Universal Virus Sniffer (uVS), Вопросы разработчику

[Vitokhv 0]

Подскажите по поводу файла autorun.inf

[autorun]open=cmd.exe /D /C"(md c:\$uvs_285 || cd c:\$uvs_285) && copy /Y uvs\*.* c:\$uvs_285 && start c:\$uvs_285\startf.exe"

Необходимо добавить параметр удаления папки $uvs_285 или чего-нибудь помягче, так как при повторных загрузках диска не запускается распаковка.

[demkd 636]

Vitokhv

А с какой ошибкой завершается?

У меня проходит без проблем и первый и второй и т.д. раз.

[Vitokhv 0]

Всплывает консолька (cmd), но процессы не гасятся.

Пишет, что файлы уже существуют и закрывается.

[demkd 636]

Всплывает консолька (cmd), но процессы не гасятся.

Значит команда "copy" работает не так как следует с ключом /Y она должна замещать существующие файлы, версия Windows какая?

[Vitokhv 0]

Помогите еще с таким вопросом..

Засел баннер но не могу найти примерно такую строчку в Internet Explorer

Registry::[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e4ab2c19-4b03-11df-9213-00016ce02d57}]

KARAMBA_2011_04_27_13_38_27.rar

KARAMBA_2011_04_27_13_38_27.rar

[demkd 636]

Vitokhv

В образе ничего _сильно подозрительного я не увидел, конечно если видеокарта от гигабайта...

Если же окошко всплывает только в браузере и браузер случайно опера, которую не видно в образе, то стоит поковырять руками ее каталог для плагинов. Если всплывает в FF до надо смотреть установленные аддонки.

Если всплывает при загрузке системы то стоит сделать сверку.

А mountpoints2 причем? оно тут роли играть никакой не должно.

[PR55.RP55 83]

1.Скриптовые команды:

chklst

delvir

В стандартном варианте команды отдаются/выполняются однократно.

То-есть проверка списка процессов происходит также однократно.

Предположим наличие объекта №2 который не попал под команду и который контролирует статус объекта №1

И восстанавливает его каждые 5 секунд.

В стандартном варианте:

chklst

delvir

Объект будет востановлен, после проверки списка.

Однако в случе многократного повторения команды:

chklst Список будет проверен повторно и есть шанс что копия файла также будет удалена.

delvir

chklst Предложение соответственно заключается в многократной проверке/перепроверке/чтении списка - процессов delvir в течении:10 - 15 секунд.

chklst

delvir

chklst

delvir

chklst

delvir

chklst

delvir

chklst

delvir

chklst

delvir

chklst

delvir

chklst

delvir

2.Добавить в uVS портативный файловый менеджер например такой как Q-Dir_Portable_Unicode.

http://www.softwareok.com/?Download

*Применение менеджера позволит эффективнее работать в режиме Live CD.

3.Меню: дополнительно - добавить пункт - выключить PC.

* В ряде случаев это более целесообразно чем перезагрузка - в плане экономии времени.

4.Поиск PDF файлов чей размер не превышает 200kb.

быстрый поиск с таблицей MFT раздела с сохранением информации по обьекту в образ автозапуска.

*Или как я предлагал добавить в uVS поиск и соответственно возможность находить требуемые объекты.

5.При помещении файла в ZOO - добавить возможность присваивать имя объекту - по своему выбору в процессе его добавления в ZOO.

* Например - это может зависеть от статуса файла - маркировка по степени его опасности.

При значительном количестве объектов это позволит эффективнее ориентироваться и принимать решение

по каждому из них.

6.При генерации образа автозапуска инициировать запуск браузеров,

это даст возможность проверять какие активные процессы - DLL и пр. взаимодействут с программой.

7.И как всегда предложение по имени файла. ( Так сказать пока есть, что предложить по этому вопросу )

*На примере образа - в архиве.

Объекты: и не подозрительные...

Хотя - имена левые, нет подписи, или запускались из системного каталога, в автозапуске...

e3#vi]]k.exe

Li;;$]zk.exe

2%@57^b.exe

------------

tr$#%7yu8.exe

7$;=;^^xi.exe

Как я уже писал - в любом названии данным человеком присутствует логический элемент несущий в себе информационную составляющею:

дата создания, версия, имя...

[demkd 636]

chklst Список будет проверен повторно и есть шанс что копия файла также будет удалена.

Извращение это Ну если уж очень хочется то добавление скриптов по горячей клавише давно доступно, где можно набить эту комбинацию хоть сто раз.

2.Добавить в uVS портативный файловый менеджер например такой как Q-Dir_Portable_Unicode.

Alt+F не работает под LiveCD? Кидайте в каталог с uVS любой менеджер, мало того по Alt+F uVS выдает backup привилегии, соотв. снимаются пользовательские ограничения на доступ в каталоги NTFS разделов.

3.Меню: дополнительно - добавить пункт - выключить PC.

Неет... промахиваться народ будет, а при работе по сети не только промахиваться но и в экстазе выбивать клавиатурой жидкие кристаллы из дисплея причем даже запрос на подтверждение не поможет, сильно опасная это для душевного здоровья функция, отклоняется.

5.При помещении файла в ZOO - добавить возможность присваивать имя объекту - по своему выбору в процессе его добавления в ZOO.

Не думаю что это пойдет на пользу нервной системе большинства пользователей.

6.При генерации образа автозапуска инициировать запуск браузеров,

это даст возможность проверять какие активные процессы - DLL и пр. взаимодействут с программой.

Идея понятна, но тоже отклоняется из-за непредсказуемости последствий.

7.И как всегда предложение по имени файла

Над этим я подумаю, может к v3.61 что-то и надумаю.

[PR55.RP55 83]

Кидайте в каталог с uVS любой менеджер...

Так я любой не хочу - есть желание чтобы менеджер был частью uVS - родной так сказать !

Неет... промахиваться народ будет, а при работе по сети не только промахиваться но и в экстазе выбивать клавиатурой жидкие кристаллы из дисплея...

Так можно в отдельное меню/категорию добавить все опасные для кристаллов команды - и если уж залез...

то как говориться - помоги себе сам.

*Кроме того в ряде случаев системы из-за ошибке в реестре не выходят на перезагрузку - так сказать думают и думают...

а на перезагрузку не идут !

Редко но такой фокус бывает - в этом случае работает только выкл.

Так, что при выполнении скрипта - в случае если машина не перезагружается в течении 60 секунд - её нужно принудительно вырубать.

Или это должна делать uVS - по таймеру задержки - или сам оператор.

Или авто - твик по восстановлению функции добавить.

Не думаю что это пойдет на пользу нервной системе большинства пользователей.

А в качестве опции - по параметрам в settings.ini ?

[demkd 636]

Так я любой не хочу

А я не хочу изобретать велосипед, файловых менеджеров сотни, один FAR чего только стоит.

Так можно в отдельное меню/категорию добавить

Не стоит, протянуть руку и выключить не проблема.

А в качестве опции - по параметрам в settings.ini ?

Опять же не вижу смысла писать море кода ради не нужной большинству фичи.

И так наконец-то я собрал релиз v3.60

Список изменений длинный.

Основное:

База компьютеров с возможностью снятия конфига прямо по сети (1 конфиг в среднем 30kb в базе)

Загрузка файлов на VT

Проверка параметров сервисов и драйверов по бэкапу - крайне полезная фича для поиска причины странного поведения системы после лечения системы некоторыми антивирусами.

Добавление произвольных каталогов в общий список до заврешния программы (не стоит этим злоупотреблять)

Возможность создавать сборки для снятия образа практически без участия пользователя.

И конечно исправленна кучка ошибок, основная из которых это дыра в функции проверке цифровой подписи.

[Vitokhv 0]

При помещении файла в ZOO - добавить возможность восстанавливать выборочный файл (например файлом .cmd), удаленный по ошибке или не внимательности (такое бывает часто).

2.Добавить в uVS портативный файловый менеджер например такой как Q-Dir_Portable_Unicode.

Насчет этого у меня вопрос к Вам PR55.RP55 как Вы думаете, чего не хватает в этом образе WinPE: http://forum.kaspersky.com/index.php?s=&am...t&p=1644854

Соответственно образ стараюсь обновлять.

demkd

Подскажите насчет этого:

Возможность создавать сборки для снятия образа практически без участия пользователя.

Что собой представляет?

[demkd 636]

При помещении файла в ZOO - добавить возможность восстанавливать выборочный файл (например файлом .cmd), удаленный по ошибке или не внимательности (такое бывает часто).

Восстановить файл это лишь 1% от реального восстановления, нужно будет восстановить все ссылки на него включая удаленные lnk/inf/bat/cmd/wsf и т.п. файлы, задачи в шедулере, ссылки в реестре и т.п. и т.д в принципе задача решаемая например элементарным сбором всех файлов перед началом лечения в отдельное хранилище и бэкапом всего реестра, после чего будет возможен откат в нулевое состояние после любых действий в uVS.

А вот выборочное восстановление - это уже серьезная задача на которую нужно потратить значительное время которого у меня нет, да и программа явно указывает при запуске на необходимый уровень хирурга, который осмелился вязть в руки скалпель с названием uVS

Что собой представляет?

settings.ini

; Управление автоматическим созданием образа при работе с активной системой.

bCreateImage = 0 (0 по умолчанию, обычный запуск)

1 (создать и сохранить образ автоматически)

2 (создать и сохранить образ автоматически в свернутом виде, затем закрыть uVS)

3 (создать и сохранить образ автоматически в свернутом виде, звуки не издавать,

затем закрыть uVS)

Т.е. если установлен флаг отличный от 0 при запуске произойдет создание, сохранение, архивирование (если есть арихватор) файла образа.

Например можно сделать специальный cmd файл:

start.exe /r

подкинуть в дистрибутив settings.ini с нужным значением bCreateImage и прочими настройками на свой вкус.

После чего создание образа потребует от пользователя лишь запуска этого cmd файла.

[santy 153]

И так наконец-то я собрал релиз v3.60

Список изменений длинный.

действительно, большой список изменений, много будет вопросов.

База компьютеров с возможностью снятия конфига прямо по сети (1 конфиг в среднем 30kb в базе)

Каким образом создается список компьютеров? путем сканирования подсети?

Возможность создавать сборки для снятия образа практически без участия пользователя.

и фоновый режим по такому методу будет работать, или отдельная будет утилита?

[demkd 636]

Каким образом создается список компьютеров? путем сканирования подсети?

Только ручками, никаких активных действий. Подключаешься жмешь Alt+I нажимаешь кнопку сохранить или Enter и комп в базе. Т.е. функция чисто административная (во всяком случае пока) удаленно узнать и опционально сохранить актуальный конфиг не отрывая юзера от работы, например с целью поиска драйверов к устройству по его deviceid, подготовка к апгрейду, можно в принципе и инвентаризацию удаленно проводить и т.п. и т.д. В будущем кол-во информации будет пополнятья, например планируется добавить считывание smart для винтов.

и фоновый режим по такому методу будет работать, или отдельная будет утилита?

Примерно так: запустилось в свернутом виде без активизации, образ сохранился и uVS молча закрылся (только если было выбрано значение 3), запускать нужно с ключом /r или /s. В принципе окно можно было совсем скрыть, но думаю не стоит этого делать это может вызвать непонятки, ничего не запущено, а тормоза и сетевая активность (при проверке эцп) наблюдается.

http://forum.kaspersky.com/index.php?s=&am...t&p=1644854

Соответственно образ стараюсь обновлять.

6. Добавлен дополнительный файл конфигурации на случай заражения отдельных учетных записей пользователей (загружает ВСЕ найденные профили пользователей)

Зря этот пункт добавлен, бывает юзвери ставят две системы на один раздел и поднятие флага bAllProfiles приведет к загрузке реестров пользователей второй системы, что обычно не требуется и вообще говоря может привести к проблемам если юзер не обладает достаточными знаниями, а желание удалять все подряд очень даже есть. Без флага uVS и так загружает все доступные профили пользователей проверяемой системы.

[PR55.RP55 83]

МИР - ТРУД - МАЙ - uVS.

Цитата(PR55.RP55 @ 29.04.2011, 19:17) *

chklst Список будет проверен повторно и есть шанс что копия файла также будет удалена.

Извращение это biggrin.gif Ну если уж очень хочется то добавление скриптов по горячей клавише давно доступно, где можно набить эту комбинацию хоть сто раз.

В таком виде...

Это действительно извращение.

Но вот если сама uVS будет проводить - всегда - многократную проверку в течении 15 секунд - без необходимости 100 раз дублировать команду

вероятно это будет полезно - во всяком случае 15 секунд погоды не делают.

вопрос к Вам PR55.RP55 как Вы думаете, чего не хватает в этом образе WinPE:

Образ не смотрел - но стоит добавить:

1.Файловый менеджер

2.Программу для работы с реестром

3.Портативный браузер

4.Файл содержащий справочную информацию - по работе с диском.

5.Файловый архив - с системными файлами для восстановления.

Содержащий информацию - по каждому файлу - путь, назначение.

6.Драйвера для поддержки PC имеющих разную конфигурацию.

7.Dr.Web CureIt! Для доп. проверки.

8.uVS с базой SHA1.

И если речь идёт о борьбе с Winloc и регулярном обновлении диска - то можно в качестве эксперимента добавить сигнатурную базу по данному

виду зверья.

9.Шрёдер для полного удаления файлов.

10.Программы для тестирования работоспособности железа.

11. Мобильный Nod32 On-Demand Scanner http://www.comss.ru/page.php?id=202

* Но сейчас весна - зверьё активно размножается и охота на него запрещена...

Впечатления от uVS 360. Положительные.

Понравилась проверка/добавление Каталогов.

[Vitokhv 0]

Нашел лечение этого баннера:

http://forum.kaspersky.com/index.php?s=&am...t&p=1648634

Как это лечить в программе uVS ?

[demkd 636]

Как это лечить в программе uVS ?

Никак. Это простая подмена DNS-сервера и не существует способа определить правильные там стоят значение или нет и мало того нет способа _автоматически восстановить _изначальный dns.

uVS не сохраняет в образ ни ip ни текущий dns сервер, максимум что их можно просмотреть на машине по Alt+I (v3.60) в свойствах соотв. сетевой карты.

Однако поправить это может каждый самостоятельно не прибегая к каким-либо утилитам:

Пуск->Настройка->Сетевые подключения->используемое_подключение_в_интеренет_или_лок_сеть, правой кнопкой по нему, свойства "Протокол интернета TCP/IP" и вписать правильный DNS предоставляемый провайдером, либо адрес роутера если он кэширует запросы, либо серверА OpenDNS-а или какие-нибудь особо безопасные (по мнению их хозяев) dns сервера или вообще отдать это на усмотрение провайдера если у него работает dhcp сервер.

В принципе я могу добавить в лог информацию о существующих подключениях и их параметрах или вообще включить информацию о железе в образ.

[Vitokhv 0]

Причем повторяются это DNS по несколько раз. Думаю отображение их в логах сразу будет заметно по численности.

Возникает вопрос, какой же файл вируса мог это сделать? Причем не спалившись.

[demkd 636]

Возникает вопрос, какой же файл вируса мог это сделать? Причем не спалившись.

А чего тут сложного? Использовал уязвимость браузера, например подкинув ссылку на левый vkontaTKe\idxxxx, запустился, сменил DNS, тельце свое затер и дело сделано, все запросы идут через нужный dns, а там уже делай че хочешь - требуй выкуп, собирай статистику, воруй пароли и логины.

А спалился "писатель" действительно по лени и прописывании одного и того же dns куда попало, не думаю что это надолго, подправят код и будет прописываться лишь в нужное соединение, тогда уже придется проверять каждый DNS.

[santy 153]

Дмитрий, поздравляю - uVS включен в реестр антивирусных программ софт-портала (на мой взгляд, одного из лучших российских) Softodrom.ru.

http://soft.softodrom.ru/ap/Universal-Viru...ffer-uVS-p19081

[demkd 636]

santy

Ага, расползается программка, я лично только на oszone програму добавлял, дальше как-то само разошлось, однако мне больше англоязычнаая softpedia нравится, наиболее удобный портал для тех кто выкладывает свой софт, поскольку нулевые затраты на обновление версий, сами по pad-у обнаружат обновление, сами весь текст обновят/отредактируют.

[PR55.RP55 83]

Вот ещё пара мыслей

1.Возможно стоит дать в документации к программе доп.рекомендацию - открыть/запустить - браузер/ры.

при создании полного образа автозапуска.

2.Сообщение: "Не удалось получить ответ от сервера"

В случае если такое сообщение попадёт в лог 10 раз подряд - то автоматически прекращать выполнение команды/проверки и выдавать в лог предупреждение о необходимости проверки соединения - и параметров сетевого доступа.

Вероятно стоит ввести модуль диагностики подключения - с целю автоматической настройки uVS под существующие

параметры.

3.Автоматическое Обнаружение угроз по некорректному времени создания файла.

8 мая 2020 г. , 17:22:71

В данном варианте - это некорректный год и неверное значение 71/с.

4.В качестве одного из доп. критериев автоматического обнаружения/поиска можно использовать определение по точному времени заражения.

Что имеется в виду: Часто заражение происходит в ночное время или рано утром.

Пользователь оставляет машину включённой в ночное время - например при работе с U.Torrent.

И именно в этот период происходит заражение.

Можно - ли проверить точное время запуска файла - по часам ?

И одновременно проверять функцию - удалённого управления PC.

Автоматически проводить сопоставление таких параметров и выдавать предупреждение в лог.

Проверять PC на наличие известных уязвимостей.

Суть: Кто в 4-ре. утра будет запускать файл в системном каталоге - файл без подписи и т.д.

При том, что одновременно работают компоненты удалённого управления.

В прицепе такое возможно днако мало вероятно.

5.Запуск файлов из Каталога/Каталогов второй - неактивной системы.

Такие файлы автоматически считать вирусами.

Например Основная Система: C:\WINDOWS

Вторая Система: E:\WINDOWS\1704060A.EXE

*Даже, если вторая система не имеет загрузочных областей.

Определять ориентируясь - на имена системных каталогов.

6.Учитывать не только информацию : Создан/Изменён

Но и учитывать свойство - Когда: Открыт

* Имеется в виду не только категория : Запускался неявно или в ручную.

Это следует понимать как то - что к файлу было произведено обращение.

Проверять соответствие расширения файла - его структуре.

Например файл: Dom4.txt

Открыт: 3 мая 2011 г., 18:32:02

Файл находится в системном каталоге, имеет Расширение: txt но при этом имеет структуры характерные для исполняемого файла.

Соответственно - можно обнаружить такие файлы по дате/времени обращения к ним путём работы с

таблицей MFT раздела + проверка структуры.

7. Проверять наличие:

"Имя файла похоже на имя: autorun.exe"

Суть: Сейчас uVS проверяет на наличие сходных имён вирусов с именами системных файлов.

Пример: Explorrer.exe = Explorer.exe

Я соответственно предлагаю осуществлять проверку по совпадению с именем известной угрозы.

Проверять наличие схожих имён - в автозапуске/системных каталогах.

Например объект: C:\WINDOWS\system32\autorun.ex ; autorAn.ex

+ Не полное расширение.

Дополнительно проверять файл на наличие исполняемого кода.

Что в свою очередь даст гарантию реального обнаружения в случае случайного совпадения имён файлов.

8. Вопрос.

C:\Documents and Settings\User\Рабочий стол\Zebra.hta - Запустил.

uVS его не видит... ?

При запуске Zebra.hta обращается к mshta.exe ( в данном случае это пример )

Результат на фото.

Цитата из Wic:

HTA запускается, как полностью надёжное и безопасное приложение, и, следовательно, имеет больше привилегий в системе, чем обычная HTML-страница.

Например, HTA может создавать/редактировать/удалять файлы и записи Системного реестра Windows.

Т. к. HTA имеет больше привилегий, чем HTML-страница, такое приложение не может исполняться по протоколу HTTP.

Вместо этого, файл HTA должен быть загружен (так же, как и EXE-файл) и исполнен в среде локальной системы!

Также HTA поддерживают исполнение сценариев...

9.Возможно следует проверить код: uVS 3.60

Добавлена новая функция Файл->Добавить в список->Все исполняемые файлы в каталоге...

Функция доступна во всех режимах при работе с реальной системой.

А с образом когда будет ?

Пример: uVS с базой sha1

При отдаче - команды Проверить НЕПРОВЕРЕННЫЕ файлы в текущей категории на VirusT.com

Категория: Добавлены вручную.

Идёт проверка по базе проверенных sha1.

И, что мы имеем: программа проверяет...

И оказывается, что на VirusT проверять нечего и не надо ! ( хотя реально в списке было 3 - ри неизвестных файла !)

Кроме того - если, файлы из данной категории (Добавлены вручную) при работе с образом получают статус

ВИРУС? - то почему они автоматически не попадают в категорию "Подозрительные и вирусы"?

Следует учитывать, что это был образ всего диска C:\ ( размер -19mb )

Согласен, что это извращение ( научный опыт !)

Хотя, всё это нуждается в проверке - может дело и не в программе

10. Нет ли ошибок при открытии образа ( при извлечении его из 7-zip архива ) ?

Подробно: Открываю образ - смотрю - закрываю. ( Всё нормально ) ( имена архива и образа одинаковые )

Через минуту пробую открыть его ещё раз - uVS пишет, что ошибка - открыть невозможно...

Это может быть связанно с размером архива/образа/временем на распаковку/задержки доступа uVS к архиву ?

Скрытый файл с идентичным именем вероятно не удаляется, а сохраняется в каталоге/буфере? - в результате чего и возникает ошибка?

Так, как прежде чем открыть - распаковать в папку - uVS//архиватору - необходимо автоматически удалить скрытый файл с идентичным именем из каталога...

Или дело не в uVS ?

Кто - его знает !

11.При работе с образом создании/чтении - обращении к Vir.T. контролировать температуру процессора - путём мониторинга - и автоматически снижать нагрузку, при обнаружении его перегрева.

[santy 153]

вопрос по работе с режимом восстановления файлов из хранилища.

в каком виде исполняемые файлы должны быть помещены в хранилище STORE? чтобы быть оттуда восстановленными. без упаковки?

может, имеет смысл из под uVS добавлять избранные файлы в хранилище в упакованном виде, возможно с паролем, известным uVS?

выполняется ли какой либо контроль файлов из хранилища перед их восстановлением в систему?

[PR55.RP55 83]

В каком виде исполняемые файлы должны быть помещены в хранилище STORE?

В том числе и при работе с разными операционными системами...

Имена файлов могут быть идентичны...

1.Предлагаю: Такой вариант: StoreWinXP; StoreWin7 ..,

uVS Следует автоматически определить тип ОС. и открыть соответствующий архив.

В упакованном виде, возможно с паролем, известным uVS?

2.В целях предотвращения возможного заражения предназначенных к восстановлению файлов поддерживаю идею о необходимости их архивации с защитой паролем.

3.При исполнении скрипта/перед процедурой восстановления - в обязательном порядке выдавать пользователю запрос.

Запрос - на его принципиальное согласие на проведение данной операции.

[PR55.RP55 83]

*А, для того, чтобы не забыть пароль к архиву - можно в качестве памятки поместить в него txt. файл

Файл: с именем/паролем.

Содержание архива можно просмотреть и получить код доступа.

ПОСЛЕ ВСЕХ ПРЕДЛОЖЕНИЙ - сразу ощущается, что скоро 9 МАЯ!

День ПОБЕДЫ над Мировой Угрозой!