Universal Virus Sniffer (uVS), Вопросы разработчику

[грум 0]

грум

в beta 11 расширен вывод ошибок, на ней возможно проблема станет понятней.

10003 это таймаут потока получения информации с сервера.

demkd

Теперь такая ошибка.

[santy 151]

грум, эта ошибка постоянно выходит при проверке файлов на VT, или эпизодически?

[грум 0]

грум, эта ошибка постоянно выходит при проверке файлов на VT, или эпизодически?

Похоже эта ошибка только у меня вылазит.Буду думать в чем дело.

[demkd 590]

грум

ERROR_INTERNET_NAME_NOT_RESOLVED 12007

т.е. DNS на помойку, я думаю достаточно будет прописать ручками GoogleDNS и проблема будет устранена, если же выход через проксю... ну тут только нести админу что-нибудь что горит

[грум 0]

demkd я сам себе админ.Все оказалось проще, а я всем мозги парил.Все работает как надо просто отключил фаер и все заработало.Хотя раньше все работало нормально и с фаерволом.Еще раз извиняюсь.

[demkd 590]

грум

а что за фаер... стоял?

[грум 0]

грум

а что за фаер... стоял?

Comodo.

[Vvvyg 12]

Бага вылезла, заметил на 13-й бете. Windows 7 HB x64. Стал попадать в "Отсутствующие объекты" ярлык на "Калькулятор", закреплённый в панели "Пуск". В ярлыке он с таким путём:

%windir%\system32\calc.exe

UVS показывает:

Полное имя                  C:\USERS\USER\APPDATA\WINDOWS\SYSTEM32\CALC.EXEИмя файла                   CALC.EXEСтатус                      ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную] Инф. о файле                Системе не удается найти указанный путь. Цифр. подпись               проверка не производилась                            Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТПуть до файла               Типичен для вирусов и троянов                            Ссылки на объект            SHORTCUT                    C:\USERS\USER\APPDATA\ROAMING\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Calculator.lnk

После delnfr или "Удалить все ссылки на объект" ярлык убивается.

[demkd 590]

Vvvyg

исправлю.

[NickM 0]

зловред, https://www.virustotal.com/ru/file/a48ec784...sis/1407923775/

почему не извлекается?

GAHPC_2014_08_13_16_20_26.7z

GAHPC_2014_08_13_16_20_26.7z

[Vvvyg 12]

Да, кстати, на Corkow такое есть. Так и задумано?

[demkd 590]

NickM

потому что для таких dll извлечение сигнатур не поддерживается, возможно в будущем это изменится, кстати желательно мне на мыло скинуть образец, такая мне еще не попадалсь в руки.

[Sergey Dindikov 10]

Может конечно уже обсуждалось, а можно добавить хоткей на добавление хэша в пользовательскую базу?

ps. вот сейчас файлы winamp'a добавляю, а их там 74шт.

[demkd 590]

Sergey Dindikov

можно проще фильтрануть по каталогу и через контекстное меню и присвоить им статус проверенных, затем в меню файл внести все проверенные в базу.

[Sergey Dindikov 10]

UVS beta16 ещё иногда вылетает =(

win8.1 x64

при разных обстоятельствах, в какой то момент при обновлении списка, причём всё что добавил в доверенную базу ничего не сохранилось.

а потом и при запуске вылеты были 2 раза.

сейчас вот опять запускается...

можно проще фильтрануть по каталогу и через контекстное меню и присвоить им статус проверенных, затем в меню файл внести все проверенные в базу.

а можно на пальцах? что то не могу понять как фильтрануть.

[Sergey Dindikov 10]

UVS beta16. win8.1upd1 x64

Это нормально?

1)

http://screencast.com/t/MBadjdMQm

2)

UVS говорит что ярлык (C:\USERS\ADMIN\DESKTOP\WPS Presentation.lnk) ссылается на

C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\9.1.0.4746\OFFICE6\ET.EXE

и файл не найден якобы

смотрю св-ва ярлыка вручную говорит путь

"C:\Users\Admin\AppData\Local\Kingsoft\WPS Office\9.1.0.4746\office6\et.exe"

каталог

"C:\Users\Admin\AppData\Local\Kingsoft\WPS Office\9.1.0.4746\office6\"

3) http://screencast.com/t/zd7u5XgngEd

файлы есть в system32 эти...

[santy 151]

можно проще фильтрануть по каталогу и через контекстное меню и присвоить им статус проверенных, затем в меню файл внести все проверенные в базу.

а можно на пальцах? что то не могу понять как фильтрануть.

1. установить сортировку по полю каталог

2. вводите с клавиатуры имя каталога (можно не полностью), чтобы отфильтровался нужный вам каталог

3. через контекстное меню Статус выполнить функцию - все файлы в каталоге и подкаталогах - проверенные

4. в меню файл выполнить функцию - добавить хэши все проверенных в базу проверенных

[demkd 590]

Sergey Dindikov

1. Нормально если запуск был под LS

2. Ярлык мне на мыло, буду посмотреть, это относительный путь разобрался неверно.

3. поскольку ссылка из 32-х битной части реестра, то по всем правилам происходит трансляция пути, во всяком случае это верно для основных значений в CLSID, а для шеловской части надо конечно проверить, но руки не доходят, однако п.н. трансляция должна происходить в любом случае.

[PR55.RP55 82]

Demkd

Полное имя ::{20D04FE0-3AEA-1069-A2D8-08002B30309D}

Имя файла ::{20D04FE0-3AEA-1069-A2D8-08002B30309D}

Статус [Запускался неявно или вручную]

Ссылки на объект

SHORTCUT C:\DOCUMENTS AND SETTINGS\!USER!\РАБОЧИЙ СТОЛ\Ярлык для Мой компьютер.lnk

А как быть с SHA1 ?

Он для ярлыка не рассчитывается...

И это ::{20D04FE0-3AEA-1069-A2D8-08002B30309D} торчит в списке.

а оно надо ?

Вот если бы рассчитывался SHA1 то...

Можно бы было добавить SHA1 в базу проверенных.

------

Про работу с .msi файлами и их опциональном добавлением в базу проверенных я уже и не напоминаю...

[demkd 590]

PR55.RP55

а оно надо, никто ведь не запрешает сделать подобный lnk и положить его в автозапуск другое дело что еще не догадались, а ярлыка в списке не будет.

а c msi я таки ничего не решил пока.

[PR55.RP55 82]

а c msi я таки ничего не решил пока

Функция будет полезная.

А в чём сложность ?

[santy 151]

RP55,

Функция будет полезная.

а в чем ее полезность? добавление хэшей исполняемых файлов, входящих в пакет msi?

[PR55.RP55 82]

Santy пишет:

а в чем ее полезность?

Опять 25...

---

Есть база проверенных - и она не сама по себе формируется.

В неё нужно добавлять файлы.

Над чем работает оператор.

.msi файл/пакет/установщик может весить и 380mb и 1500 mb.

Сколько уходит время на установку программы весом в 1500 mb ?

Или на её распаковку архиватором ?

А на проверку файлов входящих в пакет установщика по базе ?

Минут 30 минимум.

А если файл ранее проверялся/обрабатывался 20 секунд. = проверка по базе проверенных.

---

Оператор при формировании базы проверенных работает с ТЫСЯЧАМИ файлов...

И он понятия не имеет работал он с этим файлом, или нет...

Значит оператор тратит на повторную работу с файлом минимум 30 минут...

Вместо 20 секунд - на сравнение SHA1-SHA1

---

Чего здесь не ясного ?

[santy 151]

RP55,

Чего здесь не ясного ?

яснее не стало. можно покороче, и самую суть

[PR55.RP55 82]

Да, о добавление хэшей исполняемых файлов, входящих в пакет msi

О чём ещё ?

---

Только не о добавлении.

О ПОНИМАНИИ - нужно их туда добавлять, или они уже были добавлены в базу раньше...

А понять это можно просто: ЕСТЬ msi файл в базе проверенных - значит НЕ нужно Ничего добавлять...

И тратить время.

Исполняемые файлы из установщика уже есть в базе - раз в базе есть сам - родительский .msi файл !!

----

Пример: Есть бочка - бочка с маркировкой .msi

И мы понятия не имеем, что в этой бочке...

Какое в ней вещество ?

Или какая группа веществ ?

Как это можно понять ?

Только вскрыв её...

---

Что по сути НЕ верно !

---

А когда на бочке стоит маркировка: E7C17F2492E1316184C25DB55C40EECF20DB1733

Это автоматически означает - файл есть в базе/картотеке - и содержимое бочки известно...

----

Ясно нет ?

т.е.

Реализовать команду: "Добавить Хэши msi файлов каталога в базу проверенных "