Перейти к содержанию

Recommended Posts

santy

замечания_предложения от NickM:

http://defendium.info/showthread.php/807-U...ull=1#post13396

добавлено:

o В твик номер 12 добавлено удаление значений:

Welcome

LogonPrompt

LegalNoticeText

LegalNoticeCaption

удалось скачать и провести небольшой тест, в одно время частенько попадались компьютеры с LegalNoticeText(Caption), думал новый uVS облегчит работу, но... в указанном на Рис.1 положении он не спасает, и Мы продолжаем наблюдать что-то типа из Рис.2, ручная правка "Локальные политики безопасности", или создание пустых параметров реестра в HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System исправляет данную картину.

LegalNotice1.JPG

legalnotice.JPG

post-1135-1307967513_thumb.jpg

post-1135-1307967523_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System исправляет данную картину.

А... это я забыл, поправлю :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
collinz
3. Hosts Virus Detector

http://soft-arhiv.com/load/3-1-0-3

Определение причин проблем входа на популярные сайты.

Спасибо за ссылочку. Простое и интересное решение для быстрого теста ПК, и подмену IP определит если есть, и сразу путь к Hosts определит в реестре.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Я, только хотел сказать, что нужна возможность проверки скрипта на исполняемость.

На примере реального образа.

Есть образ - на его основе пишем скрипт лечения.

После чего, редактируем скрипт вручную.

Включаем режим проверки - с указанием пути до источника образа.

Сама проверка состоит из 2-х этапов:

1-й. Проверятся скрипт - на соответствие формату и правильности написания команд...

2-й. На основе анализа образа - Что данный путь вообще существует/соответствует.

писать скрипт лечения в отрыве от образа автозапуска - НЕРЕАЛЬНО. Лично я руками пишут только команды с контекстом EXEC, все остальные - добавляются только через интерфейс uVS. если необходимо проверить работу скрипта по данному образу, то можно можно предварительно сохранить скрипт, затем сделать откат списка, и выполнить тестирование скрипта. Но, надо тестировать этот режим (как и любое предложение), и яснее излагать, что на самом деле должно быть на ВЫХОДЕ.

1.Удаление файла не по сигнатуре, а по sha1 .

*Возможно такой подход позволит предотвратить ложное срабатывание по сигнатуре.

для удаления по SHA1 необходимо полное совпадение хэшей, для удаления же по сигнатуре в uVS есть плавающий диапазон - совпадение от 8 до 64байт, как говорится - почувствуйте разницу. Для того, чтобы избежать ложного срабатывания есть проверки: ИНФО, проверка на ВТ, поиск и т.д, и методы: увеличить глубину совпадения по сигнатуре, вплоть до ее удаления из базы, если вы считаете данный детект ложным срабатыванием - т.е. здесь уже хелпер должен отвечать критериям программы: продвинутый пользователь с углубленным знанием реестра и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit
Спасибо за ссылочку. Простое и интересное решение для быстрого теста ПК, и подмену IP определит если есть, и сразу путь к Hosts определит в реестре.

вот дети рекламы!!!!

просто поражаюсь этому РАЗВОДИЛОВУ

а дурак всегда пинг прописывал в строке выполнить и тассировку!!!!!

оказывается есть такая СПЕЦИАЛЬНО разработанная (ДЛЯ ЛОХОВ) наглядная прога

такая же пурга в стиле "PR55.RP55" и его разборы полетов: а что если прогу кверх нагами подвесить , а если к ней доильный аппарат прикрутить а вот еще пару мыслей..... (на пол страницы изобридей)

ДРУЗЬЯ!!! ПОЖАЛЕЙТЕ АВТОРА ДАЙТЕ ЕМУ РАБОТАТЬ НАД ПРОГРАММОЙ, А НЕ ПИСАТЬ ВАМ ЧТО ВЫ ФИГНЕЙ МАЕТЕСЬ!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
И яснее излагать, что на самом деле должно быть на ВЫХОДЕ.

На выходе должна быть проверка скрипта - на его исполняемость.

Кто и как его пишет - не имеет значения!

Если, проверка не возможна - значит не возможна и всё...

для удаления по SHA1 необходимо полное совпадение хэшей...

Вообще то - именно это, я и имел ввиду !

Удаление при полном совпадении хэшей - Когда значение Хэша известно...

И удаляется сам файл или его дубликат ( точный дубликат из выбранного по ADDDIR каталога )

*То, что длину сигнатуры можно изменять это конечно факт удивительный... ;)

Особенно когда добавляется команда ADDDIR в скрипт и совершенно неизвестно какие файлы находятся в данном каталоге

и, что с ними будет при поиске по сигнатуре.

Если моя мысль всё таки не понятна...

Значит она всё таки не понята...

________________________________________________________________________________

Очередное "Бредовое" предложение.

1."Режим записи, или отсроченное выполнение!"

Запускаем uVS.

Включаем режим записи.

Отдаём серию - из необходимых команд.

В общем механизм аналогичен тому, что применяется при работе с образами.

Соответственно uVS - Записывает/запоминает команды.

После чего оператор их просматривает и при необходимости корректирует.

По завершении проверки отдаётся команда:

"Выполнить скрипт автоматически записанный в файл корректировки"

* Смысл такого подхода ?

Основное преимущество - это возможность работы с реальной системой/программами.

Возможность корректировки/исправления команд/решений.

Отдача - не отдельных команд - а сразу их серии, что повышает их эффективность/результативность

в режиме реального времени.

Экономия времени на создании образа автозапуска.

А что если прогу кверх нагами подвесить...

А, кто вам мешает - распечатайте постер с понравившейся вам программой... И наклейте на всю стену у себя в комнате.

После чего - смело доставайте свой доильный аппарат и вперёд...

http://ru.wikipedia.org/wiki/%D0%9A%D1%80%...%81%D1%82%D1%8C

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
На выходе должна быть проверка скрипта - на его исполняемость.

как вы себе это представляете? скажем, проверить на синтаксис еще возможно, а вот как проверить на исполняемость на образе, а не на реальной системе?

Вообще то - именно это, я и имел ввиду !

Удаление при полном совпадении хэшей - Когда значение Хэша известно...

И удаляется сам файл или его дубликат ( точный дубликат из выбранного по ADDDIR каталога )

*То, что длину сигнатуры можно изменять это конечно факт удивительный... ;)

Особенно когда добавляется команда ADDDIR в скрипт и совершенно неизвестно какие файлы находятся в данном каталоге

и, что с ними будет при поиске по сигнатуре.

adddir %sys32%

crimg

и все,

далее вы уже с образом работаете, при работе с образом вы увидите ложные срабатывания по сигнатурам если они будут, поэтому, повторяю... либо увеличиваете глубину сигнатуры, либо вообще ее удаляете, если она задевает чистые и полезные файлы при максимальной глубине. также можно использовать безсигнатурное удаление delall, так же можно использовать запрет запуска по md5, также вы можете сделать критерий поиска по конкретному SHA1

Очередное "Бредовое" предложение.

1."Режим записи, или отсроченное выполнение!"

а чем вас этот режим не устраивает? текст из документации по скриптам.

(!) Скрипты формируются _автоматически_ при проведении обычных операций на образе системы,

(!) либо в любом другом режиме по указанию пользователя. (удерживать Shift при отдаче команды)

(!) Скрипты могут быть выполнены только при проверке активной и неактивной системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1."Режим записи, или отсроченное выполнение!"

Бесполезная трата времени.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

У меня вопрос к создателю uvs. А по какому принципу берётся сигнатура в зараженном файле? Уточняю, От начала старта самой зараженной программы или от старта тела зловреда имеется ввиду случай заражения изначально здорового файла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Angel107

верно последнее, по коду зловреда точнее по тому что uVS считает кодом зловреда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107
Angel107

верно последнее, по коду зловреда точнее по тому что uVS считает кодом зловреда.

Еще очень интересно по Виртуализации узнать. Если можно поподробней я пока с этим невсё понял. Хотя очень интересно!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

Я наверно забыл Уточнить! Провёл маленький эксперемент, я уверен был в чистоте своего ПК но для практического опыта работы по виртуализации обнаружил один файлик перед этим скинул образ реестра через uVS и сохранил его файл этот удалил (на свой страх и риск) система после актуализации перезагрузилась - всё работает нормально! копию реестра теперь можно как-то проанализировать? файл то удалён уже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

Утилита просто супер. Я бы сказал шедевр. Хотелось бы узнать дату следующей версии. Со многими уникальностями я уже разобрался - огромное спасибо Вам за создание такой полезной программы!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Еще очень интересно по Виртуализации узнать. Если можно поподробней я пока с этим невсё понял.

Суть простая: создается копия SYSTEM и SOFTWARE хайвов, можно использовать быструю виртуализацию - прямой доступ к диску, можно безопасную, первый способ должен проявлять скрытые объекты, второй не должен оба подхода имеют свои плюсы и минусы.

Эти копии загружаются и uVS работает с ними как с неким виртуальным реестром, т.е. есть вероятность (довольно большая) что защищенные объекты настоящего реестра перестанут быть таковыми для копии и их можно будет легко удалять. После чего реестр можно актуализировать и при перезагрузке виртуальный реестр станет реальным, в результате обходится защита кючей реестра и как следствие файлов тоже.

Конечно виртуализация бесполезна против серьезных руткитов модифицирующих системные файлы или mbr. Виртуализация полезна именно для преодоления защиты и иногда выявления примитивных руткитов или ускоренного их уничтожения без этапа их выявления.

копию реестра теперь можно как-то проанализировать? файл то удалён уже.

А нет в этом смысла без самого файла :)

Вообще для проверки на руткиты есть файл сверки, проведение сверки на 100% гарантирует отсутствие руткитов существующих или тех что только будут, сверка описана в доке.

Утилита просто супер.

Так и задумано, зачем тратить время на еще одну бесполезную поделку, коих уже море? Я трачу время лишь на то чего нет в природе, и это чего-то мне лично нужно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107
Конечно виртуализация бесполезна против серьезных руткитов модифицирующих системные файлы или mbr. Виртуализация полезна именно для преодоления защиты и иногда выявления примитивных руткитов или ускоренного их уничтожения без этапа их выявления.

А в следующих версиях программы можно будет что-нибудь и в обход такого рода руткитов придумать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107
А в следующих версиях программы можно будет что-нибудь и в обход такого рода руткитов придумать?

Ах да! А самое главное - где можно скачать базу сигнатур? Вирусы уже кто-нибудь ей отлавливал? Я в свою очередь могу пока поделится сигнатуркой только одного пойманного зверя! :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Ах да! А самое главное - где можно скачать базу сигнатур? Вирусы уже кто-нибудь ей отлавливал? Я в свою очередь могу пока поделится сигнатуркой только одного пойманного зверя! :D

достаточно большая практика применения uVS есть на техническом форуме ESET

http://forum.esetnod32.ru/forum6/

вирусы отлавливаются, будьте спокойны :)

есть база сигнатур, НО, недостаточно систематизированная, + СРАЗУ ПРЕДУПРЕЖДАЮ по некоторым сигнатурам может быть ложное срабатывание, поскольку изначально устанавливаемая глубина совпадений была часто выставлена 8байт из 64возможных.

файл можно распаковать в отдельную папку, затем выполнить из uVS импорт сигнатур в свою базу, ну а далее можете что-то оставить в своей уже базе, что-то удалить из списка, чтобы на все 100 быть уверенным в ваших сигнатурах.sgnz.rar

sgnz.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
art

а можно где-нибудь скачать "базу признаков"?

Ведь кто-то их создает и обновляет для себя. Почему бы не выложить , чтобы другие пользовались?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107
достаточно большая практика применения uVS есть на техническом форуме ESET

http://forum.esetnod32.ru/forum6/

вирусы отлавливаются, будьте спокойны :)

есть база сигнатур, НО, недостаточно систематизированная, + СРАЗУ ПРЕДУПРЕЖДАЮ по некоторым сигнатурам может быть ложное срабатывание, поскольку изначально устанавливаемая глубина совпадений была часто выставлена 8байт из 64возможных.

файл можно распаковать в отдельную папку, затем выполнить из uVS импорт сигнатур в свою базу, ну а далее можете что-то оставить в своей уже базе, что-то удалить из списка, чтобы на все 100 быть уверенным в ваших сигнатурах.sgnz.rar

Огромное спасибо за базу сигнатур

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

demkd, а может заблокировать размер сигнатуры. Установить 64 байта и забыть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107
demkd, а может заблокировать размер сигнатуры. Установить 64 байта и забыть.

Вот база сигнатур с моими дополнениями сохранил только те что 64 весом, так что с ложным срабатыванием проблем нет.

sgnz.zip

sgnz.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Вот база сигнатур с моими дополнениями сохранил только те что 64 весом, так что с ложным срабатыванием проблем нет.

активную часть сигнатуры можно менять в списке сигнатур по нажатию ENTER. Сама сигнатура содержит 64байта, а для детекта в uVS достаточно чтобы было частичное (по активной части) или максимальное (по 64байт) совпадение. Так что можете переопределить длину активной части по каждой из сигнатур самостоятельно и тогда база будет ВЕСОМЕЕ. :).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

А Есть где более качественные базы сигнатур?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
А Есть где более качественные базы сигнатур?

Уверен, что нет.

uVS не антивирус - и в таком подходе как сбор сигнатур нет смысла.

В принципе, если человек работает в Вирусной Лаборатории то он может добавить все поступающие вирусы в базу uVS.

Только вот кто захочет распространять такую базу...

Фактически - это уже коммерческая составляющая.

Кроме того, суммарный дэтект на V.Total как правило в разы выше и эффективнее любого отдельно взятого антивирусного решения.

Главное - это знания, навык и опыт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

Навык и опыт эт хорошо но лишняя сигнатура такой мощной утилитке - непомеха! Я ведь и сам в процессе нахождения новых зверей чтобы другие уже немучались тож веду базу сигнатур. Да и комерция зачем?! Я помог мне помогут. Как говорится "даш на даш" больше подходит слово бартер! Порабы уже нам научится быть бескорысней.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.11.
    • PR55.RP55
    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
×