Перейти к содержанию

Recommended Posts

Vitokhv

Есть ли возможность блокировать запуск файла по его сигнатуре?

Допустим имеем файл, который является вирусом, определяем его сигнатуру, и при запуске вируса система должна запретить его запуск.

Желательно, чтобы на первом месте была именно сигнатура файла. Так как файлы могут компилировать и хеш не поможет.

001-12.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

В системе нет такой возможности.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Vitokhv

На данный момент это возможно только в альтернативно реальности Варкрафт.
И там это работает так:

Оператор добавляет сигнатуру вируса в базу > Проверяет список, при необходимости корректирует длину сигнатуру
Настраивает австоскрипт: settings.ini  ( как реагировать на угрозу и метод удаления )
Далее...
Оператор добавляет uVS \ start.exe в автозапуск системы.
При старте uVS автоматически определяет  тип своего запуска ( например start.exe через задачу )
Далее работает настройка по settings.ini  ( при запуске через task проверять список по базе вирусов и критериев )
После чего работает ранее настроенный австоскрипт: settings.ini  ( реакция  на угрозу и метод удаления )
Вирус/Adware удаляется - копия угрозы помещается в карантин.
Информация об угрозе пишется в лог. ( + копия лога пересылается на указанный в настройке адрес )

------

А в нашем мире этого ничего нет.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

 И хорошо, что этого нет, поскольку uVS не предназначен для мониторинга.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
39 минут назад, santy сказал:

 И хорошо, что этого нет, поскольку uVS не предназначен для мониторинга.

santy

Как по мне, так разница тотальная.
Одно дело мониторинг по умолчанию - ( как функция ) другое дело, мониторинг по требованию.
Не нужен - не делай настройку и не используй.

Не раз уже такие случаи в истории были: появляется новый вирус\червь и начинает прыгать по сети.
А в базе антивируса он может появиться на следующий день, или ещё позже.
А может система безопасности не предполагает наличие антивируса.
А так: выявили > прикончили и для профилактики включили проверку машины через задачу.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Bernard
      Не расстраивайтесь. Везде цены разные и в этом я убедился на собственном опыте. Когда нужен был сайт обращался во многие веб-студии. Выбрал для себя самый оптимальный вариант вот эту веб студию  space-site.com.ua . И не пожалел. За адекватную цену ребята разработали отличный сайт на платформе Ларавел. Я очень доволен.
    • PolinKa
      Добрый вечер. У меня свой интернет-магазин. Никак не могу его раскрутить. Обратилась в веб студию. Но мне там за эту услугу запросили кругленькую сумму. Подскажите куда еще можно обратиться? Но только что б цены были у них адекватные.
    • Alushaa
      Для желающих похудеть есть хорошее приложение https://veadug.com/1744-runtastic.html Можете им сами пользоваться, оно реально безумно крутое и я не жалею что пользуюсь им сам
    • Dilyaako
      Когда возникают поиски с рестораном, то стоит воспользоваться интернетом, там есть вся интересующая информация. Понятное дело, что названия всех заведений никто не знает, но есть специальные сайты, например, как этот https://www.restoclub.ru/, где собрана вся необходимая информация по заведениям. Есть их рейтинг. Так сделать выбор будет совсем не сложно. Мы этим сайтом пользуемся всегда, когда планируем сходить в ресторан или кафе.
    • PR55.RP55
      В  Инфо.  файла добавлять:  Пример: Цифр. подпись  |  120  |  Действительна, подписано "ESET, spol. s r.o." где запись |  120  |  это число обнаруженных файлов с данной цифровой подписью. т.е. Легальных - подписанных файлов в системе как правило много. У вирусов файлов значительно меньше. т.е. речь идёт не просто о файле - речь идёт о группе файлов. + Это подстраховка оператора от ошибки. Оператор удалил два файла, но в Инфо. оператор видит |  3  | ----------- Дополнительный анализ может проходить на стороне оператора ( для экономии времени на создание образа ) По настройке: settings.ini или командой меню. ------------ Можно добавить в лог уведомление: Операция удаления объекта добавлена в очередь: C:\WINDOWS\RSS\CSRSS.EXE ! Файл подписан AtuZi всего удалено файлов  _3_  из | 4 |    
×