Universal Virus Sniffer (uVS), Вопросы разработчику

[PR55.RP55 82]

Видео по uVS в архиве.

Думаю, что понятно и без комментариев о чём речь.

Project002.zip

Project002.zip

[alamor 69]

uVS некорректно разбирает ключ реестра, когда вирус создаёт

запись

O4 - HKLM\..\Run: [21002250] cmd.exe /c copy C:\Users\91AF~1\AppData\Local\Temp\21003017FсOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /f

в логе uVS выглядит так

[santy 151]

предлагаю обновить страничку принятых к реализации предложений:

убрать из этого списка

1. Составные критерии [v?.??]

2. 64-х битный модуль [v?.??]

3. netsh winsock reset [v3.76]

4. кэшированием запросов к VT/JT в локальной базе/файле [v?.??]

5. скриптовая команда для очистки базы сигнатур [v?.??]

6. добавить комментарий о присоединении к скрипту готового файла. [v?.??]

п.1, 3, 5, 6.

[PR55.RP55 82]

При попытке скопировать полный путь...

Вылет uVS

смотрим образ: http://rghost.ru/41662027

+

фото.

[PR55.RP55 82]

Найдена ошибка.

Ошибка связана с проверкой по V.T.

Последовательность действий приводящая к данной ошибке:

В категории подозрительны и вирус выбираем: "C:\PROGRAMDATA\KASPERSKY LAB\AVP9\BASES\

И применяем команду: Статус > Все файлы в каталоге и подкаталогах проверенные.

После чего запускаем проверку: Подпись/Хеш > Проверить непроверенные файлы в текущей категории на V.T.

Видим, что - данная функция НЕ работает. и т.д.

Образ прилагается.

[PR55.RP55 82]

Ошибки uVS

1) Файл не проходит проверку по F4

Файл есть в базе проверенных.

Проверку через контекстное меню проходит.

В данном случае это: SPTD6797.SYS

Образ + видео пример в теме.

2) uVS не удаляет файлы из :\WINDOWS\pchealth\helpctr\Temp

По команде: Очистить карнизу и каталоги пользователей от временных файлов.

Причина ?

[demkd 590]

Пока времени немного появилось отвечу хотя бы на часть вопросов, остальное потом...

1. по дампу - к сожалению он оказался совершенно бесполезен, стека фактически нет соотв. определить где произошел сбой не удалось.

2) По: WMIPJOBJ.DLL

путь смотрите там лишний слеш - это врожденный дефект windows, править ручками в реестре, файл в подозритльных чтоб было видно наличие ошибки в реестре.

Я обратил внимание, что в русской версии встречается вставка на английском.

то русский - то английский.

uVS выводит текстовое описание ошибки по коду, которое отдает система, например если кто-то использует локализованную версию windows то получит сообщение на русском языке, иначе на языке соотв. локализации.

предлагаю обновить страничку принятых к реализации предложений:

обновлю

При попытке скопировать полный путь...

образа уже нет, вообще образы с описанием лучше мне на email дублировать, поскольку неизвестно когда дойдут руки.

Ошибка связана с проверкой по V.T.

В чем ошибка? проверил, работает как и должно.

Файл не проходит проверку по F4

"Возможно защищенный файл" и другие подозрительные и проверенные одновременно по F4 НЕ скрываются соотв. галкой, так и задумано, поскольку проверенный файл может быть использован не... по назначению.

А вот руками скрывать можно, оператор знает что делает.

uVS не удаляет файлы из :\WINDOWS\pchealth\helpctr\Temp

каталога нет в списке, в какой версии windows он присутствует?

uVS некорректно разбирает ключ реестра, когда вирус создаёт

pushd вообще говоря из другой ссылки, а разбор приведенной строки посмотрю.

[PR55.RP55 82]

Demkd пишет: Ошибка связана с проверкой по V.T.

В чем ошибка? проверил, работает как и должно.

Как и было сказано ошибка при: "применяем команду для C:\PROGRAMDATA\KASPERSKY LAB\AVP9\BASES\

Статус > Все файлы в каталоге и подкаталогах проверенные.

После чего запускаем проверку: Подпись/Хеш > Проверить непроверенные файлы в текущей категории на V.T.

Видим, что - данная функция НЕ работает."

+ Смотрим.

Видео пример ( прикрепил к теме см.архив Ошибка )

Demkd пишет:

uVS не удаляет файлы из :\WINDOWS\pchealth\helpctr\Temp

каталога нет в списке, в какой версии windows он присутствует?

NT51

Demkd пишет:

При попытке скопировать полный путь...

образа уже нет...

Прикрепил к теме.

* Нужно скопировать путь для: DATA:IMAGE/X***********************************************

[alamor 69]

установленные нежелательные программы (действие - EXEC uninstall)

кстати несколько раз видел, как это на сработало. Пр попытке деинсталяции выскочило окно вы действительно хотите удалить эту программу и на это всё застопорилось. После этого стараюсь не вставлять деинсталлировать другим способом.

[PR55.RP55 82]

C:\WINDOWS\SYSTEM32\ITTRFOF.DLL.LOG

Полное имя C:\WINDOWS\SYSTEM32\ITTRFOF.DLL.LOG

Имя файла ITTRFOF.DLL.LOG

Тек. статус АКТИВНЫЙ ВНЕДРЯЕМЫЙ DLL

Сохраненная информация на момент создания образа

Статус АКТИВНЫЙ ВНЕДРЯЕМЫЙ DLL

Размер 53760 байт

Создан 20.12.2012 в 14:09:52

Изменен 20.12.2012 в 14:09:52

Тип файла 32-х битный ИСПОЛНЯЕМЫЙ

Цифр. подпись Отсутствует либо ее не удалось проверить

Доп. информация на момент обновления списка

SHA1 3A0B06383EA4D512532BA8B8969374DD02ABE81B

MD5 BC8AF15A60F3CF72C9D6A7AF9CCDDB8A

Процессы на момент обновления списка

Процесс C:\WINDOWS\SYSTEM32\WININIT.EXE

Процесс C:\WINDOWS\SYSTEM32\SERVICES.EXE

Процесс C:\WINDOWS\SYSTEM32\WINLOGON.EXE

Процесс C:\WINDOWS\SYSTEM32\LSASS.EXE

Процесс C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

Процесс C:\WINDOWS\SYSTEM32\SVCHOST.EXE

Процесс C:\WINDOWS\SYSTEM32\NVVSVC.EXE

Процесс C:\PROGRAM FILES\NVIDIA CORPORATION\3D VISION\NVSCPAPISVR.EXE

Процесс C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

Процесс C:\WINDOWS\SYSTEM32\WUDFHOST.EXE

Процесс C:\WINDOWS\SYSTEM32\TASKHOST.EXE

Процесс C:\WINDOWS\SYSTEM32\DWM.EXE

Процесс C:\WINDOWS\EXPLORER.EXE

Процесс C:\WINDOWS\SYSTEM32\SEARCHINDEXER.EXE

Процесс C:\PROGRAM FILES\WINDOWS MEDIA PLAYER\WMPNETWK.EXE

Как понятно из цитаты файл в категорию: "Подозрительные и вирусы" НЕ попадает.

По расширению: open-file.ru/types/LOG

Образ прикреплён к теме.

[PR55.RP55 82]

Ещё один.

C:\PROGRAMDATA\VKSAVER\VKSAVER3.DLL.LOG

Тут ещё и маскировка под VKSAVER.

И разумеется файл в категорию: "Подозрительные и вирусы" Не попадает.

Рекомендую создать критерий поиска.

(ПОЛНОЕ ИМЯ ~ .DLL.)(1)

------------------------------

.Dll.

[santy 151]

кстати несколько раз видел, как это на сработало. Пр попытке деинсталяции выскочило окно вы действительно хотите удалить эту программу и на это всё застопорилось. После этого стараюсь не вставлять деинсталлировать другим способом.

а что дальше? вылетел скрипт, или зависло на деинсталляции? обычно мы напоминаем юзеру, что надо соглашаться на удаление.

[Angel-iz-Ada 0]

Есть у меня критерий поиска чтоб все службы отображались в Подозрительных -

HKLM\System\CurrentControlSet\Services\

Все нормально туда выводится, но галочка Скрыть отсутствующие не распространяется на файлы из каталога Windows\System32\Drivers - в итоге все они висят в общем списке (delnfr также не спасает). Исправить можно?

[PR55.RP55 82]

Angel-iz-Ada пишет:

Скрыть отсутствующие не распространяется...

По данной проблеме в другом ракурсе: ( Project002.zip )

http://www.anti-malware.ru/forum/index.php...st&p=163143

[demkd 590]

Angel-iz-Ada

скрытие отсутствующих файлов, имеющих статус драйвер/сервис/процесс для категории "подозрительных", заблокированно намеренно.

PR55.RP55

это гляну.

а что дальше? вылетел скрипт, или зависло на деинсталляции? обычно мы напоминаем юзеру, что надо соглашаться на удаление.

иногда бывает если uvs запушен под localsystem, разберусь если попадет в руки система с такими проблемами.

[PR55.RP55 82]

Demkd

Надеюсь, что все ошибки uVS перечисленные мной выше ( 62 - 64 стр ) в новой версии будут исправлены.

[demkd 590]

v3.77 релиз

В основном это багфикс.

С проверкой по CatRoot в Windows 8 вышло не очень хорошо, зачем они используют что-то отличное от SHA1 не совсем понятно, как не понятно зачем они sha1 в катах хранят и при этом не позволяют по нему верифицировать файлы, да и само увелечение битности выглядит необоснованным. Если кто-то знает как реально считается 256 битный хэш файлов для катов под w8 пишите, просто даже интересно почему они обозвали алгоритм SHA256, а хэш в катах не совпадает с SHA256 файла.

Учтены некоторые пожелания.

[santy 151]

demkd, поясни плиз.

o Добавлена поддержка проверки внешних ЭЦП (по CatRoot) для Windows 8.

(!) В силу нового метода хэширования для проверки ЭЦП неактивного Windows 8

(!) вам потребуется использовать Windows не младше 8-й версии.

(!) Младшие версии Windows не смогут правильно работать с загруженным CatRoot.

(!) Если в будущем станет известен метод получения правильного хэша, то _возможно_

(!) получится заставить работать младшие версии Windows c CatRoot из Windows 8.

т.е. если выполнять анализ Win8, скажем через uVS с загрузочного диска, то и winpe должен быть создан на базе Win8. Верно?

(спасибо, за новогодний релиз! пусть и корректирующий.)

[zloyDi 15]

У меня одного на новой версии не сохраняется скрипт в файл?

;uVS v3.77 script [http://dsrt.dyndns.org]

;Target OS: NTv6.1

delref HTTP://SEARCHFUNMOODS.COM/?F=1&A=IRON2...p;CR=1007427103

delref HTTP://SEARCHFUNMOODS.COM/?F=2&A=IRON2...p;CR=1007427103

exec C:\PROGRAM FILES (X86)\FUNMOODS\1.5.23.22\UNINSTALL.EXE

exec "C:\PROGRA

дельше ничего нет... пробовал разные образы ситуация та же.

[demkd 590]

santy

Только в плане проверки эцп.

zloyDi

да, походу какой-то глюк, щас проверю

[demkd 590]

zloyDi

Исправил, перезалил, имя архива прежнее, менять имя уже лень, внутри версия 3.77.1

[zloyDi 15]

Спасибо, проверил, все работает

[PR55.RP55 82]

Два вопроса по uVS 3.77.1

Видео в теме.

+

Образ.

Кроме того:

Santy пишет: Проблема с авто zoo, restart если они добавляются через настройки. я пока отключил добавление этих команд через settings.ini, не стал локализовать проблему.

После праздников...

[Аркалык 19]

Здравствуйте demkd Возник такой вопрос при работе uVS:

- В программе uVS есть твик "Восстановить из копии ключ SafeBoot", но в логе не отображается нарушений ключа "SafeBoot". Всегда смотрю лог AVZ, если там будет сообщение о нарушений ключа "SafeBoot" принимаю твик в uVS. В то время в логе uVS нет ни единой слов о нарушений ключа "SafeBoot".

[demkd 590]

Аркалык

я не думаю что это большая проблема, тем более что проще таки восстановить ключ и из бэкапа чем писать функцию для анализа содержимого ключей для всех существующих систем, можно конечно детектить что ключ пуст, но не более того.