uVS - Тестирование

[demkd 636]

Темя для обсуждения ошибок и тестовых версий uVS.
Старая тема благополучна погибла от моей руки при попытке удалить несколько сообщений, впрочем там все равно скопилось слишком много хлама.

[demkd 636]

Текущая тестовая версия
---------------------------------------------------------
 4.00 Beta 1
---------------------------------------------------------
 o Добавлена очередь команд, вы можете отдавать команды без ожидания исполнения каждой команды в отдельности,
   что может очень существенно уменьшить общее время исполнения команд.

 o Теперь функции, а так же все соответствующие им скриптовые команды:
   o Удаление ссылки на объект (delref)
   o Удаление объекта вместе со всеми ссылками на него (delall)
   o Выгрузка из памяти (unload)
   o Удаление ссылок на отсутствующие файлы (delnfr)
   НЕ исполняются немедленно, а помещаются в очередь команд, очередь не имеет ограничений на количество элементов.

 o Для исполнения команд и применения изменений необходимо нажать новую кнопку "Принять изменения".
   (!) Это верно для _всех_ режимов работы uVS.
   (!) Порядок исполнения команд не определен и зависит от id процессов и порядка расположения соотв. записей в реестре,
   (!) т.е. никак не зависит от очередности отдачи команд, однако соблюдается общий порядок: сперва выгрузка процессов,
   (!) затем удаление ссылок и лишь потом удаление файлов.
   (!) Функция убить все найденные вирусы (delvir) кроме основной функции применяет все ранее сделанные изменения и очищает очередь.
   (!) Начало выполнения скрипта очищает очередь БЕЗ применения изменений.
   (!) В скрипте необязательно указывать команду "apply" она будет применена автоматически или в конце исполнения скрипта,
   (!) однако если процесс требует блоков последовательных действий или вы используете виртуализацию, вам необходимо убедиться,
   (!) что команда "apply" присутствует в конце блоков команд и перед командой актуализации реестра.

 o Удалить отдельные команды вы можете в новом разделе "Очередь команд".

 o Новая скриптовая команда "apply" применяет все сделанные изменения и очищает очередь.

 o Улучшен фильтр для обработки параметров запуска браузеров.

 o Улучшена эмуляция исполнения команд при работе с образом.

 o Флаг ImgDelnfrUnwind устарел и более не используется.

 o Устаревшая скриптовая команда delnfr теперь может быть добавлена в скрипт лишь вручную.

[santy 153]

demkd,

жаль, теперь уже не получится воспроизвести вопросы по новой версии, что были в прежнем виде.

общее впечатление, очередь команд - удачное решение, в сочетании с CTRL+Z будет полезно для работы.

1. судя по тестированию - команды очереди не помещаются в скрипт при запуске функции автоскрипта.

2. вопрос по этой реплике:

Цитата

   (!) Начало выполнения скрипта очищает очередь БЕЗ применения изменений.

так понимаю, это применимо к работе с реальной системой:

когда добавлено несколько команд в очередь, а затем выбрана функция выполнить скрипт из файла (или из буфера обмена)

3. вопрос по этой реплике:
 

Цитата

 

(!) В скрипте необязательно указывать команду "apply" она будет применена автоматически или в конце исполнения скрипта,
(!) однако если процесс требует блоков последовательных действий или вы используете виртуализацию, вам необходимо убедиться,
(!) что команда "apply" присутствует в конце блоков команд и перед командой актуализации реестра.

 

 будет ли выполнены команды delref из скрипта, который полностью сформирован функцией автоскрипта?

или здесь надо вручную вставить apply перед командой areg?

;uVS v4.0b1 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn A7679B1BB9664D720B83A106615C4C5625DA03E3491850780ECE51E203D620B3369721183EDE88DD75D384CDB903091832DF49E60B89B07CD262E0CD8806DD66 8 no_more_ransom

;------------------------autoscript---------------------------

sreg

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\OXICS\PWQSELJG.DLL
del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\OXICS\PWQSELJG.DLL

delref %SystemDrive%\USERS\BUH1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DKEKDLKMDPIPIHONAPOLEOPFEKMAPADH\2.0.2.14_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\BUH2\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DKEKDLKMDPIPIHONAPOLEOPFEKMAPADH\2.0.2.14_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\BUH3\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DKEKDLKMDPIPIHONAPOLEOPFEKMAPADH\2.0.2.14_0\СТАРТОВАЯ — ЯНДЕКС
deltmp
delnfr
areg

;-------------------------------------------------------------

[demkd 636]

22 минут назад, santy сказал:

жаль, теперь уже не получится воспроизвести вопросы по новой версии, что были в прежнем виде.

Ну почему же:
>каким образом набор команд из очереди будет распределен в случае запуска автоскрипта?
никак, до автоскрипта изменения еще не дошли, там надо подумать.

>я вижу, что это модель действий для тех, кто либо частично использует автоскрипт, (либо вообще не пользуется этим режимом).
нет, это будет полезно для всех, поскольку очередь команд лишь побочный эффект того что было сделано, главное то что все delref/delall/unload в пачке будут выполняться за один проход, что не только ускорит выполнение в разы, но и сделает само время внесения изменений в систему минимальным, что сократит вероятность того что комплексный зловред из нескольких независимых модулей успеет среагировать и восстановить утерянный функционал.

22 минут назад, santy сказал:

так понимаю, это применимо к работе с реальной системой:

когда добавлено несколько команд в очередь, а затем выбрана функция выполнить скрипт из файла (или из буфера обмена)

Да, это касается лишь выполнения скрипта в целевой системе, удаленной/активной/неактивной.

22 минут назад, santy сказал:

3. вопрос: будет ли выполнены команды delref из скрипта, который полностью сформирован функцией автоскрипта?

будут, потому что в конце всегда выполняется apply если в очереди что-то есть, а оно появится уже на целевой системе при прохождении команды delref/delall/unload
и скорее всего список команд будет расширен, в идеале в очередь должны попадать все команды исполнение которых завязано на просмотр всего списка.

Теперь PR55...
>А для чего вообще реализована команда: Принять изменения.
>Есть же команда: Создать образ автозапуска и перейти в режим работы с образом.
Стоит сперва осмыслить то что изменилось, опробовать, потом уже что-то писать, ну нужно путать теплое с мягким.

>нет, в очереди должны быть все команды - иначе появляется путаница.
В очереди будут лишь те команды которые требуют длительного исполнения, побочные команды типа del нет никакого смысла добавлять в очередь.

>И кроме того - защищённые файлы - что будет с ними ?
ничего не будет, если они надежно защищены от удаления и удаления при рестарте, если же хочется удалить защищенный файл, нужно для начала убить защитника, а потом уже удалять.

>При попытке применить команду: Приять изменения ( uvS навернулся...) отчёт отправил.
выявить причину не удалось, просто нет символьного файла для ntdll (зачем пользоваться XP да еще и ее кривой сборкой?), так что желательно узнать порядок действий при котором произошла ошибка.

[santy 153]

прямо по Булгакову - рукописи не горят, когда есть копии сообщений в почте

да, пока непонятно, в каких случаях удобно будет работать с очередью, если скрипт как правило создается автоскриптом,

с другой стороны, я понимаю, что в любом случае при выполнении скрипта создается очередь команд на стороне реальной системы для оптимизации и ускорения выполнения команд.

Цитата

в идеале в очередь должны попадать все команды исполнение которых завязано на просмотр всего списка.

а как будет работать выполнение команд deldir, deldirex в новой модели с очередью команд?

[demkd 636]

23 минут назад, santy сказал:

а как будет работать выполнение команд deldir, deldirex в новой модели с очередью команд?

Команды будут выполняться немедленно, но удаление ссылок будет отложено в очередь до ближайшего apply/delvir или окончания выполнения скрипта.

23 минут назад, santy сказал:

да, пока непонятно, в каких случаях удобно будет работать с очередью, если скрипт как правило создается автоскриптом,

Возможно автоскрипт тоже начнет скидывать команды в очередь, но тут надо еще подумать, там есть некоторые нюансы.
Вообще максимальный объем работ по переписыванию кода оказался как раз для работы с образом.

[PR55.RP55 83]

По поводу падения uVS

Порядок действий.
На рабочем столе запускаем исполняемый: exe файл ( скажем: 222.exe )
( представим, что это вирус )
Отдаём команды: DELREF + DELALL + DEL
Значит файл: 222.exe  удалён, а команды: DELREF + DELALL остаются в очереди.
А теперь вирус удалённый по DEL восстановился... файл на месте т.е. на рабочем столе.
Отдаём команду: Принять изменения...
И всё uVS полетел.

[PR55.RP55 83]

вот на фото.

[demkd 636]

19 минут назад, PR55.RP55 сказал:

Значит файл: 222.exe  удалён, а команды: DELREF + DELALL остаются в очереди.

Удален он не будет по del потому что запущен, да и команда в очереди будет лишь одна.
Повторить это не удалось, но я думаю что даже если опустить все эти операции и сделать лишь delall и применить оно срубится, тут какая-то ошибка не связанная с очередью, а посмотреть не могу, для модулей кривого windows нет отладочной информации.

[PR55.RP55 83]

Пока идёт тестирование.

1) Изменить меню: Файл - добавив команду: Перейти в режим работы: Запись.
Данная команда дополняет:
" Создать образ автозапуска и перейти в режим работы с образом." - "Перейти в режим работы с активной системой."
т.е. оператору не нужно создавать образ автозапуска.
Все команды которые он отдаёт пишутся в скрипт и только по команде: принять изменения выполняются.
Это огромная экономия времени и возможность внести изменения\исправления в скрипт.

И получается, что очередь команд в данном случае вообще не нужна.

2) Возможность вообще убрать команду ( одиночную, или все команды: apply )

из скрипта.

[demkd 636]

2 минуты назад, PR55.RP55 сказал:

1) Изменить меню: Файл - добавив команду: Перейти в режим работы: Запись.
2) Возможность вообще убрать команду ( одиночную, или все команды: apply )

отклоняется.

[PR55.RP55 83]

+

     Удален он не будет по del потому что запущен

Он не запущен - поэтому удаляется. Все отданные команды - указаны на выше приложенном фото: U R F

и да... хватило одной команды: delall чтобы uVS вылетел.

По поводу XP  сейчас в мире с данной системой работает порядка 7% пользователей, и поддержка нужна.

[demkd 636]

29 минут назад, PR55.RP55 сказал:

и да... хватило одной команды: delall чтобы uVS вылетел.

Это какой-то старый глюк, а насчет поддержки, был бы windows оригинальный проблем бы с определением причины не возникло бы.

[santy 153]

demkd,

еще вопрос:

в связи с оптимизацией выполнения скрипта в 4.00.1 будет ли в лог выполнения скрипта добавлена какая то дополнительная информация, которая отражает новый порядок в выполнении команд?

[demkd 636]

15 минут назад, santy сказал:

в связи с оптимизацией выполнения скрипта в 4.00.1 будет ли в лог выполнения скрипта добавлена какая то дополнительная информация, которая отражает новый порядок в выполнении команд?

Порядок выполнения произвольный, в логе будет информация о добавлении в очередь и финальная информация по apply сколько ссылок удалено, сколько файлов и сколько завершено процессов, плюс стандартные ошибки.

[PR55.RP55 83]

http://www.spyware-ru.com/download/chrome-cleanup-tool/
Инструмент Очистки Chrome (Chrome Cleanup Tool)

Запускать при очистке uVS - ?

и вообще как-то использовать ?

-----------------------

при удалении  system.vbs
Выгрузить WSCRIPT.EXE

uVS  не выгружает WSCRIPT.EXE при удалении .vbs объектов ? если нет - то это нужно реализовать.

В том, числе и для аналогичных: WSCRIPT.EXE  объектов.

[PR55.RP55 83]

----------------

[santy 153]

RP55,

если действие еще реально не произошло (не принято изменение), зачем скрывать объект.

возможно имеем смысл показать в статусе флаг отложенного действия.

и снимать флаг, если команды по данному объекту удалены из очереди.

[PR55.RP55 83]

хм...

я думал, что команда: apply будет прописываться в скрипт после каждого её применения.

А по факту она пишется один раз.

[PR55.RP55 83]

10 минут назад, santy сказал:

RP55,

если удаление еще реально не произошло (не принято изменение), зачем скрывать объект.

возможно имеем смысл показать в статусе флаг отложенного удаления.

и снимать флаг, если команды по данному объекту удалены из очереди.

хорошая идея. Раз файл "удалён" то и его статус меняется.

Demkd

И всё таки по поводу сигнатур, а можно сделать, чтобы в Инфо. была запись: Сигнатура данного файла найдена в базе sgnz и далее: наименование сигнатуры.

* Запись в Инфо. отображается без проверки списка оператором и соответственно без добавления сигнатуры в скрипт.

[santy 153]

4 часа назад, demkd сказал:

...будут, потому что в конце всегда выполняется apply если в очереди что-то есть, а оно появится уже на целевой системе при прохождении команды delref/delall/unload

и скорее всего список команд будет расширен, в идеале в очередь должны попадать все команды исполнение которых завязано на просмотр всего списка.
 

demkd,

здесь ты имеешь ввиду команды, после выполнения которых происходит обновление списка автозапуска?

[demkd 636]

4 часа назад, PR55.RP55 сказал:

Инструмент Очистки Chrome (Chrome Cleanup Tool)

Запускать при очистке uVS - ?

не пользуюсь

4 часа назад, PR55.RP55 сказал:

при удалении  system.vbs
Выгрузить WSCRIPT.EXE

в принципе да
 

4 часа назад, PR55.RP55 сказал:

И всё таки по поводу сигнатур, а можно сделать, чтобы в Инфо. была запись: Сигнатура данного файла найдена в базе sgnz и далее: наименование сигнатуры.

проверять каждый раз файл при открытии свойств? можно конечно но что это даст, что сигнатура из sgnz и так более чем очевидно...
...впрочем я понял зачем, подумаю, тут надо попробовать, оно может существенно замедлить поиск по критериям.
 

2 часа назад, santy сказал:

здесь ты имеешь ввиду команды, после выполнения которых происходит обновление списка автозапуска?

Не совсем, для которых требуется дополнительный просмотр реестра/выгрузка процессов и т.п.

[demkd 636]

Нашел таки ошибку в коде удаления файлов с рабочего стола, тянулась аж с версии 3.83, только очень редко проявиться могла, однако вот таки проявилась.
В beta 2 будет исправлена.

[demkd 636]

Автоскрипт оставил как есть, пусть идет отдельным блоком.
При создании скриптов рекомендую использовать минимум минимум apply, лучше всего если он будет один.
Разве что необходима блочная очистка, сперва 1 блок команд, потом второй.
---------------------------------------------------------
 4.00 Beta 2
---------------------------------------------------------
 o Исправлена критическая ошибка в функции удаления исполняемых файлов с рабочего стола.

 o Исправлена ошибка при работе с образом, кнопка "Принять изменения" не очищала очередь команд.

 o Теперь запуск автоскрипта автоматически добавляет в скрипт все команды из очереди и очищает очередь команд.

[santy 153]

demkd,

проверил в 4.00.2:

теперь очередь команд (если она была сформирована до запуска функции А_С) попадает в скрипт при запуске автоскрипта, и очередь очищена.

вот пример:
 

;Target OS: NTv5.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D55CC29671C57F33DFA82BE5ED092B7F91333656499C40D9E806448958631C77A4140472251B 29 no_more_ransom

;------------------------autoscript---------------------------

delref %Sys32%\01.TMP
chklst
delvir

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER.EXE

delref HTTP://SEARCH.QIP.RU/?QUERY={SEARCHTERMS}

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

но тогда вопрос:

 

в этом случае на целевой системе получится дважды будет применена команда apply?

после delvir, и в конце скрипта.

и

может стоит обрамить блок команд из очереди каким то образом, как например в целом автоскрипт?

примерно так:

;------------------------autoscript---------------------------

;-----------------round---------------------------------------

delref %Sys32%\01.TMP

;----------------------------------------------------------------

chklst

delvir