Перейти к содержанию

Recommended Posts

santy

вот еще вопрос: в каких случаях полезны функции запуска из uVS смонтировать /демонтировать / *.WIM из дистрибутива Vista/Seven?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
art
благодарю за ответы.

еще появился такой вопрос:

можно ли сделать так, чтобы при нажатии кнопки "проверить все непроверенные на вирустотал" не отображались в логе чистые файлы?

или чтобы файлы с детектов выделялись красным цветом,

а то такой большой поток данных.... рябит

вопрос снят, не разобрался сразу

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
можно восстановить файл или с помощью SFC (Vista и старше) или из дистрибутива, обе операции доступны в контекстном меню файла.

А при работе с образом XP ?

При написании скрипта...

Я, что предлагал - чтобы была имитация работы SFC.

В скрипте указать путь до файлового хранилища - любого.

И какой файл удалить/заменить.

Например:

;uVS v3.51 script [http://dsrt.jino-net.ru | http://dsrt.dyndns.org]

Open C:\Documents and Settings\!User!\Рабочий стол\Архив

copy \CTFMON.EXE

to remove %Sys32%\CTFMON.EXE

insert %Sys32%\CTFMON.EXE

restart

1.Поиск на V.Total

Например, образ uVS зафиксировал имя файла: CDF36546.EXE и его статус: Активен.

Все прочие данные по файлу отсутствуют...

*Нам нужно понять мог ли данный файл вызвать проблемы в работе PC ?

Но как это сделать если у нас нет доп.данных по объекту кроме его имени.

Предлагаю: Сделать опцию запрос к V.Total по: CDF36546.EXE имени файла/расширению.

Вероятность совпадения имени 1. к 10000000...

*Если имя всё-же совпадёт - то сделать выбраковку по дате, и возможность просмотра альтернативных

результатов поиска.

2.Эвристика.

Пример:

Файл - 4BFDlve.exe

код файла:

A

F

FF

F

FF

A

Где А - это язык программирования X 1

F - язык программирования X 2

FF - язык программирования X 2

A - это язык программирования X 1

*Т.е у нас есть файл имеющий статус: Активен - и простой/сравнительный анализ

даёт информацию о чередовании кода.

Код содержит разные языки...

Статус такого файла - Virus -

3.Совпадение имён файлов каталога.

Совпадение имён файлов каталога при градации расширения файлов.

Сейчас, если файл находится в основном автозапуске Например: C:\WINDOWS\EXPLORER.COM

то в категорию -"Подозрительные и вирусы " он не попадает !

То-есть, если файл запустился/отработал и выгрузился из памяти - то в категорию

"Подозрительные и вирусы " он не...

В качестве конкретного примера прилагаю образ.

* EXPLORER.COM это не вирус - Это просто пример.

В том числе моё предложение включает идею - что необходимо добавить в uVS

функцию автоматического просмотра/анализа содержимого системных каталогов - на предмет совпадения

имён файлов - в рамках градации расширения файлов.

*Для основных системных ресурсов - включая неактивные объекты.

4.Автоматически добавлять файл в категорию "Подозрительные и вирусы"

При четырёхкратном и более, чередовании символов в имени активного объекта.

Пример: k8uy4o7.exe., KLanoEyrr

*Каждое имя написанное человеком несёт в себе смысловую нагрузку.

Такие, как имя объекта - его порядковый номер в библиотеке - версию, или дату создания.

В случае же работы примитивного генератора мы имеем случайный набор/последовательность символов.

** Разумеется с учётом других параметров - таких, как отсутствие цифровой подписи и др...

P.S. Приму любую разгромную критику своих идей/предложений :)

RP55.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
вот еще вопрос: в каких случаях полезны функции запуска из uVS смонтировать /демонтировать / *.WIM из дистрибутива Vista/Seven?

Например требуются заведомо чистые файлы из дистрибутива, а начиная с висты достать их не легко, вот тогда и можно смонтировать соотв. wim файл из дистрибутива и достать эти файлы.

В скрипте указать путь до файлового хранилища - любого.

Я добавлю возможность использовать восстановление из хранилища с помощью скриптов эта фича давно запланирована.

Все прочие данные по файлу отсутствуют...

А хэш? Что касается поиска по имени я такой фичи на VT не знаю.

2.Эвристика.

Не понял.

3.Совпадение имён файлов каталога.

Это подумать надо... хотя может есть реальный пример?

При четырёхкратном и более, чередовании символов в имени активного объекта.

В принципе не лишено смысла, как-нибудь подумаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Цитата(PR55.RP55 @ 18.04.2011, 17:48) *

2.Эвристика.

Не понял.

1. У нас есть системный файл - скажем CTFMON.EXE

Написанный на C*

Логика: "Все металлы проводят ток - Ртуть металл..."

2. Тело - код вируса написан на Языке X* !

При внедрении кода в файл = C* + ( минус ) X* = ?

Цитата(PR55.RP55 @ 18.04.2011, 17:48) *

Все прочие данные по файлу отсутствуют...

А хэш? Что касается поиска по имени я такой фичи на VT не знаю.

А хэш? - Так нет его ! :)

А, что касается V.Total и поиска по имени - Возможно есть другие варианты...

Вот народ тему читает может что и предложат ?

Цитата(PR55.RP55 @ 18.04.2011, 17:48) *

3.Совпадение имён файлов каталога.

Это подумать надо... хотя может есть реальный пример?

Так я вирусами и не занимаюсь - они страшные и противные. :)

Но может у кого есть - напишите!

* Народ !: Имеется в виду полное совпадение имени без подмены символов на Кириллические и прочее...

Отличие по расширению файла.

4. Я предлагал поиск по цифровой подписи/производителю как в рамках образа, так в реальном каталоге

Будет ли это реализовано ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
При внедрении кода в файл = C* + X* = ?

В смысле детектить заражение, без привязки к типу инфектора, трудновато это, да и фолсов будет море.

А хэш? - Так нет его ! smile.gif

И почему нет? В образе должен быть, раз был файл. Если же файла нет то и смысла разбираться нет.

4. Я предлагал поиск по цифровой подписи/производителю как в рамках образа

Есть же критерии для этого, а в каталоге не вижу смысла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Цитата(PR55.RP55 @ 18.04.2011, 18:59) *

При внедрении кода в файл = C* + X* = ?

В смысле детектить заражение, без привязки к типу инфектора, трудновато это, да и фолсов будет море.

Да! но...

*Так с учётом дополнительных факторов - отсутствие цифровой подписи и прочее.

Это автоматически отсеет 80% + База проверенных.

Кроме того Следует ввести такой критерий обнаружения: Нам, точно известно, что файл CTFMON.EXE написан "по умолчанию"на языке C*

а результат анализа даёт информацию о том, что анализируемый файл содержит - или полностью написан на языке X*

кроме того нет цифровой подписи.

Или речь идёт о временной замене части кода на вирусный...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Реальный Пример легальной - известной программы: Core Temp, Версия 0, 99, 4, 65

Это программа для измерения температуры.

И результат запуска - на фото.

Файл в архиве*

И, что должен думать культурный человек - при выводе такой информации ?

Кто нибудь решит, что это руткит :)

Вывод: Даже если файла нет ???

То Оргвыводы по нему сделать необходимо - а значит нужна информация - хотя бы проверка но имени.

* Если мы уже сталкивались с этим - то можно добавить в исключения...

Но если это новый объект то...

2. Необходим.

Поиск по образу - например фильтрующий по первым буквам - по имени Компании - цифровой подписи производителя.

Например для поиска конфликтующих драйверов стороннего производителя - тех, что имеют легальную подпись - но их необходимо удалить.

445544jpg.jpg

post-8956-1303135460_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
*Так с учётом дополнительных факторов - отсутствие цифровой подписи и прочее.

Это автоматически отсеет 80% + База проверенных.

Подпись или ее отсутствие мало чего дает, скажем тот же stuxnet замечательно подписан и подписи до сих пор проходят проверку, сегодня только прибил два его драйвера... Сборок туча и известные файлы сплошь модифицированные.

Т.е. 80% это очень оптимистично, конечно есть смысл в определении языка написания или нестандартных сигнатур системных файлов, но тут нужны исследования, на которые просто жалко тратить время, результат все равно будет смешной.

То Оргвыводы по нему сделать необходимо - а значит нужна информация - хотя бы проверка но имени.

И чего она даст? Оргвыводы без наличия тушки на руках бесполезны. Любой зловред может назваться как хочет, в т.ч. и именем соотв. вполне безвредному файлу, хоть beep.sys, хоть ntldr, хоть теми же обломками дров для видюхи.

Соотв. вопрос упирается в поиск тела.

Например для поиска конфликтующих драйверов стороннего производителя - тех, что имеют легальную подпись - но их необходимо удалить

Ладно, я подумаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Например требуются заведомо чистые файлы из дистрибутива, а начиная с висты достать их не легко, вот тогда и можно смонтировать соотв. wim файл из дистрибутива и достать эти файлы.

реально проделать такую вещь?

- выдергиваем boot.wim из iso-ного образа загрузочного диска (например ERD 65 с добавленным uVS);

- монтируем boot.wim с помощью uVS;

- открываем regedit и присоединяем куст software из смонтированного образа boot.wim;

- вносим изменения в ветку Run присоединенного куста - например, прописываем автозапуск uVS при загрузке с диска (или флэшки);

- выгружаем присоединенный куст;

- отмонтируем boot.wim обратно же с помощью uVS;

- заменяем в исошном образе диска исходный файл boot.wim модифицированным файлом boot.wim;

---

в итоге получаем загрузочный диск с автозапуском uVS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
- монтируем boot.wim с помощью uVS;

uVS специально монтирует образ в R/O режиме во избежании его модификации.

Но вообще можно смонтировать и для изменения.

Например так:

DISM.EXE /mount-wim /wimfile:"y:\sources\boot.wmi" /index:1 /mountdir:"r:\boot"

Для прменения изменений необходимо будет демонтировать образ с помощью uVS или dism-ом.

Монтировать можно только на NTFS разделы.

Насчет необходимости модификации реестра... лучше сперва почитать документацию к Windows AIK там подробно расписано как правильно заточить образ под себя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Администрирование - безопасность - uVS

ФАЙЛОВАЯ СЕТЬ - и uVS.

В произвольном каталоге создаётся зона наблюдения состоящая из 100 исполняемых файлов.

Размер файлов варьируется от 25 - до 225 kb.

Файлам присваиваются произвольные имена.

Код файлов идентичен - Изменение размера файла производится путём многократного повторения/дублирования

кода.

После создания файлового каталога удовлетворяющего вышеперечисленным требованиям.

Происходит дальнейшая автоматическая генерация - сдаётся контрольная таблица/база SHA1 содержащая

информацию по каждому фалу.

При повторном запуске uVS производит проверку SHA1 - файлов заданного каталога.

При обнаружении изменения значения - Запускается последующие этапы.

1.Объект помещается в Zoo.

2.При обнаружении изменения значения - Известная часть программного кода полностью удаляется,

а на на основе неизвестной автоматически генерируется сигнатура объекта.

3.Подаётся сигнал Оператору PC - Сигнал обнаружения и готовности к принятию команды.

* Все случаи отсутствия/перемещения/наличия новых - также отслеживаются и обрабатываются.

Суть идеи - это оперативное обнаружение вирусного присутствия в рамках корпоративной сети

и своевременное устранение угрозы.

Особую эффективность данное решение имеет в случае использования общих ресурсных - рабочих объектов/каталогов.

Для достижения максимального эффекта при работе с uVS рекомендуется задействовать подпрограмму - планировщик.

1.Файлы каталога создаются автоматически - Идентичный код добавляется автоматически.

2.SHA1 - при создании нового каталога изменяются путём простой перетасовки сегментов кода.

*Что в свою очередь не позволит - вирусу определить - принадлежность модифицируемого объекта к uVS.

Мониторинг общих ресурсов корпоративной сети в рамках применения данной методики позволит мгновенно реагировать, находить и ликвидировать до 80 % угроз. :)

В качестве простого практического примера:

1.самостоятельно создать Каталог.

2.Поместить в него Х* исполняемых файлов.

3.Открыть его для доступа Система < > Система.

4.Создать базу/таблицу SHA1 текущих/проверенных файлов.

5.Настроить уведомление/планировщик - Заданный интервал по времени.

6.Осуществить проверку - сравнение SHA1 по базе/таблице.

* Отклонение от заданного стандарта - следует расценивать как заражение.

Файл не прошедший процедуру проверки - подвергается изоляции.

*Метод сравнения по хэшам известен - программы: TRIPWIRE, Adinf.

В общем известный метод + творческий подход от меня.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit
В произвольном каталоге создаётся зона наблюдения состоящая из 100 исполняемых файлов.

Размер файлов варьируется от 25 - до 225 kb.

Файлам присваиваются произвольные имена.

Код файлов идентичен - Изменение размера файла производится путём многократного повторения/дублирования

кода.

В общем известный метод + творческий подход от меня.

приведу параллельный пример:

один человек мне предлагал супер оригинальную идею в электронике, каждую деталь сделать на разъеме чтобы легче было ремонтировать и находить неисправности...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
ФАЙЛОВАЯ СЕТЬ - и uVS.

Это уже дело для отдельной программы. Которая к тому же не нужна, есть же аудит для NTFS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Это уже дело для отдельной программы.

Как так ? :)

Ведь всё необходимое для такой проверки уже входит в состав uVS.

А, файловый каталог можно собрать самостоятельно.

Или производить мониторинг Системного каталога.

Проверка...

uVS___jpg.jpg

post-8956-1303480259_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Ведь всё необходимое для такой проверки уже входит в состав uVS.

Подобными вещами должен заниматься продукт с проактивной защитой, uVS же занимается исключительно уничтожением и совсем чуть-чуть восстановлением, втискивать в него какие-либо защитные функции не в ходит в мои планы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
производить мониторинг Системного каталога.
втискивать в него какие-либо защитные функции не в ходит в мои планы.

Как всегда, я неточно выразил свою мысль !

Эх !

Речь совсем о другом... Мониторинг в режиме реала отдыхает! :)

-------------------------------------------------------------------------------

Речь вот о чём:

Как сейчас в uVS проводится проверка на Руткиты ?

По файлу сверки...

Я же следуя аналогии предлагаю добавить возможность проверить каталог по выбору !

И не на руткиты, а на любое изменение файлов/каталога.

Какие были добавлены - удалены или изменены за эти три* дня !

Суть - Есть каталог - мы делаем его снимок по SHA1.

Сохраняем это снимок - и скажем через два - три дня вновь запускаем считывание данного каталога по по SHA1.

т.е. Создаётся файл сверки.

Т.е мы используем функцию заложенную в uVS для обнаружения Руткитов.

Но используем её в качестве наблюдения за контрольной точкой/файловым-каталогом.

Так, добавляется функция позволяющая проводить при необходимости мониторинг изменений и поиск типичных вирусов.

Используя проработанною методику сверки файла сверки с конкретным каталогом.

С возможностью проверки - без загрузки с Live CD !

...

133805.jpg

post-8956-1303546860_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Речь вот о чём:

Бесполезная фича.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

продолжаем тему - анализ изменений.

может стоить прикрутить запуск консольной утилиты CmpImg из интерфейса uVS?

допустим, в режиме работы с образом автозапуска (источник сравнения - "source") открывать опцию - "сравнить с образом",

далее выбираем из диалога цель сравнения - "target", а результат сравнения можно выводить в лог, просматриваемый по alt L.

также, хотелось бы иметь возможность создания полного образа автозапуска в фоновом режиме (с единственным сообщением - создание образа завершено), чтобы включать подобный запуск в планировщик антивируса, например.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
может стоить прикрутить запуск консольной утилиты CmpImg из интерфейса uVS?

Пока не понятно есть ли вообще польза от подобного сравнения, если польза будет тогда в будущем можно будет подумать о развитии этой темы.

также, хотелось бы иметь возможность создания полного образа автозапуска в фоновом режиме (с единственным сообщением - создание образа завершено), чтобы включать подобный запуск в планировщик антивируса, например.

Если уж хочется его создавать в фоне то сообщения будут излишни. В принципе утилита упрощенного создания образа запланирована, но когда она будет не знаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Пока не понятно есть ли вообще польза от подобного сравнения, если польза будет тогда в будущем можно будет подумать о развитии этой темы.

Если уж хочется его создавать в фоне то сообщения будут излишни. В принципе утилита упрощенного создания образа запланирована, но когда она будет не знаю.

Мне кажется, дополнительный анализ не помешает (и более удобен при запуске из интерфейса uVS) и будет БОЛЕЕ АКТУАЛЕН, если можно будет в фоне создавать образ автозапуска из планировщика. Причем, в этом случае создание образа можно планировать практически из любого антивируса, в котором есть планировщик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Дополнительный анализ не помешает (и более удобен при запуске из интерфейса uVS) и будет БОЛЕЕ АКТУАЛЕН.

Дополнительная функция = Дополнительной возможности.

Примечания.

1.

В далёком, далёком будущем когда деревья будет большими и будет реализована функция восстановления системных файлов из любого архива

посредством скрипта...

Следует ввести запрет на выполнение скриптовой команды: _Восстановить_, ЕСЛИ файл помещённый в архив и предназначенный для восстановления не имеет цифровой подписи!

*Что позволит защитить PC & uVS от злоупотребления.

2.

Проверять: C:\Documents and Settings\User\Рабочий стол

Добавлять в образ автозапуска при его генерации все стандартные данные об объектах имеющих статус: Скрытый/системный.

*В том случае если они действительно невидимы - не видимы пользователю !

Логика: Зачем пользователю могут понадобиться на рабочем столе скрытые исполняемые объекты, если их

отображение заблокировано ?

Следует проверять каталог на их наличие - во всех случаях даже если активность данных объектов не была явно зафиксирована.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Следует ввести запрет на выполнение скриптовой команды: _Восстановить_, ЕСЛИ файл помещённый в архив и предназначенный для восстановления не имеет цифровой подписи!

Большинство системных файлов не имеет внутренней цифровой подписи, поэтому запрет излишен, а подбирать конкретную версию файла для которого есть запись в catroot конкретной системы достаточно утомительная задача.

Проверять: C:\Documents and Settings\User\Рабочий стол

Рабочий стол некоторых пользователей может измеряться миллионами файлов, а SSD способные перелопатить такие объемы за сколько-нибудь разумное время стоят разве что у 1 из 10000. Ни к чему замедлять процесс, тем более что раз пользователь файл не видит и файла нет в автозагрузке, то файл ему никак не угрожает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
art

а будет ли аналог функции AVZ: Файл -> Исследование системы

со созданием html отчета с возможностью быстрого создания скрипта лечения в браузере?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
а будет ли аналог функции AVZ: Файл -> Исследование системы

со созданием html отчета с возможностью быстрого создания скрипта лечения в браузере?

полный образ автозапуска - это и есть исследование системы. Открыв образ автозапуска с помощью uVS, вы можете использовать всю мощь uVS для автоматического создания скрипта лечения - сигнатуры, эвристику, критерии поиска вредоносных программ, проверку категории подозрительных по SHA1 на ВирусТотал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.11.8
      ---------------------------------------------------------
       o Управление DNS логом вынесено в отдельные твики, #41 и #42.
         DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
         Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
         в последнем случае необходимо перезагрузить систему после 42 твика.
         (Win7 и ниже не поддерживается).  
    • demkd
      да, выглядит странно, может быть CommandLineEventConsumer чем-то уже удален, антивирус какой-нибудь неаккуратно поработал.
    • santy
      здесь почему то нет потребителя события c5br1lMhB Consumer = "CommandLineEventConsumer.Name=\"c5br1lMhB\"" что это может быть? скрипт, который был недоступен на момент создания образа? запуск майнера был: C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON но чем был вызван запуск - не смогли отследить. (зачистили без regt 39)                              IZTVMAIL01_2021-07-30_07-26-53_v4.11.6.7z
    • demkd
      привет, любой запуск процесса отслеживается, не важно что его запустило, дополнительно в wmi-activity разве что dll можно считать, которые подсаживались в wmiprvse.exe, толку только от этого.
    • santy
      Привет. Возможен ли расширенный мониторинг создаваемых процессов через подписки WMI, аналогично тому, как это выполняется сейчас в uVS через твик 39? (т.е. доп. события пишутся системой в лог WMI-Activity.evtx и затем экспортируются нужное в образ автозапуска) или это уже работает сейчас?  
×