Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 82]

РАД что мои предложения читают !

ЕСЛИ бы их читали - было бы ещё лучше !

"17.06.2012 15:55:20 Минус в том, что сигнатура после выполнения будет сохранена в базе sgnz - и при повторном выполнении без учёта exclude - это приведёт к спонтанному удалению объекта.

Соответственно при наличие команды типа: exclude D84EB5022EEF9A024311A0C8BDCF45263E7538A0

Должна приводиться автоматическая очистка базы сигнатур.*

* Что само по себе актуально и уже предлагалось."

http://www.anti-malware.ru/forum/index.php...st&p=157044

http://forum.esetnod32.ru/messages/forum6/...9/#message46139

+ Предложение такое: Перечитать все предложения за 4 месяца !

Например это предложение: "

7.Возможность создания переменного критерия для значения: " Атрибут "

В силу того, что Атрибут/ы постоянно меняются.

Что в свою очередь делает поисковый критерий созданный на его основе бесполезным...

Вот, будет вместо Abobe стоять Sony и всё хана критерию...

см.фото. " http://www.anti-malware.ru/forum/index.php...st&p=155491

[santy 153]

РАД что мои предложения читают !

речь идет не о том, кто кого читает, а как сделать с минимальными затратами режим исключения. если исключать из проверки по хэшу, или имени - значит, надо где то хранить эту информацию, которая должна учитываться при следующем сканировании. Зачем же так усложнять себе и разработчику жизнь.

Когда проще на период сеанса удалить объект из списка, и в конце скрипта очистить добавленные сигнатуры.

[PR55.RP55 82]

Santy пишет: Если исключать из проверки по хэшу, или имени - значит, надо где то хранить эту информацию, которая должна учитываться при следующем сканировании.

СИГНАТУРА ЕСТЬ В СКРИПТЕ !

Информация по exclude SHA1 есть в скрипте !

Зачем сохранять информацию в базе sgnz на стороне исполнителя ?

Зачем сохранять инфо. по exclude SHA1 когда данные содержаться в скрипте !

Зачем там вообще нужна база sgnz и данные по exclude SHA1 если всё это нужно только на одну сессию ? !

Нужна сигнатура - её работа ? Выполняем скрипт - нужно, выполняем повторно...

Сигнатура изменилась = новый скрипт с новой сигнатурой и при необходимости с exclude SHA1.

Вся нужная/необходимая информация/данные есть в скрипте.

Этого достаточно !

Нет сохранения для exclude SHA1

Нет сохранения для sgnz

Да, таким образом: "На период сеанса объект удаляется/исключается из списка проверки"*

* С системой дополнительного контроля, защитой от удаления.

[santy 153]

Когда проще на период сеанса удалить объект из списка, и в конце скрипта очистить добавленные сигнатуры.

demkd,

возможны и такие варианты:

1. либо добавить новый статус объекта ИСКЛЮЧЕН, и соответственно подобные объекты не прогонять через проверку по критериям и сигнатурам.

команда Include(file) меняет статус файла, делает активным статусом - ИСКЛЮЧЕН

действие EXCLUDE(file) возвращает прежний статус, который был до исключения.

2. либо предусмотреть глобальную команду SETSTAT(file), которая управляет статусами файлов.

3. либо применить такую модель:

добавить в список новую категорию - исключения.

- объекты из данной категории отображаются в списке вместе с инфо, как и все прочие объекты автозапуска.

- объекты в данную категорию могут перемещаться из любых других категорий по контекстной команде (ИСКЛЮЧИТЬ ИЗ ПРОВЕРКИ)

- данная область списка может сканироваться с помощью chklst (и проверяться по сигнатурам) и проверками по критериям, по по данным объектам не выполняются активные действия удаления/исправления свойств/статусы: delall, delref, setdns и др..

данные объекты при любых детектах остаются в категории исключений и лишь действие ВКЛЮЧИТЬ перемещает его в прежнюю категорию.

и включает во все активные проверки.

[santy 153]

Зачем сохранять информацию в базе sgnz на стороне исполнителя ?

Зачем сохранять инфо. по exclude SHA1 когда данные содержаться в скрипте !

1. скриптом сигнатура по любому добавляется в список на стороне клиента, (но список можно очистить по выполнении скрипта)

2. исключения на стороне клиента (может быть) и нет необходимости сохранять согласно предложения demkd;

3. есть необходимость сохранить исключения (в пределах сеанса работы с образом) на стороне хелпера в следующем случае.

ты настраиваешь список исключений, формируются скриптовые команды, но может возникнуть необходимость отмены всех действий.

в этом случае все команды скрипта отменяются, но при этом сканируется список исключений (из области где они были сохранены)

и автоматически добавляются команды исключений.

(это будет полезно и в будущем режиме автоскрипта.)

[PR55.RP55 82]

Цитата(santy @ 03.09.2012 )

1. скриптом сигнатура по любому добавляется в список на стороне клиента, (но список можно очистить по выполнении скрипта)

2. исключения на стороне клиента (может быть) и нет необходимости сохранять согласно предложения demkd;

3. есть необходимость сохранить исключения (в пределах сеанса работы с образом) на стороне хелпера в следующем случае.

ты настраиваешь список исключений, формируются скриптовые команды, но может возникнуть необходимость отмены всех действий.

в этом случае все команды скрипта отменяются, но при этом сканируется список исключений (из области где они были сохранены)

и автоматически добавляются команды исключений.

(это будет полезно и в будущем режиме автоскрипта.)

> 1. Зачем очищать список, если принципиально можно отказаться от использования базы sgnz.

База УДАЛЯЕТСЯ автоматической командой - по умолчанию - ( при наличие в скрипте команд по типу: EXCLUDE )*

*После выполнения всех действий и перед командой RESTART

> 3. При отмене ВСЕХ действий - сохранять нечего и незачем !

Нет опасных команд - нет и сохранению мусорных команд !

И зачем при отмене всех действий что то сканировать...

Нужна команда - значит она будет добавлена в процессе написания/создания скрипта.

Как это может быть:

Проверяем список...

Смотрим на что есть сигнатурное определение = ложное срабатывание > добавление в исключения по SHA1 на время сессии.*

* По средством контекстного меню объекта.

Повторная проверка списка.

Смотрим результат.

Всё нормально/правильно.

Команда > на убиение вирусов.

А по поводу автоскрита - как будет реализация, так и подгон параметров будет.

[santy 153]

> 1. Зачем очищать список, если принципиально можно отказаться от использования базы sgnz.

База УДАЛЯЕТСЯ автоматической командой - по умолчанию - ( при наличие в скрипте команд по типу: EXCLUDE )*

а если ты на своей стороне будешь тестировать исключения и проч.? тоже будешь автоматически удалять базу сигнатур?

[PR55.RP55 82]

Цитата(santy @ 03.09.2012 )

> 1. Зачем очищать список, если принципиально можно отказаться от использования базы sgnz.

База УДАЛЯЕТСЯ автоматической командой - по умолчанию - ( при наличие в скрипте команд по типу: EXCLUDE )*

A если ты на своей стороне будешь тестировать исключения и проч.? тоже будешь автоматически удалять базу сигнатур?

Есть файл settings.ini с настройкой.

Что делать, что нет.

Варианты: Удаление sgnz в папку Backup- 1|2|3*

* Только при работе с реальной системой.

** При работе с Образом команды сохраняться в скрипте ( в процессе его создания и тестирования результата ) - значит и информация/данные по добавленному исключению доступны для самой программы.

ИЛИ

Создаётся единый временный файл ( копия скрипта ) - со всеми данными/командами.

uVS может считать нужную-сохранённую информацию из этого файла.

[santy 153]

demkd,

возможны и такие варианты:

т.е. действия с объектом исключения будет разное при работе с образом и при работе с активной (удаленной) системой.

при работе с образом объект перемещается в отведенную область исключений, и над ним возможны любые манипуляции в данной сессии. (просмотры, проверки и проч., отмены исключения)

при работе с активной системой действие исключить из проверки (как контекстное, так и команда скрипта) удаляет объект из списка и он не попадает в проверку chklst на период текущей сеанса.

[demkd 619]

1. Исключения будут действовать до выхода из uVS, файл будет удаляться из списка.

2. Добавлю скриптовую команду запрета сохранения базы сигнатур.

[PR55.RP55 82]

Demkd пишет

2. Добавлю скриптовую команду запрета сохранения базы сигнатур.

Оптимально, если команда будет добавляться автоматически.

При наличии в скрипте команды по типу: "exclude 3BC10B8D00BF12038D180FBBA7FCDF48E1264C6D"

Если есть команда - значит есть ложное срабатывание.

Следовательно и команда на запрет сохранения должна прописываться автоматически.

Когда оператор забудет добавить команду...

[demkd 619]

При наличии в скрипте команды по типу: "exclude 3BC10B8D00BF12038D180FBBA7FCDF48E1264C6D"

исключение будет по полному пути, а не по хэшу, а автоматически это можно.

[PR55.RP55 82]

Предложение ( повторно предлагаю ! )

При формировании критерия поиска.

Добавить опцию: "ПРИОРИТЕТ"

т.е. Если у файла, есть цифровая подпись он после того, как попал под поисковый критерий НЕ ОТОБРАЖАЕТСЯ.

Если задан ПРИОРИТЕТ - ВЫСОКИЙ.

Он отображается ВСЕГДА* вне зависимости проходит он проверку по цифровой подписи или нет.

* разуется с учётом статуса по базе SHA1

Таким образом получаем гибкую схему.

* Помним, что есть команда для сброса: Сбросить статус "Проверенный" у всех файлов в списке !

[santy 153]

исключение будет по полному пути, а не по хэшу, а автоматически это можно.

demkd, поясни, плиз, что значит автоматически:

- это будет автоматический запрет на запись сигнатур в уже существующую или нулевую базу

или

- это будет автоматическая очистка существующей базы сигнатур?

первый вариант меня устраивает, поскольку тестировать исключения придется в том числе и на своей системе.

--------

имхо, думаю для версии 3.76 будет вполне достаточно если в 3.76b3 будет добавлен механизм исключения.

все остальные нововведения и пожелания реализовать в более высоких версиях.

[demkd 619]

- это будет автоматический запрет на запись сигнатур в уже существующую или нулевую базу

да, по спец. скриптовой команде, которая автоматически будет добавляться в скрипт если включена соотв. опция.

PR55.RP55

опять же не вижу смысла.

[PR55.RP55 82]

Поисковые Критерии.

Смотрим фото и думаем.

Предложений читать ненужно - только смотрим.

Смотрим и думаем.

Уф...

[demkd 619]

У меня таки идея пришла по сложным критериям: выкинуть "не равно" выкинуть "атрибут" и добавить набор строк и проверять их вхождение в описание файла, если ВСЕ строки указанные в критерии содержатся (нужно ли строгое равенство?) то присваивать файлу соотв. статус.

надо это дело обдумать.

[santy 153]

У меня таки идея пришла по сложным критериям: выкинуть "не равно" выкинуть "атрибут" и добавить набор строк и проверять их вхождение в описание

атрибут будет пустым если мы критерий создаем из инфо от пустого поля (без заголовка).

(хотя здесь есть минус, что значение поля из инфы мы не можем автоматически добавить в значение критерия.)

что подразумевается под набором строк? линейный набор фраз с разделителями?

микрософт; update_flash.exe; 2012

или

микрософт

update_flash.exe

2012

что подразумевается под описанием файла? вся совокупность полей?

т.е. каждая фраза должна входить в содержимое хотя бы одного поля описания?

(по моему, достаточно будет условия входимости каждой из фраз.)

[demkd 619]

скоре 2-й вариант

т.е. каждая фраза должна входить в содержимое хотя бы одного поля описания?

да.

я еще думаю над "не_равно" надо оно или нет, а так вроде просто будет и подходит для чего угодно

[santy 153]

да, это по сути и составной критерий, главное - чтобы удобно было добавлять значения.

по форме создания критерия.

может, добавить в форму объект типа combo?, из которого можно выбрать любое из значения полей описания объекта и добавить в поле значений критерия. (помимо того, что там вручную что-то можно дописать.)

[PR55.RP55 82]

В критериях поиска нужна=необходима переменная например для графы - производитель.

Как в данном случае: Корпорация Майкрософт; Microsoft Corporation

Так и в случае подмены значения, например для производитель.см.фото.

+ В случае полного отсутствия значения.

Пример: Есть имя объекта: update_flash.exe

В поле производитель задаём значение - "любой производитель"

Или например не равно: Adobe Systems, Inc.

Или отсутствие цифровой подписи ( задать имя файла & значение )

Нужен: "линейный набор фраз с разделителями"

Например для:

Корпорация Майкрософт; Microsoft Corporation

Adobe Systems, Inc; Adobe Systems Incorporated

[PR55.RP55 82]

Автоскрипт.

Мысли в слух...

Автоматически архивировать Zoo ( czoo ) при наличие в скрипте команд по типу zoo С:\*

Команда для автоматической очистки всех ссылок в браузерах.

Авто. deltmp; delnfr - в силу того, что эти команд есть во всех скриптах.

Что можно увидеть на вех форумах где применяют uVS.*

* Команда добавляется перед командой restart или перед началом сохранения реестра - sreg.

При наличие доп. записей в USERINIT, Обязательный авто.твик №12.

При наличие объектов - AUTORUN. Авто добавление твика №5

Так, как лечение связано с чисткой реестра, возникает необходимость в перезагрузке системы.

= Авто. добавление Restart.

Рассмотрим АВТОСКРИПТ на примере: SPY.SHIZ

По настройке в settings.ini это команды: delall и bl

+ При удавлении > авто.копирование в Zoo.

Таким образом получаем:

;uVS v3.76 BETA5 script [http://dsrt.dyndns.org]

;Target OS: NTv5.1

delall

bl

zoo

Далее, работает вышеописанный сценарий.

т.е. скрипт содержит команду Zoo

Значит, автоматически будет добавлена команда cZoo

+ команды: deltmp; delnfr.

Вирус модифицирует запись в USERINIT - о чём есть запись а образе/реестре = твик №12.

В момент выхода ( открытия меню Скрипты ) добавляется Restart.

На выходе имеем скрипт:

;uVS v3.76 BETA-5 script [http://dsrt.dyndns.org]

;Target OS: NTv5.1

delall

bl

zoo

czoo

regt 12

deltmp

delnfr

Restart

Таким образом получаем полностью автоматически созданный/с генерированный скрипт.

Создание образа инициируется всего одной командой delall !

___________________________________________

* Что по критериям поиска ?

[PR55.RP55 82]

...

[demkd 619]

PR55.RP55

Смело, но иногда может быть и имеет смысл.

Таким образом получаем полностью автоматически созданный/с генерированный скрипт.

это уже от лени, не стоит сильно предаваться автоматизации ничего хорошего из этого не выйдет.

[PR55.RP55 82]

Фото пример ранее прозвучавшего предложения для Сложного критерия.

Это может быть.

Критерий

+

И

+

И

+

Или/Или

Ещё так:

Критерий

+

Или\Или

Думаю, что так более доходчиво.