uVS - Тестирование

[demkd 626]

21 минут назад, santy сказал:

в этом случае на целевой системе получится дважды будет применена команда apply?

для данного скрпита да, дважды на delvir и в конце, что в целом не гуд, надо будет перенести delvir в конец, а в рамку закинуть можно

[santy 153]

9 минут назад, demkd сказал:

для данного скрпита да, дважды на delvir и в конце, что в целом не гуд, надо будет перенести delvir в конец, а в рамку закинуть можно

а это не повлияет на эффективность удаления зловредов? ведь как правило через chklst/delvir мы в первую очередь удаляем активные зловреды, а затем все остальное.

[demkd 626]

да, тогда не буду трогать так надежней

[alamor 69]

demkd, раньше после нажатия Ctrl + Shift + Del - объект исчезал из списка (и это было логично, так как он полностью удаляется и с ним уже ничего нельзя сделать). А в 4-й версии он остаётся в списке и не понятно к нему уже применили эти команды или нет.
 

[alamor 69]

При этом при повторном применение этих команд, в логе повторно пишется добавлены в очередь (хотя раньше они уже были туда добавлены). Но итоговый скрипт вставляется правильно, только одна копия команды.
 

[demkd 626]

33 минут назад, alamor сказал:

остаётся в списке и не понятно к нему уже применили эти команды или нет.

а теперь только по факту, объект исчезнет если будет команда применить, просто потому что если из очереди команду потереть то объект в список бы не вернулся.

[alamor 69]

А IPL NTFS [C:] и другие IPL почему не скрывается из списка по Shift + Space ?
 

[demkd 626]

это глюк, исправлю, только оно не скрывает из списка, а помечает как проверенный.

[alamor 69]

33 минут назад, demkd сказал:

а теперь только по факту, объект исчезнет если будет команда применить, просто потому что если из очереди команду потереть то объект в список бы не вернулся.

Может, тогда стоит хоть в лог писать при повторном нажатие, что такие/такая команда уже есть в списке.

 

[PR55.RP55 82]

ещё вчера santy предложил изменять статус для объекта после применения команд.

см. фото.

Но меня больше это интересует:

    

sgnz и так более чем очевидно...
...впрочем я понял зачем, подумаю, тут надо попробовать.

[demkd 626]

25 минут назад, PR55.RP55 сказал:

ещё вчера santy предложил изменять статус для объекта после применения команд.

а оно так и есть
 

25 минут назад, PR55.RP55 сказал:

см. фото

и зачем отдавать команду delref, а потом del, если есть delall?

1 час назад, alamor сказал:

Может, тогда стоит хоть в лог писать при повторном нажатие, что такие/такая команда уже есть в списке.

Зачем? В очереди лишней команды не появится, мало того если отдать команду delref, а потом delall будет только delall, но не наоборот.
Можно конечно и добавить сообщение, но пользы от этого на мой взгляд ноль.

[alamor 69]

27 минут назад, PR55.RP55 сказал:

santy предложил изменять статус для объекта после применения команд.

Да, так было бы удобней.

13 минут назад, demkd сказал:

а оно так и есть

И где это отображается? Не заметил, чтобы где-нибудь менялся статус у файла в списке.

14 минут назад, demkd сказал:

Зачем? В очереди лишней команды не появится

Чтобы было видно, что раньше этот файл уже обрабатывали, а не пропустили его. А также вместо несколько строк (карантин, удаление, блокировка) будет только одна строка.
 

[demkd 626]

10 минут назад, alamor сказал:

И где это отображается? Не заметил, чтобы где-нибудь менялся статус у файла в списке.

После нажатия клавиши "применить". Нельзя изменить статус до того как была проведена операция, я уже объяснял почему.
Однако в след. бете появится горячая клавиша для удаления объекта из списка, сделал все операции или объект не нужен нажал и  удалил из списка.
 

10 минут назад, alamor сказал:

Чтобы было видно, что раньше этот файл уже обрабатывали, а не пропустили его. А также вместо несколько строк (карантин, удаление, блокировка) будет только одна строка.

Добавлю.

[PR55.RP55 82]

Demkd пишет:       

если отдать команду delref, а потом delall будет только delall,

и зачем отдавать команду delref, а потом del, если есть delall?  

     
Раньше ( в ряде случаев ) при попытке удалить процесс: dll
возникали проблемы ( синяки ), поэтому традиционно применялась связка команд: delref + del
Удалили ссылки и удалили сам файл, или файл удалится после перезагрузки.
Тоже касается драйверов антивирусов: delref + del
А удаление в лоб... не самая хорошая идея.
Кроме того нужно учитывать, что скрипт может ( по той, или иной причине ) выполняться на старой версии программы.
И автоматическая замена: delref на  delall  не самая лучшая идея.

[PR55.RP55 82]

Кроме того команда: delall выполняется много дольше чем связка из: delref + del

[demkd 626]

4 минуты назад, PR55.RP55 сказал:

возникали проблемы ( синяки ), поэтому традиционно применялась связка команд: delref + del

Тогда придется таки перенести del в очередь.
 

4 минуты назад, PR55.RP55 сказал:

Кроме того нужно учитывать, что скрипт может ( по той, или иной причине ) выполняться на старой версии программы.

А вот это уже вы сами себе злобные буратины, раз удаляет команду совместимости из скрипта.

2 минуты назад, PR55.RP55 сказал:

Кроме того команда: delall выполняется много дольше чем связка из: delref + del

Там разница в несколько секунд, которые и процента не накрутят от выполнения всего скрипта.

[PR55.RP55 82]

Demkd пишет:      Там разница в несколько секунд, которые и процента не накрутят от выполнения всего скрипта.  

А по какой причине я неоднократно говорил, о необходимости ускорить выполнение команд ?
А по какой причине santy постоянно говорит: не применяйте лишний раз команду: delall ...
Это реальная практика: Лично писал ( с применением автоскрипта ) скрипт в 1020 строк.
Вот и посчитаем сколько это по одной лишней секунде на команду.
А когда разгрузка процессор в 98% то это вообще мрак.

https://www.youtube.com/watch?v=WOS1YxYa3Mk

[alamor 69]

demkd, раньше у самоподписанных файлов в инфо о файле было указано "При проверке цифровой подписи произошла ошибка", а сейчас пишет

Цитата

Цифр. подпись НАРУШЕНА, файл модифицирован или заражен

Это специально изменено и теперь будет так? То есть в критериях, где есть упоминания этого поля надо менять на новый вариант?
 

[demkd 626]

39 минут назад, alamor сказал:

Это специально изменено и теперь будет так? То есть в критериях, где есть упоминания этого поля надо менять на новый вариант?

Нет, так было изначально. В первом случае ошибка означает что система не способна проверить цифровую подпись или конкретного файла или вообще любых файлов скорее всего из-за того что система проверки не функционирует должным образом, т.е. это не означает что файл битый.
Во втором случае "Цифр. подпись НАРУШЕНА, файл модифицирован или заражен" означает именно то что написано, файл был модифицирован, т.е. патч/крак или файловый вирус или таки битая оперативная память привела к порче файла, т.е. файл битый на 100%.

40 минут назад, PR55.RP55 сказал:

А по какой причине я неоднократно говорил, о необходимости ускорить выполнение команд ?

Видимо потому что до 4.0 каждая команда delref/delall приводила к сканированию системы, что долго, теперь же этой проблем нет.
 

40 минут назад, PR55.RP55 сказал:

А по какой причине santy постоянно говорит: не применяйте лишний раз команду: delall ...

По той что пользоваться командами delall нет никакой необходимости, есть сигнатуры.
 

[PR55.RP55 82]

Demkd пишет:   пользоваться командами delall нет никакой необходимости, есть сигнатуры.    

На самом деле здесь такой расклад: или оператор "применяет": delref + del  или же delall
Автоматически работают критерии...
Я по одной левой ЭЦП могу выявить и удалить: 500 или 20 000 файлов не напрягаясь.
Пример с ЭЦП: Air Globe

https://www.reasoncoresecurity.com/signer-air-globe-0c68efa725db8110ce807489dac03553.aspx

Смотрим сколько у них файлов: Files (10,205) 
Сигнатуры нервно курят в сторонке.
------
К сожалению так и нет поиска по ЭЦП - можно имея в системе один подозрительный файл проверить
всю его родословную, всех братьев и сестёр и сделать соответствующий вывод.

 

[alamor 69]

Раз пошла такая реформа в uVS, может тогда можно прикрутить и дату добавления сигнатуры? 
Для чего это нужно уже несколько раз писали. В частности вирусы постоянно обновляются, старые сигнатуры становятся бесполезны. Хранить сотни сигнатур и на все проверять долго и нет смысла, а вот если бы можно было видеть какие добавлены к примеру за последнюю неделю/месяц, то было бы удобно.
 

[PR55.RP55 82]

+

alamor пишет:    прикрутить и дату добавления сигнатуры? 

Если и удалять устаревшие сигнатуры -то делать это_преимущественно автоматически.

Сидеть и вручную удалять сотни, а то и тысячи  сигнатур - это парная графия.

Можно сделать, как я предлагал: разбить базу на однотипные блоки, каждый блок соответствует календарному периоду  ( разбивка по месяцам )  и в settings.ini настройка: удалять устаревшие созданные ( ххх дней тому )

[PR55.RP55 82]

+

Demkd

Скрипты в новой версии не выполняются - не распознаётся команда: v400c

[PR55.RP55 82]

+

Demkd пишет:    А вот это уже вы сами себе злобные буратины, раз удаляет команду совместимости из скрипта.  

А работа с Live CD как дать человеку скрипт, чтобы он выполнился ?
Только убрать заглушку.
Откровенно говоря _автоматическое добавление команд типа: v400c в скрипт себя не оправдало - команда
( в автоматическом варианте ) лишняя и она мешает.
Когда команда нужна - пусть оператор сам её добавит в скрипт.

[santy 153]

10 часов назад, PR55.RP55 сказал:

А по какой причине santy постоянно говорит: не применяйте лишний раз команду: delall ...
 

RP55,

у меня просьба запомнить раз и навсегда  - не надо размахивать моим именем в своей путанной аргументации.