uVS - Тестирование

[PR55.RP55 83]

+

к предыдущему сообщению.

BROWSER.BAT
BROWSER0.BAT
BROWSER1.BAT
BROWSER.BAT.EXE
CHROME.BAT
CHROME.BAT.EXE
FIREFOXPORTABLE.BAT
KОMЕTА.BАT
IEXPLORE.BAT
LАUNСHЕR.BАT.EXE
PUNTO.BAT
SVCHOST.BAT

Кому будет плохо если я используя фильтр - ( при работе с образом ) и  удалю все эти объекты.

Тем более, что есть очередь, где можно скорректировать команды.

Это вопрос квалификации оператора.

[demkd 636]

29 минут назад, PR55.RP55 сказал:

1) Очевидно, что команда: del  здесь лишняя.

это да, впрочем она будет просто поигнорирована.

29 минут назад, PR55.RP55 сказал:

2) Команды: delall; del  

идут в перемешку.

команды идут применительно к объекту, сперва один потом другое, другой сортировки не будет, она не нужна.

29 минут назад, PR55.RP55 сказал:

А если фильтр пустой - то удаляться _все сигнатуры...

Да, я ничего не запрещаю, хотите удаляйте.

Кому будет плохо если я используя фильтр - ( при работе с образом ) и  удалю все эти объекты.

есть автоскрипт, который легко справится с этой задачей, хотя сама по себе идея удаления по расширению достаточно глупая.

 

[PR55.RP55 83]

19 минут назад, demkd сказал:

это да, впрочем она будет просто поигнорирована.

Это лишнее - есть ограничения на число символов в публикации на форумах.

19 минут назад, demkd сказал:

команды идут применительно к объекту

да.

Но хотя бы: http в отдельный блок.

19 минут назад, demkd сказал:

47 минут назад, PR55.RP55 сказал:

А если фильтр пустой - то удаляться _все сигнатуры...

Да, я ничего не запрещаю, хотите удаляйте.

Для того, чтобы очистить базу - оператор удалит сам файл базы.

А раз написано с _учётом фильтра - то здесь _необходимо игнорировать команду если фильтр пуст.

19 минут назад, demkd сказал:

идея удаления по расширению достаточно глупая.

насколько я помню в AVZ есть команда удаления файлов каталогов по типу расширения = фильтр.

Я говорю прежде всего о применении фильтра: А с чем работать с расширениями файлов, или ещё с чем это должен решать оператор.

А с автоскрптом работает 3-4 человека.

 

 

[santy 153]

9 часов назад, demkd сказал:

---------------------------------------------------------
 4.00 Beta 9
---------------------------------------------------------
 o Исправлена ошибка в функции эмуляции "Убить все вирусы", при работе с образом в очередь добавлялись дублирующие работу delvir команды.

 o Функции "Проверить список" и "Добавить вирус" больше не добавляют в скрипт команды addsgn/bl/zoo.

 o Обновлена функция "Убить все вирусы" функция добавляет в скрипт команды addsgn/bl/zoo и комментарий для всех файлов имеющих статус вирус
   в соответствии с флагами bAutoZooOnF7/bAutoBLOnF7/bAddComment.

 o Оптимизирована и улучшена функция автоскрипта.

 o Добавлена поддержка фильтрующего поиска в очереди команд и списке сигнатур.

 o Добавлена возможность удалять все сигнатуры прошедшие фильтр.

demkd,

по новой бетке такие наблюдения:

1. почему то дата создания или модификации сигнатур все время меняется, точнее меняется на дату открытия образа. сегодня у меня все сигнатуры имеют дату создания 2017-04-14, перевел системную дату на 15 апр, чтобы проверить гипотезу, и так и есть. после нового запуска uVS и открытия образа дата создания сигнатур стала 2017-04-15

2. по функции автоскрипта: стало лучше, но косяки похоже остались еще:.

вот новый скрипт, созданный функцией автоскрипта по образу, который был прикреплен выше.

scrypt_am2.txt

здесь видим, что в скрипт попала часть команд удаления ссылок delref, которые сформированы в delvir согласно флагам сигнатур.

(по идее они должны были развернуться при запуске скрипта на реальной системе.)
 

Цитата

 

......

chklst
delvir

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\START MENU\PROGRAMS\STARTUP\LPK.DLL
delref %SystemRoot%\SHELLNEW\SEMPALONG.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\NETWORKSERVICE\LOCAL SETTINGS\APPLICATION DATA\SMSS.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\APPLICATION DATA\MICROSOFT\DEFENDER\LAUNCH.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\SMSS.EXE

delref HTTP:\\WWW.2626.COM\?YINGWEN
apply

 

команды из стандартной очистки автоматически добавились в скрипт - это хорошо, а то в предыдущих бетках забывал "принять изменения".

но тогда apply видимо должен быть ниже.

 

[santy 153]

7 часов назад, PR55.RP55 сказал:

SVCHOST.BAT

Кому будет плохо если я используя фильтр - ( при работе с образом ) и  удалю все эти объекты.

Тем более, что есть очередь, где можно скорректировать команды.

Это вопрос квалификации оператора.

ну, такой оператор у нас видимо один, в отличие от количества тех, кто использует автоскрипт (3-4),

так что затачивать uVS под единственного оператора тоже не есть гут.

тем более, что уже есть технология в uVS для таких фишек: создание критериев.

ты можешь и файловый критерий создать со списком тех расширений, которые хочется автоматически удалять.

[demkd 636]

1 час назад, santy сказал:

1. почему то дата создания или модификации сигнатур все время меняется

Потому что ты используешь базу старого формата, она каждый раз конвертируется в новый формат, а сигнатуры не модифицируешь, потому она не сохраняется при выходе... но вообще, да это косяк, добавлю принудительное сохранение в случае конвертации.

1 час назад, santy сказал:

2. по функции автоскрипта: стало лучше, но косяки похоже остались еще:.

Проверил, у меня почему то этого участка нет и выглядит вот так:

; C:\DOCUMENTS AND SETTINGS\NETWORKSERVICE\LOCAL SETTINGS\APPLICATION DATA\WINLOGON.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\NETWORKSERVICE\LOCAL SETTINGS\APPLICATION DATA\WINLOGON.EXE
chklst
delvir

apply

regt 2
regt 3
deltmp
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]

кинь мне свой settings.ini
хотя может ты перед автоскриптом проверял по критериям и эти файлы попали под критерии?
 

[santy 153]

1 час назад, demkd сказал:

кинь мне свой settings.ini
хотя может ты перед автоскриптом проверял по критериям и эти файлы попали под критерии?

скинул файл настроек в почту.

конечно, перед функцией автоскрипт идет автоматическая проверка (после открытия образа) по сигнатурам и критериям.

да, критерии по этим выпадающим файлам сработали, но они, по идее, не должны приниматься во внимание при формировании скрипта функцией автоскрипта, потому что по этим файлам есть и сигнатурный детект.

(который имеет высший приоритет)

т.е. из всего что попало в скрипт, только этот объект со статусом ?ВИРУС?

delref HTTP:\\WWW.2626.COM\?YINGWEN

остальные попали под добавленные сигнатуры.

[demkd 636]

1 час назад, santy сказал:

да, критерии по этим выпадающим файлам сработали, но они, по идее

Ну так то по идее, надо будет доработать этот вариант когда и то и то срабатывает.

[santy 153]

19 минут назад, demkd сказал:

Ну так то по идее, надо будет доработать этот вариант когда и то и то срабатывает.

такое часто бывает.

Даже если сработали только критерии, там где возможно может быть добавлена сигнатура с последующей перепроверкой chklst, перед тем как будет запущена функция автоскрипта.

[demkd 636]

Вроде недочеты все исправил, остались мелкие недоделки и новые ключи для win10 добавить и можно будет релизить 4.0
---------------------------------------------------------
 4.00 Beta 10
---------------------------------------------------------
 o Вирусная база теперь немедленно сохраняется при конвертации из старого формата.

 o Исправлена ошибка в функции обработки команды addsgn.

 o Изменена функция горячей клавишы Del теперь она соответсвует пункту контекстного меню Статус->Скрыть файл.

 o Оптимизирована функция автоскрипта.

 o Для объектов не являющихся файлом при добавлении команды в очередь фильтруются флаги unload и del.

 o Удаление сигнатур с учетом фильтра доступно только при не пустом фильтре.

 

[santy 153]

27 минут назад, demkd сказал:

---------------------------------------------------------
 4.00 Beta 10
---------------------------------------------------------
 o Вирусная база теперь немедленно сохраняется при конвертации из старого формата.

 o Исправлена ошибка в функции обработки команды addsgn.

 o Изменена функция горячей клавишы Del теперь она соответсвует пункту контекстного меню Статус->Скрыть файл.

 o Оптимизирована функция автоскрипта.

 o Для объектов не являющихся файлом при добавлении команды в очередь фильтруются флаги unload и del.

 o Удаление сигнатур с учетом фильтра доступно только при не пустом фильтре.

demkd,

по текущей бетке:

1. ошибка по вирусной базе sgns ушла, теперь вижу что дата создания или модификации сохраняется, после перевода системной даты.

2. скрипт теперь вроде нормально формируется в автоскрипте, единственно вопрос: тут похоже будет две очереди, будет ли приняты изменения по командам очереди, формируемой функцией стандартной очистки, поскольку нет в конце скрипта завершающего  apply?

script_am3.txt

Цитата

 

........

delref {E2E2DD38-D088-4134-82B7-F2BA38496583}\[CLSID]
delref {FB5F1910-F110-11D2-BB9E-00C04F795683}\[CLSID]
;-------------------------------------------------------------

restart
czoo

 

script_am3.txt

[demkd 636]

22 минут назад, santy сказал:

будет ли приняты изменения по командам очереди, формируемой функцией стандартной очистки, поскольку нет в конце скрипта завершающего  apply?

в конце скрипта не обязан стоять apply он будет применен при окончанию выполнения в реальной систем в любом случае.

[PR55.RP55 83]

Demkd

1) После открытия образа и автоматического выполнения всех операций.

Продолжают висеть часы ожидания ( до того момента пока не двинуть мышью )

2) Хотелось бы всё таки иметь возможность создавать критерии на базе сигнатуры.

3) Сменить номер версии с: 3 на номер 4 в окне запуска.

[PR55.RP55 83]

+

В процессе написания скрипта при многократном применении команды: Ctrl + Z

Программа начинает виснуть и тормозить.

Я помню, что лимит отмены это 8 команд.

Но сейчас же всё идёт в перемешку: apply < > Ctrl + Z < > apply < > Ctrl + Z < > Ctrl + Z

Да и оператор не будет считать сколько раз он применил: Ctrl + Z

И применял он до: apply  или после и т.д.

[PR55.RP55 83]

+

И всё таки в очередь команд должны помещаться все команды.

Или оператор должен иметь возможность настроить settings.ini соответствующим образом.

А сейчас это шизофрения.

10 команд в скрипте - одна в очереди.

и т.д. винегрет.

 

[santy 153]

RP55,
реально, достаточно бывает одного, максимум двух откатов. Если же хочется сделать 5-10 откатов, то проще выполнить "отменить все", и с чистого листа писать скрипт.

------------

очередь нужна не для визуализации скрипта (визуализация здесь не главное, и проверки по VT здесь совсем не обязательны... получается, вначале удаляем файл, а затем в очереди смотрим, а что же мы удаляем), а для ускорения выполнения скрипта. Т.е. это совсем разные вещи. (ты просил когда-то ускорения выполнения скрипта - вот через очередь теперь все работает и скрипт выполняется значительно быстрее). а шизофрения, видимо в отдельно взятой голове от отдельного оператора. Результат всех действий смотрим на выходе. Alt+S.

[PR55.RP55 83]

47 минут назад, santy сказал:

достаточно бывает одного, максимум двух откатов

Здесь речь не о том достаточно, или нет - речь о тестировании программы.

о её работе.

и о сочетании ( или не сочетании )  связки: apply < > ( очередь команд ) < > Ctrl + Z

47 минут назад, santy сказал:

очередь нужна не для визуализации скрипта (визуализация здесь не главное,

Главное, или нет - а оператор должен всё видеть и контролировать.

Что мешает помещать в очередь все команды ?

Кому от этого будет хуже ?

[santy 153]

7 часов назад, PR55.RP55 сказал:

Главное, или нет - а оператор должен всё видеть и контролировать.

когда продукт будет называться Visual Universal Virus Sniffer Studio, тогда это будет главным.

[alamor 69]

Если возможно, то было бы неплохо улучшить обработку командной строки для подобных случаев

Имя файла
--ANNOTATION=VER=57.0.2987.133
CmdLine
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --type=crashpad-handler /prefetch:7 "--database=C:\Users\Серж\AppData\Local\Google\Chrome\User Data\Crashpad" "--metrics-dir=C:\Users\Серж\AppData\Local\Google\Chrome\User Data" --url=https://clients2.google.com/cr/report --annotation=channel= --annotation=plat=Win32 --annotation=prod=Chrome --annotation=ver=57.0.2987.133 --initial-client-data=0xa0,0xa4,0xa8,0x9c,0xac,0x5dc87dc8,0x5dc87dbc,0x5dc87dd4

Имя файла
--DEVICE-SCALE-FACTOR=1.5
CmdLine
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --type=ppapi --field-trial-handle=1244 --ppapi-flash-args --lang=ru --device-scale-factor=1.5 --ppapi-antialiased-text-enabled=1 --ppapi-subpixel-rendering-setting=1 --service-request-channel-token=CE52846CF6E392CA5C73B2A67FBFC7BD --mojo-platform-channel-handle=4376 --ignored=" --type=renderer " /prefetch:3
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --type=renderer --field-trial-handle=1244 --primordial-pipe-token=995120B25D63F6546D05F4F7AD0D01C2 --lang=ru --enable-offline-auto-reload --enable-offline-auto-reload-visible-only --blink-settings=disallowFetchForDocWrittenScriptsInMainFrame=false,disallowFetchForDocWrittenScriptsInMainFrameOnSlowConnections=true --enable-pinch --device-scale-factor=1.5 --num-raster-threads=2 --enable-main-frame-before-activation --content-image-texture-target=0,0,3553;0,1,3553;0,2,3553;0,3,3553;0,4,3553;0,5,3553;0,6,3553;0,7,3553;0,8,3553;0,9,3553;0,10,3553;0,11,3553;0,12,3553;0,13,3553;0,14,3553;0,15,3553;1,0,3553;1,1,3553;1,2,3553;1,3,3553;1,4,3553;1,5,3553;1,6,3553;1,7,3553;1,8,3553;1,9,3553;1,10,3553;1,11,3553;1,12,3553;1,13,3553;1,14,3553;1,15,3553;2,0,3553;2,1,3553;2,2,3553;2,3,3553;2,4,3553;2,5,3553;2,6,3553;2,7,3553;2,8,3553;2,9,3553;2,10,3553;2,11,3553;2,12,3553;2,13,3553;2,14,3553;2,15,3553;3,0,3553;3,1,3553;3,2,3553;3,3,3553;3,4,3553;3,5,3553;3,6,3553;3,7,3553;3,8,3553;3,9,3553;3,10,3553;3,11,3553;3,12,3553;3,13,3553;3,14,3553;3,15,3553 --service-request-channel-token=995120B25D63F6546D05F4F7AD0D01C2 --renderer-client-id=11 --mojo-platform-channel-handle=5092 /prefetch:1

Имя файла
--GPU-DRIVER-VERSION=9.18.13.4448
CmdLine
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --type=gpu-process --field-trial-handle=1244 --disable-direct-composition --supports-dual-gpus=false --gpu-driver-bug-workarounds=7,10,18,19,20,23,41,74 --disable-gl-extensions="GL_KHR_blend_equation_advanced GL_KHR_blend_equation_advanced_coherent" --gpu-vendor-id=0x10de --gpu-device-id=0x1200 --gpu-driver-vendor=NVIDIA --gpu-driver-version=9.18.13.4448 --gpu-driver-date=10-16-2014 --service-request-channel-token=3F27250263CE1235B20DF5C59BB4CD29 --mojo-platform-channel-handle=1252 --ignored=" --type=renderer " /prefetch:2

Имя файла
--URL=HTTPS://CLIENTS2.GOOGLE.COM/CR/REPORT
CmdLine
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --type=crashpad-handler /prefetch:7 "--database=C:\Users\Серж\AppData\Local\Google\Chrome\User Data\Crashpad" "--metrics-dir=C:\Users\Серж\AppData\Local\Google\Chrome\User Data" --url=https://clients2.google.com/cr/report --annotation=channel= --annotation=plat=Win32 --annotation=prod=Chrome --annotation=ver=57.0.2987.133 --initial-client-data=0xa0,0xa4,0xa8,0x9c,0xac,0x5dc87dc8,0x5dc87dbc,0x5dc87dd4

 

[demkd 636]

10 часов назад, alamor сказал:

Если возможно, то было бы неплохо улучшить обработку командной строки для подобных случаев

да, там много мусора сейчас

[demkd 636]

---------------------------------------------------------
 4.00 Beta 11
---------------------------------------------------------
 o Улучшена функция разбора параметров запуска браузеров.

 o Добавлена возможность использовать критерии на обнаруженные сигнатуры.
   (только при работе с образом)

 o В список для проверки добавлены новые ключи реестра.

 

[PR55.RP55 83]

В 14.04.2017 at 10:44 PM, PR55.RP55 сказал:

1) После открытия образа и автоматического выполнения всех операций.

Продолжают висеть часы ожидания ( до того момента пока не двинуть мышью )

Чего раньше не было.

[demkd 636]

всегда это было, это глюки windows ему не нравится как стратует uVS, поэтому может висеть курсор с часиками, типа uVS еще запускается.

[PR55.RP55 83]

Demkd

Специально проверил на нескольких версиях: 3*  нет такого.

 

[santy 153]

по разному бывает. на рабочей  системе win7x64 часиков нет при создании образа и при открытии образа.

т.е. после завершения построения списка, восстанавливается статическая форма курсора.

на XP посмотрел - при открытии образа тоже все ок, при создании образа курсор восстановился, только после движения мыши,