uVS - Тестирование

[alamor 69]

17 часов назад, demkd сказал:

Улучшена функция разбора параметров запуска браузеров.

Чтобы заметить это надо создать образ свежей версией или достачно смотреть свежей?

Вот сейчас у меня 11-я смотрю образ созданный в 10-й, там есть

Полное имя                  INC."
Имя файла                   INC."
Тек. статус                 [Запускался неявно или вручную] 
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную] 
                            
Доп. информация             на момент обновления списка
CmdLine                     "Facebook Gameroom Browser.exe" --type=gpu-process --no-sandbox --lang=en-US --log-file="C:\Users\KingSam\AppData\Local\Facebook\Games\debug.log" --log-severity=disable --user-agent="Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 CanvasFrame/1.3.1.3 Safari/537.36 FacebookCanvasDesktop [FBAN/GamesWindowsDesktopApp; FBAV/1.3.1.3]" --supports-dual-gpus=false --gpu-driver-bug-workarounds=6,17,18,21,24,37,65 --gpu-vendor-id=0x1002 --gpu-device-id=0x6758 --gpu-driver-vendor="Advanced Micro Devices, Inc." --gpu-driver-version=15.301.1901.0 --gpu-driver-date=2-26-2016 --lang=en-US --log-file="C:\Users\KingSam\AppData\Local\Facebook\Games\debug.log" --log-severity=disable --user-agent="Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 CanvasFrame/1.3.1.3 Safari/537.36 FacebookCanvasDesktop [FBAN/GamesWindowsDesktopApp; FBAV/1.3.1.3]" --service-request-channel-token=BA7096A5CB0B512368B64779DE6653D5 --mojo-platform-channel-handle=2252 /prefetch:2
                            

 

[demkd 636]

5 часов назад, alamor сказал:

Вот сейчас у меня 11-я смотрю образ созданный в 10-й, там есть

надо создавать новый образ.

[PR55.RP55 83]

В 11-b

Может это и случайность - но раньше я !!!!!!

в образах не видел.

-------------

Полное имя                  C:\USERS\BUH2\DESKTOP\!!!!!!!!!!!!!PLUGIN_06_12_16\!!!!!!!!!!!!!PLUGIN_06_12_16
Имя файла                   !!!!!!!!!!!!!PLUGIN_06_12_16
Тек. статус                 Chrome/Yandex
                            
Сохраненная информация      на момент создания образа
Статус                      Chrome/Yandex
                            
Extension_ID                hebhgiigcdkcebpbgmodejbldpgoghgi
Extension_name              
Extension_state             1
Extension_version           
Extension_installDate       2016-12-08 18:23
Extension_description       
Extension_homepageURL       
---------------------------
Полное имя                  C:\USERS\BUH2\DESKTOP\Ѝнвая ЯаЯЪа\!!!!!!!!!!!!!PLUGIN_06_12_16\!!!!!!!!!!!!!PLUGIN_06_12_16
Имя файла                   !!!!!!!!!!!!!PLUGIN_06_12_16
Тек. статус                 Chrome/Yandex
                            
Сохраненная информация      на момент создания образа
Статус                      Chrome/Yandex
                            
Extension_ID                mbjfohfkkdbngjljfkgnalkkfgihplck
Extension_name              
Extension_state             0
Extension_version           
Extension_installDate       2016-12-08 18:27
Extension_description       
Extension_homepageURL

--------------------

Мысли:

Сейчас в сигнатуры добавили команды: [ v ] unload    [ v ] delref    [ v ] del

А можно для формирования команд: AutoHide

добавить ?: [ v ] EXE    [   ] DLL    [   ] SYS     [   ] All types

Пример: добавили сигнатуру для: windowsupdate.exe

и если сигнатура сработала на: aaaa.dll или bbbb.sys то в скрипт _автоматически добавляется команда

hide aaaa.dll

hide bbbb.sys

 

 

 

[santy 153]

RP55,

а в uVS есть такая возможность - определить с какого типа файла снята сигнатура?

[PR55.RP55 83]

2 минуты назад, santy сказал:

RP55,

а в uVS есть такая возможность - определить с какого типа файла снята сигнатура?

А причём здесь это ?

uVS же различает файлы и с ними работает...

Речь об этом: https://ru.wikipedia.org/wiki/Формат_файла

Формат файла часто указывается в его имени, как часть, отделённая точкой

 

 

[santy 153]

при том,

что метод autohide (при запуске автоскрипта) работает для проверенных файлов, которые находятся в SHA или в белом списке,

и если эти файлы ошибочно попадают под действие сигнатур, то автоматически скрываются из списка командой hide.

допустим в момент проверки списка, сигнатура ELEX задетектировала группу файлов с расширением exe, dll, sys

может uVS определить (исходя из имени сигнатуры и добавленных 64байтов) - с какого типа (с каким расширением) файла была снята данная сигнатура?

[demkd 636]

55 минут назад, PR55.RP55 сказал:

Может это и случайность - но раньше я !!!!!!

какой версией uVS сделан образ?
какая версия Chrome и Yandex стоит?

35 минут назад, santy сказал:

а в uVS есть такая возможность - определить с какого типа файла снята сигнатура?

нет.

[santy 153]

5 минут назад, demkd сказал:

какой версией uVS сделан образ?
какая версия Chrome и Yandex стоит?

uVS v4.0b11 [http://dsrt.dyndns.org]: Windows Server 2008 R2 Standard x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

 

WIN-KO89SL7GPD5_2017-04-20_10-06-55.7z

[PR55.RP55 83]

12 минут назад, santy сказал:

uVS v4.0b11

Хром: 57.0.2987.133

А по поводу типов файлов.

Дело не в том может _сейчас определить, или нет.

Речь о подходе.

26 минут назад, santy сказал:

может uVS определить (исходя из имени сигнатуры и добавленных 64байтов) - с какого типа (с каким расширением) файла была снята данная сигнатура?

А оно нам надо ?

Речь о том какие файлы будут _исключены по: AutoHide

и по барабану из чего получена сигнатура.

 

[PR55.RP55 83]

+

Вот образ: http://zalil.su/2540502

[santy 153]

Только что, PR55.RP55 сказал:

А оно нам надо ?

Речь о том какие файлы будут _исключены по: AutoHide

и по барабану из чего получена сигнатура.

ну, ты тогда подробнее распиши свое предложение, чтобы было понятно о чем речь и как это предположительно должно работать.

и почему скрывать надо только dll &sys, а exe из белого списка или SHA должны удалиться, если попали под детект.

[PR55.RP55 83]

19 минут назад, santy сказал:

и почему скрывать надо только dll &sys, а exe из белого списка или SHA должны удалиться, если попали под детект.

Опять же о, чём речь ?

То, что я предлагаю не влияет на работу по базовой схеме.

Речь о _дополнении к имеющемуся функционалу.

т.е.: база проверенных sha1; известные\системные ; белый список ЭЦП

как работал так и будет работать на: hide

19 минут назад, santy сказал:

ты тогда подробнее распиши свое предложение, чтобы было понятно о чем речь и как это предположительно должно работать.

Я же написал...

1 час назад, PR55.RP55 сказал:

Сейчас в сигнатуры добавили команды: [ v ] unload    [ v ] delref    [ v ] del

Мы можем выбрать одну из трёх вышеперечисленных    __Команд..

или же выбрать все три.

Вот какая нам разница, из какого типа файла извлечена сигнатура ?

Я говорю о _Командах.

1 час назад, PR55.RP55 сказал:

добавить ?: [ v ] EXE    [   ] DLL    [   ] SYS     [   ] All types

Мы выбираем команды.

hide для:  [  v ] DLL    [ v ] SYS

А из какого файла была извлечена сигнатура нам до лампочки.

логические цепочки: верно при... верно для...

 

 

[PR55.RP55 83]

+

где команду: [ v  ] All types

Можно интерпретировать, как: верно для всех кроме...

( и задать исключение )

 

 

[PR55.RP55 83]

+

т.е. варианты:

hide для всех кроме: [ v ] EXE

hide только для: [  v ] DLL +  [ v ] ??? + [ v ] ???

hide для всех [ v  ] All types  кроме ХХХ

 

[santy 153]

короче, RP55,

констатирую, что логика у тебя рыхлая, видимо без базового технического, что вообщем то удивительно.
потому что на уровне идей дело обстоит лучше.
чем подробнее объясняешь, тем меньше хочется во всей этой путнице разбираться.
безо всякой привязки к тому что уже сделано и работает роешь свои потайные ходы.
------------
желательно в одном сообщении делать развернутое предложение:
зачем это предложение,
что оно дает к тому, что уже сделано в этом направлении
как это может быть связано с тем что уже сделано, и как должно работать....
если не хватает логики, поясняй на простом примере.

[demkd 636]

Посмотрел образ видимо именно такой и был в оригинале, никаких проблем с русскими буквами у этой версии chrome нет.

Что касается

2 часа назад, PR55.RP55 сказал:

А можно для формирования команд: AutoHide

добавить ?: [ v ] EXE    [   ] DLL    [   ] SYS     [   ] All types

Отклоняется, не вижу никакого смысла в подобных конструкциях особенно на базе сигнатуры.

[demkd 636]

Ибо некоторые программные продукты просто уже достали своими не отключаемыми блоками.
Дополнительно вроде как полечил часики вместо курсора, просто подвигав им в конце обновления списка, а вот курсор со стрелкой и часиками не лечится никак, но это видно только при запуске с флагом bFastLoad.

---------------------------------------------------------
 4.00 Beta 12
---------------------------------------------------------
 o Добавлен механизм обхода защиты от модификации параметров браузеров используемой некоторыми системами "проактивной защиты".

 

[PR55.RP55 83]

2 часа назад, santy сказал:

не хватает логики

Да, нашёл ошибку.

Увлёкся 

Ошибка в том, что: хрен его знает какие именно файлы попадут под: hide

----------

Demkd

Ошибка в новой версии: сигнатуры не добавляются в скрипт.
+
Если оператор применил команду: Статус > проверенный.
и при этом файл попал под сигнатуру - то для данного файла должна автоматически применяться команда: hide

( это же очевидно - раз оператор признал файл проверенным )

 

 

[PR55.RP55 83]

+

По поводу очереди команд.

Если в очереди нет записи - то...  ( см. фото )

Это будет и правильно и более информативно.

[PR55.RP55 83]

+

По поводу  подмены сайтов и замены латинских букв на кириллические.

типа:

WWW.GOOGLE.COM/   на  WWW.GооGLE.COM

www.apple.com/  на  www.APPLе.com/

в версии: 33.3

o Улучшена функция анализа имен файлов, теперь файлы с чередованием в имени некоторых
   ASCII и NON-ASCII символов считаются подозрительными.

По идее это должно относиться и к сайтам.

Ведь в образах\системах куча ссылок и нужно отличать легитимную запись от левой.

+

https://www.anti-malware.ru/news/2017-04-19/22783

[alamor 69]

demkd, сейчас под рукой образа нет, но вспомнилось, что раньше просили добавить возможность URL например от MS в базу безопасных. Тогда был дан ответ, что там надо менять структуру в текущем варианте не возможно. Раз сейчас меняется структура, то может стоит и это реализовать?
 

[PR55.RP55 83]

alamor

Полное имя                  C:\PROGRAM FILES (X86)\FIREBIRD\FIREBIRD_2_0\DOC\AFTER_INSTALLATION.URL
Имя файла                   AFTER_INSTALLATION.URL
Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
Размер                      63 байт
Создан                      11.04.2014 в 17:11:44
Изменен                     28.03.2008 в 13:45:28
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
                            
Доп. информация             на момент обновления списка
SHA1                        1E0DBF18A32BB3D6FBE1B5FBE2883298064F8FFA
MD5                         89C80A903264535AC6BF32728B5E2C0B
                            
#FILE#                      [InternetShortcut]
URL=http://www.firebirdsql.org/afterinstall
                            
Ссылки на объект            
SHORTCUT                    C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\FIREBIRD 2.0\After Installation.lnk
-----------

Если на то пошло то сделать SHA для объектов типа: HTTP://

[PR55.RP55 83]

2 минуты назад, PR55.RP55 сказал:

#FILE#                      [InternetShortcut]
URL=http://www.firebirdsql.org/afterinstall

И заодно проверять и эти записи в Инфо на наличае: ASCII и NON-ASCII символов

( считаются подозрительными )

[demkd 636]

45 минут назад, PR55.RP55 сказал:

Если на то пошло то сделать SHA для объектов типа: HTTP://

42 минут назад, alamor сказал:

раньше просили добавить возможность URL например от MS в базу безопасных.

это возможно с v3.84

2 часа назад, PR55.RP55 сказал:

Ошибка в новой версии: сигнатуры не добавляются в скрипт.

Не вижу проблемы, все работает.

2 часа назад, PR55.RP55 сказал:

( это же очевидно - раз оператор признал файл проверенным )

Вовсе нет, мало ли чего там оператор себе в базу накидал, это требует ручного подтверждения.

1 час назад, PR55.RP55 сказал:

www.apple.com/  на  www.APPLе.com/

я подумаю.

[PR55.RP55 83]

38 минут назад, demkd сказал:

HTTP://

При работе с образами этого нет.

нет в инфо: SHA

39 минут назад, demkd сказал:

3 часа назад, PR55.RP55 сказал:

Ошибка в новой версии: сигнатуры не добавляются в скрипт.

Не вижу проблемы, все работает.

пример на видео: http://zalil.su/8889833

так даже лучше - но разве об этом где то написано ?

48 минут назад, demkd сказал:

3 часа назад, PR55.RP55 сказал:

( это же очевидно - раз оператор признал файл проверенным )

Вовсе нет, мало ли чего там оператор себе в базу накидал, это требует ручного подтверждения.

А причём здесь база ?

Я говорю о командах отданных оператором...

Я же так и написал: " оператор применил команду: Статус > проверенный. "