Перейти к содержанию

Recommended Posts

Vitokhv

Есть ли возможность блокировать запуск файла по его сигнатуре?

Допустим имеем файл, который является вирусом, определяем его сигнатуру, и при запуске вируса система должна запретить его запуск.

Желательно, чтобы на первом месте была именно сигнатура файла. Так как файлы могут компилировать и хеш не поможет.

001-12.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

В системе нет такой возможности.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Vitokhv

На данный момент это возможно только в альтернативно реальности Варкрафт.
И там это работает так:

Оператор добавляет сигнатуру вируса в базу > Проверяет список, при необходимости корректирует длину сигнатуру
Настраивает австоскрипт: settings.ini  ( как реагировать на угрозу и метод удаления )
Далее...
Оператор добавляет uVS \ start.exe в автозапуск системы.
При старте uVS автоматически определяет  тип своего запуска ( например start.exe через задачу )
Далее работает настройка по settings.ini  ( при запуске через task проверять список по базе вирусов и критериев )
После чего работает ранее настроенный австоскрипт: settings.ini  ( реакция  на угрозу и метод удаления )
Вирус/Adware удаляется - копия угрозы помещается в карантин.
Информация об угрозе пишется в лог. ( + копия лога пересылается на указанный в настройке адрес )

------

А в нашем мире этого ничего нет.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

 И хорошо, что этого нет, поскольку uVS не предназначен для мониторинга.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
39 минут назад, santy сказал:

 И хорошо, что этого нет, поскольку uVS не предназначен для мониторинга.

santy

Как по мне, так разница тотальная.
Одно дело мониторинг по умолчанию - ( как функция ) другое дело, мониторинг по требованию.
Не нужен - не делай настройку и не используй.

Не раз уже такие случаи в истории были: появляется новый вирус\червь и начинает прыгать по сети.
А в базе антивируса он может появиться на следующий день, или ещё позже.
А может система безопасности не предполагает наличие антивируса.
А так: выявили > прикончили и для профилактики включили проверку машины через задачу.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      проверил, работает, но стоит помнить что кэш используется только при массовой проверке и только для файлов не получивших статус проверенного ранее.
      для проверки отдельного файла кэш не используется по очевидным причинам.
    • PR55.RP55
      Определять время применения GPO Определять время применения GPO - с привязкой к событию. ( например запуск... скрипта ) Писать в Инфо.
    • PR55.RP55
      Настройка vtCacheDays= не работает. ( залез, а в папке сотни файлов  ) пробовал менять настройки\даты - не работает.  
    • demkd
      ---------------------------------------------------------
       4.12.3
      ---------------------------------------------------------
       o Добавлено несколько новых ключей автозапуска.  o Добавлен новый флаг запуска "Проверять весь HKCR".
         Не всегда требуется загружать и проверять все CLSID (по умолчанию флаг установлен).
         Снятие флага значительно ускорит скорость построения образа автозапуска за счет существенного сокращения файлов в списке.
         Если флаг установлен:
          o Твик #37 не исправит все проблемные пути в реестре
          o Функция удаления ссылок на отсутствующие файлы не затронет незагруженную часть HKCR.  o Улучшена функция парсинга командной строки.  o Исправлена функция восстановления реестра для неактивной системы.
         Добавлено удаление старых логов реестра, они могли препятствовать загрузке хайвов после оффлайн восстановления реестра.
         Обновлен ABR до версии 1.10, в него внесены аналогичные с uVS изменения.
          o Автозагрузка службы ABR теперь работает в отложенном режиме для устранение возможного сбоя загрузки пользовательского хайва реестра.
          o Добавлен модуль defrag для дефрагментации и устранения ошибок в сохраненной копии реестра.  o В окно информации о задаче добавлены даты создания и последнего запуска.  o Теперь в лог добавляется предупреждение о слишком длинных строках в реестре (более 2к символов).  o Исправлена ошибка в функции внесения данных из reg-файла в реестр неактивной системы.  o Добавлена поддержка кэша задач версий 1(Win8 и 8.1) и 2(некоторые серверные версии). (ранее поддерживалась только 3-я версия Win10/Win11).  o Исправлена ошибка которая могла привести к переполнению буфера.  
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 16.0.24.
×