя ?

Это, даёт возможность найти подозрительный файл/лы даже в случае, если они уже отработали и на данный момент неактивны.

*Я раннее предлагал конкретные критерии сравнения и поиска файлов.

**Именно Автоматизированный поиск и сравнение, в рамках заданных кретериев!

6.Возможность создания мини - uVS для запуска под Linux ?

Авто Очистка Temp. и т.д.

** Это позволит снять ряд вопросов по распространению компонентов Windows

= Экономия на передаче данных.

***При условии, что это решаемая задача.

Например на базе: http://www.slitaz.org/ (Образ Всего 30mb с полным пакетом программ!)

[demkd 637]

1.Отправка файла на V.T через меню uVS.

Когда-нибудь будет.

2.Сканирование каталога по выбору

Это тоже надо бы, но пока лень.

3.Возможность добавлять данные HOSTS в базу критериев поиска.

Не вижу смысла.

ПРОВЕРИТЬ ЦИФРОВУЮ ПОДПИСЬ ФАЙЛ-ОВ ТЕКУЩЕЙ КАТЕГОРИИ.

*Это позволит сэкономить время проверки на слабых машинах

Процесс не столь долгий, чтоб на нем экономить, тем более что никто не запрещает предварительно давить F4, что резко сократит время проверки в целом.

5.Автоматическое сопоставление/сравнение, данных запуска файлов.

Не вижу смысла.

6.Возможность создания мини - uVS для запуска под Linux ?

Это как открыть автосервис на параходе... оригинально конечно, но на мой взгляд несколько необдуманно.

[Smit 29]

demkd

сегодня чистил систему от троянцев (ни чего особенного)

но чистка корзины + удаление путей сработало частично ,

а именно файлы зачистила а пути реестра нет пришлось дополнительно чистить

win xp sp3 (с какими то там фиксами)

в остальном все ок!

ps прошлый раз была win 7 x64

[Smit 29]

думаю дело не в том что, что то не правильно в коде , а в том что система медленно соображает что с ней что то сотворили ...

так что сделать задержку между процедурами 1.5-2 сек и проблема отпадет сама

собственно идея с таймером не нова , есть ряд программ которые рекомендуют делать паузы между действиями (по той самой тормознутости системы)

[demkd 637]

Smit

Я код таки посмотрю, пока же времени на бесплатные проекты нет.

И объявление: бесплатный хостинг на jino-net.ru видимо прекратил или прекратит свое существование в ближайшие дни. Поэтому качать uVS можно будет лишь с зеркала (см. подпись ниже).

[Sergey Dindikov 10]

demkd

предложение: добавить в ресурсы EXE файлов start.exe и startf.exe ICO файл

например с картинкой как на твоей аваторе

uvs.ico

uvs.ico

[Sergey Dindikov 10]

demkd

1) забыл букву

http://screenshot.su/show.php?img=9337750f...775a7cbf2fc.jpg

2) можно ли сделать возможность ресайза области списка подозрительных файлов и окна вывода информации

http://screenshot.su/show.php?img=42ee31cc...e664bbca94c.jpg

как в Regedit'e например:

http://screenshot.su/show.php?img=a7cdacea...28590e26dee.jpg

потому что порой список подозрительных очень мал, а вывода в лог было много и хочется его более наглядней видеть.

[demkd 637]

предложение: добавить в ресурсы EXE файлов start.exe и startf.exe ICO файл

Иконка не очень хорошая идея, по постоянной иконке можно легко блокировать запуск, да и народ пугаться будет

1) забыл букву

Точно, исправлю

2) можно ли сделать возможность ресайза области списка подозрительных файлов и окна вывода информации

Лень, но вообще для просмотра лога есть горячая клавиша: Alt+L

Список всех горячих клавиш есть а FAQ-е.

[Sergey Dindikov 10]

demkd

Вот есть твик (другие не тестил)

http://screenshot.su/show.php?img=33e908fe...e481f575384.jpg

который работает только в одну сторону - только на включение показа скрытых файлов

А хотелось бы ON/OFF делать. так как включил и получил следующее:

http://screenshot.su/show.php?img=0de71db9...9d80e3bc545.jpg

А обратно исправить через твою утилиту уже не могу

[demkd 637]

А обратно исправить через твою утилиту уже не могу

Твик нужен не для обычного включения отображения скрытых файлов, а для исправления вреда нанесенного вирусом в результате которого нельзя было включить отображение скрытых файлов. Обычное же включение/выключение вполне доступно в панеле управления Windows.

[zloyDi 15]

Может я туплю, но после того как выбрать опцию www.Virustotal.com - "Проверить по хешу файла" сам файл исчезает из списка!

[demkd 637]

zloyDi

Это фича Стоит флажок "Скрыть проверенные" и хэш файла уже есть в базе проверенных, в этом случае файл помечается как проверенный и обращение к VT не происходит.

[zloyDi 15]

zloyDi

Это фича Стоит флажок "Скрыть проверенные" и хэш файла уже есть в базе проверенных, в этом случае файл помечается как проверенный и обращение к VT не происходит.

Да в том и прикол, что файл был явным вирусом, в базе провереных небыло, хотел поместить в карантин после проверки на ВТ а он исчез из списка.

Посмотрю более подробно настройки.

Спасибо.

[santy 153]

Приветствую.

предложение - сохранять последний введенный IP сеанса удаленного подключения в settings.ini, и соответственно добавлять его в поле ввода из settings.ini (если он там есть) при выборе удаленного компьютера.

[demkd 637]

сохранять последний введенный IP сеанса

Да, надо будет сделать, но пока возиться с uVS некогда, благо что пока 3.51 работает без существенных глюков.

[Vitokhv 0]

Подскажите как автоматически запускать клавишу F1 - Скрыть/показать известные и проверенные файлы.

В файле settings.ini

Или как установить галки "Скрыть/показать известные и проверенные файлы" по умолчанию?

[demkd 637]

F1 - Скрыть/показать известные и проверенные файлы.

В файле settings.ini

Никак, нет такой фичи.

"Скрыть/показать известные и проверенные файлы"

А этот флаг без пердварительного нажатия F4/F6 соврешенно бесполезен, а по нажатию F4/F6/Alt+W сам и активируется. А вот в случае работы с образом автозапуска есть флаг ImgAutoF4 (см. DOC\FAQ.txt).

[Vitokhv 0]

В частых случаях, удаляются ВСЕ подозрительные фалы, пользователями не представляющие последствий своих действий. С этими флагами хоть системные файлы останутся не тронутыми.

[Vitokhv 0]

И такой вопрос, как можно подменить файл settings.ini для включения параметра bAllProfiles = 1

В папке uVS содержится файл конфигурации и возле папки исполнительный файл .cmd - задача, скопировать и заменить файл конфигурации так же как и файлом start.cmd только в данном случае скопировать только файл конфигурации.

[Vitokhv 0]

Такой вроде подходит:

cmd.exe /D /C"copy /Y fix\settings.ini c:\$uvs_285 && start c:\$uvs_285\start.exe"

[demkd 637]

В частых случаях, удаляются ВСЕ подозрительные фалы, пользователями не представляющие последствий своих действий.

Для проверенных и известных файлов перед деструктивными операциями над ними выдается соотв. предупреждение, да и программа не для обычных пользователей, если уже и предупреждение не останавливает то тут уже ничего не поможет

Такой вроде подходит

Да, типа того.

[Vitokhv 0]

Как насчет параметра bAutoBL = 1

Сможет ли он помочь при ручном полном удалении НЕ найденного файла?

И как отменить блокировку по MD5 с помощью лога bl.log

[demkd 637]

bAutoBL = 1

Сможет ли он помочь при ручном полном удалении НЕ найденного файла?

нет файла - нет md5

И как отменить блокировку по MD5

Отменить блокировку можно только целиком твиком #19

[Vitokhv 0]

Отменить блокировку можно только целиком твиком #19

Отлично то, что нужно.

нет файла - нет md5

Файл есть в том то и проблема, в данном случае баннер из под WindowsPE (папка WINDOWS выбрана)

При полном удалении и ссылок на файл, не помогает, хотя uVS видит, что он есть но его нет

Если бы его не было он бы не появлялся при загрузке Windows

[demkd 637]

Файл есть в том то и проблема, в данном случае баннер из под WindowsPE (папка WINDOWS выбрана)

Если и под PE его не видно, то его нет, если же он появляется после загрузки то есть что-то, что его восстанавливает и это что-то тоже есть в автозагрузке. Надо просто внимательно проверять _все, что есть в автозагрузке, а не только очевидно-подозрительное, сушественно сужает поиск проверка по базе проверенных, проверка цифровых подписей, проверка на VT, тот же фильтр по дате (если известна дата заражения). Если виновник с руткит/буткит то поможет установить зловреда сверка.