Перейти к содержанию

Recommended Posts

PR55.RP55
Santy пишет:

Как много ложных срабатываний? скажем, сколько это будет процентов тем (образов) от общего количества рассмотренных?

Под ложным срабатыванием здесь надо понимать полное совпадение с сигнатурой по 64 байтам.

Не в это дело...

Их > 10% но меньше 20%.

--------------------------------

В тех случаях когда длину можно скорректировать это потеря времени = проверка/перепроверка списка и т.д...

Например формировать сигнатуру по 2-м алгоритмам.

И затем на их основе создавать/формировать 1-ну. СОСТАВНУЮ.

Довести до минимума ложные обнаружения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Их > 10% но меньше 20%.

--------------------------------

В тех случаях когда длину можно скорректировать это потеря времени = проверка/перепроверка списка и т.д...

по моему, результат завышенный. скажем мой набор сигнатур из нескольких сотен фолсит достаточно редко, а чтобы фолс был при полном совпадении сигнатурой, может 1 на сотню образов. (остальное решается регулированием длины), если жаль рассставаться с сигнатурой - выполняем hide, не зря же мы вводили эту команду. при массовом фолсе - убиваем сигнатуру без сожаления. (перепроверка списка - это нормально, главное не забыть сделать откат изменений.)

по сути нового формирования сигнатуры. если ты предлагаешь использовать несколько алгоритмов при извлечении сигнатуры из файла в одну, каким образом тогда по ней будет идти проверка? значит нужно использовать несколько обратных алгоритмов сканирования файлов. И где здесь выигрыш по времени?

здесь уже предлагали увеличить длину до 128байт, а может быть и до 256байт.

лично мне хватает 64байта. Более высокая точность думаю нужна будет, если uVS что-то будет обрабатывать автоматически. Тогда и важен факт минимального количества фолсов, как это бывает в обычных антивирусных сканерах. (там даже тесты проводят на количество фолсов и медали дают за это.)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Santy пишет:

По моему, результат завышенный

Может и так.

Santy пишет:

И где здесь выигрыш по времени?

Можно попробовать = посмотреть, как это будет.

------------------------------------------------------------------

Я уже предлагал разграничить действие сигнатуры по типам расширений.

Уточняю:

Сигнатура для DLL работает только с DLL

Сигнатура для SYS работает только с SYS

Сигнатура для EXE работает только с EXE

* = Исключение для файлов с двойным расширением.

и т.д.

** С авто. маркировкой сигнатуры ( где даётся указание на тип файла/расширения )

Это в разы уменьшит число ложных определений.

Разумеется определение типа файла/сигнатуры автоматическое.

Пример: Если сигнатура полученная при работе с DLL даст определение на SYS.

uVS автоматически исключает её применение для данного SYS файла.

* С занесением информации в Лог.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Осуществлять сбор дополнительной информации для формирования поискового критерия.

например информацию которую можно получить путём анализа самого файла/объекта.

* Сбор доп. информации осуществлять только для объектов со статусом: Подозрительный & ?Вирус?

2) Скрытый ключ реестра.

при обнаружении/выявлении отображать строку: "Скрытый ключ реестра" в контекстном меню ИНФОРМАЦИЯ.

3) По реестру - по возможности добавлять информацию "Время изменения ** ** ** "

4) Возможность задать критерий поиска для HOSTS.

Например можно вбить список соц сетей.

* В качестве напоминания о необходимости контроля/проверки HOSTS.

5) HOSTS

Меню.

Добавить опцию > Удалить все записи кроме:

( пример )

activate.adobe.com

activate-sea.adobe.com

в скрипте это будет:

;uVS v3.76 script [http://dsrt.dyndns.org]

;Target OS: NTv6.1

deltmp

delnfr

hideHOSTS activate.adobe.com

hideHOSTS activate-sea.adobe.com

restart

* Что позволит оптимизировать процесс очистки.

= минимизировать число отданных команд.

6) В графе статус вместо: ?Вирус? отображать имя поиск.критерия.

Пример: ?Spy.S?

* При соответствующей настройке в settings.ini

7) Новый тип Поискового критерия.

статус: ?ПРОВЕРЕН?

т.е. формируем п.крит. например для SPTD.sys

Задаём: Имя; Путь; Производителя; Подпись...

И, в категории "Подозрительные и вирусы" SPTD.sys будет отображаться со статусом |?ПРОВЕРЕН?|

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Поисковый Критерий

Настройка глубины поиска в зависимости от: \

\

\\

\\\

\\\\

т.е. задаём число Леших.

\WINDOWS

\WINDOWS\system32

\WINDOWS\system32\drivers

\WINDOWS\system32\drivers\

Это позволит точнее задать критерий поиска.

Ограничить его действие по глубине каталога.

Снизить число ложных срабатываний.

Увеличить скорость проверки списка.

2) Возможность задать/настроить значение поискового критерия по схеме: < >

В качестве примера: Вес файла.

Не менее 42 и не более 480 kb.

т.е. при создании/формировании критерия указываем/задаём минимальный и максимальный вес файла.

3) Для улучшения восприятия текста.

Разграничить каталоги свет.пробелом

Пример на фото. 44

4) Позитивный критерий поиска.

т.е. В данном случае файл/объект будет скрываться из списка.

Пример:

=

GO.MICROSOFT.COM/FWLINK/?LINKID=54896

GO.MICROSOFT.COM/FWLINK/?LINKID=69157

WWW.MICROSOFT.COM/ISAPI/REDIR.DLL?PRD=IE&AR=IESEARCH

или

\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS

Действительна, подписано Duplex Secure Ltd

HKLM\System\CurrentControlSet\Services\sptd\ImagePath

\SystemRoot\System32\Drivers\sptd.sys

Аналогично, можно настроить и для ряда системных файлов.

В данном случае файл будет не просто известным, он ещё и будет соответствовать целому ряду надёжных критериев.

+

Фото.

5) Предисловие.

Есть типы заражений которые крайне редко встречаются.

Речь может идти о том, что такой тип заражения встречается 1- 2 раза за месяц.

в данном случае я говорю о CORKOW и схожих с ним вирусах.

Кроме всего прочего, вирус попадает в котегорию "подозрительные и вирусы" в силу того, что использует неизвестный тип расширения.

Предлагаю добавить в меню: "Скрыть Program Files"

* Кроме файлов/объектов со статусом: Подозрительный & ?Вирус?

Разумеется речь не идёт о том, чтобы игнорировать Program Files.

В данном случае появляется возможность ВРЕМЕННО минимизировать список проверки.

Сократив его на 50-70%.

Проверить системные каталоги...

Составить своё мнение = оценить ситуацию.

Принять решение по выявленным объектам.

После чего, открыть весь список и проверить наличае/отсутствие нежелательных объектов в Program Files.

44.JPG

___________.jpg

post-8956-1352468821_thumb.jpg

post-8956-1352468842_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

По необходимости автоматического сравнения Sha1 файлов.

Свежий пример: forum.esetnod32.ru/forum6/topic7665/

C:\DOCUMENTS AND SETTINGS\DEMO\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\R5SDCAVQYSE.EXE

C:\WINDOWS\SYSTEM32\COM\SVCHOST.EXE

Сравниваем Sha1 файлов.

B7BD3A0F73453557D121E561E1E7D5C5657BB0F5

&

B7BD3A0F73453557D121E561E1E7D5C5657BB0F5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) Настройка для settings.ini

После применения команды DELREF

Объект к которому была применена команда скрывается из списка.

2) По архивации

Собственно если uVS работает с архиватором, значит можно использовать эту возможность.

т.е. в меню:

Файл > Архивировать...

Добавить возможность выбрать объект архивации.

3) Очередь проверки на V.T.

т.е. выбираем нужные/подозрительные файлы.

В контекстном меню выбираем: "В очередь на проверку V.T."

После того, как были выбраны файлы отдаём команду: Проверить.

4) При создании образа в случае присвоение файлу статуса: Подозрительный

сохранять данные о времени создания папки.

*Что позволит увидеть расхождение по времени создания: папка < > файл.

5) Точно определять/фиксировать написание.

Пример:

TASKMAN.EXE

TaSKmAN.exe

----------------

ctfmon.exe

CTfmon.EXE

----------------

В ряде случаев это может дать доп.информацию.

Вызвать подозрение.

Подтолкнуть к более тщательной проверке объекта.

6) При ошибке распаковки архива/образа.

ВСПЛЫВАЮЩЕЕ сообщение/уведомления автоматически закрывать через 5 секунд.

7) Фильтр по весу файла.

Возможность фильтровать список по размеру файла.

По средством строки поиска.

В строке поиска вводим нужное значение - например: 400 kb.

На выходе получаем список из всех файлов чей вес меньше или = 400 kb.

=

Возможность менять: подключать/отключать тот, или иной тип фильтра.

Выбирая из списка фильтров.

8) Блокирующее условие.

Условие при котором поисковый критерий НЕ сработает.

т.е.

Пример: Есть 4 условия.

1;2;3 - условия работают штатно ( они находят/определяют заданный объект )

4-е условие их блокирует/аннулирует. ( Четвёртое работает через ЕСЛИ )

т.е. блокирование происходит при: ЕСЛИ =.

Абстрактный пример.

Заданы критерии:

Хорошая погода

и

Яркое солнце

и

По улице гуляет симпатичная девушка.

ЕСЛИ

Она с парнем.

Эх...

9) Сигнатура, как составная часть критерия поиска.

а) Рассмотрим на примере белого/позитивного критерия.

Имя файла: SPTD.SYS

и

Полное имя: C:\WINDOWS\SYSTEM32\DRIVERS\

и

Цифр. подпись: Действительна, подписано Duplex Secure Ltd

и

Ссылка: HKLM\System\CurrentControlSet\Services\sptd\ImagePath

ЕСЛИ

addsgn 1B2343995565C9520AD4AE2D4D089F61018E14F0BCF91F87B54C81986C4A8E38075701133EBCF048

2B806D55BEE9B6FA7D8D9C1E06AEC2454310E25DA86B6526 8 SPTD.SYS

Результат: файл исключён/скрыт из списка.

Фактически ему присвоен статус - проверен.

Наличие определения файла по сигнатуре обеспечивает надёжность критерия.

В данном случае сигнатура/запись содержится исключительно в разделе: ИНФОРМАЦИЯ по файлу.

т.е. данной сигнатуры нет в базе sgnz.

В данном случае сигнатура - часть информации по файлу/объекту.

Сигнатурное определение обеспечивает надёжность, и в сочетании с другими критериями исключает подмену файла.

B) Рассмотри на примере Чёрного/стандартного критерия.

В данном варианте сигнатура служит подтверждением: Критерии сработали верно.

Фактически объект найден по сигнатуре - однако, если сигнатуры нет в базе sgnz нет её и в скрипте и т.д.

uVS рассчитывает сигнатуры всех файлов списка.

Решение остаётся за оператором - добавить сигнатуру в базу sgnz/скрипт или НЕ добавлять.

Но, как было сказано - данные по сигнатуре uVS рассчитала/сохранила.

Значит, можно отображать сигнатуру в свойствах файла ( ИНФОРМАЦИЯ )

и включить её в качестве элемента составного/сложного критерия.

Получается Синергизм сигнатур & критериев.

+

Фото пример.

P.S.

Все идеи и предложения написаны мной для программ от Demkd & uVS.

Использование в других продуктах является нарушением авторского права.

И карается на месте прочтения.

_44.jpg

post-8956-1353328400_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
8) Блокирующее условие.
ЕСЛИ

Она с парнем.

опять же просто правильно надо строить логику :).

Кто мешает к примеру проверить сначала, девушка с парнем ? если нет тогда проверяйте какая погода и т.д.

5) Точно определять/фиксировать написание.

Пример:

TASKMAN.EXE

TaSKmAN.exe

...

В ряде случаев это может дать доп.информацию.

Вызвать подозрение.

Подтолкнуть к более тщательной проверке объекта.

no comment

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
После применения команды DELREF

Объект к которому была применена команда скрывается из списка.

это кстати, на любителя. логичнее считать, что если объект не удален из системы, (а удалена только ссылка из реестра), то он должен присутствовать визуально в списке.

2) Добавить возможность выбрать объект архивации.

ZOO/CZOO здесь достаточно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Santy пишет:

Это кстати, на любителя. логичнее считать, что если объект не удален из системы, (а удалена только ссылка из реестра), то он должен присутствовать визуально в списке.

Написано это: "Настройка для settings.ini" ( Что и означает - на любителя )

Прежде всего применять при работе с образом/скриптом.

т.е. Объект удалён Скриптовой командой DELREF - значит он удалён.

Речь может идти о ссылке в браузере, или другом объекте.

Зачем он нужен в списке, если Он/объект отработан ?

По Zoo - дело не в достаточности.

Дело в возможностях которые не реализованы.

alamor

PR55.RP55 пишет: Абстрактный пример.

Какая логика в абстрактном примере ? ( Абстрактная )

Нужно внимательно читать и стараться понять суть написанного.

Прежде всего должны сработать ( СОВПАСТЬ )

Первые условия.

" 1;2;3 - условия работают штатно ( они находят/определяют заданный объект ) "

Четвёртое условие - это значение которое может сработать, или не сработать.

Само по себе четвёртое условие НЕ нужно - в нём нет смысла, если нет определения по первым условиям.

Задаются базовые условия - по этим условиям и находиться/определяется объект.

ПОСЛЕ чего работает четвёртое условие.

т.е. Есть определение 1;2;3; - Есть блок. по четвёртому.

ВЫ же alamor - предлагаете сразу блокировать.

Что Вы будете блокировать ?

Нам нужно/требуется провести блокировку в отношении конкретного/заданного объекта.

Нам нет смысла блокировать десятки и сотни объектов.

Нам нужен конкретный, чётко идентифицированный/выявленный объект.

Ещё один пример:

Нужно найти человека в ТОЛПЕ ( Проще говоря среди тысяч похожих )

Для этого есть информация ТОЛЬКО ОБЩЕГО характера.

Рост 176; Вес 74 ; Цвет глаз карий.

Исключающим моментом будет Национальность: Китаец

Однако - китайцев в толпе может быть много.

По Условиям подходит этот: "Рост 176; Вес 74 ; Цвет глаз карий."

А Исключающий потому, что мы его ПРЯЧЕМ в толпе - Это наш китаец.

Китаец из белого списка.

Надёжный человек - которому мы доверяем.

Остальные "китайцы" готовят захват Порт Артура. ( 1904 )

P.S.

В общем нам подходит не любая девушка, а только симпатичная - до других нам нет дела.

И в толпе среди прохожих сразу нельзя понять - одна она или с парнем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Какая логика в абстрактном примере ? ( Абстрактная )

я к тому, что если правильно построить логику, то отменять или блокировать предыдущие проверки не нужно.

1;2;3 - условия работают штатно ( они находят/определяют заданный объект )

4-е условие их блокирует/аннулирует.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

alamor

Приведите конкретный пример - правильной логики для критериев поиска.

В теме и предлагаются различные варианты и решения.

В этом разделе: http://www.anti-malware.ru/forum/index.php...40&start=40

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
По Zoo - дело не в достаточности.

Дело в возможностях которые не реализованы.

между достаточностью и возможностями есть еще актуальность и целесообразность. Актуальности здесь точно нет, целесообразность данного предложения не освещена. "Чтобы было..." это не целесообразно.

Прежде всего должны сработать ( СОВПАСТЬ )

Первые условия.

" 1;2;3 - условия работают штатно ( они находят/определяют заданный объект ) "

Четвёртое условие - это значение которое может сработать, или не сработать.

Само по себе четвёртое условие НЕ нужно - в нём нет смысла, если нет определения по первым условиям.

если перевести это на язык логики то будет примерно так:

(условие1 или условие2 или условие3) и не условие 4.

Такое возможно реализовать в полноценном интерпретаторе логических операций, о котором demkd предупредил, что не собирается его реализовать. (по крайней мере, в ближайшем будущем). ибо неактуально.

------------

это (отсутствие обработки скобок) можно было бы обойти, если будет возможность создавать сложные рекурсивные критерии,

например:

крит1=условие 1 или условие2 или условие3

крит2=крит1 и не условие4

------------------

но, пока не вижу в образах, которые встречаются каждый день под рукой необходимость обработки таких критериев, хотя это возможно и неплохое будет развитие по критериям поиска.

Если считаешь это актуальным, то неплохо бы привести примеры на живых образах. (а не на абстрактных китайцах или японцах).

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Santy

Если сейчас нет необходимости - будет необходимо в будущем.

И тогда придётся искать решение в авральном порядке.

Сейчас можно решить задачу в спокойной обстановке.

Кроме того, можно реализовать принцип зеркала.

Поисковый критерий сработает - найдёт заданный объект.

Однако этот найденный объект будет изначально чист.

Невозможно собрать/добавить в базу проверенных все SHA1 - например для SPTD.sys

Однако можно взять сигнатуру этого файла в качестве критерия - критерия надёжности.

Настроить устойчивые/надёжные критерии поиска/обнаружения.

И по их сочетанию/срабатыванию получить легитимный файл.

Надёжность будет близка к 100%.

Применение: Выбрать 15-20 файлов/объектов которые присутствую практически в каждом образе/системе.

Это: Эмуляторы; драйвера антивирусов; системные файлы.

Критерий их автоматически обработает/отсеет.

Что сократит список проверки.

+

Возможность настроить settings.ini - под решение типичных задач оператора.

Добавление в рамках одного критерия группы сигнатур для одного файла, через ИЛИ.

т.е. Имя критерия: SPTD.sys

addsgn ...SPTD.sys-1

или

addsgn ...SPTD.sys-2

или

addsgn ...SPTD.sys-3

и т.д.

*Причём поисковые сигнатуры проверят не все файлы списка, а только те файлы которые прошли проверку соответствуя по критерию.

Что не снизит скорость автоматической проверки списка в целом. ( Ступени проверки.)

Для создание зеркала достаточно добавить чек-бокс.

Под зеркалом я понимаю перевёртыш - чёрное< > белое - вирус < > чистый файл.

Вкл/выкл Как на этом фото примере:

444.jpg

post-8956-1353526920_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Настроить устойчивые/надёжные критерии поиска/обнаружения.

И по их сочетанию/срабатыванию получить легитимный файл.

честно, говоря, совсем непонятно, за кого будут играть эти критерии: за бело-голубых или за красных, за зенит или за спартак?

мы говорим о критериях (и проектируем эти критерии), которые выдергивают подозрительные файлы, из общего списка (который может быть достаточно большим в силу разных причин, в том числе и неофициальных сборок), не прошедших контроль по SHA1, по списку известных, по цифровым подписям, не попавших под детект сигнатур.

или мы говорим об еще одном дополнительном списке, прошедшие по которому получат статус (почти на 100% чистые)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Santy

Я предлагаю идею.

Применение может быть разным.

Самый простой вариант - изменение статуса файла с Подозрительного & ВИРУС? на ПРОВЕРЕН ?

Проверен - файл будет по Белому критерию.

Это система проверки и отсева: " которая ВЫДЕЛЯЕТ подозрительные файлы, из общего списка Подозрительных путём изменения статуса объекта"

По настройке - можно совсем скрывать/убирать файл из списка.

Предлагаю использовать сигнатуру в качестве критерия поиска. ( о чём подробно написал выше )

Также систему можно применить и для поиска вирусов.

Новые предложения:

1) Возможность Объединить несколько сложных критериев.

Например в системе есть файл вируса и есть его компоненты.

Сейчас критерии сработают для каждого объекта раздельно.

Возможность объединения информации для разных объектов в рамках одного критерия - системы поиска.

Своего рода внешний поиск.

Сработал критерий, найден объект > работает механизм поиска по списку ищет соответствие для других критериев - поиск родственных объектов

для уже найденного/выявленного объекта.

2) Автоматический поиск по имени в Яндексе и др. поисковых системах.

в режиме:

Найден -1

Не найден -0 "Искомая комбинация слов нигде не встречается"

Через контекстное меню файла.

Если файл НЕ найден можно сразу делать выводы/предположения.

Если найден - открыть страницу поиска - посмотреть информацию.

3) Объединить в одной вкладке все Браузеры/информацию.

Не вижу смысла в разделении.

Если есть угроза - нежелательный элемент значит его нужно удалить - название Браузере роли не играет.

Так, или иначе оператор просматривает/оценивает информацию и принимает решение по всем браузерам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Santy

Я предлагаю идею.

Применение может быть разным.

Самый простой вариант - изменение статуса файла с Подозрительного & ВИРУС? на ПРОВЕРЕН ?

Проверен - файл будет по Белому критерию.

Это система проверки и отсева: " которая ВЫДЕЛЯЕТ подозрительные файлы, из общего списка Подозрительных путём изменения статуса объекта"

RP55, имхо, полет идей у тебя как у стрижей на авишоу, вот только картинка с трудом складывается.

белые сигнатуры могут фолсить так же как это происходит с сигнатурами вирусов.

критерии своих которым можно доверять заложены в программе: SHA1, список известных файлов, цифровые подписи. тот же список сервисных dll для служб, или список соответствия CLSID и системных dll.

вести параллельные поиски: кто свой среди чужих, а кто чужой среди своих весьма накладно будет, когда можно работать по схеме: "не чужой, значит свой".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Santy пишет: Белые сигнатуры могут фолсить так же как это происходит с сигнатурами вирусов.

Ещё раз.

1) Сигнатура работает только в рамках поискового критерия.

Она равноправная, составная часть критерия.

2) Сигнатура работает только в случае совпадения ВСЕХ поисковых критериев файла/объекта.

т.е. Совпали критерии > определился файл, или группа файлов.

Также файл проверяет по критерию с техническим наименованием: "сигнатура соответствия"

Каждая сигнатура - несёт маркер имени.

т.е. имеет в своём названии.

addsgn ***** SPTD.SYS

В критерии поиска также указано конкретное/известное имя файла.

ЛОЖНЫЕ срабатывания по сигнатуре ИСКЛЮЧЕНЫ. ( Причём исключены буквально )

* Критерий создаётся для белого/известного файла - его имя Неизменно.

** Имя сигнатуры присваивается Оператором, или задаётся автоматически исходя из имени файла.

т.е. какое имя у файла - такое имя и у сигнатуры.

Помимо имени мы видим и тип расширения.

т.е. Чтобы всё сработало должно быть совпадение по типу SPTD.SYS = addsgn ***** SPTD.SYS ( Причём исключены буквально )

Santy пишет:

Критерии своих которым можно доверять заложены в программе: SHA1,..

Ещё раз.

НЕ возможно собрать все SHA1 даже для отдельно взятого SPTD.SYS

Про другие и говорить нечего.

Santy пишет:

Список известных файлов...

PR55.RP55 пишет что:

Аналогично, можно настроить и для ряда системных файлов.

В данном случае файл будет не просто известным, он ещё и будет соответствовать целому ряду надёжных критериев.

Получаем ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ файл.

Как сейчас файл попадает в известные ?

Точнее при каких условия ?

Условия - их перечень ограничен.

При создании/составлении критерия можно брать любые устойчивые данные - по выбору оператора.

Что позволяет провести индивидуальную настройку для каждого выбранного файла.

Появляется возможность отобрать 15-20 наиболее часто встречающихся файлов и для них создать/задать критерий.

Возможно сохранять в рамках позитивного критерия: Имя; Путь; *Цифровую подпись*; Производителя; Данные рестра; Сигнатуру/ры.

Получаем не просто ИЗВЕСТНЫЙ файл.

Получаем ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ файл.

Это, две большие разницы !

Достаточно вспомнить подмену системных файлов где совпадает и имя и путь - в ряде случаев и производитель.

И при беглой проверке/анализе их выявить очень сложно и затратно по времени.

При реализации моего предложения отсев будет автоматическим.

Всё зависит от того, как будет настроен критерий.

Статус объекта, как индикатор:

НЕ будет у известного файла статуса ПРОВЕРЕН - значит стоит обратить на него пристальное внимание - по какой причине файл не прошёл автоматической проверки.

Например сейчас есть критерии для поиска отклонений в userinit

НЕ равно. и др.

Задаётся поиск по Отклонению.

Я предлагаю изначально задать норму.

В рамках того-же критерия только с расширением его функциональных возможностей.

Создание позитивного критерия не исключает роли стандартного НЕ позитивного критерия.

В uVS - уже Реализован функция сравнения: " Сигнатура файла не соответствует**** системному файлу"

Я предлагаю вывести эту функцию и сделать её открытой - дать возможность оператору самостоятельно добавлять/исключать сигнатуры

формировать критерий.

Файл один ( имя ), а сигнатур может быть несколько.

В критерии они будут через ИЛИ. ( О чём подробно сказано выше )

В качестве примера возьмём известный PRAETORIAN.EXE.

Сколько существует версий файла ?

Вполне вероятно, что сотни версий и у каждой свой SHA1.

Сигнатур будет всего +-10 на все эти файлы. ( что легко проверить )

Это не вирус и у файла нет такого разнообразия/маскировки.

В равной степени это касается и системных-известных файлов.

Значит поисковый критерий может и должен включать данные по сигнатуре/рам.

С целью исключения фолсов автоматически производить сопоставление/исключение по типу: SPTD.SYS = addsgn ***** SPTD.SYS

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
В uVS - уже Реализован функция сравнения: " Сигнатура файла не соответствует**** системному файлу"

Я предлагаю вывести эту функцию и сделать её открытой - дать возможность оператору самостоятельно добавлять/исключать сигнатуры

формировать критерий.

Файл один ( имя ), а сигнатур может быть несколько.

В критерии они будут через ИЛИ. ( О чём подробно сказано выше )

если есть образ с подобным сообщением, плиз, дай сылку на него. Я же в своих образах не нашел подобных сообщений.

нашел лишь такие, характерные для файловых заражений, или подмены известных файлов.

(!) Необычная для известного файла сигнатура, возможно файл был подменен

(!) Необычная сигнатура для известного файла: C:\PROGRAM FILES\JAVA\JRE6\BIN\MSVCR71.DLL

(!) Необычная сигнатура для известного файла: C:\PROGRAM FILES\WINDOWS MEDIA PLAYER\WMPNETWK.EXE

с какой сигнатурой здесь проводится сравнение - это вопрос, конечно.

по докам говорится лишь о реализации сравнения с семейством сигнатур Sality.

Добавлена функция обнаружения файлов с сигнатурами сходными с сигнатурами семейства файловых

вирусов Sality. (функция исполняется при массовом считывании производителя файлов в т.ч. по F3)

Найденные файлы можно пометить как подозрительные, либо нажать кнопку "Отменить" для отключения

функции. Функция не гарантирует 100% результата, в список могут попасть чистые файлы.

В качестве примера возьмём известный PRAETORIAN.EXE.

Сколько существует версий файла ?

Вполне вероятно, что сотни версий и у каждой свой SHA1.

Сигнатур будет всего +-10 на все эти файлы. ( что легко проверить )

Хорошо, извлечено семейство сигнатур из этих файлов и условно названо как TruePraetorian.

тогда вопрос: попадет под детект данного семейства файл praetorian.exe зараженный файловым вирусом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Santy пишет: Я же в своих образах не нашел подобных сообщений.

У меня была задача донести смысл.

Задачи по приведению точных цитат не было.

uVS - работает с сигнатурами которых нет в общей базе sgnz

uVS - уже сейчас может использовать сигнатуру в качестве критерия поиска.

Santy пишет:

Вопрос: попадет под детект данного семейства файл praetorian.exe зараженный файловым вирусом?

Для лечения файловых вирусов применяется LiveCD

Есть набор сигнатур известного файла.

Вероятно можно вывести общее/закономерность.

При ЛЮБОМ отклонении от нормы информировать оператора.

С выводом (!) Необычная сигнатура для известного файла.

Впрочем, это уже другая тема.

+

Сохраняется возможность проверки файла на V.T.

И ещё раз: главное в предложении это увеличение скорости проверки.

Повышение её качества.

Путём автоматического сопоставления/сравнения данных файла с данными критерия надёжности.

Каждый метод имеет свои недостатки - это факт.

+

Фиксировать - и сопоставлять время изменения файла/лов

------------------------------------------------------------------

Отдельное предложение, дополнение к текущему предложению:

Автоматически при срабатывании ЛЮБОГО поискового критерия - в строке.

Пример:

(ВЕРСИЯ ФАЙЛА ~ 4.0.2.7523)(1)

AND

(ПРОИЗВОДИТЕЛЬ ~ MICROSOFT )(1)

AND

(ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1)

AND

(ПОЛНОЕ ИМЯ ~ .DLL)(1)

AND

ВРЕМЯ СОЗДАНИЯ ФАЙЛА (1)

Добавлять информацию по времени создания файла.

т.е. Если файл был создан в течении 7-10 дней выдавать: " ВРЕМЯ СОЗДАНИЯ ФАЙЛА (1) "

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
uVS - работает с сигнатурами которых нет в общей базе sgnz

uVS - уже сейчас может использовать сигнатуру в качестве критерия поиска.

вопрос "пройдет ли сигнатура, извлеченная uVS из зараженного известного файла (neshta, sality, ramnit, чем то другим) по чистой базе семейства данного файла или нет - остается открытым,

поскольку поиск ложки дегтя в бочке меда с дегтем - однозначно приведет к правильному результату: да, эта бочка отравлена дегтем.

а вот поиск ложки меда в аналогичном сосуде - даст неполный ответ... да в этой бочке есть мед.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Santy

В uVS - есть опция: "Скрыть известные"

Получается, что из опасения пропустить файловый вирус эта опция не используется ?

Моё переложение, это смена статуса файла с ПОДОЗРИТЕЛЬНЫЙ на ПРОВЕРЕННЫЙ ?

Дальнейшие действия за оператором.

Захочет проверит на V.T. & Сравнить время изменения файлов & Постарается найти признаки файлового заражения.

Сигнатура, как элемент Позитивного критерия обеспечивает доп.надёжность - при этом не гарантируя её.

Применение сигнатуры эффективно при обнаружении подмены файла.

В целом Позитивный критерий позволит быстро выявить/идентифицировать отклонения в параметрах/значениях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Применение сигнатуры эффективно при обнаружении подмены файла.

в принципе, может и стоит добавить такую проверку:

проверка текущей категории по базе чистых сигнатур.

+ в контекстное меню вынести добавление чистой сигнатуры.

добавить дополнительный файл, по структуре, аналогичной sqnz, куда можно добавить сигнатуры важных чистых файлов, например, те что в STORE,

информацию по файлу (имя, версия файла, версия операционной системы и разрядность, производитель, дата создания...) с которого снимается сигнатура добавить в комментарий к сигнатуре

и в случае обнаружения и подтверждения подмены можно будет в дальнейшем инициировать удаление файла и восстановление его из STORE.

-----------

+

добавить аналогичный просмотр списка чистых сигнатур в секцию uVS рядом со списком sgnz.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Santy пишет: Добавить дополнительный файл, по структуре, аналогичной sqnz

Это несколько усложняет всю систему.

Я предполагал, что файла snms - будет достаточно.

Что такое сигнатура в нашем случае ?

Это просто текст.

Файл snms - это текст.

* Ведь число сигнатур их txt объём будет ограничен.

Santy пишет:

В контекстное меню вынести добавление чистой сигнатуры.

Также для чего ?

Сигнатура с возможностью её добавления будет доступна в окне ИНФОРМАЦИЯ по файлу.

т.е. Открыли окно ИНФОРМАЦИЯ - посмотрели данные > добавили сигнатуру.

Santy пишет:

Добавить аналогичный просмотр списка чистых сигнатур.

Список чистых сигнатур можно будет открыть/посмотреть в рамках поискового критерия.

т.е. Открываем котегорию: "Список критериев поиска"

И видим, все добавленные/сохранённые сигнатуры по файлу.

С возможностью их добавления < > удаления из критерия.

*Сигнатура критерия обрабатывается аналогично сигнатурам базы sqnz

( Только для файлов соответствующих критерию )

Данная сигнатура/ры не применяется для удаления файла и служит исключительно его идентификации.

* Конкретный файл = Критерий < > Сигнатура.

Где нет общего списка сигнатур и значит нет путаницы.

+

скорость проверки

+

удобство при корректировке данных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

прочитал, что понравилось добавил в шапку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      а внутри локалки и не получится, белые ip нужны только при подключении через интернет.
    • santy
      Проверил на двух домашних ПК в локальной сети с роутером. Схема с серым IP работает отлично. Передача файлов гениальна! Вот просто как будто дополнительное зрение появилось :). Через белый IP  пока не удалось подключиться. Пришлось еще фаерволлы включить в интерактивный режим. (На автомате еще не проверял, возможно надо сохранить некоторые правила.)
    • demkd
      ---------------------------------------------------------
       4.99.4
      ---------------------------------------------------------
       o Исправлена функция автоматического переключения удаленных рабочих столов.
         Проблема проявлялась при работе с удаленной системой через локальную сеть, при запуске приложения
         от имени администратора не происходило автоматическое переключение на защищенный рабочий стол.
         (не касается полной версии разового доступа к рабочему столу, в этом режиме проблемы не было).

       o Проведено сравнительное тестирование системного удаленного рабочего стола и uVS.
         Передача файлов через системный удаленный рабочий стол идет почти в 20 раз медленней чем через через uVS.
         Максимальный fps в 32-х битном цвете почти в 3 раза ниже чем у uVS в FHD.
         (!) Выявлена проблема совместного использования uVS и системного рабочего стола.
         (!) Если системный рабочий стол был закрыт БЕЗ выхода из пользователя, то uVS не сможет
         (!) отбразить рабочий стол логона пользователя (Winlogon).
         (!) Единственное решение проблемы: подключиться заново через системный рабочий стол и выйти из пользователя.
       
    • demkd
      ---------------------------------------------------------
       4.99.3
      ---------------------------------------------------------
       o Это обновление повышает качество работы с удаленной системой и добавляет новый режим работы.
         (!) Новая функция не совместима со старыми версиями uVS, если у вас в настройках установлен флаг bReUseRemote = 1,
         (!) то перед обновлением необходимо закрыть все серверные части uVS на удаленных компьютерах с помощью
         (!) старой версии uVS.

       o Добавлен новый режим работы: Разовый доступ к удаленному компьютеру.
         (!) Доступно начиная с Vista, подключение к рабочему столу устаревших систем возможно лишь прежним способом.
         Ранее просмотр и управление рабочим столом удаленного компьютера было вспомогательной функцией при работе с удаленной системой.
         Для подключения требовались полномочия администратора или знание логина и пароля администратора удаленного компьютера и
         физическая возможность подключения к удаленному компьютеру.
         Новый режим работы похож на то, что предлагают всевозможные поделки для удаленного администрирования.
         o В этом режиме доступно: управление и просмотр рабочего стола, а также быстрый и надежный обмен файлами на пределе пропускной
           способности канала. (для сравнения RAdmin в гигабитной сети передает файлы более чем в 15 раз медленней чем uVS).
         o Передаваемые кадры теперь не только сжимаются, но и шифруются,  целостность передаваемых файлов защищена
           проверочным хэшем и шифрованием.
         o Подключение осуществляется без использования промежуточного сервера, т.е. это чистый P2P.
         o Подключение возможно к компьютеру за NAT при включенной у роутера опции uPNP.
         o Подключение возможно к компьютеру, где активирован VPN.
           (!) Подключение производится к реальному адресу роутера или адаптера компьютера с VPN, VPN канал полностью игнорируется.
         o Подключение возможно в обе стороны, т.е. из пары компьютеров требуется лишь 1 белый IP, направление подключения выбирается
           при начальной настройке.

         При запуске start.exe теперь вам доступны три новые кнопки:
         o Управление удаленным компьютером и обмен файлами.
           Эту кнопку нажимает тот кто хочет получить доступ к удаленному компьютеру, в открывшемся окне можно выбрать
           вариант подключения (см. ниже) и ввести код доступа полученный от того кто предоставляет доступ к компьютеру.
           Варианты подключения:
             o Соединение примет мой компьютер - в этом случае необходимо выбрать IP к которому будет подключаться другая
               сторона. При подключении через интернет следует выбирать белый IP адрес, если ваш компьютер за роутером
               и на нем активен NAT, то выбрать нужно именно его IP адрес. (адрес с пометкой [router]).
               Если роутер поддерживает uPNP, то этот адрес будет выбран по умолчанию.
               Если же в списке нет белых IP то вам следует выбрать другую опцию подключения.
               После выбора IP просто нажмите кнопку Старт и передайте одноразовый код доступа другой стороне.
               При подключении по локальной сети вы можете нажать кнопку "Все IP" и выбрать любой серый адрес для подключения.
               Поддерживается и IPv4 и IPv6.
               (!) Код доступа автоматически копируется в буфер обмена при нажатии кнопки "Старт".

             o Соединение установит мой компьютер - просто скопируйте код доступа в поле ввода или код там появится автоматически
               если вы его скопировали из мессенджера. После чего нажмите кнопку Старт и ожидайте подключения.

         o Разовый удаленный доступ к моему компьютеру [админ]
           (!)Пользователь должен обладать правами администратора или правами по запуску и установке служб.
           Эту кнопку нажимает тот кто хочет предоставить доступ к своему компьютеру, в открывшемся окне можно выбрать
           разрешения для другой стороны.
           Доступны 3 варианта:
             o  Управление     - доступно: мышь, клавиатура, просмотр экрана и обмен файлами.
             o  Просмотр       - доступно: просмотр экрана и обмен файлами.
             o  Обмен файлами  - доступно: обмен файлами.
           Это полнофункциональная версия удаленного рабочего стола uVS, с возможностью удаленного подтверждения
           запуска приложений от имени администратора и эмуляции нажатия Ctrl+Alt+Del.

         o Разовый удаленный доступ к моему компьютеру [не админ]
           Все тоже самое что и во 2-м случае, кроме удаленного подтверждения запуска приложений от имени администратора
           и эмуляции нажатия Ctrl+Alt+Del, дополнительно есть ограничение по использованию защищенных рабочих столов.

       o При работе с удаленным рабочим столом теперь доступна передача файлов и каталогов из буфера обмена в обе стороны.
         Что бы передать файлы или целые каталоги на удаленный компьютер, просто скопируйте их в буфер обмена и в окне
         удаленного рабочего стола нажмите кнопку со стрелкой вверх.
         Передача изображения автоматически отключится и откроется окно с логом передачи файлов.
         В заголовке окна лога вы увидите объем переданных данных и среднюю скорость передачи (с учетом чтения их с диска).
         По окончании передачи  файлов в лог будет выведена информации о времени передачи, количестве успешно переданных файлов и
         средней скорости передачи.
         Переданные файлы будут помещены в буфер обмена удаленной системы и вы сможете  вставить их из буфера
         в любой каталог или прямо на рабочий стол. При этом файлы переносятся из временного каталога.
         Если же вы не вставили файлы из буфера обмена то они останутся во временном каталоге C:\uVS_copyfiles\*
         точный путь до которого выводится в лог на удаленном компьютере.
         Что бы получить файлы проделайте обратную операцию: скопируйте файлы в буфер обмена на удаленном компьютере
         и нажмите кнопку со стрелкой вниз, по завершению передачи файлы будут помещены в буфер обмена вашего компьютера
         и вы можете перенести их в любую нужную папку.
         Таким образом обе стороны видят какие файлы и куда копируются и при этом максимально упрощается процесс копирования.
         (!) При закрытии окна лога передача файлов будет остановлена.
         (!) При разрыве соединения передача файлов будет автоматически продолжена после восстановления соединения,
         (!) при этом работает функция докачки, т.е. если ошибка произошла при передаче большого файла, то передача его
         (!) продолжится с последнего успешно полученного блока, т.е. блок будет заново.
         (!) Каждая передача файлов является независимой, т.е. нельзя прервать передачу и воспользоваться функцией докачки.
         (!) Проверка целостности файлов производится на лету вместе с его расшифровкой, таким образом достигается
         (!) максимально возможная скорость передачи примерно равная скорости копирования файлов по локальной сети системой.
         (!) При необходимости передачи большого количества мелких файлов рекомендуется поместить их в архив, это серьезно
         (!) сократит время передачи.
         (!) Состоянии кнопки CS никак не влияет на данный функционал.

       o Изменен приоритет протоколов: IPv4 теперь является приоритетным, как показали замеры в гигабитной локальной сети
         IPv4 позволяет достичь более высокой скорости передачи данных.

       o Добавлено шифрование сжатых кадров удаленного рабочего стола для повышения защиты передаваемой по сети информации.

       o В случае разрыва соединения повторное подключение происходит автоматически без запроса.

       o Снижен инпут лаг при работе с удаленным рабочим столом.

       o Обновлена функция синхронизации буфера обмена с удаленной системой: теперь поддерживается передача скриншотов
         в обе стороны.

       o Обновлена функция передачи движений мыши в удаленную систему.
         Теперь доступно управление с помощью движений мыши, которое используется в некоторых приложениях и играх. (если нажата кнопка MM)
         Если указатель мыши видим в удаленной системе то управление производится позиционированием указателя по расчетным координатам (как и раньше),
         в противном случае указатель скрывается в клиентской системе и передаются лишь движения мыши.
         При возникновении проблем с восстановлением видимости указателя вы всегда можете переключиться из окна удаленной рабочего стола по горячей
         клавише RWin.

       o uVS теперь при старте добавляется в исключения Ф и брандмауэра до выхода из uVS.

       o Теперь запоминаются размеры и режим отображения удаленного рабочего стола для каждого активного монитора.
         Кнопка 1:1 применяется автоматически при первом выборе монитора.
         Обработчик кнопки 1:1 обновлен, теперь размер окна рассчитывается с высокой точностью для новых систем,
         где размер окна включает в себя тень.

       o Добавлен выбор метода захвата экрана, доступно 3 варианта:
         o GDI -  медленный метод захвата экрана, но работает в любой удаленной системе, постоянный fps.
                  (единственный доступный метод для Win2k-Win7)

         o DDA1 - быстрый, работает начиная с Windows 8, максимальный коэффициент сжатия,
                  переменный fps в зависимости от экранной активности.
                  (!) рекомендуется использовать при ширине канала ниже 100Mbit, вместо DDA2.

         o DDA2 - очень быстрый метод сравнимый с захватом экрана с помощью mirror драйвера, но без использования драйвера,
                  работает начиная с Windows 8, низкий коэффициент сжатия, переменный fps в зависимости от экранной активности.
                  Способен захватывать видео с высоким fps (до 60) за счет упрощенного метода сжатия и обработки потока кадров.
                  (метод по умолчанию для Win8+, рекомендуется при значительной экранной активности).
                  (!) рекомендуется использовать при ширине канала не менее 100Mbit, при высоких разрешениях 1Gbit и выше
                  (!) из-за низкого коэффициента сжатия.
                  (!) При низкой экранной активности трафик до 10 раз больше чем у DDA1, при высокой - в 2 раза больше.
          
       o В окно удаленной рабочего стола добавлена кнопка "SYN" она замещает собой ручной выбора задержки захвата кадров.
         (отжатая кнопка соответствует нулевой задержке)
         Если кнопка нажата то задержка, а значит и максимальный fps ограничивается автоматически в соответствии
         с пропускной способностью канала, к сожалению это понижает максимальный fps и увеличивает инпут лаг,
         однако это полностью решает проблему, которой страдают даже лучшие программы удаленного управления
         при недостаточной ширине канала. Если канал слишком узок (10Mbit и менее) то при значительной
         экранной активности (оконное видео или анимация) происходит потеря управления удаленным рабочим столом
         из-за того что новые кадры отправляются в буфер значительно быстрее, чем клиентская машина успевает их получить и отобразить,
         в результате чего даже нажатия кнопок отображаются с задержкой в несколько секунд.
         Тоже самое будет наблюдаться в uVS в сходных условиях если кнопка SYN не нажата.
         Поэтому SYN не рекомендуется отключать при значительной активности в кадре и узком канале.
         Если канал 100Mbit и выше (локальная сеть), используется DDA2 то можно выключить SYN и это сильно поднимет fps и значительно уменьшит инпут лаг.
         Кнопка SYN по умолчанию нажата, состояние кнопки сохраняется при выходе из uVS.
         Выбранная цветовая битность теперь тоже сохраняется.

       o В окно удаленной рабочего стола добавлена кнопка "MR" она позволяет управлять указателем мыши из удаленной системы,
         Функция работает ЕСЛИ кнопка нажата И курсор находится в пределах окна удаленного рабочего стола И это окно активно.
         Функция предназначена для тех случаев когда человеку на том конце проще показать проблему чем описать ее словами.

       o Теперь клиентская часть uVS автоматически завершается если удаленная система перезагружается, выключается или завершается сеанс пользователя.
         (только если открыто окно удаленного рабочего стола)

       o Значительно увеличена скорость переключения мониторов, рабочих столов и смены разрешения монитора в DDA режиме.
         (!) Однако есть побочный эффект: если новый монитор будет подключен к удаленной системе пока открыто окно рабочего стола,
         (!) то для отображения картинки с этого монитора необходимо будет закрыть/открыть окно или повторно выбрать метод захвата экрана.

       o Добавлена поддержка браузера Microsoft Edge.

       o Обновлена функция чтения и удаления расширений браузеров: Chrome, Yandex, Edge.
         Добавлены сайты с включенными уведомлениями с указанием времени активации уведомлений.
         Из окна информации о расширении удалено поле Extension_homepageURL за бесполезностью.
         Мусор оставшийся от старых расширений помечается как "файл не найден" и будет удален при вызове функции удаления ссылок на
         отсутствующие файлы.

       o Контекстное меню в окне редактирования критериев теперь тоже использует выбранный размер шрифта.

       o Улучшена совместимость с системами с малым количеством оперативной памяти.

       o Исправлена функция захвата экрана в GDI режиме.

       o Исправлена ошибка в функции чтения защищенных файлов, в некоторых случаях функция не могла получить доступ к файлу.

       o Исправлена ошибка в функции смены рабочего стола

       o Исправлены ошибки инициализации COM.

       o Исправлена ошибка из-за которой из списка проверки выпало 2 ключа автозапуска.

       o Исправлена ошибка в функции отката изменений (Ctrl+Z) при работе с образом.

       o Исправлена ошибка повторной инициализации захвата экрана в случае если рабочий стол был переключен пользователем или системой
         до повторного открытия окна удаленного рабочего стола.

       o Исправлена ошибка при открытии окна информации о компьютере.
         Добавлена дата релиза биоса, исправлено отображение объема физической памяти, добавлена расшифровка типа памяти и условное обозначение
         ее производительности.

       o Добавлена возможность открывать ключ реестра в regedit-е двойным щелчком по строке в логе или
         через контекстное меню.
         (!) Недоступно при работе с образом автозапуска.
       
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.0.12.
×