uVS - Тестирование - Страница 35 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

PR55.RP55

Тема:  https://forum.esetnod32.ru/messages/forum3/topic16196/message111006/#message111006

Как видно применён твик: № 18

В итоге по логу FRST видим:

HKLM\...\Policies\Explorer: [DisallowRun] 0
HKLM\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-19\...\Policies\Explorer: [DisallowRun] 0
HKU\S-1-5-19\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-20\...\Policies\Explorer: [DisallowRun] 0
HKU\S-1-5-20\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-21-1616146017-2463400075-1735324224-1000\...\Policies\Explorer: [DisallowRun] 0
HKU\S-1-5-21-1616146017-2463400075-1735324224-1000\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 0
HKU\S-1-5-18\...\Policies\Explorer: [RestrictRun] 0

т.е. мало того, что от uVS   на данный момент БЕСПОЛЕЗЕН так ещё и создаются параметры которых  НЕ было изначально. т.е. мусор.

uVS не проверяет - есть там, что, или нет. Просто вносит\добавляет свои записи.

Почему uVS Бесполезен ? Достаточно посмотреть темы - на любом форуме.

Антивирусы\сканеры, как правило, ещё до применения таких программ как: FRST; uVS и т.д. зачищают угрозы.

Остаются внесённые в систему изменения: Правила\запреты; Папки\Каталоги; Сетевые Параметры и т.д.

Какова роль uVS  ? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 17.11.2020 at 8:06 PM, PR55.RP55 сказал:

Как видно применён твик: № 18

Именно так он и работает, суть вопроса то в чем?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

v4.11.3
o Исправлены функции массовой проверки файлов на VT.
o Исправлена функция анализа внедренных потоков.

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Цитата

  

v4.11.3
o Исправлены функции массовой проверки файлов на VT.
o Исправлена функция анализа внедренных потоков. 

Мы зря ищем возможные ошибки, зря пишем предложения ?

https://forum.esetnod32.ru/forum8/topic15904/

 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
9 часов назад, PR55.RP55 сказал:

Мы зря ищем возможные ошибки, зря пишем предложения ?

на предложения нужно время, пока его нет, а ошибки постепенно исправляются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) По поводу команды: Сбросить атрибуты для все файлов/каталогов в...

Это не работает, если не заданы: Группы или пользователи.

т.е. нужно проверить не пуст ли список... Если пуст:  прописать пользователя. И только после этого можно сбросить атрибуты...

2) При проверке ЭЦП по F6 ...

Если неполадки с сетевым оборудованием, или службами отвечающими за доступ к сети...

uvS видит: Сеть есть... и начинает проверять файлы. А по сути сети нет.

т.е. здесь нужен таймер.: Если в течении определённого времени нет результата - то проверять ЭЦП локально ( с соответствующей записью в Лог )   Не ждать, как сейчас 100 500 часов.

3)  Проверка занимает излишне много времени в ситуации:

Ошибка  [Не удается построить цепочку сертификатов для доверенного корневого центра. ]
Ошибка  [Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. ]

uVS натыкается на такой файл и думает... думает...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

C:\PROGRAMDATA\REALTEKHD\TASKHOST.EXE

C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE

Хэш файла не найден

http://www.tehnari.ru/f35/t270519/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
19 минут назад, PR55.RP55 сказал:

Хэш файла не найден

потому что файлы защищены:

(!) Невозможно открыть процесс: dllhost.exe [6856]
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE [7424], tid=7428
Не удалось открыть файл: C:\PROGRAMDATA\REALTEKHD\TASKHOST.EXE
Не удалось открыть файл: C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
19 часов назад, demkd сказал:

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE [7424], tid=7428

похоже впервые по данному типу майнера используются потоки для защиты от удаления файлов.

по крайней мере, в октябрьском варианте по этому распространенному на нек форумах майнеру нет потоков.

C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE. может заморозку потоков делать перед  созданием образа автозапуска? по кройней мере в том случае, если они обнаружены

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
2 часа назад, santy сказал:

похоже впервые по данному типу майнера используются потоки для защиты от удаления файлов.

причем хорошая такая защита, тут скорее всего только виртуализацией его выковыривать, если защиты и то нее нет, заморозка только на потоки в uVS работает, да и я не факт что именно поток защищает процесс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

https://www.comss.ru/page.php?id=8544

Будет заплатка, или нет но многие обновления не устанавливают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg
В 26.01.2021 at 6:16 PM, demkd сказал:

причем хорошая такая защита, тут скорее всего только виртуализацией его выковыривать, если защиты и то нее нет, заморозка только на потоки в uVS работает, да и я не факт что именно поток защищает процесс.

Тем не менее, UVS справился и без виртуализации, и AVZ этот майнер без проблем прибивает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, Vvvyg сказал:

Тем не менее, UVS справился и без виртуализации, и AVZ этот майнер без проблем прибивает. 

значит файл защитили, а процесс нет, бывает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Актуальная версия uVS   игнорирует: vtcache

Соответствующие файлы создаются - но программа всякий раз обращается к V.T 

Если сети нет - выдаёт ошибку ( хотя результат предыдущей проверки этих файлов в vtcache  сохранён )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, PR55.RP55 сказал:

Актуальная версия uVS   игнорирует: vtcache

какое значение у параметра  vtCacheDays в settings.ini файле?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Цитата

; Время действия VT кэша в днях для хэша файла/объекта. (15 по умолчанию)
vtCacheDays= 3

Если  прописать 4 тоже самое - и 15 также

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Сравнил.

На версии:  4.11  всё работает.

На версии:  4.11.3  не работает. 

Если сеть есть - игнорирует vtcache  ( очистка vtcache не помогает )

Изменение в vtCacheDays=   не влияет.

проверял на  Windows 7 &10 х 64.

В случае если отключить сетевое оборудование вместо проверки по vtcache выдаёт: Error:  [Ошибка номер 12007]

сам файл: settings.ini  - идентичен.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
10 часов назад, PR55.RP55 сказал:

На версии:  4.11  всё работает.

На версии:  4.11.3  не работает. 

Проверю, исправлю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

И ещё момент.

В  папке с vtcache скапливается по несколько тысяч файлов...

т.е. файлы старше 3 или ( ∞ ) дней не удаляются.

Я так понимаю программа проверяет\заменяет только тот файл который проверяется сейчас.

А другие файлы могут годами сохраняться. ( сейчас посмотрел есть файлы от 2018 года )

Цитата

1Дата: 2018-09-09 [n/a]
2www.virustotal.com    2018-09-09
1Детектов: 0 из 68
2-    Файл был чист на момент проверки.
1Файл был чист на момент проверки.
4VTOK [2018-09-09]

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

На V.T.   видимо опять что-то изменили.

VTOK [] 1613

VTOK [] 1572

VTOK [] 1585

----------

 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 26.02.2021 at 12:51 AM, PR55.RP55 сказал:

На V.T.   видимо опять что-то изменили.

не наблюдаю такого

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
5 минут назад, demkd сказал:

не наблюдаю такого

есть такое.

Snap1.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
7 минут назад, santy сказал:

есть такое.

какая функция проверки конкретно? их там много

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
12 минут назад, demkd сказал:

какая функция проверки конкретно? их там много

проверка по хэшу отдельного файла (из образа автозапуска)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×