Новые функции в Universal Virus Sniffer (uVS)

[alamor 69]

Согласен, что такая сверка образов была бы удобна. А по поводу удаления думаю лучше обойтись без автоматизма и вручную применить нужные команды.

[PR55.RP55 82]

Согласен, что такая сверка образов была бы удобна. А по поводу удаления думаю лучше обойтись без автоматизма и вручную применить нужные команды.

Alamor

Верно.

Удалять по выбору Оператора - более безопасное решение.

Вопрос о возможностях...

Как оператор это сделает при том, что объект/ты в директории XXX постоянно меняются ?

Как это реализовать - при работе с образами -

Какие есть варианты ?

Предложения для того и нужны, чтобы их обсуждать.

[santy 153]

Согласен, что такая сверка образов была бы удобна. А по поводу удаления думаю лучше обойтись без автоматизма и вручную применить нужные команды.

два метода сверки уже есть: по файлу сверки из под Live.Cd, и отдельной утилитой compare_image (сравнить два образа).

автоматизм при очистке нужен, но такой, чтобы все команды очистки и удаления были подкреплены соответствующими проверенными детектами сигнатур, критериев, а так же проверками по внешним базам.

[PR55.RP55 82]

Santy пишет:

и отдельной утилитой compare_image (сравнить два образа).

Только утилита существует сама по себе, а uVS сам по себе.

И кто сравнивает ?

Разе, что раз в год по большим праздникам ?

Это всё равно, что днём ездить на машине с летней резиной , а ночью когда всё замёрзнет ставить зимнюю...

[PR55.RP55 82]

По ресурсам.

g0dl1ke Подобрал хороший пример.

http://www.anti-malware.ru/forum/index.php...st&p=175899

1) Ограничить размер открываемого архива до 35 mb ?

2) Данные с V.T. см.фото.

Смотрим > Сведения о файле.

Оригинал: https://www.virustotal.com/ru/file/609f284e...2bbaf/analysis/

Зверюка: https://www.virustotal.com/ru/file/903f8e19...sis/1390733179/

Как Видно файл упакован UPX

+ У Зверя.

НЕТ РЕСУРСОВ !

Хороший пример для сравнения.

В реальной системе даже без доступа к сети - очевидно, что Хром без ресурсов это не хром. ( А бром ; ) )

Аналогично можно работать и с другими файлами.

[g0dl1ke 26]

самое интересное, что когда добавил в базу по хешу и обновил - вылезло еще 100500 якобы таких же (совпадающих по хешу) файлов, но которые 100% не заражены/не вредоносные/не опасны

попытка увеличить длину сигнатуры приводила с сообщению о ее идентичности и после увеличения - все найденные (как ложные так и сабж) файлы снова стали "серенькими", а не "красными", как в случае совпадения хешей

ну либо я что то недопонимаю в uvs

[PR55.RP55 82]

g0dl1ke

Нужно создавать корректировки по/для сигнатур - как я предлагал выше...

Но...

Народ молчит

Где глас народа ?

Где поддержка идей ?

[santy 153]

самое интересное, что когда добавил в базу по хешу и обновил - вылезло еще 100500 якобы таких же (совпадающих по хешу) файлов, но которые 100% не заражены/не вредоносные/не опасны

о каком хэше и от какого файла идет речь? если речь о сигнатуре файла левого chrome.exe, то никаких ложняков нет.

Tool.BtcMine.188 [DrWeb] [глубина совпадения 64(64), необх. минимум 8, максимум 64]

------------------

здесь и без ресурсов сразу ясно, что:

файл запускается из левого каталога, без цифровой подписи.

[PR55.RP55 82]

Santy

Речь видимо идёт о GOOGLEUPD.EXE

[PR55.RP55 82]

1) Получать/фиксировать данные с датчиков температуры.

Что это даст ?

а) Определение активности btc Miner

б) Состояние видеокарты = разгон.

т.е. выявление проблем вызванных самим пользователем.

2) В лог в виде списка выводить данные по типу: см фото пример.

Что позволит определить нагрузку по каждому объекту.

[Аркалык 19]

Demkd Нужно добавить функцию для удаление всех файлов находящий в определенном папке, вместе с папкой. А то приходится писать скрипт для удаление каждого элемента всяких тулбаров/adware/нежелательных программный обеспечении. Конечно можно удалить исполняемый файл, но это не дает того эффекта, который нам необходим.

[PR55.RP55 82]

1) Реализовать возможность поиска по установленным программам.

Почему предлагаю ?

а) На некоторых PC может быть установлено до 100 программ.

И на поиск нужной...

б) Помимо собственно программ устанавливаются десятки/сотни системных обновлений.

И найти среди них ненужное...

[PR55.RP55 82]

1) По команде deldir - удаляются все файлы.

Представим ситуацию, что у человека на usb диске H:\ есть звери.

Но ! также, есть и нужнве файлы: документы, фотографии.

Если применить deldir H:\ uVS удалит всё.

Предлагаю ограничить применение команды исполняемыми файлами каталога и ярлыками.

Принцип такой: Отдана команда deldir H:\ > автоматически применяется ADDDIR для H:\

т.е. происходит отсев. > И все исполняемые файлы каталога удаляются.

2) По расширениям браузера.

В ****\Extensions\*******.js файлах с которыми работают расширения прописаны адреса сайтов.

Таким образом легко определяется легитимность данного расширения.

Достаточно знать адрес к которому они обращаются и проверить данный адрес.

Предлагаю извлекать и сохранять данные ID расширения и адреса из .js в образе.

* Могут быть файлы/расширения типа { ID }

Они упакованы - при распаковке - содержат также файлы ******.js

2.1) Реализована команда deldir

Значит можно удалять избранное расширение.

Так:

deldir C:\*\**\*\Google\Chrome\User Data\Default\Extensions\ojaliajcmgpnmmalbegllddmoimfnlle\

3) deldir

Отдавать команду через контекстном меню.

Но !

За комментировано !

Так, на приме - при случайном применении команды получим скрипт с:

; deldir C:\WINDOWS\system32

+

Также сделать и с другими командами - которых сейчас нет в меню !

Что очень удобно и совершенно безопасно !

Оператор отдаёт команду > снимает при необходимости комментарий и...!

Минимум телодвижений.

[alamor 69]

Предлагаю ограничить применение команды исполняемыми файлами каталога и ярлыками.

Лучше просто указание масок для удаления. Тогда уже сами будем выбирать удалить всё, удалить только .exe и .lnk или только JS.

[PR55.RP55 82]

Считаю, что нужно ограничить применение команды deldir.

На НЕ возможность выполнения таких команд как:

deldir Система/диск:\

deldir C:\Documents and Settings

deldir C:\WINDOWS

deldir C:\WINDOWS\system32

deldir C:\WINDOWS\system32\drivers

deldir C:\Program Files

* Для всех известных/системных директорий.

---------------------------------------------------------

Так можно: C:\Program Files\MediaPlayer 1.1

Так Нельзя: deldir C:\Program Files

[PR55.RP55 82]

1) Лишить все файлы каталога статуса "исполняемого файла"

Команда отдаётся через контекстное меню. ( только при формировании скрипта )

; ******

В том числе и для .js объектов.

1.1) Вернуть всем файлам каталога статусу "исполняемого файла" *

* Команда также работает в режиме LiveCD

т.е. в случае ошибки при применении команды - и не запуске системы.

Оператор загружается в режим LiveCD и выполняет откат к: "все файлы каталога к статусу "исполняемого файла"

1.3) Проверить все файлы каталога по F4 & F6 и Лишить файлы каталога НЕ прошедшие этой поверки статуса "исполняемого файла"

Таким образом обрабатываются только те файлы которые не прошли проверки.

В том числе, команда применяется и при ограниченном файловом заражении при отсутствии эффективного лечения/очистки.

После чего происходит восстановление через sfc или иным способом.

2) Команда В меню: "Изменить права доступа на каталог - до: только для чтения"

3) В связи с предложением 1.*

Убрать поддержку/выполнение для команды deldir как не состоятельную и опасную.

[PR55.RP55 82]

В uVS НЕ хватает функции просмотра расширений/плагинов.

Это актуальная тема.

about:plugins

Opera:plugins

about:addons

chrome://plugins/

...

[alamor 69]

Можно добавить в settings.ini дополнительный параметр для автоматической вставки команды Breg?

[PR55.RP55 82]

В конце концов решить проблему по: "Сертификат аннулирован"

За раз может 30 файлов в список/категорию: "Подозрительные и Вирусы " попасть.

Это СЧАСТЬЕ ?

И команды: все файлы в текущей категории проверенны и все файлы каталога...

На них не работают...

МУСОРА и так полно и без этого.

Команды есть - значит должны работать.

Выпускать новую версию без этого нельзя...

[demkd 619]

PR55.RP55

аннулирован - это хороший повод проверить файл, а функцию посмотрю.

alamor

в смысле всегда добавлять? а зачем?

[alamor 69]

demkd да, добавить такую опциональную настройку. Бэкап никогда не помешает и трудно предугадать когда он понадобиться.

[demkd 619]

alamor

добавлю

[mike 1 57]

Еще из хотелок

Добавьте в контекстное меню UVS команду удаления папки.

[Аркалык 19]

Еще из хотелок

Добавьте в контекстное меню UVS команду удаления папки.

Слишком опасная функция, пользователь работающий напрямую с активной системой, может случайно ткнуть на эту команду в uVS и последствие может быть печальным. Пример: Хотел проверить файлы на VT находящийся в каталоге Windows, промахнулся с мышкой и нажал на эту команду и все . А если работаем с образом, тогда такой выход: Вставляем команду adddir (добавить все файлы находящийся в этом катологе), после этого ручками переименоваем adddir на deldir.

Конечно, можно добавить окно перед выполнением этой команды (Вы действительно хотите удалить все файлы находящийся в этой папке C:\....\....\, но зачем

[demkd 619]

Аркалык

я таки добавлю, но в активной системе подменю с этими командами просто не будет