Universal Virus Sniffer (uVS), Вопросы разработчику

[alamor 69]

@demkd, часто попадаются преинсталированные расширения и если удалить только установленное, то после перезапуска браузера оно сново установиться. Может можно (стоит) чтобы при удалении такого расширения сразу удалялось оба? Определять по ID расширения. Если дали команду удалить, то понятно что хотят его удалить полностью и неудобно, что для удаления одного расширения надо две команды. Пример с ПОИСК MAIL.RU:

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\5.0.1_0\ПОИСК MAIL.RUdelref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3DONDEMAND%26UC 

[demkd 626]

@alamor, оно хорошо бы, но там есть некоторые сложности.

Лично я всегда удаляю все "предустановленные" вне зависимости что это, их быть не должно.

[PR55.RP55 82]

Demkd

 

Как насчёт поддержки: Microsoft Edge

 

Ведь уже появились случаи подмены страниц и т.д.

[Sandor 0]

их быть не должно

 

Вы к таким расширениям относите и эти?

Документы Google

Google Документы офлайн

Google Network Speech

и т.п.

А если пользователь привык открывать свои документы онлайн на Гугл-диске? Или, скажем, использует голосовой плугин?

[demkd 626]

@PR55.RP55, будет время добавлю

@Sandor, для ознакомления https://www.chromium.org/administrators/pre-installed-extensions

[santy 153]

demkd,

какие из списков uVS созданные в русской версии (wdsl, sgnz, snms, main  и др.) можно применить в английской версии,

и можно ли конвертировать (при необходимости) русский snms в файл для eng версии?

[demkd 626]

@santy, все, а вот с snms могут быть проблемы, стандартные атрибуты сконвертируются самостоятельно, а вот значения и нестандартные атрибуты тут уже только ручками переводить.

И еще момент если образ сделан в одной языковой версии, а загружен в другую тут уже snms будет совершенно бесполезен.

[PR55.RP55 82]

Demkd

 

А можно, чтобы uVS при генерации образа писал в лог есть в системе теневые копии, или нет.

Сейчас море тем с шифраторами.

А так можно сразу сказать человеку: У вас нет теневых копий, значит для вас, есть только такой и такой варианты...

[Vvvyg 12]

А можно, чтобы uVS при генерации образа писал в лог есть в системе теневые копии, или нет.

Можно, вариантов куча: через WMI, PowerShell, VSSAdmin, напрямую. А ещё есть тонкости в зависимости от системы...

Тут не всегда ясно, включено ли восстановление системы. А если выключено, или неработоспособно, то всё равно могут быть теневые копии, из которых можно извлечь информацию с помощью ShadowExplorer...

Так что задачка нетривиальная. Единственное, можно тупо смотреть объём папки System Volume Information и делать предположения.

[PR55.RP55 82]

Vvvyg

Значит оставим это, столько работы ради простой записи в лог...

нет смысла.

----

Если бы можно было восстановить системный файл из теневой копии - тогда, да...

а так нет смысла.

[alamor 69]

Полное имя C:\PROGRAM FILES (X86)\UTORRENT\UTORRENT.EXE

Имя файла UTORRENT.EXE

Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]

www.virustotal.com 2015-08-24 [2013-01-25 04:59:44 UTC (3 лет, 2 месяцев назад)]

ESET-NOD32 a variant of Win32/Bunndle potentially unsafe

www.virustotal.com 2016-04-17 [2013-01-25 04:59:44 UTC (3 лет, 2 месяцев назад)]

....

В первой строке, где дата первой проверки правильно "3 лет, 2 месяцев назад", в последней где текущая дата, почему опять 3 года назад? Как понимаю это какая-то ошибка в утилите.

[demkd 626]

@alamor, в скобочках отображается стаж файла на VT, от того что файл пересканировали очевидно стаж не изменится, эту строку возвращает сам VT отнимая от текущей даты дату первой загрузки файла.

[alamor 69]

@demkd, а для чего стаж отображать два раза?

Я думал в первой строке с датой, то что ты назвал стажем - время со дня первой проверки файла.

А во второй строке с датой время которое прошло со дня последнего анализа (как бы, насколько актуален результат проверки).

[PR55.RP55 82]

Demkd

 

А можно написать отдельную программу которая бы работала с базой проверенных SHA

-----

А именно:

Настраивается таймер и по заданному интервалу программа сверяет все запущенные процессы, скрипты и объекты авто запуска с базой SHA.

и если найден новый\неизвестный объект - выдаёт предупреждение и пишет информацию по объекту в лог.

-----

Было бы очень хорошо, особенно в связи с проблемой шифраторов.

[demkd 626]

@alamor, что VT отдает то uVS и отображает

@PR55.RP55, есть такая вещь adinf, мне же эта тема не интересна.

[alamor 69]

что VT отдает то uVS и отображает

а для чего в двух соседних ячейках дублировать?

Если даже VT не отдаёт "стажа" прошедшего со дня последнего сканирования, то утилита его может легко сама вычислить.

Current date - Last scan date = вывести в нижнюю ячейку со стажем.

как бы, насколько актуален результат проверки

[demkd 626]

@alamor, потому что было 2 запроса, потому 2 ответа, а вычислять не надо, VT все уже посчитал.

[santy 153]

В последнее время набирает популярность сервис ID Ransomware, и теперь разработчик добавил API функции к своей базе.

https://id-ransomware.malwarehunterteam.com/api/documentation.php

 

Эх, надеюсь, что со временем malwarehunterteam создаст что-то близкое к virustotal.com,

(или хотя бы разработка данного сервиса попадет в поле зрения google )

и тогда можно было бы добавить в uVS интеграцию с ID ransomware.

хотя данный сервис работает с зашифрованными файлами и с записками о выкупе, но часто бывает что эти файлы попадают в образ автозапуска.

[Vvvyg 12]

demkd, UVS часто неверно определяет версию IE в начале лога в образе. В 10-ке почему-то IE 9, и на других системах видел ошибки.

[demkd 626]

@santy, если наберет популярность тогда и посмотрим

@Vvvyg, есть такое, гляну

[грум 0]

demkd а что значит такая запись.

(!) Необычная сигнатура для известного файла: C:\WINDOWS\SYSTEM32\WLANUTIL.DLL

Почему сигнатура необычная? Система  windows-8.1

[demkd 626]

@грум, это значит что почти наверное файл модифицирован, стоит обратить внимание на наличие валидной эцп, если ее нет то таки скачать оригинальный файл, а то мало ли.

[грум 0]

@грум, это значит что почти наверное файл модифицирован, стоит обратить внимание на наличие валидной эцп, если ее нет то таки скачать оригинальный файл, а то мало ли.

Вроде все нормально.

 

[demkd 626]

@грум, хм, необычно

[demkd 626]

сегодня и завтра сервер будет работать с перебоями, профилактика.