Перейти к содержанию

Recommended Posts

Vitokhv

Есть ли возможность блокировать запуск файла по его сигнатуре?

Допустим имеем файл, который является вирусом, определяем его сигнатуру, и при запуске вируса система должна запретить его запуск.

Желательно, чтобы на первом месте была именно сигнатура файла. Так как файлы могут компилировать и хеш не поможет.

001-12.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

В системе нет такой возможности.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Vitokhv

На данный момент это возможно только в альтернативно реальности Варкрафт.
И там это работает так:

Оператор добавляет сигнатуру вируса в базу > Проверяет список, при необходимости корректирует длину сигнатуру
Настраивает австоскрипт: settings.ini  ( как реагировать на угрозу и метод удаления )
Далее...
Оператор добавляет uVS \ start.exe в автозапуск системы.
При старте uVS автоматически определяет  тип своего запуска ( например start.exe через задачу )
Далее работает настройка по settings.ini  ( при запуске через task проверять список по базе вирусов и критериев )
После чего работает ранее настроенный австоскрипт: settings.ini  ( реакция  на угрозу и метод удаления )
Вирус/Adware удаляется - копия угрозы помещается в карантин.
Информация об угрозе пишется в лог. ( + копия лога пересылается на указанный в настройке адрес )

------

А в нашем мире этого ничего нет.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

 И хорошо, что этого нет, поскольку uVS не предназначен для мониторинга.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
39 минут назад, santy сказал:

 И хорошо, что этого нет, поскольку uVS не предназначен для мониторинга.

santy

Как по мне, так разница тотальная.
Одно дело мониторинг по умолчанию - ( как функция ) другое дело, мониторинг по требованию.
Не нужен - не делай настройку и не используй.

Не раз уже такие случаи в истории были: появляется новый вирус\червь и начинает прыгать по сети.
А в базе антивируса он может появиться на следующий день, или ещё позже.
А может система безопасности не предполагает наличие антивируса.
А так: выявили > прикончили и для профилактики включили проверку машины через задачу.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Alushaa
      Весьма удобное приложение, с помощью  которого можно смотреть расписание электричек. Это очень интересный вариант, можете присмотреться, он действительно крутой и я там все спокойно скачиваю)
    • PR55.RP55
      SQx То, что я выше написал сделать можно -  если есть доступ к PC. Однако не при работе со скриптом. Я  для Demkd  написал. В скрипт добавлять команды типа: adds criterion delref   fuckyoumm2_filter Checks the list by criterion т.е. добавлен критерий ( с выбором типа команды ) >  проверяется список > найденный по критерию объект удаляется.      
    • SQx
      Ранее с критериями не дружил, попробую в следующий раз, спасибо.
    • SQx
      Спасибо за информацию, но чтобы на верняка не испортить ОС пользователя, удалил спомощью FRST.
      В следующий раз попробую через uVS.
       
    • PR55.RP55
      Однако это не решение вопроса. ------------ Можно удалять объект ориентируясь не на имя, а на поисковый критерий. Оператор задаёт поисковый критерий > проверяет по нему список  > при необходимости корректирует критерий  > задаёт тип команды - на удаление > Команда ( автоматически ) пишется в скрипт.
×