Universal Virus Sniffer (uVS), Вопросы разработчику - Страница 28 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

santy

замечания_предложения от NickM:

http://defendium.info/showthread.php/807-U...ull=1#post13396

добавлено:

o В твик номер 12 добавлено удаление значений:

Welcome

LogonPrompt

LegalNoticeText

LegalNoticeCaption

удалось скачать и провести небольшой тест, в одно время частенько попадались компьютеры с LegalNoticeText(Caption), думал новый uVS облегчит работу, но... в указанном на Рис.1 положении он не спасает, и Мы продолжаем наблюдать что-то типа из Рис.2, ручная правка "Локальные политики безопасности", или создание пустых параметров реестра в HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System исправляет данную картину.

LegalNotice1.JPG

legalnotice.JPG

post-1135-1307967513_thumb.jpg

post-1135-1307967523_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System исправляет данную картину.

А... это я забыл, поправлю :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
collinz
3. Hosts Virus Detector

http://soft-arhiv.com/load/3-1-0-3

Определение причин проблем входа на популярные сайты.

Спасибо за ссылочку. Простое и интересное решение для быстрого теста ПК, и подмену IP определит если есть, и сразу путь к Hosts определит в реестре.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Я, только хотел сказать, что нужна возможность проверки скрипта на исполняемость.

На примере реального образа.

Есть образ - на его основе пишем скрипт лечения.

После чего, редактируем скрипт вручную.

Включаем режим проверки - с указанием пути до источника образа.

Сама проверка состоит из 2-х этапов:

1-й. Проверятся скрипт - на соответствие формату и правильности написания команд...

2-й. На основе анализа образа - Что данный путь вообще существует/соответствует.

писать скрипт лечения в отрыве от образа автозапуска - НЕРЕАЛЬНО. Лично я руками пишут только команды с контекстом EXEC, все остальные - добавляются только через интерфейс uVS. если необходимо проверить работу скрипта по данному образу, то можно можно предварительно сохранить скрипт, затем сделать откат списка, и выполнить тестирование скрипта. Но, надо тестировать этот режим (как и любое предложение), и яснее излагать, что на самом деле должно быть на ВЫХОДЕ.

1.Удаление файла не по сигнатуре, а по sha1 .

*Возможно такой подход позволит предотвратить ложное срабатывание по сигнатуре.

для удаления по SHA1 необходимо полное совпадение хэшей, для удаления же по сигнатуре в uVS есть плавающий диапазон - совпадение от 8 до 64байт, как говорится - почувствуйте разницу. Для того, чтобы избежать ложного срабатывания есть проверки: ИНФО, проверка на ВТ, поиск и т.д, и методы: увеличить глубину совпадения по сигнатуре, вплоть до ее удаления из базы, если вы считаете данный детект ложным срабатыванием - т.е. здесь уже хелпер должен отвечать критериям программы: продвинутый пользователь с углубленным знанием реестра и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit
Спасибо за ссылочку. Простое и интересное решение для быстрого теста ПК, и подмену IP определит если есть, и сразу путь к Hosts определит в реестре.

вот дети рекламы!!!!

просто поражаюсь этому РАЗВОДИЛОВУ

а дурак всегда пинг прописывал в строке выполнить и тассировку!!!!!

оказывается есть такая СПЕЦИАЛЬНО разработанная (ДЛЯ ЛОХОВ) наглядная прога

такая же пурга в стиле "PR55.RP55" и его разборы полетов: а что если прогу кверх нагами подвесить , а если к ней доильный аппарат прикрутить а вот еще пару мыслей..... (на пол страницы изобридей)

ДРУЗЬЯ!!! ПОЖАЛЕЙТЕ АВТОРА ДАЙТЕ ЕМУ РАБОТАТЬ НАД ПРОГРАММОЙ, А НЕ ПИСАТЬ ВАМ ЧТО ВЫ ФИГНЕЙ МАЕТЕСЬ!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
И яснее излагать, что на самом деле должно быть на ВЫХОДЕ.

На выходе должна быть проверка скрипта - на его исполняемость.

Кто и как его пишет - не имеет значения!

Если, проверка не возможна - значит не возможна и всё...

для удаления по SHA1 необходимо полное совпадение хэшей...

Вообще то - именно это, я и имел ввиду !

Удаление при полном совпадении хэшей - Когда значение Хэша известно...

И удаляется сам файл или его дубликат ( точный дубликат из выбранного по ADDDIR каталога )

*То, что длину сигнатуры можно изменять это конечно факт удивительный... ;)

Особенно когда добавляется команда ADDDIR в скрипт и совершенно неизвестно какие файлы находятся в данном каталоге

и, что с ними будет при поиске по сигнатуре.

Если моя мысль всё таки не понятна...

Значит она всё таки не понята...

________________________________________________________________________________

Очередное "Бредовое" предложение.

1."Режим записи, или отсроченное выполнение!"

Запускаем uVS.

Включаем режим записи.

Отдаём серию - из необходимых команд.

В общем механизм аналогичен тому, что применяется при работе с образами.

Соответственно uVS - Записывает/запоминает команды.

После чего оператор их просматривает и при необходимости корректирует.

По завершении проверки отдаётся команда:

"Выполнить скрипт автоматически записанный в файл корректировки"

* Смысл такого подхода ?

Основное преимущество - это возможность работы с реальной системой/программами.

Возможность корректировки/исправления команд/решений.

Отдача - не отдельных команд - а сразу их серии, что повышает их эффективность/результативность

в режиме реального времени.

Экономия времени на создании образа автозапуска.

А что если прогу кверх нагами подвесить...

А, кто вам мешает - распечатайте постер с понравившейся вам программой... И наклейте на всю стену у себя в комнате.

После чего - смело доставайте свой доильный аппарат и вперёд...

http://ru.wikipedia.org/wiki/%D0%9A%D1%80%...%81%D1%82%D1%8C

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
На выходе должна быть проверка скрипта - на его исполняемость.

как вы себе это представляете? скажем, проверить на синтаксис еще возможно, а вот как проверить на исполняемость на образе, а не на реальной системе?

Вообще то - именно это, я и имел ввиду !

Удаление при полном совпадении хэшей - Когда значение Хэша известно...

И удаляется сам файл или его дубликат ( точный дубликат из выбранного по ADDDIR каталога )

*То, что длину сигнатуры можно изменять это конечно факт удивительный... ;)

Особенно когда добавляется команда ADDDIR в скрипт и совершенно неизвестно какие файлы находятся в данном каталоге

и, что с ними будет при поиске по сигнатуре.

adddir %sys32%

crimg

и все,

далее вы уже с образом работаете, при работе с образом вы увидите ложные срабатывания по сигнатурам если они будут, поэтому, повторяю... либо увеличиваете глубину сигнатуры, либо вообще ее удаляете, если она задевает чистые и полезные файлы при максимальной глубине. также можно использовать безсигнатурное удаление delall, так же можно использовать запрет запуска по md5, также вы можете сделать критерий поиска по конкретному SHA1

Очередное "Бредовое" предложение.

1."Режим записи, или отсроченное выполнение!"

а чем вас этот режим не устраивает? текст из документации по скриптам.

(!) Скрипты формируются _автоматически_ при проведении обычных операций на образе системы,

(!) либо в любом другом режиме по указанию пользователя. (удерживать Shift при отдаче команды)

(!) Скрипты могут быть выполнены только при проверке активной и неактивной системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1."Режим записи, или отсроченное выполнение!"

Бесполезная трата времени.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

У меня вопрос к создателю uvs. А по какому принципу берётся сигнатура в зараженном файле? Уточняю, От начала старта самой зараженной программы или от старта тела зловреда имеется ввиду случай заражения изначально здорового файла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Angel107

верно последнее, по коду зловреда точнее по тому что uVS считает кодом зловреда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107
Angel107

верно последнее, по коду зловреда точнее по тому что uVS считает кодом зловреда.

Еще очень интересно по Виртуализации узнать. Если можно поподробней я пока с этим невсё понял. Хотя очень интересно!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

Я наверно забыл Уточнить! Провёл маленький эксперемент, я уверен был в чистоте своего ПК но для практического опыта работы по виртуализации обнаружил один файлик перед этим скинул образ реестра через uVS и сохранил его файл этот удалил (на свой страх и риск) система после актуализации перезагрузилась - всё работает нормально! копию реестра теперь можно как-то проанализировать? файл то удалён уже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

Утилита просто супер. Я бы сказал шедевр. Хотелось бы узнать дату следующей версии. Со многими уникальностями я уже разобрался - огромное спасибо Вам за создание такой полезной программы!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Еще очень интересно по Виртуализации узнать. Если можно поподробней я пока с этим невсё понял.

Суть простая: создается копия SYSTEM и SOFTWARE хайвов, можно использовать быструю виртуализацию - прямой доступ к диску, можно безопасную, первый способ должен проявлять скрытые объекты, второй не должен оба подхода имеют свои плюсы и минусы.

Эти копии загружаются и uVS работает с ними как с неким виртуальным реестром, т.е. есть вероятность (довольно большая) что защищенные объекты настоящего реестра перестанут быть таковыми для копии и их можно будет легко удалять. После чего реестр можно актуализировать и при перезагрузке виртуальный реестр станет реальным, в результате обходится защита кючей реестра и как следствие файлов тоже.

Конечно виртуализация бесполезна против серьезных руткитов модифицирующих системные файлы или mbr. Виртуализация полезна именно для преодоления защиты и иногда выявления примитивных руткитов или ускоренного их уничтожения без этапа их выявления.

копию реестра теперь можно как-то проанализировать? файл то удалён уже.

А нет в этом смысла без самого файла :)

Вообще для проверки на руткиты есть файл сверки, проведение сверки на 100% гарантирует отсутствие руткитов существующих или тех что только будут, сверка описана в доке.

Утилита просто супер.

Так и задумано, зачем тратить время на еще одну бесполезную поделку, коих уже море? Я трачу время лишь на то чего нет в природе, и это чего-то мне лично нужно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107
Конечно виртуализация бесполезна против серьезных руткитов модифицирующих системные файлы или mbr. Виртуализация полезна именно для преодоления защиты и иногда выявления примитивных руткитов или ускоренного их уничтожения без этапа их выявления.

А в следующих версиях программы можно будет что-нибудь и в обход такого рода руткитов придумать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107
А в следующих версиях программы можно будет что-нибудь и в обход такого рода руткитов придумать?

Ах да! А самое главное - где можно скачать базу сигнатур? Вирусы уже кто-нибудь ей отлавливал? Я в свою очередь могу пока поделится сигнатуркой только одного пойманного зверя! :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Ах да! А самое главное - где можно скачать базу сигнатур? Вирусы уже кто-нибудь ей отлавливал? Я в свою очередь могу пока поделится сигнатуркой только одного пойманного зверя! :D

достаточно большая практика применения uVS есть на техническом форуме ESET

http://forum.esetnod32.ru/forum6/

вирусы отлавливаются, будьте спокойны :)

есть база сигнатур, НО, недостаточно систематизированная, + СРАЗУ ПРЕДУПРЕЖДАЮ по некоторым сигнатурам может быть ложное срабатывание, поскольку изначально устанавливаемая глубина совпадений была часто выставлена 8байт из 64возможных.

файл можно распаковать в отдельную папку, затем выполнить из uVS импорт сигнатур в свою базу, ну а далее можете что-то оставить в своей уже базе, что-то удалить из списка, чтобы на все 100 быть уверенным в ваших сигнатурах.sgnz.rar

sgnz.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
art

а можно где-нибудь скачать "базу признаков"?

Ведь кто-то их создает и обновляет для себя. Почему бы не выложить , чтобы другие пользовались?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107
достаточно большая практика применения uVS есть на техническом форуме ESET

http://forum.esetnod32.ru/forum6/

вирусы отлавливаются, будьте спокойны :)

есть база сигнатур, НО, недостаточно систематизированная, + СРАЗУ ПРЕДУПРЕЖДАЮ по некоторым сигнатурам может быть ложное срабатывание, поскольку изначально устанавливаемая глубина совпадений была часто выставлена 8байт из 64возможных.

файл можно распаковать в отдельную папку, затем выполнить из uVS импорт сигнатур в свою базу, ну а далее можете что-то оставить в своей уже базе, что-то удалить из списка, чтобы на все 100 быть уверенным в ваших сигнатурах.sgnz.rar

Огромное спасибо за базу сигнатур

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

demkd, а может заблокировать размер сигнатуры. Установить 64 байта и забыть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107
demkd, а может заблокировать размер сигнатуры. Установить 64 байта и забыть.

Вот база сигнатур с моими дополнениями сохранил только те что 64 весом, так что с ложным срабатыванием проблем нет.

sgnz.zip

sgnz.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Вот база сигнатур с моими дополнениями сохранил только те что 64 весом, так что с ложным срабатыванием проблем нет.

активную часть сигнатуры можно менять в списке сигнатур по нажатию ENTER. Сама сигнатура содержит 64байта, а для детекта в uVS достаточно чтобы было частичное (по активной части) или максимальное (по 64байт) совпадение. Так что можете переопределить длину активной части по каждой из сигнатур самостоятельно и тогда база будет ВЕСОМЕЕ. :).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

А Есть где более качественные базы сигнатур?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
А Есть где более качественные базы сигнатур?

Уверен, что нет.

uVS не антивирус - и в таком подходе как сбор сигнатур нет смысла.

В принципе, если человек работает в Вирусной Лаборатории то он может добавить все поступающие вирусы в базу uVS.

Только вот кто захочет распространять такую базу...

Фактически - это уже коммерческая составляющая.

Кроме того, суммарный дэтект на V.Total как правило в разы выше и эффективнее любого отдельно взятого антивирусного решения.

Главное - это знания, навык и опыт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

Навык и опыт эт хорошо но лишняя сигнатура такой мощной утилитке - непомеха! Я ведь и сам в процессе нахождения новых зверей чтобы другие уже немучались тож веду базу сигнатур. Да и комерция зачем?! Я помог мне помогут. Как говорится "даш на даш" больше подходит слово бартер! Порабы уже нам научится быть бескорысней.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×