Перейти к содержанию

Recommended Posts

Angel107
Навык и опыт эт хорошо но лишняя сигнатура такой мощной утилитке - непомеха! Я ведь и сам в процессе нахождения новых зверей чтобы другие уже немучались тож веду базу сигнатур. Да и комерция зачем?! Я помог мне помогут. Как говорится "даш на даш" больше подходит слово бартер! Порабы уже нам научится быть бескорысней.

Вот моя база на 10 сигнатур все 64 байтные. Переработана из предшествующей которую здесь чуть ранее выкладывали. ;)

sgnz.zip

sgnz.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

Вот кстате лог-файл. Если будут вопросы по сигнатурам и базе проверенных файлов.

Текстовый_документ.txt

Текстовый_документ.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
а может заблокировать размер сигнатуры. Установить 64 байта и забыть.

Мелкие сигнатуры как раз полезны, часто одной сигнатурой можно вылавливать несколько модов зловреда.

А сама база интересна только на этапе лечения как оперативная.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

А как насчёт шифрующихся вирусов? У них нет статичной сигнатуры да и контрольная сумма тоже небудет совподать. Может добавить в прогу Sign1 AND Sign2. Где Sign1 - сигнатура процедуры дешифровщика и Sign2 - сигнатура основного тела вируса после дешифровки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
А как насчёт шифрующихся вирусов?

Без разницы шифрованный он там или нет, однако простенький сигнатурный движок uVS НЕ способен работать с настоящими полиморфными файловыми вирусами (инфекторами) класса Sality, uVS может автоматически опеределить активность подобных файловых вирусов но не более того, для лечения их необходима антивирусная утилита типа Dr.Web Cureit! или KVRT(AVPtool).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

Так в Этой утилите есть еще после убиения процесса даже шифрующих вирусов есть очистка всех придатков этого процесса на диске и в реестре?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Angel107

А какой смысл убивать зловреда не зачищая его хвосты в реестре? Я считаю что наплевательский подход антивирусов к процессу лечения есть прямое издевательство над пользователем, который в т.ч. и за это "лечение" платит деньги, а система после такого лечения не способна загрузиться. Поэтому uVS старается восстановить критически важные ссылки на известные файлы при удаление зловреда и предупредить об отсутствии или повреждении важных для загрузки системных файлов.

Особенно полезна функция удаление ссылок на отсутствующие объекты с очисткой от файлового мусора (гор. клавиша Alt+Delete) которую стоит рекомендуется всегда использовать по окончании лечения или после "лечения" антивирусом.

Но стоит всегда помнить что конкретная сигнатура подходит только для конкретного зловреда упакованного конкретным упаковщиком, т.е. дешифровка НЕ производится, поэтому для uVS и не важно чем упакован/зашифрован зловред. Но и простая смена ключа шифрования приведет к тому что старая сигнатура станет бесполезна, поэтому нет смысла долго хранить сигнатуры, база сигнатур полезна в основном лишь при массовом лечении.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

Вот я и заметил что в uVS основной упор делается на базу чистых (проверенных) файлов, судя по внушительной численности определений. Есть ещё один вопрос при запуске startf.exe в рижиме максимального доступа к системе при запуске функции "Поиск отсутствующих объектов в списке PEB_LDR_DATA" программа виснет на Ctrl+Alt+Del нереагирует может время требуется для анализа больше чем моего терпения? :D

Вот я и заметил что в uVS основной упор делается на базу чистых (проверенных) файлов, судя по внушительной численности определений. Есть ещё один вопрос при запуске startf.exe в рижиме максимального доступа к системе при запуске функции "Поиск отсутствующих объектов в списке PEB_LDR_DATA" программа виснет на Ctrl+Alt+Del нереагирует может время требуется для анализа больше чем моего терпения? :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

Здесь как-то спрашивали за базы "поисковых критериев" в качестве примера вот файл:

snms.zip

snms.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Есть ещё один вопрос при запуске startf.exe

Startf небезопасная штучка, так что может быть что угодно.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

Где-то прочитал про последовательность работы с uVS. Хотелось бы об этом узнать у автора программы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

Я пользуюсь методом что называется постепенным "затягиванием гаек" тоесть прогоняю start.exe "Запустить под текущим пользователем" (я на ПК Администратор) потом "Проверить каталог" далее "Вверх" до С:\ Сканирую. Если ненашёл перехожу к методу "Виртуализации" прогоняю Тесты и Анализирую Убиваю Зверей и Полная Чистка после Удаления Зловредов. Ну и "Актуализация"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Я пользуюсь методом что называется постепенным "затягиванием гаек" тоесть прогоняю start.exe "Запустить под текущим пользователем" (я на ПК Администратор) потом "Проверить каталог" далее "Вверх" до С:\ Сканирую. Если ненашёл перехожу к методу "Виртуализации" прогоняю Тесты и Анализирую Убиваю Зверей и Полная Чистка после Удаления Зловредов. Ну и "Актуализация"

еще есть поиск скрытых и измененных объектов по файлу сверки... технология описана в ДОКументации. В первую очередь проводится анализ автозапуска и очистка от вредоносных программ стартующих в автозапуске. Сканирование каталогов можно предоставить обновленному антивирусу после снятия в uVS всевозможных блоков, которые мешают нормальному его_антивируса запуску и обновлению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

Обновил файл с "критериями":

snms.zip

snms.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Похоже мой роутер скоро загнется, поэтому сайт будет работать как попало или вообще пропадет на продолжительное время и появится лишь после того как руки дойдут до замены железа, а может даже и модернизации всей сети с бонусной сменой провайдера, короче возможны технические проблемы.

v3.65

o Функция проверки списка автозапуска (F7) теперь _иногда сможет выявить подмену известного файла,

о чем будет выдано предупреждение в лог и файл попадет в категорию подозрительных.

(в т.ч. и при работе с образами сделанными предыдущими версиями uVS)

o Подкаталог STORE теперь является дефолтным хранилищем файлов.

Структура хранилища:

Файлы должны лежать в подкаталогах с именами NTVv (где V = версия NT до точки, v после точки)

для 64-х битных систем NTVvx64, допускается сжатие файлов compress-ом, в этом случае

последняя буква расширения должна быть заменена на подчеркивание.

Допускается расположение файлов во вложенных подкаталогах.

Примеры имен основных каталогов: NT50, NT61x64 и т.п.

o В контекстное меню файла добавлена команда "Скопировать файл в STORE".

o Скриптовая команда exec теперь допускает использование сокращений пути до файла:

%SYS32% = подкаталог SYSTEM32 проверяемой системы

%SYSTEMROOT% = каталог проверяемой системы

%SYSTEMDRIVE% = имя диска где расположена система

o Новый пункт меню: "Дополнительно->Восстановить все отсутствующие известные файлы"

Функция либо использует ранее установленный каталог с дистрибутивом, либо _однократно его

запрашивает.

Скриптовая команда "rknown".

(!) Если дистрибутив не был выбран перед использованием этой _скриптовой _команды

(!) то считается, что хранилище находится в подкаталоге STORE как и для команды RF.

o В контекстное меню _окна информации о файле добавлен пункт "Все в буфер обмена".

o Работа со скриптами вынесена в отдельное меню "Скрипт".

o Новый пункт меню: "Скрипт->Проверить скрипт".

o Модифицирована функция:

"Очистить корзину, удалить временные файлы, затем удалить ссылки на отсутствующие" (Alt+Delete)

После удаления временных файлов и перед удалением ссылок добавлено обновление списка.

o Добавлена новая скриптовая команда "crimg".

Команда создает полный образ автозапуска.

o В твик номер 12 добавлено удаление значений:

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, LegalNoticeText

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, LegalNoticeCaption

o Исправлена и улучшена функция восстановления отсутствующих файлов из дистрибутива/хранилища.

o Для jotti.org введено ограничение на 1 поток.

Максимальное количество запросов ограничивается сервером (60 запросов максимум).

o Для virustotal.com введено ограничение на 4 потока.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

Недавно протестировал uVS на Windows 7 - исправил ссылку на отсутствующий неиспользуемый файл (остался от предыдущей Windows XP SP3) чистильщик WinTools'a его незаметил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov

demkd

UVS 3.65

XP SP3 RUS + all sec updates

UVS запущена под админом, start.exe, под LocalSystem, [X] Антисплайсинг

на компе была вирусяка http://www.virustotal.com/file-scan/report...3f6d-1308639702

которая грузится у юзера xxx через

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

C:\Documents and Settings\xxx.yyy\Application Data\Ohzqze.exe

UVS нашёл этот файл, я по правой кнопки мыши в меню выбрал режим "Удалить все ссылки вместе с файлом"

В итоге файл удалился, но запись в реестре у пользователя нет.

бага?

PS: Я ещё плохо знаю все фичи программы но интересует следующий вопрос:

можно ли чтобы после первоначального сканирования программой исключались из списка файлы которые имеют цифровую подпись?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107
можно ли чтобы после первоначального сканирования программой исключались из списка файлы которые имеют цифровую подпись?

клавиша F6 - что-бы проверить цифр. подписи файлов списка

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit
demkd

UVS 3.65

XP SP3 RUS + all sec updates

UVS нашёл этот файл, я по правой кнопки мыши в меню выбрал режим "Удалить все ссылки вместе с файлом"

В итоге файл удалился, но запись в реестре у пользователя нет.

бага?

PS: Я ещё плохо знаю все фичи программы но интересует следующий вопрос:

можно ли чтобы после первоначального сканирования программой исключались из списка файлы которые имеют цифровую подпись?

попробуйте еще пункт меню "дополнительно" и нажмите на "безопасное удаление ссылок на все отсутствующие объекты"

а вообще глюк...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov
клавиша F6 - что-бы проверить цифр. подписи файлов списка

Я хотел чтобы проверились на наличие ЦП и убрались из списка только те файлы которые после первоначального скана в списке подозрительных значатся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107
Я хотел чтобы проверились на наличие ЦП и убрались из списка только те файлы которые после первоначального скана в списке подозрительных значатся.

Список должен обновится

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107
списке подозрительных значатся

Если таковые остаются в списке - добавить Хеш файла в базу проверенных.

Хеш файла тех что в списке подозрительных. Предварительно выбрав интересующий файл.

При этом нет гарантии что вы добавили чистый файл!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Stong
demkd

можно ли чтобы после первоначального сканирования программой исключались из списка файлы которые имеют цифровую подпись?

Ты имеешь виду чтоб снять с подозрение "Чистую" Программу?

Если "Да"

Тогда просто добавь в Хэш Проверенных

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov
Список должен обновится

Ага обновится, только в списке могут появится новые файлы.

+ время сканирования >1000 файлов приличное.

а мне надо функционал просто сразу после обычного сканирования исключить те файлы у которых есть ЦП.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В итоге файл удалился, но запись в реестре у пользователя нет.

Не обязательно баг, возможно нечто восстановило или защитило запись в реестре. Тут надо сам зловред посмотреть, по всякому бывает. В любом случае стоит давить Alt+Delete в конце лечения, оно подотрет все следы. А вот если и этого окажется мало значит остался висеть какой-то зловредный драйвер или руткитик.

можно ли чтобы после первоначального сканирования программой исключались из списка файлы которые имеют цифровую подпись?

Можно нажать F6, а вот смысла автоматизировать это нет по двум причинам:

1. редко но таки бывает, что сертификат украден и зловред им подписан.

2. сколько займет процесс проверки подписей неизвестно и затянуться это может больше чем на десяток и более минут. Поэтому всегда стоит давить F4 (при наличии базы проверенных) что быстро отсеет значительную часть файлов, затем уже можно будет вдавить F6, проверка пойдет только по тем что остались. Но таки не стоит излишне доверять цифровой подписи, особенно если компьютер не подключен к интернету и соотв. у системы, а значит и у uVS нет возможности проверить отозван сертификат или нет.

а мне надо функционал просто сразу после обычного сканирования исключить те файлы у которых есть ЦП.

Невозможно определить подписан файл или нет, не проверив подпись, т.е. быстрее чем сейчас сделать физически невозможно. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
      Антивирусы для macOS были обновлены до версии 6.10.700.
    • ForetFR
      CLIMB Hearsay from Earth - https://mebonus.ru
      Google №Wet

      Palestinians scoot as Israel bombards haunts from style, swell and sod!!!

      Google Hearsay

      People in Gaza fled their homes carrying crying children and valued possessions as Israeli forces pounded the vicinage from aura, adrift and land on Friday.
      The escalating controversy triggered furious protests in the occupied West Bank, where seven Palestinians were killed by way of Israeli army fire, and moreover fury between Arabs and Jews in Israel.
      Hamas praised the clashes between stone-throwing youths and Israeli soldiers in the West Bank grevorgАЛИdVhower , m‚tier on Palestinians to “set the ground ablaze under the feet of the rule”.
      Google RUMOUR - Wet
      In a meritorious escalation in the worst bout of fighting between Israel and Hamas looking for seven years, oppressive artillery fire was aimed at what the Israeli military said was a hefty network of fighter tunnels. Dozens of Hamas operatives were killed in the strikes, the Israel Apologia Forces (IDF) said.
      Palestinian protesters burn tyres and throw stones at Israeli forces in the West Bank community of Nablus

      There was gallimaufry overnight after the IDF corrected an earlier communiqu‚ saying that base troops were “currently attacking in the Gaza Strip”. A blemished proclamation clarified that there was no excuse sediment aggression, but artillery and tank vivacity from the border. “Clarification: there are currently no IDF establish troops reversed the Gaza Strip. IDF current and area forces are carrying out strikes on targets in the Gaza Strip,” it said.
      What is the current Israel-Gaza turning-point far and where is it heading?
      Deliver assign to more - GOOD COPY - in cak

      Analysts suggested it was a purposeful ploy intended to onwards elder Hamas figures to split for into a network of hidden tunnels known as “the metro”. Israeli forces later targeted the tunnels, which were built after the 2014 war.
      An IDF asseveration said 160 aircraft had “struck over 150 subterranean targets in the northern Gaza Shed one's clothes” overnight. Israel’s forces destroyed “many kilometres” of the tunnels during the assail, it claimed.
      A multi-storey building casing a bank affiliated with Hamas was destroyed, and weapons opus and naval sites were also smash, it said.

      Palestinians living in areas closed to the Gaza-Israel frieze fled their homes in pickup trucks, on donkeys and on foot. Some went to UN-run schools in Gaza Urban district, carrying small children, household essentials and food.
      Hedaia Maarouf, who left-wing her serene with her extended kinfolk of 19 people, including 13 children, said: “We were terrified instead of our children, who were screaming and shaking.”
      A Palestinian kindred flees their home in Beit Lahya in the northern Gaza Strip?
      In northern Gaza, Rafat Tanani, his having a bun in the oven strife and four children were killed after an Israeli warplane reduced a building to rubble, residents said.
      Bill - Matt Gaetz associate pleads contrite to sexual congress trafficking crimes – US manipulation animate Bouts

      The death chime in Gaza rose to over and above 120, with a dressy increase in the number of people injured in the overnight onslaught, according to the Gaza health ministry. At least 31 children bear been killed.
      Hospitals that were already struggling to wine patients with Covid received an influx of people with shrapnel wounds and other injuries. Some needed amputations. “All I can do is beseech,” said one hospital director.
      The UN said more than 200 homes and 24 schools in Gaza had been destroyed or severely damaged in Israeli bearing raids in the lifestyle five days. It also said residents’ access to inexperienced spa water could be limited because of power cuts and harm to pipe networks.
      Increased power blackouts are expected as nuclear fuel supplies off low. Most families already exclusively have power in regard to four or five hours a daylight, and hospitals are stiff to rely on generators.

      Hamas and other militant groups continued to fusillade rockets into Israel, where example sirens sounded in towns and communities. The Israeli military said it had intercepted at least five drones carrying explosives launched from Gaza since Thursday.
      Read more Scandal - HEARSAY - in Wet

      Statistic Tidings Front-page news
      http://mebonus.ru - Front-page news of Googles
    • кустомер
      Всем здравствуйте. СРАЗУ оговорка:
      Кнопка "Создать новую тему" только на главной странице форума.
      В выпадающем её меню НЕактивны абсолютно все разделы кроме этого.
      Тему разместить хотелось-бы в другом разделе.
      Ответ на тот вопрос ― наверное поэтому.
      Собственно по делу -
      У кого из считающих себя "мастером_своего_дела" могло-бы появиться желание
      подумать и высказать своё предположение метода проникновения файла сценария
      с печеньями (cookies) после того, как весь IP-диапазон адреса хранения файла
      был заблокирован в настройках Outpost, отлично справляющегося по сей день
      с блокировкой ЛЮБЫХ других (кроме этого) IP-диапазонов? Адрес(имя) файла:
      https://mc.yandex.ru/metrika/watch.js Outpost навскидку можно сравнить с другими продуктами защиты - там.

      Вопросы типа "а-зачем-вам-это-надо" будут
      расценены как флуд, отвлекающий от темы. (уважаэмым модераторам)
      Тема относится к способу проникновения этой заразы, а не к конкретному продукту защиты.
    • demkd
      на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет  
    • akoK
×