Universal Virus Sniffer (uVS), Вопросы разработчику

[Vvvyg 12]

А как встроить uVS на существующую загрузочную флешку с WinXPE?

Просто скопировать - простейший вариант.

[demkd 590]

А как встроить uVS на существующую загрузочную флешку с WinXPE?

Кинуть uVS в корень, а запускать руками.

[g0dl1ke 26]

использую livecd, что выдрал с диска simplix, записал на флеху, на ней же лежит uvs+дополнительный софт, типа autoruns и прочее

загружается даже на 96+ ram, сети нет, но и не надо

[Vvvyg 12]

Использую Hiren's BootCD, т. к. mini-Windows XP там не очень русская, в uVS есть проблемы со шрифтами только в окне выбора режима просмотра: "Подозрительные и вирусы" и пр. - всё квадратиками. Только из-за этого приходится пользоваться английской версией.

[g0dl1ke 26]

у меня предложение, по расширению функционала восстановления систем(ы):

реально ли восстановить по "клику" службы, то есть например uvs рапортует "не найдена/удалена служба lanmanserver", мы переходим в "твики" или в другое меню и выбираем "восстановить стандартные службы windows"

uvs импортирует данные в реестр, в зависимости от версии гостевой системы и после перезагрузки, все работает.

часто вирус портит службы, меняя значения параметров ServiceDll на тело вируса и/или удаляя службу(ы)

[santy 151]

часто вирус портит службы, меняя значения параметров ServiceDll на тело вируса и/или удаляя службу(ы)

насчет удаления служб не встречалось такое, а вот если параметр ServiceDll очищен, и в образе uVS есть запись что файл не найден (который был прописан в качестве сервисной dll для тойже lanmanserver),

то удаление этой записи через delall восстанавливает нормальное значение параметра,

как и в том случае, если левый файл живой и активный. (часто сейчас это Win32\Corkow)

[g0dl1ke 26]

сегодня была проблема: испорчены ключи служб ipsec и lanmanserver, я конечно все сделал, но хотелось бы автоматизации

[Vvvyg 12]

demkd, ай-я-яй в базе проверенных:

Полное имя C:\USERS\USER\APPDATA\ROAMING\ZIPEXECUTE\ZIPEXECUTE.EXE

Имя файла ZIPEXECUTE.EXE

Тек. статус ПРОВЕРЕННЫЙ в автозапуске

Сохраненная информация на момент создания образа

Статус ПРОВЕРЕННЫЙ в автозапуске

Размер 1246256 байт

Создан 18.11.2011 в 15:11:46

Изменен 18.11.2011 в 15:11:46

Тип файла 32-х битный ИСПОЛНЯЕМЫЙ

Цифр. подпись Действительна, подписано TopperSoftware

Доп. информация на момент обновления списка

SHA1 6961C40835F8BF02F68F0D97B4EB140F9C3E145B

MD5 C739BDF93EC0A563DEC9ED20889A1493

Ссылки на объект

Ссылка HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\valprozip

valprozip "C:\Users\user\AppData\Roaming\zipexecute\zipexecute.exe" autostar_1917

[santy 151]

demkd, ай-я-яй в базе проверенных:

можно добавить ссылку на образ автозапуска?

ПРОВЕРЕННЫЙ

Файл прошедший проверку цифровой подписи или проверку хэша (по SHA1) или статус "проверенный"

был присвоен файлу пользователем вручную (в окне информации о файле).

[Vvvyg 12]

можно добавить ссылку на образ автозапуска?

образ автозапуска.

[santy 151]

образ автозапуска.

1. сбрасываем статус проверенные у всех файлов.

2. находим данный файл в автозапуске,

3. в контекстном меню выполняем проверку хэша файла по базе проверенных.

------------

результат

--------------------------------------------------------

Проверка файлов по базе проверенных...

--------------------------------------------------------

Проверено файлов: 119

Всего неизвестных файлов: 55

Всего подписанных файлов: 64

C:\USERS\USER\APPDATA\ROAMING\ZIPEXECUTE\ZIPEXECUTE.EXE

SHA1: 6961C40835F8BF02F68F0D97B4EB140F9C3E145B

Хэш НЕ найден в базе проверенных файлов

--------------------------------------------------------

MAIN от 01_12_2011.

[Angel-iz-Ada 0]

Хэш НЕ найден в базе проверенных файлов

Да, в таком случае он Не проверенный. Но если стоит галочка Скрыть проверенные - файл скрывается из списка

[santy 151]

Да, в таком случае он Не проверенный. Но если стоит галочка Скрыть проверенные - файл скрывается из списка

это не фокус, Арвид,

это тонкости понимания работы uVS

проделай все по порядку: 1,2,3

и будет результат.

[demkd 590]

Vvvyg

Цифр. подпись Действительна, подписано TopperSoftware

А это не ко мне, если бы ЭТО было в базе проверенных подписано было бы "пользователем".

Если зачем-то доверяете проверке цифр. подписей то будьте готовы к сюрпризам, поэтому и сделан отдельный пункт меню для сохранения образов без проверки цифр. подписей.

[Angel-iz-Ada 0]

Почему программа не верно высчитывает и отображает SHA1 загрузчика?

Показывает 165946398A73E839FA96DC5F45BB269BFC8DB4F4

А на самом деле - 2B58C3891A6F84A496AB4E12620FAB08390FDA41.

Если сохранить загрузчик в файл, то SHA1 правильно высчитывается. По этой причине очень часто программа говорит что хэш на сервере на найден, хотя на самом деле загрузчик там проверен уже и он заражен.

http://www.virustotal.com/file-scan/report...f879-1324053774

http://virusscan.jotti.org/en/scanresult/3...618fe9dc4c20287

Ссылка на образ автозапуска - http://zalil.ru/32294681

[Angel-iz-Ada 0]

Сначала подумал что программа отправляет на проверку хэш VBR загрузчика, но ошибся - у него тоже другой хэш

И еще один вопрос. Как бороться с тем, что при добавлении сигнатуры к загрузчику - второй загрузчик (не зараженный) также подходит по этой сигнатуре и отмечается как вирус?

Вот пример - http://zalil.ru/32292990

Заражен IPL C, добавил сигнатуру (64) в базу. Пофиксил загрузчик. Если открыть заново образ или просто Отменить все, то видим что красным отмечены диск С и диск F. Второй загрузчик чистый.

Тут нельзя править пост что ли? Придется еще один написать

В том же образе что выше, почему не получается извлечь сигнатуру для C:\WINDOWS\SODFA.SYS? Для этого файла извлечение сигнатуры не поддерживается. Хотя подобные руткиты до этого нормально добавлялись в базу по сигнатурам

[PR55.RP55 82]

Сначала подумал что программа отправляет на проверку хэш VBR загрузчика, но ошибся - у него тоже другой хэш

Согласен со всем,что написано.

Но как мне кажется данная ошибка? характерна не для всех образов.

Кроме этого: В 95% если не в 100% случаев невозможно скорректировать длину сигнатуры для загрузчика.

Пишет, что сигнатуры идентичны...

т.е. Ее длину невозможно увеличить и всё...

Хоть сигнатуру удаляй !

[Angel-iz-Ada 0]

Хоть сигнатуру удаляй !

удалять не надо. просто приходится повторно проверять их на VT или Jotti.

santy,

помнишь когда я человеку сразу 2 загрузчика фиксил? теперь я понял откуда у меня сигнатура такая появилась))

[Angel-iz-Ada 0]

Открыл один из логов

Даже не знаешь что тут думать То ли все заражены, то ли половина, а может вообще ничего - и в сигнатурах может ошибка, а на VT может вообще другие хэши отправлялись, вот и чистые

[santy 151]

А на самом деле - 2B58C3891A6F84A496AB4E12620FAB08390FDA41.

по поводу пересчета SHA1 IPL возможно и есть косяк для какой-то из систем (возможно Win 7),

поскольку довольно таки часто по хэшу нормально находятся страницы проверки IPL на VT.

для MBR и VBR хэши совпадают с хэшами сохраненных загрузчиков.

[santy 151]

возможно, это является причиной расхождения SHA1 для загрузчика в IPL из образа и сохраненного загрузчика:

3.71

---------------------------------------------------------

o Внесены изменения в подсчет SHA1 IPL.

SHA1 теперь считается на модифицированном коде, где область 0x1C00-0x1C70 всегда заполняется нулями.

Данное изменение значительно упростит проверку IPL и в большинстве случаев избавит от необходимости анализа

"неизвестного" кода, который на самом деле ничем не отличается от кода стандартного загрузчика.

Функция сохранения загрузчика сохраняет НЕ_модифицированный код.

[demkd 590]

Angel-iz-Ada

1. по хэшу я думаю уже понятно, внесу в FAQ.

2. SODFA.SYS либо испорчен, либо не является исполняемым если это не так то образец мне на мыло, посмотрю.

3. автоизвлечение сигнатур из загрузчиков тяжелый процесс и никаких улучшений тут не будет.

[santy 151]

1. по хэшу я думаю уже понятно, внесу в FAQ.

demkd,

это расхождение по SHA1 возможно на всех системах, или только на определенных?

[demkd 590]

santy

На всех, так и задумано для исключения бесконечных вариантов одного и того же загрузчика из базы проверенных, разве что поиск по хэшу придется переделать, передавать для поиска по хэшу на VT надо таки реальный хэш.

[PR55.RP55 82]

Есть возможность дополнять скрипт заранее заготовленным скриптами.

Скрипты должны быть в виде текстовых UNICODE файлов.

Имена файлов: от 0.txt до 9.txt

Расположение: в каталоге "script".

Добавить нужный скрипт можно с помощью горячей клавиши Ctrl+Shift+цифра

Дорогие читатели !

Предлагаю Вашему вниманию:

Новый - проверенный - подход к написанию скрипта с полуавтоматическим добавлением коментария обращённого к пользователю.

Время создания скрипта & комментария 15-ть секунд с момента обнаружения вируса.

Порядок работы:

Используем вставку №1.

Далее > "пишем" текст скрипта - после чего Используем две вставки №2 и №3

Открываем - смотрим результат.

Радуемся...

И пишем здесь комментарии...

Новые самостоятельно создаваемые файлы - должны быть в нужной кодировке!

Папка: Script с примером прилагается.

Script.7z

Script.7z