Universal Virus Sniffer (uVS), Вопросы разработчику

[Vitokhv 0]

uVS под WinPE пишет - "Не удалось подключить SOFTWARE Недостаточно системных ресурсов для завершения операции"

[demkd 638]

uVS под WinPE пишет - "Не удалось подключить SOFTWARE Недостаточно системных ресурсов для завершения операции"

А это значит мало оперативной памяти. Диск загрузочный какой, мой или чей-то? Если чей-то то скорее всего слишком много в него натолкали. Выход простой использовать PE 1.x или менее толстую сборку на базе PE2/3.1

И да... если система старшая то есть такая прикольная штука как Панель управления - Оформление и персонализация - Параметры папок - Вид "Скрывать пустые диски...".

[Vitokhv 0]

Ладно, с этим.. отправил файл баннера, в упор не видит его..

Пароль на скачивание в ЛС

http://rghost.ru/19485861

[demkd 638]

Vitokhv

В списке автозапуска он есть, стартует с помощью шедулера Windows. Обычный троян, в uVS удаляется элементарно.

Его нет в подозрительных, поскольку он ничем себя не демаскирует, дату создания правда не сбрасывает, а так аффтар все "правильно сделал"

Если хочется чтоб он попадал в подозрительные сделайте критерий, Company Name у него пока таки левый и по нему можно легко его детектить

[Vitokhv 0]

А где в реестре прописывает себя?

Делал "Сброс ключей Winlogon в начальное состояние" не помогло.

Как можно вручную шедулер Windows отключить?

[demkd 638]

А где в реестре прописывает себя?

Нигде.

Делал "Сброс ключей Winlogon в начальное состояние" не помогло.

И не должно. Стоит таки почитать что-то про реестр, про автозапуск и все подобные вопросы сами отпадут.

Как можно вручную шедулер Windows отключить?

В службах "Планировщик заданий"

В панели управления "Назначенные задания".

Только зачем же так радикально? Да и при загрузке с диска придется ручками файл в \WINDOWS\Tasks искать и удалять. Проще в uVS открыть категорию "Задачи" и прибить только то что нужно.

[sergey ulasen 200]

demkd, извини, что чуть не в тему. Я пойму, если не захочешь отвечать и удалишь пост. Но кто основная target group, на которую ориентирована твоя утилита? Чей образ ты рисуешь в голове прежде чем заимплементить ту или иную хотелку ?

[demkd 638]

sergey ulasen

Почему ж не в тему, задавать можно любые вопросы.

Круг пользователей - я, поскольку программа и существует в основном для меня лично, другое дело что она подходит и для всех кто понимает, что uVS очень сильно экономит время... конечно при условии что человек вообще способен осмысленно использовать встроенные в uVS функции.

Т.е. target group исчезающе мала даже среди тех кто имеет достаточные для использования uVS знания, поэтому почти всегда я принимаю только те "хотелки", что интересны мне лично (подробнее по пунктам см. мой ответ в ветке о новых функциях). При реализации я делают так как удобно пользоваться мне в едином стиле извращенной эргономики присущей всем моим публичным поделкам, т.е. минимум телодвижений и конечно минимальная загрузка мозга оператора, что как раз крайне положительно сказывается на общей скорости работы.

Соотв. при реализации я никогда не ориентируюсь на массы стандартно мыслящих в т.ч. и подготовленных пользователей, никогда не делаю типовых вещей для себя - это как портной покупал бы себе в бутике китайский фабричный костюм непонятного размера, качественная утилита должна функционально дополнять человека, только тогда процесс работы комплекса человек+программа будет быстрым, эффективным и главное неутомительным.

[santy 153]

Но кто основная target group, на которую ориентирована твоя утилита?

я бы сказал, что узок круг этих революционеров, но зато страшно близки они к народу. Жаль вот, что профессиональные разработчики антивирусных утилит обходят uVS стороной, хотя в плане функциональной реализации видимо есть чему поучиться.

[g0dl1ke 26]

все просто, целевая аудитория, это те люди, что часто занимаются лечением компьютеров от разной заразы и в этом творение автора очень помогает облегчить задачу, лично я, с версии 2.хх забыл, что такое avz.

фактически uvs+autoruns решают 99% проблем у тех, кому я помогаю с лечением

[santy 153]

к слову о AVZ при всех его былых достоинствах:

не раз и не два, хронически не видит файл стартующий из папки автозапуска.

%SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE

,

притом что в списке подозрительных чаще всего оказываются драйвера антивирусов.

http://pchelpforum.ru/f26/t69694/

[demkd 638]

не раз и не два, хронически не видит файл стартующий из папки автозапуска

IGFXTRAY простенький usermode "руткит" и по идее проблем у AVZ с его ловлей быть не должно.

С другой стороны у любого антируткита всегда масса проблем со всяким упорным софтом, в uVS тоже антисплайсинг иногда с кем-то да конфликтует, а для AVZ по определению проблема совместимости должна быть еще шире.

[omnilynx13 10]

Насчет близости народу, santy,+ 1. А насчет функционала начиная с 2-версий мня лично всё устраивает, а учитывая четкую и быструю реакцию на «угрозы» (я о работе с MBA и прочее), делает uVS просто незаменимой в повседневном лечении. А что до пожеланий … честно только два.

Быстрая реакция на новые, неизвестные, угрозы то есть видеть то, что не видят другие. И убивать это. А пока «грозные» Zevs и прочее, убиваются спокойно.

p.s. а вообще я сильно обленился, временами когда надо почистить от мусора машину я жму в uVS, ALT+DEL и приходит «счастье»…

[sergey ulasen 200]

Соотв. при реализации я никогда не ориентируюсь на массы стандартно мыслящих в т.ч. и подготовленных пользователей, никогда не делаю типовых вещей для себя - это как портной покупал бы себе в бутике китайский фабричный костюм непонятного размера, качественная утилита должна функционально дополнять человека, только тогда процесс работы комплекса человек+программа будет быстрым, эффективным и главное неутомительным.

Просто если делать утилиту только "под себя", то чтобы это себя оправдывало, нужно лечить компы в промышленных масштабах. Но этого не получится, т.к. разработка отнимает, видимо, все свободное и несвободное время. И в реале утилиту приходится самому использовать не часто.

Потому может стоит выделить время и потратить его на причесывание интерфейса ?

я бы сказал, что узок круг этих революционеров, но зато страшно близки они к народу. Жаль вот, что профессиональные разработчики антивирусных утилит обходят uVS стороной, хотя в плане функциональной реализации видимо есть чему поучиться

Не надо ля-ля.

У всех утилит есть свой target group, про который я спрашивал выше. И это сразу чувствуется при работе с программой.

Если это специализированные тулзы типа tdsskiller'а, то они рассчитаны на работу в автоматическом режиме. С минимумом вопросов пользователю, поддержкой удобных и понятных для большинства логов, возможностью использования в корпоративной среде. Т.е. у среднего пользователя/администратора никакого дискомфорта ощущуться не должно.

Если говорить об антируткитах, которые используются для поиска новой малвары, то их тоже можно попытаться классифицировать.

Если это gmer, avz - минимум лишней информации, заточка только под обнаружение аномалий. В принципе, логи и use cases рассчитаны под пользователя уже чуть выше среднего.

Если вспомнить про vba32 arkit, то в ней шла ориентация (и, я думаю, сейчас идет такая же ориентация) на пользователей как выше среднего (к примеру, хелперы или администраторы антивирусной безопасности), так и на более продвинутых исследователей. Это достигается тем, что выдается не только информация, которая понятна среднему пользователю, но и дополнительная информация полезная ресерчеру (к примеру, какие-то адреса в памяти, которые можно потом использовать при отладке; название конкретного метода, используемого при сокрытии модуля в памяти; дополнительная информация о внутренних структурах windows; и т.д.). Ну и, собственно говоря, можно каким-то образом выбирать нужный режим работы.

А если вспомнить про xuetr, то дам зуб, что подовляющее большинство пользователей выше среднего, хелперов, администраторов безопасности и даже некоторых системных программистов никогда не разгадают всей той китайской грамоты, которую он выдает. Потому что рассчитан он только на толковых ресерчеров. И это видно хотя бы по отсутствию в нем тех же самых логов.

Вот как-то так. Отсюда и мой вопрос. Потому что когда открылось первое окно uVS, я ничего не понял. Хотя отношу себя как минимум к пользователю выше среднего.

[demkd 638]

Просто если делать утилиту только "под себя", то чтобы это себя оправдывало, нужно лечить компы в промышленных масштабах. Но этого не получится, т.к. разработка отнимает, видимо, все свободное и несвободное время. И в реале утилиту приходится самому использовать не часто.

Промышленных масштабов конечно нет, 10-12 раз в день запускаю не больше Однако экономия времени значительна даже в таких скромных масштабах, особенно при работе с удаленной системой.

Основное свободное и несвободное время как обычно уходит на вращение колесика мышки и хм... 3D приложения

Конечно стоимость времени не окупится по определению, но тут уже сам процесс разработки меня _пока забавляет, да и само лечение стало быстрым и простым процессом чисто на рефлексах, только выброс из процесса обязательной ранее проверки антивирусом дал невероятную экономию времени, не говоря уже о руткитах, отсутствие или присутствие которых теперь можно легко и быстро установить, причем совсем без участия мозга в процессе.

Вот как-то так. Отсюда и мой вопрос. Потому что когда открылось первое окно uVS, я ничего не понял. Хотя отношу себя как минимум к пользователю выше среднего

Так и должно быть Знаний тут мало, должно быть еще и аналогичный склад ума иначе пользоваться будет совершенно невозможно. Как мне например не получится пользоваться тем же AVZ, просто слишком дико (с моей точки зрения) выглядит его эргономика и внутренне устройство. Поэтому поперепробовав подобные утилитки, очень сильно и очень страшно поматерившись в процессе пришлось выкинуть все это... добро на помойку и скрипя зубами от жутко душившей лени начать писать uVS... хотя потом как-то втянулся.

а вообще я сильно обленился, временами когда надо почистить от мусора машину я жму в uVS, ALT+DEL и приходит «счастье»…

Ага, некоторые уже тоже "жалуются" типа использование uVS приводит к наркотической зависимости и острым приступам лени.

[omnilynx13 10]

Насчёт промышленных масштабов лечения хз, но в день в среднем, всё равно 3-4 раза. да запущу. Это если, нет эпидемии блокировщиков (всех мастей и видов), я о последнем времени.

Насчёт склада ума… опять же хз, я ничего особого сложного не увидел в первый раз, хотя испугался, ибо прочитал «продвинутый пользователь хорошо знакомый с реестром Windows», а таковым всё ж не являюсь. А дело было так на работе, особо одаренные люди, поймали очередной порно-банер с очень красивой картинкой и как на грех проверка с Нащальством... пропустил, как сейчас помню nod32 , AVZ категорически запускаться не хочет. Загрузочный диск и прочее, время поджимает. Надо спасать людей, лезу в гуглю… и вот тут я не помню , но в общем я как-то быстро вышел на dsrt.dyndns.org , читаю строчку неизвестных вирусов, руткитов и буткитов, ага терять было особо не чего, решил качнуть , причем dr. web стоящий на этой машинке не ругнулся , что обнадёжило. А дальше просто очень бегло глянул FAQ , струхнул слегка на строчке, о которой писал выше. На флэшу, запускаю(StartF)… сработало! 1-0 в пользу новой программы. Смотрю, в общем, не важно - положим 784Yo893.exe подозрительный, производителя нет. Ещё клик мышки – строчка удалить всё ссылки вместе с объектом… Перезагрузка. Входит Начальник с людями из комиссии. А у нас всё хорошо. 2-0! И команда uVS выиграла! А вот дальше действительно, когда я начал плотно работать в практике лечения с помощью uVS, там да бегло уже и без прочтения папочки Doc было сложно. При этом пользователем выше среднего даже сейчас я себя бы назвал с очень большой натяжкой, а тогда тем более.

использование uVS приводит к наркотической зависимости и острым приступам лени.

ООО! так я не одинок! Ура!

p.s. простите за столь долгие воспоминания. Накатило.

[Vvvyg 12]

IGFXTRAY простенький usermode "руткит" и по идее проблем у AVZ с его ловлей быть не должно.

Как показал опыт, есть, как ни странно. Последние варианты видятся только с AVZPM, причём, иногда реальный путь всё равно скрыт, только "подозрение на маскировку" в логах. Как объяснили, антируткит у AVZ устарел. И ещё момент интересный - популярный в последнее время зловред lsass.exe (который Trojan.Win32.Yakes по Касперскому) блокирует открытие "Выполнить скрипт" в меню AVZ. Это я к тому оффтоплю, что с ростом популярности uVS появятся зловреды, ориентированные на противодействие конкретно ему. А может, уже есть такие?

[santy 153]

У всех утилит есть свой target group, про который я спрашивал выше. И это сразу чувствуется при работе с программой.

Я бы сказал свой target group problems. Скажем, по части лечения Winlock рядом с uVS пока никого нет из названных утилит.

в локальной сети uVS вообще незаменимый инструмент, часто анализ состояния удаленной системы, решение проблемы с заражением, в том числе и локерами решается с админской машины не заходя на рабочий стол пользователя.

В качестве утилит, используемых для начального анализа состояния зараженных систем (на форумах), а так же для лечения активного заражения с помощью скриптов подходят две: AVZ, uVS. Работать с логами AVZ достаточно утомительно, особенно если мало "зеленки" в html-логе, то все файлы кажутся подозрительными, возможности проверить файлы по хэшам нет, файлы карантинить и проверять на ВТ не очень то и хочется, скорость решения проблемы снижается, то пользователь уйдет покурить, то тебя отвлекают рабочие моменты, теряется логическая нить решения проблемы.

uVS как раз позволяет много информации держать в своем окружении, выполнить необходимые и достаточные проверки. +иногда волшебным образом его стандартные операции по очистке мусора, исправлению реестра, изменению настроек реестра таки решают проблему.

антируткиты (tdsskiller, gmer) подключаются по мере необходимости, и осознания конечно их применимости в данном случае.

по Vba32arkit (v 3.12.5.2) могу сказать, имхо, что он как shark от DrWeb пребывают стабильно в бета состоянии, так что решиться их применять в деле и предложить пользоваться юзерам с темами заражения весьма рискованно.

Вот сейчас запускаю vba32arkit (чтобы посмотреть что там есть нового) - запуск происходит сразу же с имитацией защищенного рабочего стола. На предложение "Да". не соглашаюсь. На предложение "нет" выходит сообщение об ошибочном запуске, или невозможности дальнейшей работы. Берите пример с uVS. разделите нормальный (start) и усиленный запуск (startf).

[Vvvyg 12]

возможности проверить файлы по хэшам нет

Не могу смолчать А как же .xml лог? Безусловно, в uVS это сделано проще и элегантней, но кроме ручной проверки есть утилитка AVZ Quarantine Analysis и очень неплохой скрипт "Анализатор логов AVZ", который иногда даже применяю - именно когда мало "зеленки" и мозг уже не работает.

[PR55.RP55 83]

Если, речь идёт о потенциале заложенным в программу.

То я могу сказать следующее:

uVS может служить прекрасным примером для всех A.V. компаний.

В силу того, что они все лезут в "Облака" при этом совершенно не видя того, происходящего под носом.

uVS имея в своей базе проверенных SHA1 (MAIN) 600.000 файлов при 10mb.может обеспечить эффективную проверку системного диска.

Вариант Аналогичного применения ЛОКАЛЬНОЙ базы проверенных файлов в A.V. индустрии...

Не для кого не секрет насколько медленно и уныло сканируют системный диск многие антивирусы - и это при том что вес базы сигнатур на сегодняшний день в среднем = 90mb.

И с каждым годом это число будет расти - до тех пор пока работать с таким антивирусом будет уже невозможно.

Представьте базу сигнатур = 500mb. ( а лет через 5-7 так и будет! )

Даже увеличение скорости сканирования, принципиально решить эту проблему не сможет.

А между тем, есть прекрасный пример uVS с её ЛОКАЛЬНОЙ базой проверенных файлов.

И простым алгоритмом ИСКЛЮЧАЮЩИМ файлы из сканирования/проверки.

Меню: Файл > Добавить в список > Все исполняемые файлы в каталоге.

(время на операцию от нескольких секунд до 10 минут )

После чего F4 и ИСКЛЮЧЕНИЕ из проверки по базе SHA1 -(MAIN)

( время на операцию от нескольких секунд до 5 мин )

Если бы такой механизм встроили в штатный антивирус время проверки сократилось в 6 - 7 раз.

так как 80% всех исполняемых файлов можно было бы отсеять ещё на этом этапе.

Чем больше файлов будет исключено по SHA1 тем меньше уйдёт на проверку.

И вместо 8 - 10 часового сканирования потраченного на системный диск пользователь потратил бы 1-час.

И не надо лезть в облака - КОНДЕНСАТ угрожает вашему здоровью...

[sergey ulasen 200]

по Vba32arkit (v 3.12.5.2) могу сказать, имхо, что он как shark от DrWeb пребывают стабильно в бета состоянии, так что решиться их применять в деле и предложить пользоваться юзерам с темами заражения весьма рискованно.

Вот сейчас запускаю vba32arkit (чтобы посмотреть что там есть нового) - запуск происходит сразу же с имитацией защищенного рабочего стола. На предложение "Да". не соглашаюсь. На предложение "нет" выходит сообщение об ошибочном запуске, или невозможности дальнейшей работы. Берите пример с uVS. разделите нормальный (start) и усиленный запуск (startf).

А зачем ты ее запускаешь ? Еще полтора месяца назад 5.4 вышла.

Но это даже и не важно, суть не в этом.

Суть в том, что любая компания не может себе позволить выпустить в продакшн продукт, в котором есть определенный процент критичных ошибок.

И хоть антируткит в его классическом понимании подразумевает некоторые риски при его использовании, но компания все равно ставит префикс beta, пока этот процент критических ошибок высок.

И таким образом компания поступает честно по отношению к своим пользователям.

А вы честны к своим пользователям, выпекая релизы как блины на Масленицу ?

Еще в качестве примера, тот же Олег Зайцев в свое время организовал вокруг себя огромное комьюнити на ВИ, которое помогло повысить стабильность его продукта.

Во всех приведенных мною примерах видна СТРАТЕГИЯ. Хороша они или плоха, это второй вопрос. Но она есть.

А я пока никакой стратегии у команды UVs не увидел.

uVS может служить прекрасным примером для всех A.V. компаний.

«Вода не так вкусна. Я пил ее однажды. Она не утоляет жажды» (с)

[Smit 29]

А вы честны к своим пользователям, выпекая релизы как блины на Масленицу ?

многоуважаемый, вы чьи интересы представляете!? или сказать отрыто, вас кто нанял тут воду мутить!?

предлагайте что либо конкретное!, а так вы только флеймите или даже пытаетесь тролить

одним словом засланный казачек....

[sergey ulasen 200]

или сказать отрыто, вас кто нанял тут воду мутить!?

Мировая закулиса, блин. Масонский заговор.

Восстаналиваю ход истории.

1. Я задал конкретный вопрос разработчику - demkd.

2. Он мне ответил.

Все на этом можно было бы закончить. Два разработчика друг друга поняли. Пожали друг другу руки и разбежались.

Так нет же, набежала куча людей и стала меня в чем-то убеждать. Не надо.

Дима, большое спасибо за ответ. Удачи тебе и твоему проекту. Все новые начинания, если они идут кому-то на пользу, можно только приветствовать.

[demkd 638]

Smit

Не нужно напрягаться. Человек высказывает свою точку зрения в пределах темы.

Суть в том, что любая компания не может себе позволить выпустить в продакшн продукт, в котором есть определенный процент критичных ошибок.

К сожалению этот процент уже давно никого не волнует даже для коммерческих приложений, а иногда даже упорно отрицается Как и обычно скрывается факт устранения не получивших широкой огласки ошибок, просто вредно это для бизнеса.

А вы честны к своим пользователям, выпекая релизы как блины на Масленицу ?

Если релиз является багфиксом (а так оно почти всегда и есть в случае uVS) то это даже полезно, да и _легкое развитие идет только на пользу.

А вот когда месяцами не могут (или что чаще и хуже) _не _хотят исправлять даже критические баги и просто ляпы - вот это действительно плохо и непонятно.

Удачи тебе и твоему проекту.

Спасибо, симметрично.

[santy 153]

А зачем ты ее запускаешь ? Еще полтора месяца назад 5.4 вышла.

кстати 5.4 запускается с таким же результатом...

А вы честны к своим пользователям, выпекая релизы как блины на Масленицу ?

Я думаю, да. Все заявленные добавленные функции в uVS решают объявленные проблемы. (тот же MBRLock). Не скажу, что тщательно тестируем новые версии и на всех операционных системах с учетом разрядности, но по крайней мере по своим предложениям - тестируем. (основные тесты проводит все таки сам автор программы, прежде чем выпустить ее в доступ). А если по ходу использования uVS возникают какие то ошибки, то автор uVS(все таки главная движущая сила проекта) их оперативно исправляет.

Еще в качестве примера, тот же Олег Зайцев в свое время организовал вокруг себя огромное комьюнити на ВИ, которое помогло повысить стабильность его продукта.

Возможно ошибаюсь, но Олег утратил интерес к АВЗ, и если и продолжает его поддержку, то сугубо на автомате, т.е. поддержка АВЗ для него является побочным явлением какого-то другого реального процесса.

Во всех приведенных мною примерах видна СТРАТЕГИЯ. Хороша они или плоха, это второй вопрос. Но она есть.

А я пока никакой стратегии у команды UVs не увидел.

Нельзя дважды войти в одну и ту же реку. Стратегия продвижения uVS по моему проста. uVS - отличный инструмент, который поддерживается и развивается. Не использовать его в в своей работе, хотя бы даже из любопытства просто неразумно. Скажем, все кто на форуме Eset в свое время проявили интерес к этой программе так или иначе продолжают с ней работать, и помогают автору развивать ее. А пользователям - избавляться от широкого круга проблем. Скажем, vitokhv активно использовал uVS на форуме Касперского для лечения от банеров, сейчас продолжает работать на антибаннерном форуме. ZloyDi использует uVS на техническом форуме Eset. RP55 использует uVS в своей (ему известной) практике. Админы с форума pchelpforum осваивают uVS и начинают использовать параллельно с AVZ. Стажеры интересуются, где можно поучиться работе с uVS. Т.е. через параллельное использование можно сразу же увидеть плюсы и минусы инструмента. Пока плюсы uVS значительно перекрывают минусы.