Universal Virus Sniffer (uVS), Вопросы разработчику

[demkd 638]

santy

Да, исполняемые файлы только в этом каталоге или корне диска (если указан корень как в примере), подкаталоги не просматриваются, между > и самим путем без пробелов.

[santy 153]

santy

Да, исполняемые файлы только в этом каталоге или корне диска (если указан корень как в примере), подкаталоги не просматриваются, между > и самим путем без пробелов.

ясно,

а в команде adddir можно использовать отмену рекурсии и сокращенный путь?

например:

....

adddir >%systemdrive%

crimg

....

[demkd 638]

а в команде adddir можно использовать отмену рекурсии и сокращенный путь?

сокращенный можно, а отмену нельзя, потом может приделаю и ее.

[PR55.RP55 83]

1.При присвоении - не только автоматически добавлять строку детекта объекта, но также и вводить название компании.

*Соответственно Колонка "Статус" будет отражать не только наименование угрозы - но и маркер компании.

http://s60.radikal.ru/i170/1107/5f/ee0c9936d089.jpg

2.Автоматически сравнивать все объекты списка по их сигнатурам.

После чего, сравнить по Наименованию, файлы имеющие схожие сигнатуры...

При совпадении сигнатур у файлов имеющих разные наименования Автоматически помещать их

в категорию "Подозрительные и вирусы" с добавлением в лог соответствующую определению

информацию.

* Можно добавить соответствующею опцию/настройку на сравнение - в settings.ini

3. На примере одного из системных файлов: USERINIT.exe

Полное имя C:\WINDOWS\SYSTEM32\USERINIT.EXE

Имя файла USERINIT.EXE

Тек. статус ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Сохраненная информация на момент создания образа

Статус ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Размер 33792 байт

Создан 15.04.2008 в 15:00:00

Изменен 27.07.2011 в 11:04:53

Тип файла 32-х битный ИСПОЛНЯЕМЫЙ

Цифр. подпись Отсутствует либо ее не удалось проверить

Версия файла 0.0.10.97

Описание Ttarohezfh

Производитель AVG Software Development Team

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Цифровая подпись Отсутствует, что необычно для известного файла этого типа [ВОЗМОЖНО поврежден/заражен]

Сигнатура Необычная для известного файла сигнатура, возможно файл был подменен

Доп. информация на момент обновления списка

SHA1 A5F87D43C6C2F33E8C29CB992AD4F1FD3E970837

MD5 A0FFB4291309278D379687A55930ABB3

Ссылки на объект

Ссылка HKLM\uvs_software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

Userinit C:\WINDOWS\SYSTEM32\USERINIT.EXE

*Уж, что - что, а Количество символов в строке: Производитель, можно ( и нужно ) подсчитывать автоматически.

С добавлением в лог соответствующую определению информацию.

Где будет однозначно написано: ВИРУС !

Так, как нечем иным он быть не может.

* А надпись:

Цифровая подпись:

Отсутствует, что необычно для известного файла этого типа [ВОЗМОЖНО поврежден/заражен]

uVS Наводит тень на плетень - Если на 100% очевидно что это вирус, то и написано должно быть, что это вирус!

*Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Возможно файл был подменен ( речь идёт не о ВОЗМОЖНОости того, что файл был подменён - это 100% -й факт )

*Образ Прилагается.

[demkd 638]

1.

сделаю.

2.

отклоняется.

*Уж, что - что, а Количество символов в строке: Производитель, можно ( и нужно ) подсчитывать автоматически.

И зачем?

Где будет однозначно написано: ВИРУС !

Так, как нечем иным он быть не может.

Не факт, может кто-то пожал все системные файлы, извращения не запрещены.

А вот сделать опциональный сброс подозрительности с известных файлов не имеющих эцп и только поэтому попавших в подозрительные пожалуй стоит, для пионерских сборок это типичная проблема.

[Angel107 30]

Прикрепленные файлы

 MININT_8BEFJ35_2011_07_27_21_27_24.7z ( 174.22 килобайт ) Кол-во скачиваний: 15

 Судя по образу! У Вас Батенька Win32.Banker за остольные я уже молчу...

[PR55.RP55 83]

У Вас Батенька Win32.Banker за остольные я уже молчу...

Благодарю Angel107 !

Вы открыли мне всю, всю правду!

Я теперь Ясно вижу что МИРУ-МИР!

[Angel107 30]

PR55.RP55

Я просто понял что вы неведёте базу собственных сигнатур.

А это помогает быстрее фильтровать явно вирус или подозрение на случай отсутствия доступа к и-нету.

Я лишь это и хотел подчеркнуть а не заново открыть Америку.

[PR55.RP55 83]

Предложение.

1.Меню файл.

"Сравнить сигнатуру файла с файлами списка"

*Соответственно, без добавления сигнатуры в sgnz базу.

Опция позволит, проводить гибкий поиск - проверку подозрительных объектов

на наличие идентичных/схожих элементов списка.

**Отработка по списку без привлечения sgnz базы и необходимости предварительного добавления сигнатуры файла позволит более гибко подходить к решению задач по обнаружению/идентификации подозрительных объектов.

***Полученная информация выводиться в Лог и отображается в колонке статуса: [ 1 & Sig 2 ]; [ 1 & Sig 3 ]

Суть предложения:

Как известно, при добавлении одной сигнатуры - отдельно взятого файла, и проверки списка с её участием в категорию "Подозрительные и вирусы" в ряде случаев попадает 2-3 файла.

Соответственно, имеющих разные имена и находящиеся в разных каталогах.

При проверке по: "Сравнить сигнатуру файла с файлами списка"

Мы имеем возможность обнаружить "родственные" объекты и тем самым получить сведения позволяющие нам перевести

файл из разряда подозрительных в категорию вирусы.

После проверки мы уже можем добавить сигнатуру в sgnz базу...

И окончательно решить данный вопрос.

----------------------------------------------------------------------------

P.S.

Хотелось бы - услышать мнение аудитории по данному предложению.

[santy 153]

а как предполагается искать в образе автозапуска сигнатурные дубликаты этого файла? они ведь не попадают в список подозрительных автоматически при такой проверке, как в случае с реальными сигнатурами?

[PR55.RP55 83]

1.Меню файл.

"Сравнить сигнатуру файла с файлами списка"

*Дополнение

В ряде случаев требуется удаление файла по прямому пути .

Однако - предварительно стоит провести проверку на наличие схожих объектов уже с использованием сигнатур.

Но, без добавления в sgnz - базу ( когда в этом нет необходимости )

**Может быть применимо и при проведении предварительной - профилактической проверки - на наличие ложных сигнатурных срабатываний.

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

2. Сейчас, в Store можно помещать файлы только по отдельности - Я предлагаю добавить опцию:

"Поместить в Store все известные файлы каталога..."

* При необходимости, это позволит быстро сформировать базу для восстановления системных файлов

**Если, какие либо файлы не будут найдены/добавлены выдавать предупреждение в лог.

Если, есть команда: RKNOWN

"Восстановить все известные файлы из хранилища"

То, должно быть и начало для этой истории!

А как предполагается искать в образе автозапуска сигнатурные дубликаты этого файла? они ведь не попадают в список подозрительных автоматически при такой проверке, как в случае с реальными сигнатурами?

А, что мешает им туда попасть ?

Ведь при работе например с VirusTotal - если на файл был получен детект - то файл автоматически попадает в категорию "Подозрительные и вирусы" - И это при том, что изначально - при генерации образа он не был помещён в данную категорию.

Соответственно - если будут выявлены дубликаты - то и их можно добавить в данную категорию автоматически аналогичным способом.

При наличии реального файла в системе - во время создания образа автозапуска можно впоследствии извлечь сигнатуру...

Значит есть и необходимые данные для сравнения.

И как отметил выше

***Полученная информация выводиться в Лог и отображается в колонке статуса: [ 1 & Sig 2 ]; [ 1 & Sig 3 ]

Где 1- имя первого файла из которого была извлечена сигнатура.

Sig 2 - порядковый номер объекта - по степени корреляции % совпадения .

Соответственно чем больше число - тем меньше процентная корреляция объектов.

[PR55.RP55 83]

3. Обнаружение вируса + изменение статуса файла с "Подозрительный" на "Вирус"

Отдаётся команда на очистку папок Temp*.

В случае, если вирус активен - и его тело находится в Temp*...

Тело будет автоматически восстановлено...

Значит, можно добавить следующею опцию в uVS...

"Показать все текущие временные объекты"

Принцип работы:

Опция - "Показать все текущие временные объекты"

Состоит из нескольких элементов/команд, это:

1.очистка Temp* 2.Показ/отображение всех исполняемых объектов

которые были восстановлены в последующие 65 секунд после этого.

Соответственно, для полноценного определения необходимо сравнение SHA1 файлов.

Прежде всего uVS индексирует удаляемые файлы по SHA1.

После того, как файлы были вновь созданы - ( в 65 секундном интервале )

Идентичные объекты попадают/отображаются в соответствующей категории.

* Идеальным вариантом будет обработка с расчётом/сличением сигнатур объектов.

С тем же Алгоритмом отображения, что мною был описан выше. [1 & Sig 2]

Цель: Обнаружение активного вируса в том случае, если нет возможности однозначно определить файл,

как угрозу.

Подобная опция в ряде случаев позволит подкрепить подозрение за счёт получения дополнительной информации.

И решить проблему!

Положительными моментами данного предложения является:

_ Не требуется вносить принципиальных изменений в программу.

Все перечисленные возможности ( кроме сравнения по SHA1 ) присутствуют в uVS.

Единственно, что требуется, это совмещение элементов в рамках одной операции.

_ Для обнаружения/выявления нет необходимости в перехвате функций и прочее!

Всё происходит естественным путём.

[demkd 638]

"Сравнить сигнатуру файла с файлами списка"

Идея понятна, но реального применения я не вижу.

Я предлагаю добавить опцию:

"Поместить в Store все известные файлы каталога..."

Отклоняется. И зачем сотни мегабайт в STORE?

3.

Не имеет смысла, отклоняется.

[mesmer 10]

Приветствую разработчика программы, очень приятная и удобная вещь.

но заметил нехорошесть, если подключаюсь по сети к удаленному ПК, на котором подсажен блокиратор (смс), и после его удаления (удалить все ссылки вместе с файлом), то после перезагрузки машины обнаруживается такая вещь: профиль(-и) повреждены. и все идет через запуск TEMP профиль.

совпадение? или закономерность чего-то?

[demkd 638]

профиль(-и) повреждены. и все идет через запуск TEMP профиль.

Пароль пользователя набирается через uVS? Тогда так и должно быть.

uVS подгружает все профили пользователей при первом обновлении списка, причем не туда где он должен быть, а по случайному пути.

Чтоб избежать автоподгрузки при работе с удаленной системой нужно поднять флаг bNetFastLoad в settings.ini

Тогда до нажатия F5 загрузка профилей производится не будет и можно спокойно вводить пароль.

Если нужен будет список то после загрузки в раб. станцию можно нажать F5 и работать как обычно.

[mesmer 10]

Пароль пользователя набирается через uVS? Тогда так и должно быть.

uVS подгружает все профили пользователей при первом обновлении списка, причем не туда где он должен быть, а по случайному пути.

Чтоб избежать автоподгрузки при работе с удаленной системой нужно поднять флаг bNetFastLoad в settings.ini

Тогда до нажатия F5 загрузка профилей производится не будет и можно спокойно вводить пароль.

Если нужен будет список то после загрузки в раб. станцию можно нажать F5 и работать как обычно.

домен. я под своей учеткой (она относится к группе domain admins) подключаюсь к ПК в домене, соответсвенно пароль не ввожу.

когда UVS запускается он показывает список, там же в списке отображается и нужный мне вирус (допустим лежит он в c$\Documents and Settings\otdel01\Рабочий стол). его подчищаю. как писал выше.

[santy 153]

домен. я под своей учеткой (она относится к группе domain admins) подключаюсь к ПК в домене, соответсвенно пароль не ввожу.

когда UVS запускается он показывает список, там же в списке отображается и нужный мне вирус (допустим лежит он в c$\Documents and Settings\otdel01\Рабочий стол). его подчищаю. как писал выше.

mesmer,

а чем удаление по сети вируса (трояна) в общем случае с очисткой ссылок отличается от удаления смс-локера в вашем случае? тем, что он расположен в профиле юзера? (в общем случае не замечал повреждений профиля после удалений, зачисток по сети и перезагрузок.)

[demkd 638]

подключаюсь к ПК в домене, соответсвенно пароль не ввожу.

Я про то что подключение uvs-ом к удаленной машине до момента входа в рабочую станцию (т.е. ввода пароля пользователя и загрузки пользовательского реестра, например с целью контроля проведенного лечения после перезагрузки) приведет к невозможности загрузки профиля и созданию временного профиля... если не завершить uVS до загрузки пользовательского реестра.

В принципе других проблем быть не должно, зловредов специально разрушающих реестр я не встречал, а uVS удаляет лишь то что указано и ничего более т.е. в принципе физически повредить реестр он не может, поскольку работает с ним исключительно средствами API... конечно если нет проблем с железом, в последнем случае реестр в т.ч. и пользовательский может умереть самопроизвольно после очередной перезагрузки.

[mesmer 10]

Я про то что подключение uvs-ом к удаленной машине до момента входа в рабочую станцию (т.е. ввода пароля пользователя и загрузки пользовательского реестра, например с целью контроля проведенного лечения после перезагрузки) приведет к невозможности загрузки профиля и созданию временного профиля... если не завершить uVS до загрузки пользовательского реестра.

В принципе других проблем быть не должно, зловредов специально разрушающих реестр я не встречал, а uVS удаляет лишь то что указано и ничего более т.е. в принципе физически повредить реестр он не может, поскольку работает с ним исключительно средствами API... конечно если нет проблем с железом, в последнем случае реестр в т.ч. и пользовательский может умереть самопроизвольно после очередной перезагрузки.

т.е. мне как лучше сделать? чтобы подобное не происходило?

[demkd 638]

т.е. мне как лучше сделать? чтобы подобное не происходило?

Как я уже писал в settings.ini прописать bNetFastLoad=1 и перед ручной загрузкой списка автозапуска убедиться, что рабочая станция уже загружена, например по Alt+V, (или можно просто ввести логин/пароль и соотв. загрузить раб. станцию), затем только давить F5 и грузить реестр и список автозапуска, либо если лечение не требует загрузки в рабочую станцию (и последующей за лечением перезагрузки) выгружать uVS до того как пользователь на удаленной машине введет пароль и начнется загрузка пользовательского реестра.

[demkd 638]

Для uVS выделен отдельный подфорум

постепенно буду добавлять справочные темы, а эту тему со временем постараяюсь превратить в FAQ убрав все лишнее и добавив рубрикатор.

[santy 153]

тперь то уж точно надо подбирать иконку для программы, чтобы тема uVS была видна из далека на форуме антивирусных вендоров.

[omnilynx13 10]

Кстати, а FAQе. Было бы неплохо составить небольшой мануальчик на тему: uVS и Реестр. Как мне кажется начинающим, а может быть и не только им, это будет интересно.

Отдельный подфорум - это правильно!

[demkd 638]

надо подбирать иконку для программы, чтобы тема uVS была видна из далека на форуме антивирусных вендоров.

Не люблю я рисовать... Но может таки сделаю.

Было бы неплохо составить небольшой мануальчик на тему: uVS и Реестр.

И что в него писать... назначение ключей реестра? Смысла нет, книг по реестру видимо-невидимо.

[Smit 29]

demkd

не смог справиться с очередным вирусом , но удалось создать образ сверки и автозапуска (версия uvs 261)

http://moemesto.ru/QUARQQ/file/12597969/%D...D0%BA%D0%B0.dat

http://moemesto.ru/QUARQQ/file/12597966/MY...01_18-58-35.rar

также не удалось последней(2.68) версией восстановить работу сети, не работал интернет экплорер и опера , но частично работал фаирфокс система win7x64

удалось восстановить правильную работу сети, только утилитами от майкрасофта MicrosoftFixit50199.msi, MicrosoftFixit50203.msi

возможно следует в программу добавить еще 1 твик

* netsh int ip reset resetlog.txt

* netsh winsock reset

netsh int ip reset c:\resetlog.txt

или что в том же духе ...