Universal Virus Sniffer (uVS), Вопросы разработчику

[akoK 75]

Да и какой смысл постоянную базу вести, она ж оперативная, антивирусы конечно тормозят с добавлен сигнатур, но через месяцок эти сигнатуры все равно уже не нужны, антивирус таки обновится.

А если нет антивируса? Или он заблокирован

[santy 151]

А если нет антивируса? Или он заблокирован

ну, так это святая обязанность uVS - вылечить активное заражение, и разблокировать запуск (выпустить из плена ) и обновление антивируса.

сигнатуры действительно имеют короткий жизненный цикл, но дважды уже на моей памяти очень эффективно работают против потоковых заражений: SPY.shiz и "усиленного режима защиты антивируса".

[akoK 75]

ну, так это святая обязанность uVS

А я о чем. Если сигнатура уже будет в базе это сэкономит время.. "вредоносы дня" однообразны и первый добавивший сигнатуры упростит работу всем остальным.

сигнатуры действительно имеют короткий жизненный цикл

Согласен, а хеши безопасных Файлов? Ежемесячное обновление не выход, а собирать хеши "каждый себе" не выход.

[demkd 590]

Если сигнатура уже будет в базе это сэкономит время.. "вредоносы дня" однообразны и первый добавивший сигнатуры упростит работу всем остальным.

Сэкономит, но таки все равно лень. Возни море, сетевая база с правильно организованным к ней доступом, да еще по ftp сама по себе очень суровая штука.

а собирать хеши "каждый себе" не выход.

Почему же - это как раз правильный вариант, каждый имеет основную базу и собственную с уникальным именем, за которую и несет ответственность. Соотв. обмен базами выглядит элементарно, чужая база закидывается в свой SHA и она используется в неизменном виде при след. запуске uVS.

[santy 151]

А я о чем. Если сигнатура уже будет в базе это сэкономит время.. "вредоносы дня" однообразны и первый добавивший сигнатуры упростит работу всем остальным.

Согласен, а хеши безопасных Файлов? Ежемесячное обновление не выход, а собирать хеши "каждый себе" не выход.

Имхо, с сигнатурами надо работать аккуратно, потому что может зацепить и нормальные файлы, т.е. надо учесть и ложное срабатывание.

обмен сигнатурами не проблема - в период активных заражений можно и здесь у Дмитрия выкладывать либо скрипты с использованием сигнатур, либо свои базы.

по хэшам, по моему идеальное решение - есть авторский файл main, и есть локальные пользовательские файлы sha1

[akoK 75]

сетевая база

Базы каждый может создать базу имени себя. Полная децентрализация так сказать.

Но лень это святое

по хэшам, по моему идеальное решение - есть авторский файл main, и есть локальные пользовательские файлы sha1

Мне это не интересно. Много возни в рамках ассоциации.

[santy 151]

Мне это не интересно. Много возни в рамках ассоциации.

ну, так в рамках ассоциации открываете ftp-ресурс, раздаете доступ заинтересованным участникам, и они копируют_обвновляют свои базы сигнатур в своих каталогах, в которых имеют право записи, во всех других - только чтение. Имя участника будет некоторой гарантией или доверенностью к базе сигнатур и списков.

[akoK 75]

santy, суть идеи вы уловили, но необходимо сделать функционально... например возможность инкрементного обновления, контроль внесенных изменений и оперативную правку баз и пр... В общем для основного инструментария выдвигается множество требований.

они копируют_обвновляют свои базы сигнатур в своих каталогах, в которых имеют право записи, во всех других - только чтение

Множество рисков не покрытых контролями, я не могу принять эти риски.

[demkd 590]

Пока меня одолел очередной приступ лени, желающие могут потестировать зависший в разработке:

uVS 3.67BETA

База проверенных обновлена.

o Добавлена поддержка сохранения и проверки кода загрузчика в VBR (бутсектор).

Поддерживается FAT12/FAT16/FAT32/NTFS/exFAT.

(!) Для FAT16/exFAT сохраняется код из бутсектора.

(!) Для FAT32 сохраняется код из бутсектора (420 байт + маркер + оставшийся код из 12-го _или_ 2-го сектора)

(!) Для NTFS сохраняется код из бутсектора без IPL в оставшихся 15 секторах.

Функция доступна в любом режиме.

o Добавлена поддержка сохранения и проверки кода IPL. (15 секторов за бутсектором NTFS)

Функция доступна в любом режиме.

o Добавлена возможность перезаписи загрузчиков VBR/IPL.

o Добавлены скриптовые команды fixvbr и fixipl.

Пример: fixvbr c: 6

где с - имя загрузочного диска,

6 - весрия загрузчика (6 - Vista/Seven, 5 - 2k/xp/2k3)

Стандартные загрузчики лежат в файлах ipl5, ipl6, fat5, fat6, ntf5, ntf6.

Вы можете их заменить на свои копии снятые с помощью uVS, либо можете создать доп. файлы с версиями отличными от 5 и 6.

Команды fixvbr/fixipl принимают в качестве второго параметра любое _число.

Разделение команд сделано специально, поскольку в некоторых случаях (Boot.Cidox) требуется восстановление только IPL.

(!) Команды не_доступны при работе с удаленной системой.

o VBR/MBR/IPL загрузчики теперь проверяются по F4 вместе с обычными файлами в т.ч. и при работе с образом.

o Новые параметр в settings.ini

[settings]

; Фильтр по производителю антивируса через запятую.

vFilter

Фильтр применяется в функциях массовой проверки файлов.

Результаты проверки антивирусом не попавшим в список учитываться не будут.

Пример: Kaspersky, DrWeb, AntiVir, Comodo

(!) Для Jotti и VT имена антивирусов могут не совпадать, соотв. нужно

(!) указывать оба варианта.

o (!) Изменен формат файла сверки.

Теперь для сверки сохраняется весь код в MBR+VBR+IPL.

o Удалено из лога сообщение о том что хэш загрузчика есть в базе.

В лог выводится информация лишь о непроверенных загрузчиках.

[santy 151]

вопросы:

1. коды загрузчиков VBR, IPL помещаются в файл сверки?

2. при тестировании на VM (XP SP3) перезапись загрузчиков скриптом (из под активной системы) прошла успешно. Система загрузилась нормально после рестарта.

3. все таки... не вполне понятно, каким образом из uVS можно снять копии VBR, IPL

4. Фильтр vFilter по производителю антивируса отрабатывает нормально.

5. Можно ли из файла сверки восстанавливать коды из MBR, VBR, IPL в отдельности каждый?

6. Может, имеет смысл оставить информационное сообщение о том, что код загрузчика есть в базе проверенных? как то спокойнее когда оно есть. . заодно и подвесить в логе контекстную функцию - "удалить хэш из списка проверенных" для тестов.

[PR55.RP55 82]

1. Лог

HDD фрагментирован на %...

Реестр фрагментирован на %...

Анализ на наличие ошибок в загрузчиках?.

2.Файл: Сохранить список.

Хорошо, если будет сохранятся информация не только по списку но и по детектам на VT.

VT [36/42]

3.Сигнатуры

Добавить в базу

_Добавить в базу все исполняемые файлы каталога..._

*Например если, у кого либо будет желание добавить в базу сразу несколько тысячь вирусов.

**С автоматическим присвоением вирусной сигнатуре имени данного файла.

3.2.Settings.ini

Автоматически, присваивать файлу попавшему под детект антивируса на VT

имя - по результату/информации детекта.

Settings.ini

AutoVT [ESET NOD32] =1

*Экономия времени и возможность быстро определить тип вируса при проверке списка.

3.2.Добавить в базу _По признаку_

* Используется общий/объединяющий признак.

Пример: Путь

C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\

Имя файла состоит толко из цифр...

1119446.EXE

2505616.EXE

Для чего: предположим, что в каталоге 50 вирусов.

* Большинство имеют разную сигнатуру.

Однако у них есть общее: имя/признак ( имя файла состоит только из цифр )

Поочерёдное добавление +- 50 Объектов, потребует значительного времени.

Если, речь идёт о заражении 5-7 машин то может потребоваться добавление сотен объектов...

*Предположим, что тело вируса может находится только в 2-х каталогах.

C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\

и

C:\WINDOWS\UPDATE.*

Поместить все файлы в ZOO

> Удалить все исполняемые файлы каталога.

> Добавить все исполняемые файлы каталога в базу.

> Импортировать ZOO, sgnz в...

* С учётом - отсевом по времени создания и другим признакам.

4.Поиск справочной информации.

Например по VT получен детект.

Соответственно реализовать возможность автоматического поиска по запросу в справочной информации:

AV компаний, или на других аналогичных ресурсах.

[demkd 590]

1. коды загрузчиков VBR, IPL помещаются в файл сверки?

Да и в образ тоже. Из образа тоже можно сохранять копии MBR/VBR/IPL как и копию HOSTS.

3. все таки... не вполне понятно, каким образом из uVS можно снять копии VBR, IPL

В разделе "system.ini и загрузчики" в контекстном меню соотв. объекта.

5. Можно ли из файла сверки восстанавливать коды из MBR, VBR, IPL в отдельности каждый?

В данный момент нет, я еще не решил стоит ли добавлять такую функцию, все-таки то что показывает буткит может оказаться совершенно нерабочей копией и тогда функция будет бесполезна.

Может, имеет смысл оставить информационное сообщение о том, что код загрузчика есть в базе проверенных?

Сделаю настройку.

заодно и подвесить в логе контекстную функцию - "удалить хэш из списка проверенных" для тестов.

Ок.

HDD фрагментирован на %...

Реестр фрагментирован на %...

Анализ на наличие ошибок в загрузчиках?.

Фрагментация уже давно неактуальна.

А анализ загрузчика это уже слишком серьезная задача, да и бесполезная - слишком их много разных и красивых.

Хорошо, если будет сохранятся информация не только по списку но и по детектам на VT.

VT [36/42]

Проверю, по идее должно сохраняться.

3.Сигнатуры

В окне выбора файлов можно выделить больше одного файла... можно даже все.

Автоматически, присваивать файлу попавшему под детект антивируса на VT

Сделаю.

3.2.Добавить в базу _По признаку_

Слишком жестоко.

4.Поиск справочной информации.

Подумаю... хотя вероятность найти информацию по новому... обычно и по престарелому вирусу равна 0. Разве что это нечто необычное и опять же совсем престарелое.

[santy 151]

Да и в образ тоже. Из образа тоже можно сохранять копии MBR/VBR/IPL как и копию HOSTS.

ценность образа автозапуска возрастает... теперь это и контейнер с копиями важных областей системы - загрузчиками MBR/VBR/IPL.

В данный момент нет, я еще не решил стоит ли добавлять такую функцию, все-таки то что показывает буткит может оказаться совершенно нерабочей копией и тогда функция будет бесполезна.

ок, разобрался что копии можно взять в разделе "system.ini и загрузчики". Чистые копии себе, буткиты - вирлабам. .

>>>RP55<<<Автоматически, присваивать файлу попавшему под детект антивируса на VT

имя - по результату/информации детекта.

Сделаю.

заметил, что в окне наименований небольшая длина для наименования сигнатуры - не всегда получается ввести наименование, какое хочется. Это полезное предложение - если создается новая сигнатура, то наименование добавлять в окно сигнатур по дефолтному антивиру, если есть по нему детект на ВТ, в противном случае - можно выбрать наименование по детекту любого другого антивира из списка vFilter

[akoK 75]

Вопрос: как производить поиск копирайту файла (например: нужно вырезать драйвера Ad-Aware by Lavasoft которые не удалились после штатного удаления)

[santy 151]

Вопрос: как производить поиск копирайту файла (например: нужно вырезать драйвера Ad-Aware by Lavasoft которые не удалились после штатного удаления)

если производитель продукта Lavasoft, выбирайте категорию ВСЕ (или только драйвера), сортируйте по полю производитель, и находите в записях, которые начинаются с буквы L (поле - производитель, надо щелкнуть по нему, как это в обычных гридах делается).

[akoK 75]

santy, я так и сделал в конце концов. Я думал, что есть фича которая позволяет фильтровать название по нужному полю, а не по имени файла.

[santy 151]

нет, фильтрующий поиск есть только по наименованию файла.... по остальным полям - сортировка.

[PR55.RP55 82]

Я думал, что есть фича которая позволяет фильтровать название по нужному полю...

К сожалению, на данный момент поиска по производителю и цифровой подписи так и не реализовано несмотря на мои злостные

предложения по данному вопросу.

* У меня был аналогичный случай.

Решение: Своя база проверенных файлов SHA1.

В ней нет антивирусов - их файлов.

http://forum.esetnod32.ru/forum8/topic1449/

Файл > Добавить в список > Все исполняемые файлы в каталоге: C:\WINDOWS

После чего жмём F4.

Соответственно все неизвестные отсеиваются... ( порядка 90% файлов )

Далее работаем с тем, что осталось - Это намного облегчает задачу.

*Соответственно, в идеале стоит создать свою базу проверенных файлов.

Устанавливаете чистую систему + все Программы с которыми вы работаете ( Кроме программ по безопасности )

Сохраняете её и в случае необходимости всегда можно произвести фильтрацию/отсев/зачистку каталога или всего диска.

*Если следить за обновлением программ и регулярно вносить новые/обновлённые программы/компоненты в свою базу то за пару минут ( при отсеве по временной переменной - можно найти любой новый/неизвестный исполняемый объект.

*Что в свою очередь позволяет чрезвычайно эффективно бороться с вирусами или устранять сбои в работе OC.

Заметил, что в окне наименований небольшая длина для наименования сигнатуры - не всегда получается ввести наименование

Об этом я тоже злостно писал и предлогал увеличить поле для ввода.

[PR55.RP55 82]

В ней нет антивирусов - их файлов.

http://forum.esetnod32.ru/forum8/topic1449/

За исключением NOD32 и Anti-Malware которые стояли в качестве страховки.

[PR55.RP55 82]

1.Цитата:

"Стандартные загрузчики лежат в файлах ipl5, ipl6, fat5, fat6, ntf5, ntf6.

Вы можете их заменить на свои копии снятые с помощью uVS, либо можете создать доп. файлы с версиями отличными от 5 и 6."

Есть шанс, что плохие дяди могут подправить эти файлы.

Поэтому, предлагаю ввести для них обязательную шифрацию.

А то, со временем может быть всякое...

2. Сигнатуры

http://dsrt.dyndns.org]

reg 24 D %SystemDrive%\PROGRAM FILES\Аfulin4\Аfulin.exeUVSddd

reg 24 D %SystemDrive%\PROGRAM FILES\Stinger$\Stinger.exe startUVSddd

*Где ( D ) добавление информации в реестр.

( Y ) соответственно удаление = дефолтное значение.

Временно отключить/блокировать - выборочно! Программы.

Алгоритм:

Отключили - Подозрительные объекты, в Автозапуске ( соответственно весь автозапуск )

Смотрим, как работает PC.

Так - можно создать скрипт/ы №1; №2; №3; №4

т.е. Каждый новый скрипт отключает 1.! программу.

Выполнили... Посмотрели на результат...

Не помогло...

Отключили следующею...

Таким образом, можно выявить - зловреда/сбойную программу и при этом не повредить нужным программам/компонентам.

Нашли = удалили.

После чего выполняем скрипт для восстановления оригинального значения.

;uVS v3.68 script [http://dsrt.dyndns.org]

reg 24 Y %SystemDrive%\PROGRAM FILES\Аfulin4\Аfulin.exeUVSddd

* uVS находит значение: UVSddd и удаляет его - восстанавливая оригинальную запись.

PS. Только не нужно воспринимать каждую букву/ляп дословно.

Я стараюсь передавать общий смыл идеи/предложения.

[santy 151]

1.Цитата:

"Стандартные загрузчики лежат в файлах ipl5, ipl6, fat5, fat6, ntf5, ntf6.

Есть шанс, что плохие дяди могут подправить эти файлы.

"плохие дядьки" могут и зашифрованные файлы подложить, если шифрование будет через интерфейс uVS, в противном случае "хорошие дядьки" не смогут добавить копии своих загрузчиков.

2. Сигнатуры

Поле для ввода имени/наименования сигнатуры + примечание по данному зловреду.

если это (в том числе и увеличение длины наименования) не нарушает структуру файла сигнатур... имхо, если и задумывать изменение структуры базы sqnz, то основательное, продуманное и обоснованное.

3.Твик №24

Блокировать - объекты Автозапуска.

В режиме реального времени и посредством скрипта.

есть ведь запрет запуска по MD5

В скрипт добавлена команда: bl 108FD0D73D77F0B3D4020FE2A99DD43F 25600

в реальном времени. посредством скрипта. и снимается так же одним твиком.

[demkd 590]

Есть шанс, что плохие дяди могут подправить эти файлы.

Нет такого шанса, восстановление обычно производится из под PE, да и нет дела дядькам до uVS.

2. Сигнатуры

Может подумаю.

есть ведь запрет запуска по MD5

Разве что нет отмены для одиночного файла.

[Юрий Паршин 330]

fixipl - я правильно понимаю, что эта команда правит только Extended IPL? (то есть сектора после первого)

Если да, то это - epic fail, ибо поубивает кучу даже чистых ОС. Код Extended IPL нельзя восстанавливать отдельно от IPL в первом секторе.

[demkd 590]

fixipl - я правильно понимаю, что эта команда правит только Extended IPL?

Правильно с 1-го по 15-й сектор.

Если да, то это - epic fail, ибо поубивает кучу даже чистых ОС. Код Extended IPL нельзя восстанавливать отдельно от IPL в первом секторе.

Почему же нельзя. Если в бутсекторе стандартный виндовый загрузчик то можно. Впрочем и Boot.Cidox считает аналогичным образом не утруждая себя перезаписью VBR, соотв. и убивается он с помощью одной fixipl.

Другое дело если стоит пиратский Vista/Seven или использован нестандартный загрузчик, но в этом случае

никто не запрещает всегда использовать последовательность команд fixvbr + fixipl в т.ч. и со своими загрузчиками.

Разделение команд сделано по причине того что NTFS IPL - это фактически отдельный загрузчик, а не подпрограмма из кучки байт (как в случае с 2/12 секторами FAT32).

Если мучает лень, то могу добавить и отдельную команду, которая будет и vbr переписывать и ipl.

[Юрий Паршин 330]

никто не запрещает всегда использовать последовательность команд fixvbr + fixipl в т.ч. и со своими загрузчиками.

Я не говорю о пиратских ОС - только о лицензионных.

Если в бутсекторе стандартный виндовый загрузчик то можно.

Что такое "стандартный виндовый загрузчик"? Как минимум для той же Vista+ таких комбинаций есть несколько (IPL + Extended IPL). Восстановление только одной из частей просто убьет ОС.

Разделение команд сделано по причине того что NTFS IPL - это фактически отдельный загрузчик, а не подпрограмма из кучки байт (как в случае с 2/12 секторами FAT32).

Если мучает лень, то могу добавить и отдельную команду, которая будет и vbr переписывать и ipl.

Еще раз - нельзя отделять код IPL (0 сектор) и Extended IPL (1+ сектора) - это единый блок кода со ссылками друг на друга. Поэтому разделение команд необходимо убрать совсем.