uVS - Тестирование - Страница 18 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

PR55.RP55
29 минут назад, demkd сказал:

Пока ничего не планируется изменять.

А если способ формирования сигнатур будет по выбору оператора  из 2-3 вариантов...

т.е. Оператор добавил сигнатуру по алгоритму №1 > проверил список > в итоге ложное срабатывание >

отменил команду > и добавил сигнатуру по алгоритму №2 > проверил список...

----------

Но, мне нравиться вариант с ограничением действия сигнатур по площади поражения.

т.е. надо менять площадные  Град; Ураган  на точечный  Искандер.  ;)

Здесь так: Добавили сигнатуру > проверили список > Выбрали нужную строку в которой прописан нужный путь

и скорректировали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

посмотри, плиз, по утилите CmpImg
сравнили очищенную систему, и вновь зараженную майнером.

Цитата

 

CmpImg v1.01 Copyright(c) 2011-14 D.Kuznetzoff [demkd@mail.ru]
http://dsrt.dyndns.org

Loading OLD image: SERV-1C_2017-07-11_11-28-09.TXT
Loading NEW image: SERV-1C_2017-07-12_16-34-20.TXT

Autorun: New
C:\WINDOWS\TEMP\KPROCESSHACKER.SYS
Total:1

Applications: New
DriverPack Solution Updater
Total:1

Autorun: Removed
C:\USERS\СТЕПАНЕНКО\APPDATA\ROAMING\CONSULTANTPLUS\LIB\SCONS.DLL
Total:1

Modified:
C:\PROGRAM FILES (X86)\TEAMVIEWER\OUTLOOK\TEAMVIEWERMEETINGADDINSHIM.DLL
C:\PROGRAM FILES (X86)\TEAMVIEWER\TEAMVIEWER.EXE
C:\PROGRAM FILES (X86)\TEAMVIEWER\TEAMVIEWER_RESOURCE_RU.DLL
C:\PROGRAM FILES (X86)\TEAMVIEWER\TEAMVIEWER_SERVICE.EXE
C:\PROGRAM FILES (X86)\TEAMVIEWER\TEAMVIEWER_STATICRES.DLL
C:\PROGRAM FILES (X86)\TEAMVIEWER\TV_W32.DLL
C:\PROGRAM FILES (X86)\TEAMVIEWER\TV_W32.EXE
C:\PROGRAM FILES (X86)\TEAMVIEWER\TV_X64.DLL
C:\PROGRAM FILES (X86)\TEAMVIEWER\TV_X64.EXE
C:\WINDOWS\SYSTEM32\RASAUTO.DLL
C:\WINDOWS\SYSTEM32\SACSVR.DLL
Total:11

No SHA1:

Total:1

Changed status:
C:\PROGRAM FILES\ESET\ESET FILE SECURITY\X86\EKRN.EXE
C:\WINDOWS\SYSTEM32\CONHOST.EXE
C:\WINDOWS\SYSTEM32\MMC.EXE
C:\WINDOWS\SYSTEM32\VIAKARAOKESRV.EXE
C:\WINDOWS\SYSTEM32\WUAUCLT.EXE
C:\WINDOWS\SYSWOW64\VMNETDHCP.EXE
Total:6

 

здесь не попал файлик из процессов.

(в данном случае это майнер)

C:\CONSLOCALUSERDATA\SVCHOST.EXE

оба образа отправлены в почту, поскольку превышен допустимый размер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
2 часа назад, santy сказал:

здесь не попал файлик из процессов.

а он и не должен был попасть сравнение производится лишь того что попадает в автозапуск, иначе в списке будет масса процессов которые запускаются вручную.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

логика, конечно определенная есть в том, чтобы не сравнивать процессы в старом и новом образе,

но может быть следует тогда хотя бы показать новые процессы по файлам в новом образе, которых не было в старом образе?

-------

и запускается он вобщем не вручную, а через системный svhost.exe

parentid=1000 C:\WINDOWS\SYSTEM32\SVCHOST.EXE

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

оно конечно можно, но тогда по логике придется и dll загруженные тянуть туда, а это будет каша, хотя можно какой-нибудь ключ добавить что бы сравнивалось все активное не в автозапуске

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

С анализом даты компиляции зашитой в exe ничего не вышло, слишком много системных файлов с мусором вместо валидного отпечатка.
Говорят есть еще проблема со сбросом админ пароля для Win10, но до этого руки еще не дошли.

---------------------------------------------------------
 4.0.7
---------------------------------------------------------
 o Добавлена функция автоматической загрузки реестров пользователей.
   Это устраняет проблемы со входом в рабочую станцию и переключением пользователем на удаленном компьютере.

 o Функции бэкапа и восстановления реестра теперь сохраняют хайвы "DRIVERS" и "COMPONENTS".
   Как показала практика, восстановление относительно старой копии реестра без этих хайвов может привести к _неизлечимым_ проблемам в работе системы обновлений Windows.
   Восстановление копии без этих хайвов (без риска потенциальных проблем) возможно лишь до установки обновления Windows.
   (!) Если вы используете ERUNT или аналог в Windows Vista и старше то не используйте копию реестра если с момента ее создания было установлено одно и более обновлений Windows.
   (!) В каталоге Windows\System32\config\RegBack (даже для Windows 10) не содержатся "DRIVERS" и "COMPONENTS", поэтому при восстановлении из этой копии возможны проблемы.

 o Добавлена настройка цветового выделения для файлов со статусом ?ВИРУС?

 o Функции бэкапа и восстановления реестра теперь сохраняют реестры пользователей, включая системные.
   Автоматическая перезагрузка при восстановлении реестра отключена.  
   В будущем функция бэкапа и восстановления будет выделена в отдельную утилиту.

 o Оптимизирована функция сбора информации о файле.

 o Исправлена ошибка WMI при работе с удаленной системой.
   (Getting IWbemLocator insatance failed в логе)

 o Исправлена ошибка в окне установленных программ: клавиша Del не удаляла записи из реестра.

 o Исправлена ошибка в функции эмуляции удаления каталога при работе с образом.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
грум

demkd извиняюсь вот это я что-то не понял.

3 часа назад, demkd сказал:

   (!) Если вы используете ERUNT или аналог в Windows Vista и старше то не используйте копию реестра если с момента ее создания было установлено одно и более обновлений Windows.

Бэкап не будет создаваться или что? Или ERUNTом  делать бекап? И еще команда BREG будет отрабатывать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, грум сказал:

Бэкап не будет создаваться или что?

все ж написано

1 час назад, грум сказал:

И еще команда BREG будет отрабатывать?

будет, причем сохранятся теперь будет весь реестр.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.0.8
---------------------------------------------------------
 o Добавлена поддержка утилиты ABR (http://dsrt.dyndns.org/files/abr.zip)
   Формат сохраняемого реестра унифицирован с ABR.

 o В лог выводится текущий пользователь для неактивной системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

а где должна располагаться утилита abr? в текущем каталоге uVS? чтобы ее можно было вызвать из uVS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
11 часов назад, santy сказал:

а где должна располагаться утилита abr? в текущем каталоге uVS? чтобы ее можно было вызвать из uVS.

ABR это самодостаточная утилита для автобэкапа и восстановления реестра, аналог ERUNT-а только правильно работает в отличие от него и никак не зависит от прав текущего пользователя в режим сервиса. В uVS функции сохранения реестра полностью идентичные тем что в ABR, т.е. если сохранить реестр uVS-ом то восстановить его можно будет с помощью restore из ABR, если закинуть restore в каталог с сохраненным реестром и наоборот uVS теперь автоматически находит копии сделанные ABR (по дефолтному пути сохранения) и способен восстанавливать реестр из этих копий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

а что я делаю не так?
 

Цитата

 

запустил uVS от администратора в нормальном режиме. Выполняю функцию: Файл - бэкап реестра.

Процесс сохранения реестра займет несколько минут, отпустите мышь и клавиатуру...

Ошибка при сохранении SYSTEM  [Системе не удается найти указанный путь. ]

Ошибка при сохранении SOFTWARE  [Системе не удается найти указанный путь. ]

Ошибка при сохранении DEFAULT  [Системе не удается найти указанный путь. ]

Ошибка при сохранении SAM  [Системе не удается найти указанный путь. ]

Ошибка при сохранении SECURITY  [Системе не удается найти указанный путь. ]

Ошибка при сохранении COMPONENTS  [Системе не удается найти указанный путь. ]

и т.д.

 

uVS v4.0.8 [http://dsrt.dyndns.org]: Windows 7 Enterprise x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
грум

У меня тоже также. Windows 10 64 бит.

Снимок.PNG

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
3 часа назад, santy сказал:

а что я делаю не так?

это целевой каталог в system32\config не создался, исправлю, ошибка проявляется только в 64-х битных системах, создание каталога стояло до отключения редиректора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.0.9
---------------------------------------------------------
 o При создании каталога под бэкап реестра не отключался системный редиректор.
   (для x64 систем)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

---------------------

Полное имя                  C:\WINDOWS\SYSTEM32\BROWSER.DLL
Имя файла                   BROWSER.DLL
Тек. статус                 ИЗВЕСТНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST] Chrome/Yandex
                            
Сохраненная информация      на момент создания образа
Статус                      ИЗВЕСТНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST] Chrome/Yandex
                            
Оригинальное имя            browser.dll.mui
Версия файла                10.0.15063.0 (WinBuild.160101.0800)
Описание                    Библиотека DLL службы браузера компьютеров
Производитель               Microsoft Corporation
                            
Доп. информация             на момент обновления списка
Стартовая страница          Chrome
                            
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\Browser\Parameters\ServiceDLL
ServiceDLL                  %SystemRoot%\System32\browser.dll

------------------

У меня такое впечатление, что информация в Инфо. по файлу не полная.

------------------

2) Я тут периодически  simplix почитываю.

https://forum.simplix.ks.ua/viewtopic.php?pid=23986#p23986

В части:  

Цитата

    

Дополнительно в последних версиях SmartFix анализирует автозагрузку до лечения из системы и отправляет хеши подписанных файлов мне, а я периодически проверяю их на VirusTotal и в случае положительного срабатывания добавляю в базу. В планах есть желание автоматизировать эту процедуру с помощью Autoruns 

В принципе  споит скооперироваться с simplix  и совместно решить задачу "чёрных" ЭЦП

тем более, что для uVS запросы к VirusTotal  не проблема.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dragokas

Здравствуйте, Дмитрий!

Можете, пожалуйста, сделать корректировку для утилиты ABR ?

Лог из Win2k:

Цитата

C:\WINNT\ABR
Backup of SYSTEM successfully completed
Backup of SOFTWARE successfully completed
Backup of DEFAULT successfully completed
Backup of SAM successfully completed
Backup of SECURITY successfully completed
(!) Unable to open key: [Отказано в доступе. ]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList

Когда вы открываете ключи, в Win2k нельзя передавать флаг WOW64_64Key в функцию RegOpenKeyEx. Конкретно в win2k / 2k server это будет приводить к коду 5.

С уважением,

Станислав.

Отредактировал Dragokas

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
5 часов назад, Dragokas сказал:

Когда вы открываете ключи, в Win2k нельзя передавать флаг WOW64_64Key в функцию RegOpenKeyEx.

Да, так и есть, ошибка при открытии ключа, исправлю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

https://forum.simplix.ks.ua/viewtopic.php?pid=23985#p23985

http://www.tehnari.ru/2510186-post11.htm

В FRST вижу записи типа:

HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ATTENTION

Может твик по очистке ?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
48 минут назад, PR55.RP55 сказал:

Может твик по очистке ?

может быть и стоит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
45 минут назад, demkd сказал:

может быть и стоит.

Тогда нужно в Инфо. дополнительно писать:

HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions)

или, что - то наподобие + дублировать записи в ЛОГ.

Чтобы оператор это видел.

+

Если, данный сертификат содержится в wdsl - то, твик очистки применяется

" автоматически ".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dragokas
8 часов назад, demkd сказал:

Да, так и есть, ошибка при открытии ключа, исправлю.

Спасибо. 

Хочу сделать предложение. В x64 Windows RE можно запускать только x64 приложения, т.к. не инициализируется подсистема WOW. Было бы очень удобно всегда иметь под рукой 2 restore.exe, один под x32, другой под x64, и например, копировать в c:\Windows\ABR\<Дата> нужный в зависимости от разрядности ОС. Это несложно сделать? Тогда, если система случайно будет "убита" через реестр, можно легко загрузиться в среду восстановления и сделать откат, подставив нужную букву диска к restore, как у вас сейчас сделано.

Не знаю баг ли, запускал в x32 Windows 7 RE, restore без ключей (да, знаю, что так нельзя; на самом деле по привычке ввёл ключ /?) и получил:

Цитата

C:\Windows\ABR\2017-08-18 --> C:\Windows\System32
C:\Windows\ABR\2017-08-18
Error occured on restore SYSTEM  [База данных реестра повреждена. ]

Может, просто формулировка сообщения об ошибке неправильная. restore буква_диска: отработала нормально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dragokas

Ещё мелочь:

SeRestore privilege accuried => SeRestore privilege is acquired

P.S. Просите меня за мою излишнюю педантичность.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
4 часа назад, Dragokas сказал:

т.к. не инициализируется подсистема WOW

не запускаются 32-х битные приложения? хм, не замечал такого, какая версия RE?

4 часа назад, Dragokas сказал:

Может, просто формулировка сообщения об ошибке неправильная. restore буква_диска: отработала нормально.

Описание ошибки отдает сама система, но да для неактивной нужно использовать с буквой в качестве параметра.

1 час назад, Dragokas сказал:

SeRestore privilege accuried => SeRestore privilege is acquired

Исправлю в uVS, а в abr оно уже не выводится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dragokas
3 минуты назад, demkd сказал:

не запускаются 32-х битные приложения? хм, не замечал такого, какая версия RE?

Не совсем понял вопроса. Это F8 => Устранение неполадок компьютера (Windows 7 x64, но и на других будет тоже самое). Попытка запуска приводит к ошибке "Отсутствует подсистема, необходимая для поддержки данного типа образа".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×