Universal Virus Sniffer (uVS), Вопросы разработчику

[demkd 638]

Вы уверены, что процесс действительно убивается

Когда дело касается винды нельзя быть в чем-то уверенным Однако проверить что процесс мертв можно программно, просто открыв хэндл на него и проверив его состояние, если оно signaled процесс либо мертв, либо в стадии завершения, вторым признаком является код возвращаемый функцией ZwTerminateProcess, ну и визуально можно просто последить за процессом ест он процессорное время и память или нет, для таких груш типична полная заморозка нет доп. потребления памяти и процессорного времени.

Что качается сообщения, то стоит посмотреть кому принадлежит окно с сообщением вполне возможно самой запускаемой программе, которая ищет себя в памяти и находит "аномально подвисшую" копию и затем ругается... и тут уже ничего не поделать, поможет только перезапуск и вполне возможно тут есть вина и самого приложения, поскольку обычно так странно вешаются одни и те же приложения.

[demkd 638]

непонятки по команде BOX.... какую роль отвести этой команде в скрипте

Хм... наверное речь про ZOO, в BOX сливать командной из скрипта не получится, просто нет команды BOX

А вот Zoo она адресная т.е. на каждый файл своя строчка.

Сливать же в BOX черевато, для обычного компьютера забитого всяким хламом обьем BOX-а получится 50-100 мегабайт, нужно это? Я-то могу добавить, мне не трудно 5 строчек кода добавить, но есть ли смысл?

А вот польза от BOX-а иная и как ни странно при проверке удаленных систем, если на управляющем компьютере стоит надежный антивирус, а на рабочих станциях что централизованно... лучше_всех_откатилось то слив непроверенных (после F4 и F6 опционально) файлов приведет к автоматической их проверке монитором родного антивируса, часто сильно экономит время.

И вторая польза уже для меня, очень удобно собирать и потом складировать в карантин на месяцок будущих доноров для базы проверенных

[santy 153]

А вот польза от BOX-а иная и как ни странно при проверке удаленных систем, если на управляющем компьютере стоит надежный антивирус, а на рабочих станциях что централизованно... лучше_всех_откатилось то слив непроверенных (после F4 и F6 опционально) файлов приведет к автоматической их проверке монитором родного антивируса, часто сильно экономит время.

И вторая польза уже для меня, очень удобно собирать и потом складировать в карантин на месяцок будущих доноров для базы проверенных

понятно, тогда предложение забирается обратно.

[santy 153]

вот еще немного пожеланий:

+ очистить hosts до стандартной записи (в меню - твики, в скрипт)

+ поместить копии файлов из ZOO в архив rar/7zip с паролем, если конечно установлен архиватор соответствующий в системе, (в меню, в скрипт)

если возможно

+ добавить удаление группы файлов из каталога по маске, в скрипт

[demkd 638]

1. можно

2. а не черевато? скажем если архиватор заражен Sality, который кстати очень любит 7zip

3. Это можно, а для чего кстати?

[santy 153]

1. можно

2. а не черевато? скажем если архиватор заражен Sality, который кстати очень любит 7zip

3. Это можно, а для чего кстати?

2. по любому приходится просить юзеров, чтобы запаковали в архив с паролем таким-то для отправки в вирлаб, так во первых постоянно приходится писать, запаковать в архив в паролем virus или infected, так путают пароли, в результате, семплы совсем теряются, но если риск есть такого заражения, тогда -2.

3. вирусняк подкачивает новые, недетектируемые файлы в system32 например, которые можно было бы выделить по маске, конечно, тоже есть риск ошибиться.

[santy 153]

demkd, согласен, что это сырые предложения.

2. по любому приходится просить юзеров, чтобы запаковали в архив с паролем таким-то для отправки в вирлаб, так во первых постоянно приходится писать, запаковать в архив в паролем virus или infected, так путают пароли, в результате, семплы совсем теряются, но если риск есть такого заражения, тогда -2.

...

3. вирусняк подкачивает новые, недетектируемые файлы в system32 например, которые можно было бы выделить по маске, конечно, тоже есть риск ошибиться.

2. здесь можно было бы блокировать опцию обращения к архиватору, ведь uvs умеет обнаружить файловое заражение.

3. может, имеет смысл добавить новый фильтр: файлы, добавленные в критические области системы (win, system32, system32\drivers) за определенный период: последняя неделя, или последний месяц: как в rsit или combofix, тогда их можно будет и карантинить и удалять стандартными существующими скриптами.

ну, образу автозагрузки еще далеко ведь по размерам до антивирусных баз ЛК. .

[demkd 638]

2. здесь можно было бы блокировать опцию обращения к архиватору, ведь uvs умеет обнаружить файловое заражение

Если бы он мог определять любой зараженный чем-либо файл ему бы цены не было Опцию я сделаю, но на самом деле все равно это делать будет только юзверь и хуже он себе запуском зараженного архиватора уже точно не сделает.

3. может, имеет смысл добавить новый фильтр: файлы, добавленные в критические области системы (win, system32, system32\drivers) за определенный период: последняя неделя, или последний месяц: как в rsit или combofix, тогда их можно будет и карантинить и удалять стандартными существующими скриптами.

Дык это уже реализовано весь автозапуск можно фильтрануть по дате. А смысла фильтровать то что не попадает в автозапуск просто нет, то что лежит на диске мертвым грузом (разве что за исключением корней и desktop-а) не представляет ни малейшей опасности для системы. А вот удалять все подряд опираясь лишь на дату это очень не разумно в результате легко можно получить систему не способную к загрузке.

Вот сделать копию в Zoo всех "новых файлов" _теоретически_ может оказаться полезным.

ну, образу автозагрузки еще далеко ведь по размерам до антивирусных баз ЛК.

Не вижу связи между образом автозагрузки и базой сигнатур вирусов?

[demkd 638]

v3.22 багфикс, рекомендуется обновиться, исправлены критически баги тянущиеся с v1.x и вылечена очередная подслеповатость v3.20/3.21.

Дополнительно добавлены все запрошенные фичи и выложен ENGLISH файл для локализации интерфейса.

o Объединены категории Firefox и Opera.

o Добавлена категория "Добавлены вручную"

В эту категорию можно поместить файлы с помощью новой функции:

Файл->Добавить в список все исполняемые файлы не старше указанной даты...

o Новая функция "Добавить в список все исполняемые файлы не старше указанной даты..."

Функция рекурсивно сканирует системные папки и выбирает оттуда исполняемые файлы с датой

соотв. дате для текущего фильтра.

o Модифицирована функция сохранения образа автозапуска, по умолчанию в образ добавляется результат

работы функции "Добавить в список все исполняемые файлы не..."

(!) ТОЛЬКО ЕСЛИ установлен фильтр по дате.

(!) Соотв. перед сохранением образа рекомендуется устанавливать фильтр по дате несколько меньшей

(!) даты заражения.

o Добавлена новая функция - архивация Zoo при помощи _установленных_в_системе_ 7Zip или WinRAR.

Архив помещается в корневой каталог uVS, пароль к архиву virus, имя архива в формате

YYYY-MM-DD_HH-MM-SS, расширение 7z или rar.

Скриптовая команда czoo.

(!) Все файлы после архивации удаляются из Zoo.

o Добавлен твик #14 - Очистить HOSTS

Удаляются все записи, кроме localhost

o Теперь при запуске в лог печатаются значимые строки из HOSTS и версия MSIE.

o Исправлена критическая ошибка при разборе некоторых ключей реестра.

o Исправлена функция инициализации работы с активной системой.

o Исправлена функция добавления в список известных.

o Доступна английская локализация интерфейса.

[zzkk 130]

Сегодня во Вселенной на один зараженный бук стало меньше, а я записал уже третью победу на счет UVS.

Третий случай оказался сложнее предыдущих. С первого раза, с первого удаления подозрительных объектов победить заразу не удалось. Пришлось применить метод научного тыка и запустить из UVS все команды, которые по идее хоть как-то могли помочь. Результат для бука положительный, а для себя - интрига по сей замечательной программке (за что demkd огромная благодарность) только нарастает, потому что так и не понял, какое именно действие убило заразу окончательно.

[zloyDi 15]

Программа просто бомба. Автору огромный респект за работу.

[santy 153]

v3.22 багфикс, рекомендуется обновиться, исправлены критически баги тянущиеся с v1.x и вылечена очередная подслеповатость v3.20/3.21.

Дополнительно добавлены все запрошенные фичи и выложен ENGLISH файл для локализации интерфейса.

...

Значит, достигла определенного уровня в вашем представлении. Поздравляю!

Мне кажется, полезная была бы еще опция - в самом верху, доступная при работе с образами автозапуска.

Файл - Открыть образ автозапуска. Выбираем из списка ранее сохраненные образы.

Полезная тем, что при работе с зараженной ОС определенного юзера, иногда возникает необходимость посмотреть предыдущие образы автозапуска. Приходится закрывать программу, запускать ее заново и открывать необходимый образ.

При открытие нового образа, конечно, необходимо будет очистить все команды для скрипта, если они были созданы.

так же исправления в текст:

для английской версии Remote computer ( в start mode)

для русской версии - Дополнительно - перегрузить проверяемый компьютер

[demkd 638]

Значит, достигла определенного уровня в вашем представлении. Поздравляю!

Да, кардинальных изменений в программе больше не будет, да и кляничить начали английскую версию.

Файл - Открыть образ автозапуска.

Добавлю.

для английской версии Remote computer ( в start mode)

для русской версии - Дополнительно - перегрузить проверяемый компьютер

Исправлю Для английской уже, а для русской к выходу след. версии.

[santy 153]

Да, кардинальных изменений в программе больше не будет, да и кляничить начали английскую версию.

...

вот еще вопрос: как правильно использовать режим сверки для обнаружения руткитов. причем, применительно к ситуации, когда выполняется лечение удаленной машины, недоступной для хелпера по сети.

скажем (для себя нарисовал такой порядок, прокручиваю на виртуалке ситуацию для ясности),

1. запрашиваем у него, образ автозагрузки активной системы, при этом просим создать его файл сверки активной системы, с сохранением файла сверки на диск. (К себе файл aсtive_system.dat мы запросить не можем, или можем?)

2. рекомендуем загрузиться с загрузочного диска (ERD, pebuilder) и выполнить запуск uvs с выбором неактивной системы,

далее, юзер выполняет в режиме руткиты - поиск скрытых и измененных объектов,

но, результат сверки выводится только в текстовый лог,

В таком случае, как лучше запросить инфо о результате сверки?

- образ автозагрузки неактивной системы, полученной с помощью лайв.сд + тектовый лог сверки?

или все таки:

uvs.txt для активной системы + uvs1.txt для неактвной системы + acrive_system.dat?

===

т.е. проблема видится вот в этом.

я отрываю на своей машине образ автозапуска неактивной системы, полученный от юзера,

но не могу его сверить по полученному от юзера файлу сверки active_system.dat, чтобы увидеть различия активной и неактивной системы.

[demkd 638]

вот еще вопрос: как правильно использовать режим сверки для обнаружения руткитов. причем, применительно к ситуации, когда выполняется лечение удаленной машины, недоступной для хелпера по сети.

А я как-то и не думал об этом

В принципе есть 2 варианта:

1. Юзер делает файл сверки из под зараженной OS и образ автозапуска из под PE/чистой OS, тогда в режим проверки образа можно будет добавить возможность проведения сверки, юзер соотв. отсылает 2 файла.

2. Юзер самостоятельно делает сверку, а я добавляю возможность снять образ с того что получилось

и соотв. юзер отсылает только один файл.

Пока мне нравится второй вариант, поскольку он проще и мало того можно ускорить сам процесс проведения сверки и сохранения образа за счет удаления двух повторных сканов реестра неактивной системы.

но, результат сверки выводится только в текстовый лог

Нет, все найденые модифицированные файлы и скрытые из автозапуска заносятся в подозрительные, однако когда создается образ я (зачем-то?) пересканирую реестр и в случае оффлайновых систем и соотв. эти файлы перестают быть подозрительными.

[santy 153]

2. Юзер самостоятельно делает сверку, а я добавляю возможность снять образ с того что получилось

и соотв. юзер отсылает только один файл.

Пока мне нравится второй вариант, поскольку он проще и мало того можно ускорить сам процесс проведения сверки и сохранения образа за счет удаления двух повторных сканов реестра неактивной системы.

т.е. режим сверки, выполняемый юзером на неактивной системе, будет завершаться созданием файла, типа, uvs_check.txt той же структуры, что и uvs.txt (файл образа автозагрузки), который хелпер может у себя загрузить как образ автозапуска, создать по нему скрипт лечения, для исполнения юзером на неактивной системе?

[demkd 638]

santy

Нет, все идентично обычному режиму, т.е. юзер проводит сверку из под PE и сохраняет обычный образ, затем получает обратно скрипт и выполняет его на неактивной системе или (если это возможно) то в активной в т.ч. с виртуализацией. В образе в категории подозрительных будут видны все интересные объекты по итогам сверки.

(!) Если сверка была из под PE 1.x (в т.ч. BartPE) то в целом полезный результат проверки цифр. подписей будет недоступен в силу убогости этих версий, со сверкой же проблем не будет.

Для полноценной работы с цифр. подписями требуется PE v2 или v3.

Писать было не много, да и надо было что-то решать с заразными флехами имеющими неудаляющиеся каталоги с дубликатами каталога "..", соотв. релиз:

Версия 3.23

o Добавлена поддержка нестандартных путей в окно выбора каталога/файла.

В т.ч. поддерживается вход в дубликат каталога ".."

Вход в пустые каталоги больше не допускается.

(!) Стандартный каталог ".." удален из списка, возврат на уровень выше теперь возможен только

(!) с клавиатуры.

o Добавлена возможность удалить каталог из окна выбора каталога/файла.

Поддерживается удаление каталогов с дубликатом "..".

Поддерживается очистка всего диска.

Функция работает во всех режимах.

(гор. клавиша Del).

o Добавлена возможность открывать другой образ автозапуска (только в режиме работы с образом)

(гор. клавиша Ctrl+O)

o Добавлена поддержка нестандартных путей во все основные функции.

o Удалена функция оптимизации пути к файлу для поддержки нестандартных путей.

o Исправлена ошибка в функции инициализации, ошибка могла привести к подвисанию процесса uVS

на старте (если инициализация завершилась неудачно).

o Удалена операция обновления списка в функции сохранения образа для неактивных систем,

что позволяет теперь сохранять образ неактивных систем без потери результатов сверки.

[santy 153]

(!) Если сверка была из под PE 1.x (в т.ч. BartPE) то в целом полезный результат проверки цифр. подписей будет недоступен в силу убогости этих версий, со сверкой же проблем не будет.

Для полноценной работы с цифр. подписями требуется PE v2 или v3.

demkd,

поясните про спецификации PE v2 или v3. Если я создаю BartPE диск с помощью pebuilder v 3, это спецификация данного диска всего лишь PE 1.x? Какие инструменты создают диски спецификации PE v2 или v3?

[demkd 638]

Если верить тому что написано на сайте этого BartPE

"bootable Windows CD-Rom or DVD from the original Windows XP or Windows Server 2003"

то это PE 1.x просто с оболочкой, в целом он не плох, поскольку позволяет работать с машинами всего лишь с 64 метрами набортной памяти (с учетом необходимости загрузки реестра)

Однако настоящий чистый PE получается с помощью пакета Microsoft Windows AIK, который можно свободно скачать с сайта Microsoft. (1,5Gb) в результате можно делать загрузочные CD/DVD и флешки стандартными средствами Microsoft. PE в данном случае идет уже на ядре NT6.0/6.1 с поддержкой нового железа.

Если AIK от Vist-ы то получится PE 2.0(NT6.0) если тот что для развертывания 7-ки то это 3.0 (NT6.1),

начиная с 2.0 работает проверка цифровых подписей (сервис CryptSVC) и uVS способен подгрузить CatRoot неактивной системы и верифицировать системные файлы по нему... в версии 3.0 (а может уже было и в 2.0) появился еще один бонус - флешки можно втыкать и они подключаются на лету.

Однако у 2.0 и 3.0, кроме очевидных плюсов есть и небольшой минус - необходимо 384Mb набортной памяти минимум.

Соотв. лично я имею 2 образа, PE 1 на мини-CD для слабых машин и PE 3 на флешках + mini-DVD, грузится оно в целом быстро примерно за 50 секунд с хорошей флешки, занимает не много места ~200Mb

Образ легко настраивается по своему усмотрению (у меня стоит FAR в качестве шела и кое-какие изменения внесены в реестр), единственно что есть проблема с распространением таких готовых образов на базе PE, оно как бы запрещено лицензией... Хотя с 2.0 произошли какие-то изменения в лицензионной политике, возможно ограничение на распространение и сняли, я сильно этим не интересовался.

[santy 153]

Понятно, спасибо.

Eset SysRescue создается по технологии Microsoft Windows AIK, на выходе получаем загрузочный диск, с бортовым сканером ESET NOD32 4, и текущими базами.

сегодня была странная ситуация:

блокирующий драйвер c:\windows\mkdrv.sys попал в образ автозапуска, статус АКТИВЕН, без наименования производителя,

SHA-1: D5F1DAE80863892DEBCC7E4A30A7AB7AA90A9496

цифровая подпись: Отсутствует либо ее не удалось проверить

http://www.virustotal.com/file-scan/report...e3d0-1283177575

но не попадает в список подозрительных,

хотя, конечно легко отфильтровывается через "скрыть проверенные, скрыть известные ненайденные и с заполненным производителем".

Почему, кстати, не попадает в подозрительные,

и хотелось бы более подробной расшифровки в DOC всех статусов для исследуемых модулей в uVS.

образ автозапуска в приложении.

uvs.rar

uvs.rar

[demkd 638]

Почему, кстати, не попадает в подозрительные

Просто ничего необычного в нем нет, разве что лежит по необычному для дров пути, вот если бы ATAPI.SYS (например) сидел в корне Windows,

тогда он бы был подозрительным.

Конечно можно помечать подозрительными все дрова не в \Drivers, но это приведет к массе ложноподозрительных файлов,

не все софтописатели озабочены складированием дров в соотв. системную папку.

Другое дело, что можно помечать только те дрова, что расположены где-то в сисруте, но не в \Drivers

это возможно стоит добавить, пользы правда все равно будет мало, редки такие случаи.

хотя, конечно легко отфильтровывается через "скрыть проверенные, скрыть известные ненайденные и с заполненным производителем".

Еще легче он отфильтровывается одним тычком в фильтр по дате и осатется он совсем один, не считая еще одного проверенного.

и хотелось бы более подробной расшифровки в DOC всех статусов для исследуемых модулей в uVS.

Все статусы в основном сами за себе говорят, но можно и расписать =)

[demkd 638]

Статусы расписал, см. вложение, в будущем включу в Общий FAQ.

state.zip

state.zip

[demkd 638]

v3.24 багфикс, исправлены серьезные ошибки допущенные в v3.23 , сетевая часть фактически не работала... вот так всегда, одни глюки прибиваются, новые добавляются.

Поддержка дубликатов каталогов "." и ".." доведена до ума, в принципе эти каталоги можно использовать в мирных целях, например там можно хранить... хм... ценные файлы (каталог не может быть удален стандартными средствами и не может быть просмотрен теми же файловыми менеджерами или эксплорером и из таких каталогов можно без проблем запускать файлы).

Добавлен менеджер установленных программ, в основном чисто в информативных целях, бывает полезно посмотреть что установленно на машине, ждать 5 минут пока виндузовый менеджер развиснет уже в конец утомило.

И добавил несколько малоинтересных ключей для проверки, просто чтоб были

o Добавлено 24 ключа реестра в список для проверки.

o Возвращена функция оптимизации пути в переработанном виде, теперь надежно отличаются

дополнительные "невидимые" подкаталоги "." и ".." от стандартных и в случае обнаружения

в пути к файлу таких нестандартных _участков оптимизация _этих _участков НЕ производится.

(!) Зайти в такие каталоги или удалить их можно в любом окне выбора файла или каталога.

(например в окне доступном по кнопке "Проверить каталог")

o Расширен список кривых версий PSAPI для Windows 2000, соотв. при обнаружении такой версии

в лог выдается предупреждение и используется упрощенный метод сбора загруженных DLL.

o Добавлен новый пункт меню Дополнительно->Установленные программы.

При работе с активной или удаленной системой даблкликом можно запустить соотв. деинсталлятор

в _проверяемой_системе_.

При работе с неактивной системой доступен только режим просмотра.

При работе с образом автозапуска функция недоступна.

o Оптимизирована функция сохранения образа автозапуска.

o Функция рассчета SHA1 исправлена, теперь правильно считается хэш файлов размером больше 4Gb.

o Исправлены мелкие интерфейсные ошибки в окне выбора каталога/файла.

Горячая клавиша Del теперь может удалять и отдельные файлы.

o Исправлена ошибка сохранения образа для удаленных систем.

(не добавлялись дополнительные файлы из системных папок при установленном фильтре на дату)

o Восстановлена работоспособность _сетевых_ функций испорченных переходом на поддержку

длинных и нестандартных путей к файлам в v3.23.

[hitman_007 25]

Щас мучал Comodo 5, на виртуалке. Решил попробовать прихлопнуть процессы uVS- и впервые не смог 4 версию выгружает, но не до конца вроде. Понимаю что можно различными способами убить процессы, и наверняка они убьются. Просто если смог процесс устоять, то возможно есть куда докрутить функцию выгрузки?

Спустя 5 минут:

Ан нет, был не прав - uVS запускал прямо из архива, а комод по умолчанию ставит winrar в категорию частично ограниченых в песочнице - отсюда видимо и не удалялось. Распаковал в папку - все грохнулось.

[demkd 638]

Просто если смог процесс устоять, то возможно есть куда докрутить функцию выгрузки?

Усиливать-то ее можно беспредельно и даже простеньку песочницу как у comodo можно развеять прямо из usermode , а после еще и перейти на уровень ядра и снести более упорных, только смысла в этом спорте нет, виртуализация или точнее подмена реестра фактически отменила самозащиту как и большинства зловредов так и полезного софта, к которму просто забыт пароль.