Перейти к содержанию

Recommended Posts

demkd
Я знаю. Но забыл указать, что меня интересует запуск скрипта из буфера обмена.

Так а вопрос в чем тогда? Фича такая есть.

Желающие могут протестировать новую фичу в в промежуточном билде 3.64.1

o Функция проверки списка автозапуска (F7) теперь _иногда сможет выявить подмену известного файла,

о чем будет выдано предупреждение в лог и файл попадет в категорию подозрительных.

(в т.ч. и при работе с образами сделанными предыдущими версиями uVS)

o Для сокращения меню "Файл" работа со скриптами вынесена в отдельное меню "Скрипт".

o Скриптовая команда exec теперь допускает использование сокращений пути до файла:

%SYS32% = SYSTEM32

%SYSTEMROOT% = каталог проверяемой системы

%SYSTEMDRIVE% = имя диска где расположена система

o Новый пункт меню "Дополнительно->Восстановить все отсутствующие известные файлы"

Скриптовая команда "rknown".

o Исправлена функция восстановления отсутствующих файлов из дистрибутива/хранилища.

o Для jotti.org введено ограничение на 1 поток.

Максимальное количество запросов ограничивается сервером (60 запросов максимум).

o Для virustotal.com введено ограничение на 4 потока.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1.Меню.

Буфер Обмена >

SHA1

MD5

ИМЯ

ПУТЬ

ПОЛНЫЙ ПУТЬ

ПОЛНЫЙ ПУТЬ, СТАТУС, ПРОИЗВОДИТЕЛЬ

ПОЛНЫЙ ЛОГ ФАЙЛА

СНЯТЬ РАСШИРЕНИЕ КОПИРОВАТЬ САМ ФАЙЛ

--------------------------

см.фото ( uVS364.2.jpg )

2. Поисковый критерий

ВЫВОД информации при совпадении 2-Х критериев поиска.

"ВЗАИМОЗАВИСИМЫЕ КРИТЕРИИ"

Пример: Есть системный сбой.

После анализа журнала выясняется, что сбой вызвал драйвер от NVIDIA C:\WINDOWS\system32\****

В тоже время известно, что была произведена замена Старой видеокарты на новую ATI RADION HD

Без качественной деинсталляции драйверов от предыдущего адаптера...

Что и послужило причиной сбоя.

Значит: если лог uVS содержит: NVIDIA + ATI = "ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ"

Данную методику вполне можно применить например к легальным Антивирусным решениям и их конфликтам.

*В ряде случаев мы имеем вирусы которые маскируются под AV решения.

Например установлен: ESET NOD32

А в логе, в графе производитель мы видим:

Активный в автозапуске C:\WINDOWS\SYSTEM32\*****.EXE BitDefender.

Идеально, если часть аналогичных критериев будет изначально автоматически анализировать сама uVS без

необходимости формировать критерии самостоятельно.

Их можно составить исходя из информации по известным программам и вызванным ими конфликтам.

3.Надо понимать, что поиска по производителю и цифровой подписи - для всех режимов в версии

365 так и не будет...

uVS364.2.jpg

post-8956-1307617091_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK
Так а вопрос в чем тогда? Фича такая есть.

Там пожелание растянулось на два поста.

Есть ли возможность в "Режим запуска" добавить кнопку "Выполнить скрипт находящийся в буфере обмена". :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
СНЯТЬ РАСШИРЕНИЕ

Это чего такое? o_O

КОПИРОВАТЬ САМ ФАЙЛ

Файловый менеджер на что? Alt+Shift+F трудно нажать?

"ВЗАИМОЗАВИСИМЫЕ КРИТЕРИИ"

Это уже излишне сложно для такой простой программы, да и не может быть никаких сбоев из-за неработающих дров для отсутствующего железа, вот если мать поменяют не подготовив систему к этому то да, будут некоторые проблемы, возможно в будущем uVS получит несколько фич которые смогут решать и эту проблему, поскольку не всегда возможно подготовить систему к переносу на другое железо, просто потому что старое железо уже мертво... а может и не появится, если лень таки победит.

Реально бывают проблемы только из-за дров проставленных софтом, либо убитого железа, как пример - Касперский, кривизна дров которого остается уже многие годы на недостижимом для других АВ уровне, вторая проблема лечится походом в магазин, т.е. никакой критерий тут не поможет.

Активный в автозапуске C:\WINDOWS\SYSTEM32\*****.EXE BitDefender.

Никто не мешает на "BitDefender" навесить критерий.

Дополнительно будут сложные критерии, но они будут действовать лишь в пределах одного файла.

3.Надо понимать, что поиска по производителю и цифровой подписи - для всех режимов в версии

365 так и не будет...

По ЭЦП точно не будет.

По производителю может быть будет фильтр, я еще даже не решил нужно это или нет, поэтому вопрос о включении его в v3.65 не стоит.

Есть ли возможность в "Режим запуска" добавить кнопку "Выполнить скрипт находящийся в буфере обмена".

Если ю-зверь не может даже по скриншотам выполнить скрипт, то где гарантия что он может что-то положить в буфер обмена, содержимого которого он даже не видит? :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
1.Меню.

Буфер Обмена >

ПОЛНЫЙ ЛОГ ФАЙЛА

...

СНЯТЬ РАСШИРЕНИЕ КОПИРОВАТЬ САМ ФАЙЛ

по копированию полной информации о файле в буфер обмена - поддерживаю. можно в контекстном меню в списке файлы, можно в контекстном меню в окне информацию, можно и здесь и там.

по снять расширение копировать сам файл - непонятно, какое отношение это имеет к буферу обмена.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK
Если ю-зверь не может даже по скриншотам выполнить скрипт, то где гарантия что он может что-то положить в буфер обмена, содержимого которого он даже не видит?

Зато увидит окошечко для ввода и в которую скопирует скрипт привычным способом и нажмет "Выполнить". ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Зато увидит окошечко для ввода и в которую скопирует скрипт привычным способом и нажмет "Выполнить". ;)

т.е. как в AVZ. изначально это было сделано и в uVS (мыслил тогда еще по инерции), но затем я пожалел, зачем нужна дополнительная пауза с рассмотрением содержимого буфера обмена, и нажатием выполнить.

И кстати, сейчас так и есть: окно, содержимое скрипта из буфера обмена, кнопка выполнить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Это не совсем верно. Если помогать пользователю удаленно нельзя быть уверенным, что юзер все скопировал правильно (или то, что нужно)... назовем так еще одним уровнем защиты от "дурака".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Это не совсем верно. Если помогать пользователю удаленно нельзя быть уверенным, что юзер все скопировал правильно (или то, что нужно)... назовем так еще одним уровнем защиты от "дурака".

по сути, неподготовленный юзер не сможет даже проконтролировать - правильно он что-то скопировал в окно, или в буфер обмена или нет, выполнить скрипт из файла - будет меньше ошибок, но в любом случае скрипт устроен так, что его исполнение не может повредить системе при любом его копировании.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
СНЯТЬ РАСШИРЕНИЕ КОПИРОВАТЬ САМ ФАЙЛ

Цитата: "Достать, взять, убрать, отделить"

Файловый менеджер на что? Alt+Shift+F трудно нажать?

Лишить статуса исполняемого - при сохранении имени файла.

Скопировать не в ZOO, а в любое подходящее место.

*А, кто сказал, что менеджер будет в наличии - в состав uVS он не входит.

А в Live режиме тем более сложно.

При неактивном Explorere.

по снять расширение копировать сам файл - непонятно, какое отношение это имеет к буферу обмена.

Можно куда угодно - но, чтобы копировалось и в Live режиме - и без файлового менеджера.

И можно было открыть любую папку с файлом/для файла.

С сохранением имени файла но без расширения.

* Да и простой шифратор бы не помешал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
*А, кто сказал, что менеджер будет в наличии - в состав uVS он не входит.

Никто не мешает заранее положить его в каталог uVS и копировать что угодно, куда угодно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zer0

Скачиваю http://dsrt.dyndns.org/files/uvs_v364.zip, а AVAST ругается.

На VirusTotal: http://www.virustotal.com/file-scan/report...9ed5-1307775279

Кто-кто действительно может подумать , что там вирус...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

zer0

Никто не заставляет пользоваться сомнительными продуктами... вроде аваста :D

Реакция хилых антивирусных компаний добавляющих все подряд в свои базы мне безразлична... хотя в этом даже есть польза, программу не запустит юзверь в руках которого она будет действительно опасана.

У них есть служба поддержки пользователей которую можно безжалостно пинать пока они не придут в сознание и не перестанут наконец считать угрозой текстовые файлы в двойном архиве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zer0

А какие продукты Вы порекомендуете (хотя бы один бесплатный)

для защиты от блокираторов и других интернет-угроз?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

zer0

Фаер+проактивная защита = Comodo надежный и бесплатный, антивирус в нем никакой, поэтому можно смело вырубать, есть и Sandboxie который хорошо подойдет для надежного закапывания браузера в песочницу.

Из антивирусов стоит присмотреться к Avira - быстрый, хорошие базы, заметно лучше чем у Avast-а и вполне сравнимые с базами настоящих антивирусов, с одной оговоркой - много фолсов как и в случае _большинства других антивирусов, к счастью фолсы в основном касаются всяких кейгенов, что не критично, в комплекте с Comodo эта связка дает отличную и бесплатную защиту, конечно только после правильной настроки самой Avir-ы, дефолтные настройки довольно смешные, впрочем и в Comodo лучше подзатянуть гайки.

В принципе это все, остальное уже платное, из которого интересен только Касперский и Dr.Web у обоих отличные базы с минимальным количеством фолсов (видно что люди над этим работают), хороший функционал (особенно у KIS), но к сожалению оба глючны (особенно первый) и скажем так... не отвечают современным требованиям по быстродействию (особенно второй, который использовать можно только если нервы толщиной с руку, впрочем и первый не подарок).

Поэтому остается лишь Avira+Comodo итого минимум глюков, максимум быстродействия.

Лично я раньше использовал именно такую связку, на мой взгляд она оптимальна. :)

А Avast все-таки аутсайдер, вот если бы они поработали над качеством баз, то продукт стал бы очень интересным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zer0

Avast у меня стоит в паре с COMODO (firewall), пока не пропустили ничего.

Зато у AVASTa есть исключения с указанием режима: R,W,X, такой фишки больше ни у кого не видел.

Добавляю рабочие и TEMP-катологи в исключения (проверка только на запуск) - и жить спокойнее и не тормозит!

Ну а ложную тревогу насчет uVS я ему прощу :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Avast...

Нормальная программа и по всем тестирования входит в первую тройку, как по обнаружению так и по самозащите.

Но откровенно говоря, сейчас хороших антивирусов нет вообще.

Сплошные недоработки.

Против блокираторов они все бесполезны...

Используйте Sandboxie и ограниченные права.

* Вот тема на форуме ESET. http://forum.esetnod32.ru/forum17/topic1850/

________________________________________________________________________________

1. Помимо tempA сделать твик очистки папок автоpагрузкА...

Применять - его никто не заставляет но вот, если будет нужно тогда... ;)

2.Автоматически помещать в Категорию "Подозрительные" Все исполняемые файлы в корне диска.

Или же создать отдельную категорию " Исполняемый в корне диска " ( Для всех типов исполняемых файлов )

3.Повторно, предлагаю, ввести блокировку, на ПакетнуЮ проверку файлов на VT в случае отсутствия базы проверенных файлов

Причина: Перегрузка сервиса, что явно нежелательно во всех отношениях.

Растущая известность, популярность uVS и все связанные с этим последствия.

Кроме того, если человек решил, что ему нужна программа - то пусть вначале почитает справку к программе.

Например краткое руководство: "Причина ошибок"

4. Что касается файлового менеджера - я исхожу из того, что всякая программа должна быть самодостаточной.

Простой 2-х оконный менеджер в uVS нужен ?

Думаю, что да...

Копировать

Вставить

Удалить...

А, вот если человеку нужно будет, что навороченное - то тогда пусть подбирает себе любой.

Кроме того сейчас получается, что для копирования файла нужно открыть каталог - и только после этого его можно

скопировать.

Я предлагаю сделать функцию доступной в меню.

А, то всё в Zoo да в Zoo...

+ Сделать быстрый переход к основным системным каталогам.

+ Иметь возможность при выборе каталога видеть значок/символ папки/файла, что позволит качественнее/быстрее работать в известной системе - находить искомый объект.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1. Помимо tempA сделать твик очистки папок автоpагрузкА...

Смысла не вижу.

2.Автоматически помещать в Категорию "Подозрительные" Все исполняемые файлы в корне диска.

И зачем добавлять хлам в список?

3.Повторно, предлагаю, ввести блокировку, на ПакетнуЮ проверку файлов на VT в случае отсутствия базы проверенных файлов

На VT пока нет ограничений. А базу никто использовать не заставляет, может пользователь хочет сделать свою базу и теперь лишать его полезной функции?

Причина: Перегрузка сервиса, что явно нежелательно во всех отношениях.

Да и какая может быть перегрузка, поиск по базе элементарная операция, нагрузкой тут можно пренебречь.

4. Что касается файлового менеджера - я исхожу из того, что всякая программа должна быть самодостаточной.

Так можно договорится и до написания собственной операционной системы. Никаких причин чтоб не использовать тот же FAR я не вижу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

итоги тестирования на Vmware Windows XP3 бетки 3.64*

o Функция проверки списка автозапуска (F7) теперь _иногда сможет выявить подмену известного файла,

Все ок,

при работе с образом обнаружена подмена системного userinit.exe

---

Анализ файлов в списке...

(!) Необычная сигнатура для известного файла: C:\WINDOWS\SYSTEM32\USERINIT.EXE

---

o Скриптовая команда exec теперь допускает использование сокращений пути до файла:

сокращение пути %sys32% теперь работает в контексте EXEC, удобнее будет набирать команды, типа

EXEC cmd /c"rename %sys32%\taskmgr.exe taskmgr.vexe

o Новый пункт меню: "Дополнительно->Восстановить все отсутствующие известные файлы"

Функция либо использует ранее установленный каталог с дистрибутивом, либо _однократно его

запрашивает.

Скриптовая команда "rknown".

rknown работает автоматически в скрипте, все хорошо.

единственно здесь предложение,

добавить "восстановление отсутствующих известных файлов" еще и в контекст меню, поскольку по привычке вызываешь контекстное меню, а про функцию в дополнительно вспоминаешь не сразу.

----

восстановить файл из хранилища\дистрибутива

восстановить все отсутствующие известные файлы

o Новый пункт меню: "Скрипт->Проверить скрипт".

Здесь предложение к RP55 подробнее объяснить смысл идеи эмуляции скрипта

ЭМУЛЯЦИЯ в СИМУЛЯТОРЕ - это круто. :).

при каких условиях этот режим полезно использовать.

o Добавлена новая скриптовая команда "crimg".

Команда создает полный образ автозапуска.

crimg работает в скрипте, но не автоматически,

запрашивает пусть сохранения файла,

по моему, можно сделать автоматическое сохранение образа автозапуска в дефолтную (т.е. в папку с uVS, если не найден каталог в настройках settings) без вызова диалога сохранения, чтобы не прерывать ход выполнения скрипта.

также заметил что restart не перегружает систему из под WinPe

еще бы хорошо добавить в контекст alt+L диалог сохранения лога в файл - "сохранить лог в файл"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
контекстное меню, а про функцию в дополнительно вспоминаешь не сразу.

Это можно.

можно сделать автоматическое сохранение образа автозапуска в дефолтную

Да, так правильней пожалуй.

также заметил что restart не перегружает систему из под WinPe

команда restart специально заблокирована при работе с неактивной системой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Здесь предложение к RP55 подробнее объяснить смысл идеи эмуляции скрипта

ЭМУЛЯЦИЯ в СИМУЛЯТОРЕ - это круто. smile.gif.

при каких условиях этот режим полезно использовать.

Я, только хотел сказать, что нужна возможность проверки скрипта на исполняемость.

На примере реального образа.

Есть образ - на его основе пишем скрипт лечения.

После чего, редактируем скрипт вручную.

Включаем режим проверки - с указанием пути до источника образа.

Сама проверка состоит из 2-х этапов:

1-й. Проверятся скрипт - на соответствие формату и правильности написания команд...

2-й. На основе анализа образа - Что данный путь вообще существует/соответствует.

___________________________________________________________________________

1.Удаление файла не по сигнатуре, а по sha1 .

;uVS v3.64 script [http://dsrt.dyndns.org]

SHA1! 1C363F971E09067BDED3799391C58C690F529FC0

adddir %SystemDrive%\PROGRAM FILES

chklst

delvir

*Возможно такой подход позволит предотвратить ложное срабатывание по сигнатуре.

Вот, нашел пару программок, возможно кому нибудь понравиться такой подход.

2.ToolbarCleaner

http://toolbarcleaner.com/

Программа для обнаружения и удаления баров в таких браузерах как:

Internet Explore

Mozilla Firefox

Chrome

3. Hosts Virus Detector

http://soft-arhiv.com/load/3-1-0-3

Определение причин проблем входа на популярные сайты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
1.Удаление файла не по сигнатуре, а по sha1 .

Однако в таком варианте есть риск удалить системный файл.

Так как - в том случае, когда применяется сигнатура - есть защита на совпадение сигнатуры с системным файлом.

И удаления при этом не произойдёт.

*Вот, если бы в uVS был блок анализа/перебора/сравнения по символам в имени файла - тогда для исключения достаточно было бы

одного имени.

Такая вот Энигма - машина. ;)

ЭМУЛЯЦИЯ в СИМУЛЯТОРЕ - это круто.

Это да... Круто.

Тавтология Однако... ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
2-й. На основе анализа образа - Что данный путь вообще существует/соответствует.

А этого сделать по образу нельзя.

*Возможно такой подход позволит предотвратить ложное срабатывание по сигнатуре.

Ложные срабатывания видно в процессе создания скрипта, правильно отрегулировать длину сигнатуры не составляет труда. Нет необходимости добавлять дубилирующую функцию.

Однако в таком варианте есть риск удалить системный файл.

Нет никакого риска ни в случае сигнатуры ни тем более в случае sha1. Но могут быть кривые руки хелпера, от этого никакой защиты нет и не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Ложные срабатывания видно в процессе создания скрипта, правильно отрегулировать длину сигнатуры не составляет труда. Нет необходимости добавлять дублирующую функцию.

Я прежде всего имел ввиду команду ADDDIR в скрипте.

И проверку каталога Х* по сигнатуре.

При этом, uVS - при ложном срабатывании удалит попавший под сигнатуру файл...

2-й. На основе анализа образа - Что данный путь вообще существует/соответствует.

А этого сделать по образу нельзя.

Я понимаю, что по той модели/образу системы, какую сейчас создаёт uVS такая проверка проблематична - однако, что мешает скорректировать

программу таким образом чтобы требуемая информация сохранялась.

Хотя бы по основным параметрам.

Ну, а нет так нет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Я прежде всего имел ввиду команду ADDDIR в скрипте.

И проверку каталога Х* по сигнатуре.

При этом, uVS - при ложном срабатывании удалит попавший под сигнатуру файл...

Для этого в v3.65 и будет команда crimg, делайте собственные скрипты для создания образа со всеми adddir-ами.

Но на мой взгляд перетряхивание мертвого груза в system32 есть бесцельная трата времени.

что мешает скорректировать

программу таким образом чтобы требуемая информация сохранялась.

Сохранять всю файловую структуру? А пользователь согласен? Впрочему, с помощью скриптов для создания образа можно будет хоть все диски в системе в образ впихнуть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.11.
    • PR55.RP55
    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
×