uVS - Тестирование

[santy 153]

demkd,

можно добавить счетчик количества сигнатур в лог uVS?

например, можно при импорте сигнатур из внешнего файла (или из скрипта) добавить в лог

Всего добавлено сигнатур: 2

Всего сигнатур в базе: 1000.

-------

(чтоб народ, который использует сигнатуры, знал сколько у него в базе сигнатур и не преувеличивал их количество от потолка, и не придумывал фантомные сложности с удалением сигнатур из базы.)

по v400c: видимо причина невыполнения скрипта в нем.
http://www.tehnari.ru/f35/t252951/index2.html#post2474676

;uVS v4.0b2 [http://dsrt.dyndns.org]

;Target OS: NTv10.0
v400c
OFFSGNSAVE
adddir %SystemDrive%\PROGRAM FILES (X86)\JAVA\
crimg
QUIT

 

[santy 153]

по базе сигнатур:

проблемы с тем, что у разных пользователей может быть одна и так же сигнатура, с разной датой создания,имхо, нет.

Поле "дата создания" не является ключевым, не влияет на детект никоим образом и необходимо лишь локальному хелперу для контроля списка сигнатур.

Если он импортирует новые сигнатуры из скрипта, или из внешнего файла, можно добавлять в дату создания новой сигнатуры текущую системную дату  на момент импорта.

-------------

комментарием к сигнатуре думаю мало кто пользуется, может, вместо поля комментария  использовать дату создания сигнатуры?

или таки зарезервировать поле комментария на будущее для микрокода?

[PR55.RP55 83]

13 часов назад, PR55.RP55 сказал:

+

Если и удалять устаревшие сигнатуры -то делать это_преимущественно автоматически.

Можно сделать, как я предлагал: разбить базу на однотипные блоки, каждый блок соответствует календарному периоду  ( разбивка по месяцам )  и в settings.ini настройка: удалять устаревшие созданные ( ххх дней тому )

Для точек отсчёта нужно брать время интернета - сервер времени.

[demkd 636]

Кое что учту из того что было предложено, новая бета скорее всего будет сегодня.

можно добавить счетчик количества сигнатур в лог uVS?

Он и так есть в логе изначально, как и количество добавленных после импорта.

[PR55.RP55 83]

Demkd

по поводу учёта предложений.

я бы хотел заранее обсуждать изменения и постараться внести поправки.

----------------

santy - это техническая тема и здесь по логике должны быть обсуждения и цитаты и отсыл-ка к тому, или иному автору - источнику.

[santy 153]

19 минут назад, demkd сказал:

Он и так есть в логе изначально, как и количество добавленных после импорта.

это есть при работе с реальной системой. вижу по логу пользователя эти строки.

Сигнатур в базе: 0

Загружено поисковых критериев: 0

---------

а хотелось бы увидеть, сколько сигнатур в моей базе, когда я открываю образ автозапуска юзера.

хотя бы в процедуре импорта сигнатур.

при работе с образом, если я запускаю импорт из файла, в лог пишется инфо о сигнатурах источника для импорта,

Цитата

 

Сигнатура "chkntfs_vir" уже содержится в базе под именем "chkntfs_vir"

Сигнатура "Delf" уже содержится в базе под именем "Win32/Delf"

 

 

 

и счетчик количества добавленных сигнатур.

Всего добавлено сигнатур: 0

общее количество сигнатур после импорта не указывается.

[PR55.RP55 83]

+

Ещё одна ошибка: ( в логе )

Загружено поисковых критериев: 0

Вот чего, чего, а критериев...

santy - не надо городить огород.

если нужно узнать сколько сигнатур - запускаем uVS и смотрим лог.

[santy 153]

24 минут назад, PR55.RP55 сказал:

----------------

santy - это техническая тема и здесь по логике должны быть обсуждения и цитаты и отсыл-ка к тому, или иному автору - источнику.

RP55,

ради бога, если мы ведем с тобой диалог, так и цитируй на здоровье,

но когда ты начинаешь продавливать те изменения, которые тебе удобны, и при этом ссылаешься на меня, вырвав из контекста определенные фразы, то мне это не по нутру.

Поэтому, плиз, используй здесь свою аргументацию в пользу того что предлагаешь, без ссылок на фразы из моих диалогов.

 

Цитата

я бы хотел заранее обсуждать изменения и постараться внести поправки.

Следует продумать вначале основательно свое предложение, просчитать наперед, какие возможны нестыковки с существующим кодом, а затем его вносить на обсуждение.

по моему уже достаточно внесено было предложений, по крайней мере для новой бетки. иначе мы будет обсуждать все время.

а надо еще время для разработки кода и тестирования бетки.

Цитата

 

Ещё одна ошибка: ( в логе )

Загружено поисковых критериев: 0

Вот чего, чего, а критериев...

 

нет здесь ошибки. просто у юзера база критериев пустая., так же как и база сигнатур.

[PR55.RP55 83]

Цитата

Santy пишет:  

Следует продумать вначале основательно свое предложение, просчитать наперед, какие возможны нестыковки с существующим кодом, а затем его вносить на обсуждение.       

[PR55.RP55 83]

Обсуждение оно на то и обсуждение - чтобы совместно продумать идею да выявить недочёты.

[santy 153]

кстати,

вот лог выполнения скрипта есть с использованием очереди команд.

видим, как отработала очистка системы с использованием очереди команд:

 

Цитата

 

Безопасное удаление ссылок на ВСЕ отсутствующие объекты...
Операция удаления ссылок добавлена в очередь: C:\USERS\ADMINISTRATOR\APPDATA\LOCAL\ADDITIONAL LINE MANAGER.EXE
Операция удаления ссылок добавлена в очередь: C:\USERS\ADMINISTRATOR\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\UNITYWEBPLUGINAX.OCX
Операция удаления ссылок добавлена в очередь: C:\WINDOWS\SYSWOW64\BLANK.HTM
Операция удаления ссылок добавлена в очередь: C:\WINDOWS\SYSTEM32\BLANK.HTM
Операция удаления ссылок добавлена в очередь: C:\WINDOWS\SYSTEM32\PSXSS.EXE
Операция удаления ссылок добавлена в очередь: C:\PROGRAM FILES (X86)\JAVA\JRE1.8.0_92\BIN\WSDETECT.DLL
Операция удаления ссылок добавлена в очередь: C:\USERS\ADMINISTRATOR\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\NPUNITY3D32.DLL
--------------------------------------------------------
restart
--------------------------------------------------------
--------------------------------------------------------
Применение изменений...
--------------------------------------------------------
Удаление ссылок...
--------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 15 из 15
Удалено файлов: 1 из 1
--------------------------------------------------------

 

на этот скрипт

http://www.tehnari.ru/2474881-post22.html

2017-03-31_20-07-21_log.txt

[demkd 636]

---------------------------------------------------------
 4.00 Beta 3
---------------------------------------------------------
 o Изменено поведение горячей клавиши RWin, служащей для быстрого переключения между
   удаленным рабочим столом в uVS и другими окнами в системе _оператора_.
   Теперь с помощью этой клавиши можно вернуться в окно uVS из любого другого окна в системем оператора.

 o В список для проверки добавлены новые ключи реестра.

 o Добавлена новая горячая клавиша Del - Скрыть объект из списка до следующего обновления списка.
    Объект скрывается чисто визуально.
    (!) Не путать с командой Статус->Скрыть.

 o Автоматическое копирование файла в ZOO, а так же его занесение в черный список перенесено на этап удаления ссылок,
   сразу после завершения процессов и выгрузки модулей/драйверов.
   (!) При работе с образом перед добавление команды delall в скрипт.

 o Исправлена ошибка в обработке горячей клавиши Shift+Space для MBR/VBR/IPL.

 o В окно информации о файле теперь автоматически добавляется блок обнаруженных сигнатур.
   (!) Только при работе с образом.

 o Исправлена ошибка с обработки команды V400c.

 o Изменена индикация операции в списке команд и обновлена функция сортировки.

 

[demkd 636]

2 часа назад, santy сказал:

на этот скрипт

http://www.tehnari.ru/2474881-post22.html

2017-03-31_20-07-21_log.txt

exec  C:\Program Files (x86)\OpenAL\oalinst.exe" /U
кавычки не хватает, да и delnfr можно уже не использовать из плюсов видно что удаляется.
37-й твик тоже применить совсем не помешает.

[alamor 69]

12 часов назад, santy сказал:

Если он импортирует новые сигнатуры из скрипта, или из внешнего файла, можно добавлять в дату создания новой сигнатуры текущую системную дату  на момент импорта.

Поддерживаю, в качестве аргумента также добавлю, что если импортируют эту сигнатуру, то значит считают её актуальной на данный момент времени.
 

[PR55.RP55 83]

Demkd

1) Загружено поисковых критериев: 0

Ошибка не исправлена - об данной ошибке мной было написано выше........

2) и этот момент:

при удалении  system.vbs
Выгрузить WSCRIPT.EXE

QUOTE:  в принципе да

в принципе, что ?

С сигнатурой в инфо. будем экспериментировать - спасибо

[demkd 636]

15 минут назад, PR55.RP55 сказал:

Ошибка не исправлена - об данной ошибке мной было написано выше........

Исправлено, просто кто-то опять смотрит не туда.

16 минут назад, PR55.RP55 сказал:

при удалении  system.vbs
Выгрузить WSCRIPT.EXE

Как только так сразу.

[PR55.RP55 83]

Demkd

Полное имя                  C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\SYNREMOVEUSERSETTINGS.BAT

Цифр. подпись               Действительна, подписано Microsoft Windows Hardware Compatibility Publisher
                            
и т.д.

Я, что-то не пойму цифровая подпись у .bat  файла ???

Образ: https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=99128&action=download

                            

[demkd 636]

9 минут назад, PR55.RP55 сказал:

Я, что-то не пойму цифровая подпись у .bat  файла ???                          

Да, хоть bat хоть cmd, хоть jpg...

[PR55.RP55 83]

Допустим - но V.T.  эцп данного файла вообще не проверял.

С командой: Alt + Del

полная пАрнография ( см. на примере образа )

[demkd 636]

1 час назад, PR55.RP55 сказал:

Допустим - но V.T.  эцп данного файла вообще не проверял.

рукалицо.

1 час назад, PR55.RP55 сказал:

полная пАрнография ( см. на примере образа )

ничего необычного.

[PR55.RP55 83]

ничего необычного.

да ?

Сравним результат на разных версиях программы.

;uVS v3.87.10 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v388c
OFFSGNSAVE
deltmp
delnfr

-----------------

;uVS v4.0b3 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
deltmp
;---------command-block---------
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\B4F7C1F6FA1D39391C2B152D37D3DCBF\WINDOWS10.0-KB4013429-X64-EXPRESS.CAB
delref %SystemDrive%\USERS\6EA9~1\APPDATA\LOCAL\TEMP\CHROME_BITS_14816_20412\304_ALL_STHSET.CRX
delref %SystemDrive%\USERS\6EA9~1\APPDATA\LOCAL\TEMP\YUPDATE-VERSIONINFO-YABROWSER.XML
delref %SystemDrive%\USERS\6EA9~1\APPDATA\LOCAL\TEMP\YUPDATE-PING-YADISK.TEMP
delref %SystemDrive%\USERS\ХОЗЯИН\APPDATA\LOCAL\RIGHTCHOSE\REGCHECK.VBS
delref %SystemDrive%\USERS\ХОЗЯИН\APPDATA\LOCAL\DROPBOX\UPDATE\DROPBOXUPDATE.EXE
delref %SystemRoot%\AUTOKMS\AUTOKMS.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\OLICENSEHEARTBEAT.EXE
delref {35EF4182-F900-4632-B072-8639E4478A61}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\EHOME\EHPRIVJOB.EXE
delref %SystemRoot%\EHOME\MCUPDATE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref %SystemRoot%\EHOME\MCUPDATE.EXE
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {7FA3A1C3-3C87-40DE-AC16-B6E2815A4CC8}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref %SystemRoot%\EHOME\EHREC
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref {06DA0625-9701-43DA-BFD7-FBEEA2180A1E}\[CLSID]
delref {EA9155A3-8A39-40B4-8963-D3C761B18371}\[CLSID]
delref {DFA14C43-F385-4170-99CC-1B7765FA0E4A}\[CLSID]
delref {343D770D-7788-47C2-B62A-B7C4CED925CB}\[CLSID]
delref {E51DFD48-AA36-4B45-BB52-E831F02E8316}\[CLSID]
delref {FF87090D-4A9A-4F47-879B-29A80C355D61}\[CLSID]
delref {45F26E9E-6199-477F-85DA-AF1EDFE067B1}\[CLSID]
delref {7CCA6768-8373-4D28-8876-83E8B4E3A969}\[CLSID]
delref %SystemDrive%\USERS\ХОЗЯИН\APPDATA\LOCAL\FILTERSTART\FILTERSTART.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SCREENUP\FUTURE_HELPER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ITUNES\ITUNES.EXE
delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {75579960-3DAF-4389-9CFA-C2BB270C91E6}\[CLSID]
delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID]
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {E8C77137-E224-5791-B6E9-FF0305797A13}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_121\BIN\NEW_PLUGIN\NPJP2.DLL
delref %SystemDrive%\GAMES\KUAIYONG\NP_KYPLUGIN.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\OOBA\PDAPP\PPAPI\19B6FA36-5841-4C12-A457-EA8A733DDCC0.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref {6B9228DA-9C15-419E-856C-19E768A13BDC}\[CLSID]
delref {503739D0-4C5E-4CFD-B3BA-D881334F0DF2}\[CLSID]
delref {D28973E5-8630-41AF-8831-50A15FEB396B}\[CLSID]
delref %Sys32%\ALTTAB.DLL
delref %Sys32%\QAGENTRT.DLL
delref %Sys32%\TBSSVC.DLL
delref %Sys32%\LOCATIONNOTIFICATIONS.EXE
delref %SystemDrive%\PROGRAM FILES\WINDOWS MEDIA PLAYER\WMPDMCCORE.DLL
delref %Sys32%\MCXDRIV.DLL
delref %Sys32%\HOTSTARTUSERAGENT.DLL
delref %Sys32%\DRIVERS\RDPWD.SYS
delref %Sys32%\P2PHOST.EXE
delref %Sys32%\NAPIPSEC.DLL
delref %Sys32%\OCSETUP.EXE
delref %Sys32%\MSSHA.DLL
delref %Sys32%\APILOGEN.DLL
delref %Sys32%\IPBUSENUM.DLL
delref %Sys32%\OOBE\MSOOBEUI.DLL
delref %Sys32%\MCTADMIN.EXE
delref %Sys32%\DRIVERS\BTHLEENUM.SYS
delref %SystemDrive%\PROGRAM FILES\WINDOWS SIDEBAR\SIDEBAR.EXE
delref %Sys32%\DHCPQEC.DLL
delref %Sys32%\WWANADVUI.DLL
delref %Sys32%\DSHOWRDPFILTER.DLL
delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_121\BIN\NEW_PLUGIN\NPJP2.DLL
delref %SystemRoot%\INF\UNREGMP2.EXE
delref %Sys32%\BLANK.HTM
delref {45AC2688-0253-4ED8-97DE-B5370FA7D48A}\[CLSID]
delref {63D48440-63AB-44D0-B323-4731DFCDE9E9}\[CLSID]
delref {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0}\[CLSID]
delref {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9}\[CLSID]
delref {AF8D197E-7022-4C3D-BD88-68AD35C9C169}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\WIDCOMM\BLUETOOTH SOFTWARE\BTWPROXIMITYCP.DLL
delref HELPSVC\[SERVICE]
delref MBAMSERVICE\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref %Sys32%\DRIVERS\RDPENCDD.SYS
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\SMARTCARDSIMULATOR.SYS
delref %Sys32%\DRIVERS\VIRTUALSMARTCARDREADER.SYS
delref %Sys32%\DRIVERS\WUDFUSBCCIDDRIVER.SYS
delref %Sys32%\DRIVERS\DBX.SYS
delref %SystemDrive%\USERS\6EA9~1\APPDATA\LOCAL\TEMP\7ZIPSFX.002\BIN\TOOLS\OPENHARDWAREMONITOR\OPENHARDWAREMONITOR.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\ХОЗЯИН\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.65.1\PSUSER.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOST.EXE
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\RSTRUI.EXE
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.59.1\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemRoot%\SYSWOW64\INETSRV\IISRSTAS.EXE
delref E:\RUNTHIS.EXE
delref %SystemDrive%\USERS\ХОЗЯИН\APPDATA\LOCAL\MAIL.RU\GAMECENTER\NPDETECTOR.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\RED GIANT\BULLETPROOF\NPRGMEDIAPLAYER.DLL
delref {0E270DAA-1BE6-48F2-AC49-48522144542D}\[CLSID]
delref {44DDFF6C-385B-5EB3-BE6A-346595B7DE46}\[CLSID]
delref {5A8FF410-F3CE-4844-B31B-F18D911239E8}\[CLSID]
delref {72853161-30C5-4D22-B7F9-0BBC1D38A37E}\[CLSID]
delref {8ABE89E2-1A1E-469B-8AF0-0A111727CFA5}\[CLSID]
delref {B4F3A835-0E21-4959-BA22-42B3008E02FF}\[CLSID]
delref %SystemDrive%\USERS\ХОЗЯИН\DESKTOP\TOR BROWSER\BROWSER\FIREFOX.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GLOBUS\PRIVACYBROWSER\GLOBUSPRIVACYBROWSER.EXE
delref %SystemDrive%\GAMES\KUAIYONG\ЇМУГЖ»№ЫЦЪКЦ.EXE
apply

 

[demkd 636]

вот и отлично, видно что удаляется, мало того можно скорректировать при желании в очереди команд, а при не желании просто ручками вписать delnfr.

[PR55.RP55 83]

demkd

Гхм......

1) На форумах есть ограничение по числу символов в публикации.

2) Видно что удаляется... оно и в логе по: ALT+L всё будет прекрасно видно.

3) В скрипте после подсчёта видно, что он состоит из: 134 строк...

А ведь всё зависит от системы, от её состояния.

Эта система практически чистая.

В другой будет: 250 ? или 1000 ?

Это очень " удобно " для редактирования\корректирования.

5) А для ручек есть программа: FRST и пр.

[PR55.RP55 83]

+

по ходу тестирования и лечения систем появляются мысли.

Сейчас в браузерах установлено множество дополнений - ряд из них маскируют под известные расширения такие как: Adblock Plus  и их не отличить от легальных.
Для ряда браузеров например для Хрома проверка по V.T. невозможна. ( проблематична )

перед оператором возникает дилемма:

а) Крошить все расширения подряд
б) Всё пропускать и надеяться, что пришибёт сканерами.
с) Дать пользователю свободу выбора\принятия решения  - написать. как работать в uVS с браузерами.
В тоже время в программа: CCleaner  предлагает свой вариант.
Оператор получает возможность отключить ( в режиме вкл\выкл ) расширение не удаляя его.
Сервис > Дополнения браузеров.

http://www.piriform.com/news/release-announcements/2017/3/14/ccleaner-v528

Думаю, что без большого труда можно зафиксировать какие изменения в работу системы\программ вносит CCleaner  при применении команд вкл\выкл.

 

[PR55.RP55 83]

+

При работе с  реальной системой очередь команд - полезная функция.

Но при работе с образом очередь команд не нужна.

Предлагаю отключать её при работе с образом.