Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 82]

Да.

Стоит добавить при работе с образом _Но комментировано_.

Думаю убрать ;

Не проблема.

--------

Случайно ткнуть можно и при работе с образом.

Особенно в сложных скриптах.

Ткнул - не заметил.

И Пузырики...

[mike 1 57]

Слишком опасная функция, пользователь работающий напрямую с активной системой, может случайно ткнуть на эту команду в uVS и последствие может быть печальным.

Пользователь несет ответственность за свои действия. Возможно эту команду стоит расположить в отдельном подменю. Тогда риск будет меньше. Но команда нужна.

после этого ручками переименоваем adddir на deldir.

А если потребуется удалить большое количество папок. Каждую команду будете ручками менять? Неудобно вообщем.

[demkd 615]

v3.82 доступна для обновления, на сайте появится позже.

o Добавлена новая скриптовая команда deldirex имя_каталога

Удалить все исполняемы файлы из каталога и всех его подкаталогов,

права на доступ к файлам игнорируются, занятые файлы/каталоги

удаляются после перезагрузки.

(команда доступна в контекстном меню только при работе с образом)

o Функции массовой проверки файлов на VT/JT теперь проверяют проверенные файлы

имеющие статус ?ВИРУС?.

o В контекстное меню добавлен пункт "Удалить каталог"

(только при работе с образом)

Реализована эмуляция работы соотв. команд.

o Новый параметр в settings.ini

[settings]

; Автоматически добавлять команду breg в начало скрипта

; (только при работе с образом).

bHlpAddBackup (0 по умолчанию)

o Исправлена функция замены "/" на "\" в пути.

o Исправлена функция изменения статуса всех файлов в указанном каталоге.

o Исправлена ошибка в функции планировки удаления файла при использовании виртуализации реестра.

[g0dl1ke 26]

o В контекстное меню добавлен пункт "Удалить каталог"

при работе из под live доступно ?

[PR55.RP55 82]

Сразу пара предложений.

1)

Demkd пишет: Удалить все исполняемы файлы из каталога и всех его подкаталогов

По поводу ВСЕХ... подкаталогов.

В ряде программ есть такой пункт/примечание: Обрабатываются все подкаталоги на глубину до 1000.

Видимо есть в этом свой резон ?

2) Все "Легитимные" цифровые подписи Adware программ по умолчанию считать НЕ действительными.

С соответствующей настройкой в uVS.

Варианты:

а) Внедрение настройки на уровне разработки.

б) По настройке в settings.ini По типу:

ADWARE=1 SAVESENSE; YONTOO LLC; APN LLC;

При нахождении соответствия - сброс статуса проверенный.

Планирую периодически пополнять данный перечень.

http://www.anti-malware.ru/forum/index.php...st&p=176184

3) В меню добавить работу с www.herdprotect.com/knowledgebase.aspx

По проверке SHA1

Очень перспективный ресурс.

ЕЖЕДНЕВНО их база SHA1 пополняется примерно на 35-50.000 тысяч.

Сейчас в базе +- 3000000 файлов.

В последнее время часто проверяю у них.

[PR55.RP55 82]

1) Уточнение для Оператора по Zoo см.фото

2) deldir

При выполнении команды не только эмулировать, но и выводить ВСЕ удаляемые объекты/каталоги в Лог.

(работа с образом )

3) В последнее время зверьё совсем распоясалось.

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\***\Debugger

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe\Debugger

"Debugger" = "IP.EXE"

Может есть смысл сделать вик №28 ?

Для всех неизвестных.

[PR55.RP55 82]

Norton™ Power Eraser

https://security.symantec.com/nbrt/npe.aspx...p;NUCLANG=ru-ru

http://ru.norton.com/products/tutorials/tu...id=power_eraser

Прога всего 3mb.

Облако.

Можно работать и через USB модем.

------------

В settings есть Rootkit Scan

в Advanced Option - выбор режимов.

Фрагмент отчёта по Locate log:

<File_Information><Path>C:\Program Files\ESET\ESET NOD32 Antivirus\eguiDmon.dll</Path><FileVersion>4.2.71.3 </FileVersion><ProductVersion>4.2.71.3 </ProductVersion><ProductName>ESET Smart Security</ProductName><Company>ESET</Company><Copyrights>Copyright © ESET 1992-2010. All rights reserved.</Copyrights><MD5>DE1E2F96E7C4F86496C80131AD4243AE</MD5><SHA256>FF4B867744AFC5FDF037D1149A4368A608BA22A8F58366441FB7AE18D01A84FF

В Scan Complete

Есть:

View log

Locate log

Отчёты сохраняются в:

****\Local Settings\Application Data\NPE

По идее должна быть поддержка командной строки. ?

т.е. Запустили Power Eraser.

Получили лог- отчёт.

Открыли и добавили данные в uVS & Образ.

--------------

uVS работает с файловыми менеджерами и VirusTotalUpload может работать и с Power Eraser.

--------------

[g0dl1ke 26]

Norton™ Power Eraser - тестировал, даже старенький zeroaccess оказался не по зубам

или предлагаешь его, как сканер-анализатор (как мбам и прочие) ?

[PR55.RP55 82]

g0dl1ke

как сканер-анализатор.

Теоретически так, как реализована работа uVS с Prefetch

C:\WINDOWS\Prefetch\Layout.ini

Power Eraser генерирует лог.

uVS - обрабатывает данные.

Результат отображает + образ автозапуска.

Практически ?

[g0dl1ke 26]

Практически...

Он очень редко обновляется, да и вроде как не имеет самозащиты/противодействия активной угрозе (в отличии от uvs)

[PR55.RP55 82]

Хммм.

SysInspector

Пример:

<NODE NAME="FILE" TR="N=4906" F="16386" VALUE="c:\windows\system32\drivers\ftdisk.sys" ANCHOR="72" EVAL="1" ICON_LINK="1" SIGNED_BY_MS="1"><NODE NAME="SHA1" ID="HASH" VALUE="A67ECD42B10005E76AA1852F5CE970D734301538" EVAL="1"/><NODE NAME="Last Write Time" TR="N=4910" VALUE="2003/08/18 09:00" EVAL="1"/><NODE NAME="Creation Time" TR="N=4909" VALUE="2003/08/18 09:00" EVAL="1"/><NODE NAME="File Size" TR="N=4905" VALUE="125440" EVAL="1"/><NODE NAME="FileDescription" ID="DESC" TR="N=4904" VALUE="Драйвер системы отказоустойчивости диска" EVAL="1"/><NODE NAME="CompanyName" ID="COMP" TR="N=4907" VALUE="Корпорация Майкрософт" EVAL="1"/><NODE NAME="FileVersion" TR="N=4903" VALUE="5.1.2600.0 (XPClient.010817-1148)" EVAL="1"/><NODE NAME="ProductName" TR="N=4902" VALUE="Операционная система Microsoft® Windows®" EVAL="1"/><NODE NAME="InternalName" TR="N=4901" VALUE="ftdisk.sys" EVAL="1"/><NODE NAME="Signer" TR="N=4908" VALUE="Microsoft Corporation" EVAL="1"/>

1) Небольшой вес.

2) Продвинутый Антируткит от ESET

3) Генерация лога

4) Поддержка командной строки.

-----------------

Управление служебной программой из командной строки

ESET SysInspector поддерживает создание отчетов из командной строки с использованием следующих параметров.

/gen

создание отчета непосредственно из командной строки без запуска графического интерфейса пользователя

/privacy

создание отчета без включения в него конфиденциальной информации

/zip

сохранение отчета непосредственно на диск в сжатом файле

/silent

отключение вывода данных о ходе выполнения создания отчета

/help, /?

вывод справочной информации о назначении параметров командной строки

Примечание

*Если в имени файла или папки содержится пробел, название следует заключить в кавычки.

Примеры

Чтобы загрузить конкретный отчет в браузер, воспользуйтесь следующей командой: SysInspector.exe "c:\клиентский_журнал.xml"

Чтобы создать отчет в текущем месте, воспользуйтесь следующей командой: SysInspector.exe /gen

Чтобы создать отчет в указанной папке, воспользуйтесь следующей командой: SysInspector.exe /gen="c:\папка\"

Чтобы создать отчет в указанном файле и месте, воспользуйтесь следующей командой: SysInspector.exe /gen="c:\папка\новый_журнал.xml"

Чтобы создать отчет, из которого исключена конфиденциальная информация, воспользуйтесь следующей командой: SysInspector.exe /gen="c:\новый_журнал.zip" /privacy /zip

Вот !

Это будет здорово !

-----------

Кроме всего прочего есть отчёт об системных ошибках.

[PR55.RP55 82]

1) Контрольная метка.

Как и для чего она ?

--------

Со скриптами работают на форумах.

Значит...

Скрипты копируют !

А, что и как было скопированно ?

Нет контроля !

Пример: копирования

-----------------

;uVS v3.82 [http://dsrt.dyndns.org]

;Target OS: NTv6.1

deldir %SystemDrive%\PROGRAM FIL

deltmp

delnfr

restart

Кто скажет на каком участке будет срезана директория и с какими последствиями ?

Предложение: Автоматически, при отдаче команды deldir прописывать конрольную метку.

В СЛУЧАЕ ОТСУТВИЯ ТАКОЙ МЕТКИ uVS выдаёт: " Ошибка, скрипт содержит неверную команду "

+ Пример.

-------------------------

;uVS v3.82 [http://dsrt.dyndns.org]

;Target OS: NTv6.1

deldir %SystemDrive%\PROGRAM FILES\NINO\PERSONALIZATION; Y

deltmp

delnfr

restart

-----------------

P.S.

Demkd

Всё таки желательно видеть рецензию по предложениям.

[alamor 69]

Со скриптами работают на форумах.

Значит...

Скрипты копируют !

А, что и как было скопированно ?

Нет контроля !

Пример: копирования

А что мешает скопировать вместе с меткой?

Если юзер запустил uVS и самостоятельно выполняет скрипты, которых не понимает и жмёт там на кнопки, то хоть с меткой, хоть без метки он убьёт себе систему. И виноват будет только этот юзер.

[PR55.RP55 82]

alamor

Возможна ошибка при копировании - это одно и может случится с каждым.

Выполнение чужих скриптов это совсем другое.

[PR55.RP55 82]

Logic Expression 3.00

soft.oszone.net/program/16277/Logic_Expression/

Логика программы Выражение (LE) рассчитывает и анализирует логическую (логическое) выражение.

Поддержка логических операторов: отрицание, союз, дизъюнкции, эксклюзивный дизъюнкции, импликации и эквивалентности.

Поддерживается работа с: до 500 (пятьсот) члены выражения, до 338 (триста тридцать восемь) переменные и п уровни скобках.

Служит в качестве полезного инструмента для разработчиков при расчете и анализе логических выражений.

----------------

Информация для изучения - В рамках возможной оптимизации поисковых критериев.

[PR55.RP55 82]

1) Для объектов со статусом: ПОДОЗРИТ.

Добавить опцию/меню:

" Задать корректирующий критерий к объекту "

Соответственно оператор получает возможность задать такую корректировку с учётом которой файл/объект теряет статус ПОДОЗРИТ.

и приобретает иной статус.

Так, если задана + корректировка, файл исключается из категории " подозрительные и вирусы " при этом он остаётся в списке в категории _ВСЕ_

-------

P.S. Достали уже эти псевдо - подозрительные.

+

Ждём решения по корректной проверке цифровых подписей = доступу к файлам.

[santy 153]

P.S. Достали уже эти псевдо - подозрительные.

RP55, работать надо не с подозрительными, а с ложным сигнатурным детектом и с ложным статусом ?ВИРУС?

[PR55.RP55 82]

работать надо не с подозрительными, а с ложным сигнатурным детектом и с ложным статусом ?ВИРУС?

По ложным сигнатурным детектам я уже предлагал.

Результата нет.

Для работы/корректировки статуса ?ВИРУС? - есть критерии.

здесь всё нормально - что настроил то и получил.

Зато ПОДОЗРИТ.

от ОПЕРАТОРА НЕ ЗАВИСЯТ.

что НЕВЕРНО в принципе.

В итоге куча мусора в категории "Подозрительные и Вирусы "

Это и файлы с аннулированными сертификатами на 99.5% это мусор.

Также дело в файлах у которых ошибка доступа/ошибка проверки подписи.

С чем работать/НЕ работать - должен решать конкретный оператор.

Когда половина списка забита не пойми чем... это мешает.

Как мешает ? > Вольно, или невольно, оператор должен просмотреть/проверить подозрительные.

> Отвлекает/рассеивает внимание > Забивает/занимает СПИСКОМ подозрит. весь экран или его большую часть - что мешает.

[santy 153]

Зато ПОДОЗРИТ.

от ОПЕРАТОРА НЕ ЗАВИСЯТ.

если будет реализована функция белых списков, тогда можно будет отсеивать как часть подозрительных, так и ложные статусы ?ВИРУС? и ложный детект.

может быть не на 100%, но пока такой точности и не требуется.

по мне, так лучшим решением было бы унификация работы со списком критериев, с возможностью добавлять в критерий функции действия:

сброс статуса ?ВИРУС?

автоматический сброс статуса ПРОВЕРЕННЫЙ (это для критерия по списку адварных цифровых)

отложенные действия: uninstall, delhost

стандарное добавление статуса ?ВИРУС?

hide

и др.

[PR55.RP55 82]

Вот как раз свежий пример.

Сразу по всем перечисленным недостаткам.

И аннулированные сертификаты и ошибка проверки подписи и на весь экран список.

где полезной информации дай бог, если 2% от списка.

И как в таком фарше работать ?

Пример - образ в теме.

+

1) Преодоление.

По SHA1 - при формировании критерия добавить опцию.

Игнорировать Х SHA1 для файла с именем *** при проверке по F4.

т.е. Имя файла постоянно - SHA1 это неизвестная переменная.

Таким образом даже, если файл есть в базе проверенных - то при наличае данного дополнения файл будет представлен в подозрительных.

* На примере Wmic.exe +

И ненужно будет изменять последовательность проверки.

и ненужно опять же баламутить весь список по критериям.

[santy 153]

Вот как раз свежий пример.

Все файлы проверенные в каталоге и подкаталогах

[PR55.RP55 82]

Santy пишет:

Все файлы проверенные в каталоге и подкаталогах

Да. это возможно.

АВТОМАТИЧЕСКИ.

http://www.anti-malware.ru/forum/index.php...st&p=176553

[santy 153]

Да. это возможно.

АВТОМАТИЧЕСКИ.

это еще вопрос, зачем. раз аномалия есть, значит пусть будет в этой секции. не разделять же ее надо две: отдельно вирусы и отдельно подозрительные.

а в автоскрипт подозрительные по любому не попадают. так что они особенно не мешают.

[PR55.RP55 82]

Demkd пишет: deltmp эмуляции нет

А по идее, если перефразировать: " Права на доступ к файлам игнорируются, занятые файлы/каталоги удаляются после перезагрузки. "

На: " Права на доступ к файлам игнорируются, занятые файлы/каталоги TEMP удаляются после перезагрузки. "

Все пользовательские каталоги тэмпов восстанавливаются после deltemp

Таким образом, последовательное применение команд deltmp > delnfr с учётом выше изложенного даёт следующее:

ВСЕ объекты temp - вне зависимости, идёт ли речь о просто мусоре или temp + автозапуск будут удалены - после чего, будет произведена чистка реестра от соответствующих записей.

Также, при работе с образом производиться эмуляция по deltmp. что в свете вышеизложенного логично.

[demkd 615]

PR55.RP55

причем тут temp?

а deltmp+delnfr именно так и работают.

эмуляцию реализовать невозможно без изменения формата файла образа, да и писанины будет много.