Перейти к содержанию
santy

автоскрипт на основе шаблона

Recommended Posts

santy

demkd,

тут свежая мысль пришла в голову, как всегда в переходе от компа на кухню :)

добавить функцию по работе с образом - "автоскрипт на основе шаблона".

файл шаблона создается либо вручную, либо из интерфейса uVS (это было бы лучше)

формализовать предложение сразу правильно и точно не получится, как это должно быть технически решено,

важно чтобы на выходе мы имели автоматически полученный скрипт.

например шаблон автоскрипта для избавления от байду должен содержать

команду безопасной виртуализации + завершающую команду актуализации

условие отбора записей, которые будут обрабатываться в скрипт:

во первых - статус записи

во вторых - секции автозапуска.

в третьих - критерий (т.е. не все записи со статусом ?ВИРУС? а только те, что попадают под критерий)

метод удаления записи: можно для каждой секции выбрать свой.

для сервисов свой,

для драйверов свой,

и для основного автозапуска свой.

------------------

скажем, для очистки байду удобно вначале исключить из автозапуска сервисы, драйвера и модули основного автозапуска.

поскольку имена могут быть разные в сервисах, драйверах и основном автозапуске,

то шаблон должен быть составлен таким образом, чтобы учесть это различие и выдать соответствующий скрипт.

т.е. один раз удачно созданный шаблон, и варианты одной и той же проблемы будут автоматически учтены в автоскрипте с помощью шаблона.

----------

видимо, надо еще учесть тип удаляемых объектов: файлы, ссылки, каталоги и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

примерно так:

>>включить виртуализацию (быстрая/безопасная)

>>включить сигнатурный детект.

--------

+ секция (выбираем из списка):

>>удаление файлов >> выбрать из списка команду(del/delall,delref)

>>условие отбора >>(критерий)

>>удалить http-ссылки >>(delref)

>>условие отбора >>(критерий)

>>удалить каталоги >>(deldir/deldirex)

условие отбора >>(критерий)

-------

-->>> создать скрипт.

-------------

тут варианты:

либо генератор создает шаблон и сохраняет его в файл, а затем уже uVS основе выбранного шаблона формирует скрипт

либо генератор создает шаблон и сразу после заполнения формы генерирует скрипт, в который можно так же зайти по ALT+S.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Santy

Для чего все эти сложности ?

Можно элементарно сделать путём сопоставления.

База snms = критерии.

База автоскрипта. ( где речь идёт о ПОИМЁННОМ списке критериев с командами )

База автоскрипта содержит команды ПОСЛЕ сопоставления.

-------

Пример:

База snms содержит критерий: Байду.

База автоскрипта содержит команды сопоставления Байду.

Идёт проверка списка по snms > найдены объекты > Идёт проверка по базе автоскрипта.

Если база автоскрипта содержит сопоставление - отрабатывает автоскритп.

------

Байду {snms } < > Байду { база автоскрипта } = Автоскрипт { Команды }

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Есть перечень заболеваний: https://ru.wikipedia.org/wiki/%D0%A1%D0%BF%...%BD%D0%B8%D0%B9

Грипп; Ветрянка;...

--------

Как их лечить ?

Есть стандартные методики/схемы лечения.

Грипп > http://www.polismed.ru/influenza-post007.html

Ветрянка > http://domadoktor.ru/165-lechenie-vetryanki.html

-------

Значит есть список заболеваний.

Есть методика лечения.

Для эффективной борьбы с болезнью нужно сопоставить название болезни с методикой лечения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Santy

Для чего все эти сложности ?

а где ты здесь увидел сложности?

Можно элементарно сделать путём сопоставления.

База snms = критерии.

База автоскрипта. ( где речь идёт о ПОИМЁННОМ списке критериев с командами )

База автоскрипта содержит команды ПОСЛЕ сопоставления.

-------

база snms - это понятно, из нее и будут браться критерии для генератора. по идее может быть достаточно одного критерия, но в общем случае можно заложить возможность добавить в шаблон несколько критериев из списка snms. так сказать, создаем для шаблона mini-smns

а что такое база автоскрипта - непонятно. о какой базе идет речь.

критерии с настраиваемыми действиями - это понятно, предполагается, что это все будет храниться в snms.... это еще не реализовано,

если это будет реализовано в будущем, тогда алгоритм автоскрипта будет улучшен.

Однако не все можно реализовать с помощью критериев с настраиваемыми действиями.

например, тот же байду.

в одном случае надо применить шаблон с целью единственно исключения из автозапуска сервисов, драйверов, модулей основного автозапуска.

а в другом случае, полностью зачистить систему от файлов (которые уже неактивны) левого антивируса. + параллельно еще и выполнить очистку от других вредоносных объектов.

т.е. генератор автоскрипта на основе шаблона создает усеченный (не полный) автоскрипт, который нужен при определенных условиях.

Пример:

База snms содержит критерий: Байду.

База автоскрипта содержит команды сопоставления Байду.

Идёт проверка списка по snms > найдены объекты > Идёт проверка по базе автоскрипта.

Если база автоскрипта содержит сопоставление - отрабатывает автоскритп.

------

Байду {snms } < > Байду { база автоскрипта } = Автоскрипт { Команды }

это понятно, критерии с настроенными действиями будут нужны для улучшенного алгоритма автоскрипта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

т.е. генератор автоскрипта на основе шаблона создает усеченный (не полный) автоскрипт, который нужен при определенных условиях.

можно конечно шаблон хранить и в snms с назначенными действиями (поскольку критериями можно выделить основные секции автозапуска: процессы, сервисы, драйвера, основной автозапуск и др.), только один шаблон может иметь несколько критериев, и для каждого критерия может быть назначено разное действие.

+

надо все таки указать: скрипт будет с виртуализацией или нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Santy

Речь также может идти о суммировании/обобщении скриптов.

Срабатывает ряд критериев...

По каждому критерию есть соотносящиеся ему действия/команды, их сочетание.

- Значит автоскрипт будет состоять из блоков.

Первыми идут команды на удаление прогамм.

Затем удаление общих элементов.

Затем элементы при удалении которых требуется sreg/areg + перезагрузка PC.

Пример:

;uVS v3.85 [http://dsrt.dyndns.org]

;Target OS: NTv5.1

v388c

;------------------------[autoscript-1]---------------------------

; Webexp Enhanced

exec C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha376\uninstall.exe

; Zona

exec C:\Program Files\Zona\uninstall.exe

; Windows Live ID Sign-in Assistant

exec MsiExec.exe /X{0840B4D6-7DD1-4187-8523-E6FC0007EFB7}

; Html5 geolocation provider

exec MsiExec.exe /I{12644DC5-2271-442B-816F-8CFFD3DDDF32}

; Bing Bar

exec MsiExec.exe /X{16793295-2366-40F7-A045-A3E42A81365E}

; Search.com Toolbar v6.9

exec MsiExec.exe /X{49B82A4E-5AF0-4A9E-A75B-3353CF2D21B4}

;------------------------[/autoscript-1]---------------------------

;------------------------[ autoscript:BAIDU-1 ]---------------------------

sreg

delref \\?\C:\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\DRIVERS\BD0001.SYS

del \\?\C:\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\DRIVERS\BD0001.SYS

delref \\?\C:\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\DRIVERS\BDARKIT.SYS

del \\?\C:\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\DRIVERS\BDARKIT.SYS

areg

;------------------------[ /autoscript:BAIDU-1 ]---------------------------

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

порядок (если тебе нужен порядок удаления объектов) здесь можно было бы задавать последовательностью добавления в шаблон критериев.

в принципе, и в назначенные действия можно было бы добавить несколько команд

или выбрать метод удаления.

ImgAutoDelMethod1 (по умолчанию 1)

0 - игнорировать

1 - применить delall

2 - применить delref

3 - применить delref+del

+

добавить 4,5

deldir,

deldirex

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

deldir,

deldirex

--------

А вот эти команды в автоскипт нельзя добавлять не в коем случае.

Я даже не буду пояснять по чему это и так очевидно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

это могло бы выглядеть так:

1. нужна реализация для snms назначенных действий

2. шаблоны храним либо в отдельном файле в подкаталоге templates, либо в базе snms, но лучше бы каждый шаблон хранился в отдельном файле, тогда и выбирать можно из списка шаблонов для генерации автоскрипта.

3. комбинировать несколько шаблонов не имеет смысла(для этого есть полный автоскрипт), для этого и нужен шаблон, чтобы решить частную проблему.

------

да можешь и не пояснять, у страха глаза велики, но тогда придется ручками забивать удаление каталогов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
    • PR55.RP55
      Demkd Мне кажется ЭТО тоже стоит посмотреть. C:\USERS\ADMIN\APPDATA\LOCAL\PACKAGE CACHE\{C187DB08-7705-4616-834B-87B3087AE698}V3.0.7.830\INSTALLER V.T.:  MicrosoftTrojan:Win32/Zpevdo.A    
×