Universal Virus Sniffer (uVS), Вопросы разработчику - Страница 81 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

alamor

@demkd, часто попадаются преинсталированные расширения и если удалить только установленное, то после перезапуска браузера оно сново установиться. Может можно (стоит) чтобы при удалении такого расширения сразу удалялось оба? Определять по ID расширения. Если дали команду удалить, то понятно что хотят его удалить полностью и неудобно, что для удаления одного расширения надо две команды. Пример с ПОИСК MAIL.RU:

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\5.0.1_0\ПОИСК MAIL.RUdelref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3DONDEMAND%26UC 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@alamor, оно хорошо бы, но там есть некоторые сложности.

Лично я всегда удаляю все "предустановленные" вне зависимости что это, их быть не должно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

 

Как насчёт поддержки: Microsoft Edge

 

Ведь уже появились случаи подмены страниц и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sandor

их быть не должно

 

Вы к таким расширениям относите и эти?

Документы Google

Google Документы офлайн

Google Network Speech

и т.п.

А если пользователь привык открывать свои документы онлайн на Гугл-диске? Или, скажем, использует голосовой плугин?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

какие из списков uVS созданные в русской версии (wdsl, sgnz, snms, main  и др.) можно применить в английской версии,

и можно ли конвертировать (при необходимости) русский snms в файл для eng версии?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@santy, все, а вот с snms могут быть проблемы, стандартные атрибуты сконвертируются самостоятельно, а вот значения и нестандартные атрибуты тут уже только ручками переводить.

И еще момент если образ сделан в одной языковой версии, а загружен в другую тут уже snms будет совершенно бесполезен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

 

А можно, чтобы uVS при генерации образа писал в лог есть в системе теневые копии, или нет.

Сейчас море тем с шифраторами.

А так можно сразу сказать человеку: У вас нет теневых копий, значит для вас, есть только такой и такой варианты...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg

А можно, чтобы uVS при генерации образа писал в лог есть в системе теневые копии, или нет.

Можно, вариантов куча: через WMI, PowerShell, VSSAdmin, напрямую. А ещё есть тонкости в зависимости от системы...

Тут не всегда ясно, включено ли восстановление системы. А если выключено, или неработоспособно, то всё равно могут быть теневые копии, из которых можно извлечь информацию с помощью ShadowExplorer...

Так что задачка нетривиальная. Единственное, можно тупо смотреть объём папки System Volume Information и делать предположения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Vvvyg

Значит оставим это, столько работы ради простой записи в лог...

нет смысла.

----

Если бы можно было восстановить системный файл из теневой копии - тогда, да...

а так нет смысла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

SnimokPNG_4054314_21586782.png

Полное имя C:\PROGRAM FILES (X86)\UTORRENT\UTORRENT.EXE

Имя файла UTORRENT.EXE

Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]

www.virustotal.com 2015-08-24 [2013-01-25 04:59:44 UTC (3 лет, 2 месяцев назад)]

ESET-NOD32 a variant of Win32/Bunndle potentially unsafe

www.virustotal.com 2016-04-17 [2013-01-25 04:59:44 UTC (3 лет, 2 месяцев назад)]

....

В первой строке, где дата первой проверки правильно "3 лет, 2 месяцев назад", в последней где текущая дата, почему опять 3 года назад? Как понимаю это какая-то ошибка в утилите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@alamor, в скобочках отображается стаж файла на VT, от того что файл пересканировали очевидно стаж не изменится, эту строку возвращает сам VT отнимая от текущей даты дату первой загрузки файла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

@demkd, а для чего стаж отображать два раза?

Я думал в первой строке с датой, то что ты назвал стажем - время со дня первой проверки файла.

А во второй строке с датой время которое прошло со дня последнего анализа (как бы, насколько актуален результат проверки).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

 

А можно написать отдельную программу которая бы работала с базой проверенных SHA

-----

А именно:

Настраивается таймер и по заданному интервалу программа сверяет все запущенные процессы, скрипты и объекты авто запуска с базой SHA.

и если найден новый\неизвестный объект - выдаёт предупреждение и пишет информацию по объекту в лог.

-----

Было бы очень хорошо, особенно в связи с проблемой шифраторов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@alamor, что VT отдает то uVS и отображает

@PR55.RP55, есть такая вещь adinf, мне же эта тема не интересна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

что VT отдает то uVS и отображает

а для чего в двух соседних ячейках дублировать? :)

Если даже VT не отдаёт "стажа" прошедшего со дня последнего сканирования, то утилита его может легко сама вычислить.

Current date - Last scan date = вывести в нижнюю ячейку со стажем.

как бы, насколько актуален результат проверки

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@alamor, потому что было 2 запроса, потому 2 ответа, а вычислять не надо, VT все уже посчитал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

В последнее время набирает популярность сервис ID Ransomware, и теперь разработчик добавил API функции к своей базе.

https://id-ransomware.malwarehunterteam.com/api/documentation.php

 

Эх, надеюсь, что со временем malwarehunterteam создаст что-то близкое к virustotal.com,

(или хотя бы разработка данного сервиса попадет в поле зрения google ) :)

и тогда можно было бы добавить в uVS интеграцию с ID ransomware.

хотя данный сервис работает с зашифрованными файлами и с записками о выкупе, но часто бывает что эти файлы попадают в образ автозапуска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg

demkd, UVS часто неверно определяет версию IE в начале лога в образе. В 10-ке почему-то IE 9, и на других системах видел ошибки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@santy, если наберет популярность тогда и посмотрим

@Vvvyg, есть такое, гляну

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
грум

demkd а что значит такая запись.

(!) Необычная сигнатура для известного файла: C:\WINDOWS\SYSTEM32\WLANUTIL.DLL

Почему сигнатура необычная? Система  windows-8.1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@грум, это значит что почти наверное файл модифицирован, стоит обратить внимание на наличие валидной эцп, если ее нет то таки скачать оригинальный файл, а то мало ли.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
грум

Снимок.PNG@грум, это значит что почти наверное файл модифицирован, стоит обратить внимание на наличие валидной эцп, если ее нет то таки скачать оригинальный файл, а то мало ли.

Вроде все нормально.

 

Снимок.PNG

post-11306-0-85142700-1465836950_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@грум, хм, необычно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

сегодня и завтра сервер будет работать с перебоями, профилактика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×