Новые функции в Universal Virus Sniffer (uVS)

[demkd 619]

santy

я таки против массовой обработки файлов, слишком много протранства для ляпов.

[santy 153]

demkd,

в принципе, работа с группой записей есть в uVS.

например,

проверка всех непроверенных в текущей категории;

все файлы в каталоге и подкаталогах проверены.

----------

значит у тебя есть цикл обработки группы записей,

здесь же можно добавить:

подпись/хэш

проверить все непроверенные выделенные в текущей категории

контекстное меню-статус

все выделенные файлы в текущей категории проверены.

пока не выделен блок, эти функции должны быть неактивные (или блок всего состоит из одной записи)

а при выделении блока shift+стрелками эти функции открывать_активировать.

не всегда, но в каких то моментах видимо будет удобно использовать именно этот режим.

[santy 153]

или как вариант, модифицировать функцию фильтрующего поиска.

отбор записей по выражению должен выполняться по полю, по которому установлена текущая сортировка.

имя, каталог, статус, производитель

[demkd 619]

santy

это можно подумать, но вообще при наличии горячих клавиш выделение нескольких записей совершенно ненужная вещь.

[santy 153]

demkd,

образы разные бывают, иногда простые, такие что в подозрительных не больше десятка записей, иногда несколько десятков записей, при том не все попадает в подозрительные, если нет хороших критериев.

вот пример образа:

_____2014_05_22_16_22_41.7z

здесь много файлов с цифровой попадают благодаря критерию

(ЦИФР. ПОДПИСЬ ~ HEFEI FEIQIU INFO TECH LTD)(0) OR (ЦИФР. ПОДПИСЬ ~ DEALPLY TECHNOLOGIES)(0) OR (ЦИФР. ПОДПИСЬ ~ AMONETIZE LTD)(0) OR (ЦИФР. ПОДПИСЬ ~ PRESTIGIO EUROPE)(0) OR (ЦИФР. ПОДПИСЬ ~ TMRG INC.)(0) OR (ЦИФР. ПОДПИСЬ ~ MIPKO OOO)(0) OR (ЦИФР. ПОДПИСЬ ~ WHITE SEA MEDIA)(0) OR (ЦИФР. ПОДПИСЬ ~ SAVESENSE)(0) OR (ЦИФР. ПОДПИСЬ ~ YONTOO LLC)(0) OR (ЦИФР. ПОДПИСЬ ~ MONTIERA TECHNOLOGIES LTD)(0) OR (ЦИФР. ПОДПИСЬ ~ INTERTECH LTD)(0) OR (ЦИФР. ПОДПИСЬ ~ SAFETYNUT INC)(1) OR (ЦИФР. ПОДПИСЬ ~ FINDRIGHT)(0) OR (ЦИФР. ПОДПИСЬ ~ GOOBZO LTD)(0) OR (ЦИФР. ПОДПИСЬ ~ BUZZSEARCH)(0) OR (ЦИФР. ПОДПИСЬ ~ ZUGARA INVESTMENTS LIMITED)(0)

проверять список весь подозрительных не хочется, чтобы и сервис проверки не перегружать, потому иногда руки тянутся выделить группу записей в подозрительных и только ее проверить на ВТ.

Что-то можно здесь отсеять по производителю. (сортируем по производителю, выделяем через фильтрующий поиск, и потом все в текущем списке проверенные - тем самым убираем группу записей).

Экономим на числе нажатий по горячим клавишам. . Это видимо бывает актуально, когда по 10-20 образов смотришь, и надо решить поблему за минимальное время.

Иногда между хелперами бывает негласное соревнование, кто быстрее напишет скрипт по публикуемому образу. Так что часто бывает, кто меньше делает нажатий по клавишам, тот и быстрее добавит скрипт.

у RP55, на мой взгляд несколько иной метод работы с образом... он работает со всем списком подозрительные, ему обязательно надо все последовательно отсевать, чтобы отделить все плевена от зерен

Я в основном обращаю вниимание на список детектируемых по сигнатурам, и критериям (?ВИРУС?) по нему создаю автоскрипт.... поэтому мне интересно в основном проверить группу записей, и убрать из подозрительных все со статусом VTOK. (хорошо, что сейчас есть такая функция).

А уж если проблема не решится первым скриптом тогда можно и внимательнее поработать со списком.

----------

вообщем, выжигаем Адваре разными способами: через сигнатуры, через uninstall (если есть в списке программ), через deldirex... а что останется, зачистится в малваребайт или Адвклинере.

_____2014_05_22_16_22_41.7z

[PR55.RP55 82]

Santy пишет:

Как вариант, модифицировать функцию фильтрующего поиска.

отбор записей по выражению должен выполняться по полю, по которому установлена текущая сортировка.

имя, каталог, статус, производитель

--------

Получается, что в поиске можно будет задать сортировку по каталогу : Набираем: Prog... ..... ( Program Files )

В списке остаются только файлы каталога: Program Files

C:\PROGRAM FILES\INTERNET EXPLORER\IEDVTOOL.DLL

C:\PROGRAM FILES\K-LITE CODEC PACK\FILTERS\*******

C:\PROGRAM FILES\WINDOWS MEDIA PLAYER\MIGRATE.EXE

И так далее...

--------

При этом доступно быстрое переключение между: имя, каталог, статус, производитель.

Чтобы не залезать далеко в меню - и каждый раз не менять настройку поиска.

"Отбор записей по выражению должен выполняться по полю, по которому установлена текущая сортировка "

-----

Это нужно сделать обязательно !

Хорошее предложение.

Таким образом ( возвращаясь к моему видео )

Можно будет отсортировать не только по типу расширения: dll; exe ...

Но и по каталогу: Например найти каталог Prog... > Проверить его файлы и применить: "Все файлы в текущей категории проверенны"

-----

Вся надежна на Demkd !!!

По полю статус:

Объекты: ?Вирус? --- ПОДОЗРИТ.

МОЖНО _НАЙТИ_ и ОСТАВИТЬ В списке только ?ВИРУС?

И работать ТОЛЬКО с ними на V.T. и т.д.

И применить автоскрипт.

Или команду: "Удалить все файлы текущей КАТЕГОРИИ"

Таким образом _ВЫДЕЛЯТЬ_ файлы ЧЕРЕЗ ПОИСК !!!

Можно найти и файлы/объекты статуса VTOK.

Они НЕ выделяются как таковые - но их ФИЛЬТР выделит.

Что Оператор - захочет то и выделит через ФИЛЬТР !!

[santy 153]

RP55,

При этом доступно быстрое переключение между: имя, каталог, статус, производитель.

да, если кому неизвестно, то сейчас смена сортировки выполняется нажатием курсора на заголовок поля в списке.

причем фильтрация по идее должна получиться гибкая.

можно установить сортировку, отфильтровать по выражению поля, сменить сортировку и оставшуюся часть списка фильтровать уже по новому выражению.

предыдущий фильтр не отменяется.

--------

видимо здесь может быть некоторая проблема.... потому что при смене сортировки получается надо отменять_очищать предыдущее добавленное значение.

вообщем, действительно, есть над чем думать.

[PR55.RP55 82]

Santy

Получается у нас 2 разных предложения ?

Хотя и звучит похоже...

Я говорю о ПОИСКЕ.

Фильтрующем поиске по: имя, каталог, статус, производитель.

Логика: Выделили поле Каталог.

И далее работаем с поиском...

Ищем к примеру: Prog...

Логика: Выделили поле Статус.

И далее работаем с поиском...

Ищем к примеру: ?ВИР*** ( ?ВИРУС? )

ТАКИМ образом в СПИСКЕ остаются ТОЛЬКО файлы со статусом ?ВИРУС?

И работаем ТОЛЬКО с ними !!

Можем проверить на V.T.

Можеv применить автоскрипт...

Можем удалить все файлы КАТЕГОРИИ...

Santy пишет:

фильтрация по идее должна получиться гибкая.

можно установить сортировку, отфильтровать по выражению поля, сменить сортировку и оставшуюся часть списка фильтровать уже по новому выражению.

предыдущий фильтр не отменяется.

Да.

Это хорошо будет.

Должно повлиять на скорость/время за траченое на проверку.

Только...

В ряде случаев скорость увеличиться - в других может идти медленнее.

Но ОДНОЗНАЧНО это будет более ТЩАТЕЛЬНАЯ = ДЕТАЛЬНАЯ проверка.

[santy 153]

Я говорю о ПОИСКЕ.

Фильтрующем поиске по: имя, каталог, статус, производитель.

Логика: Выделили поле Каталог.

И далее работаем с поиском...

Ищем к примеру: Prog...

RP55, это само собой разумеется, что при модифицированном фильтрующем поиске всякие чудеса возможны:

и по имени/расширению можно выделять блок, и по каталогу хоть "программ файл", хоть windows\system32

и статус можно любой выделить в списке, и производителя.

+

может быть еще какие то полезные вещи откроются по ходу работы.

----------

+

вопросы могут возникнуть по сбросу всего фильтрующего выражения целиком, если использовать последовательный комбинированный фильтр по нескольким полям.

скорее всего придется сбрасывать полностью фильтрующее выражение при смене сортировки....

-----

или брать решение, когда плавающий фильтр возможен только в пределах выбранного поля + иметь возможность сбросить полностью весь комбинированный фильтр.

[PR55.RP55 82]

Santy пишет:

скорее всего придется сбрасывать полностью фильтрующее выражение при смене сортировки....

может быть еще какие то полезные вещи откроются по ходу работы.

В ряде случаев скорость увеличиться - в других может идти медленнее.

Но ОДНОЗНАЧНО это будет более ТЩАТЕЛЬНАЯ = ДЕТАЛЬНАЯ проверка.

Всё будет от Оператора...

Что касается полезного по ходу работы....

Имя вируса.

Отсев списка по имени вируса/угрозы.

Например проверили список - в списке 25 вирусов - но нам нужен только 1 - определённый/тип.

Чтобы посмотреть уточнить - всё с ним связанное.

+ ???

Фильтры списки.

т.е. выбор поиска ИЗ шаблона.

т.е. поиск без набора запроса.

Путём Выбора из типичного перечня списка/заготовки.

[PR55.RP55 82]

1) Сейчас uVS при создании скрипта в шапку пишет номер версии ОПЕРАТОРА.

Что хорошо - но не верно.

Пример:

   ;uVS v3.82.5 [http://dsrt.dyndns.org];Target OS: NTv6.1deltmpdelnfr

При том, что версия пользователя:

uVS v3.82 [http://dsrt.dyndns.org]: Windows 7 Ultimate x64 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS]

Или вообще 3.7

----

Оператор далеко не всегда проверяет - на какой версии было генерирование образ автозапуска.

И как результат: "Скрипт не верен, или не содержит команд... "

----

Суть Предложения в том, что Оператор должен видеть версию для которой он НАПИСАЛ скрипт.

Как это должно выглядеть так:

   ;uVS v3.82 Operator v3.82.5 [http://dsrt.dyndns.org];Target OS: NTv6.1deltmpdelnfr

2) Автоматическое прерывание после 200 повторов - Для критерия поиска.

Типичная ситуация: Оператор формирует новый поисковый критерий - при формировании критерия допущена ошибка.

т.е. при применении этого критерия uVS может найти более 5000 подозрительных объектов...

Что лишено смысла - и отнимает у Оператора время на проверке и перепроверке.

Логично прервать цикл.

3) Критериев поиска всё больше и больше...

Время проверки увеличивается.

В перспективе будут реализованы белые критерии поиска = исключение объектов из обработки.

Сейчас существуют специализированные программы способные измерять время старта Windows & Программ.

И находить компонент/программу вызывающую задержку запуска системы.

Например:

Видео драйвер время: 5 секунд.

Резервное копирование: 12

Антивирус: 134

Таким образом, Оператор может найти слабое звено = тормоз.

И принять меры по устранению = ОПТИМИЗАЦИИ.

---

По аналогии работать с критериями поиска.

В Лог выводить информацию НЕ только какой критерий сработал - но и время обработки данных.

Оператор создаёт критерий - смотрит = оценивает его эффективность, как в плане обнаружения - так и в плане оптимизации его работы.

[PR55.RP55 82]

4) В Столбце отображается результат проверки.

VTOK [2014-03-06]

В uVS реализована команда:

" Установить статус проверенного файла для всех файлов в текущей категории с VTOK/... "

Логично применить команду для всех файлов при:

VTOK [2011-01-05]:[2014-03-06]

т.е. НЕ смотря ИНФО. ( или просмотрев Инфо. только для части файлов )

Оператор может примерить: " Установить статус проверенного файла для всех файлов в текущей категории с VTOK/... "

Но, для этого он должен видеть результат проверки.

Результат первой < > крайней проверки.

Информация должна отображаться в Столбце.

Чтобы не занимать много места оптимизировать информер до:

VTOK [Y11-01-05]:[Y14-03-06]

Где Y = YR ( year )

------

Что позволит оптимизировать работу.

Положительно скажется на времени проверки списка/образа/системы.

[PR55.RP55 82]

5) Нужно реализовать: при выборе графы = Поисковом запросе автоматическое переключение раскладки клавиатуры ?

- | Статус | у нас на русском...

прочие графы на английском.

6) Нужен индикатор ( выделение цветом )- чтобы Оператор видел ВЫБРАННУЮ настройку/столбец.

А - то можно при частом переключении запутаться, что сейчас активно/выбрано.

[santy 153]

Оператор далеко не всегда проверяет - на какой версии было генерирование образ автозапуска.

И как результат: "Скрипт не верен, или не содержит команд... "

имхо, это неактуально, тем более, что хелпер как правило работает на тестовой версии... которая выше той, на которой был создан образ автозапуска.

[PR55.RP55 82]

Santy пишет:

имхо, это неактуально, тем более, что хелпер как правило работает на тестовой версии... которая выше той, на которой был создан образ автозапуска.

Почему же ?

Оператор может не работать с подпиской/обновлением и у него uVS 3.82 версии.

Образ может быть создан на версии 3.7...

Так, что команды даже от 3.82 НЕ будут выполнены.

Это реальный пример - можно в сети найти скрипты написанные на 3.82 - Это нормальное явление.

-----

    ;uVS v3.82 Operator v3.82.5 [http://dsrt.dyndns.org];Target OS: NTv6.1deltmpdelnfr

Хорош тем, что оператор видит с какой он версией имеет дело.

----------

Или так:

    ;uVS v3.7 Operator v3.82.1 [http://dsrt.dyndns.org];Target OS: NTv6.1deltmpdelnfr

Тогда пользователь может обновить свою версию до актуальной - до той с какой работает Оператор.

[demkd 619]

Тогда пользователь может обновить свою версию до актуальной - до той с какой работает Оператор.

а оно и так пишет в лог версию на которой был сделан скрипт

[PR55.RP55 82]

Demkd пишет:

а оно и так пишет в лог версию на которой был сделан скрипт

В день Оператор может обработать 10-15 образов.

и смотреть ещё и лог...

----

Проблемы с выполнением скрипта из-за несовместимости версий/команд.

Возникают постоянно.

В этом легко убедиться - задать поиск в Яндексе и посмотреть.

Сотни ошибок...

Так, что предложение актуально.

-----

Есть теория ( Оператор должен смотреть Лог )

И есть практика: У Оператора нет времени; желания, или он элементарно забывает о необходимости просмотра лога.

А при ПУБЛИКАЦИИ на сайте - или при редактировании скрипта Оператор Не может не увидеть - что он собственно публикует...

так- как всякий нормальный Оператор проверяет результат = скрипт.

И видит, то там написано.

И не добавлено ли чего лишнего - такого, что отправит систему в расход.

[santy 153]

В день Оператор может обработать 10-15 образов.

и смотреть ещё и лог...

а лог в любом случае надо обязательно смотреть, и можно взять за правило смотреть на какой версии создан образ автозапуска.

Если у Оператора нет времени и желания смотреть логи, то лучше тогда ему этим не заниматься ВООБЩЕ.

----

а вообще была когда то предложена функция проверки скрипта.... вот ее и надо развивать дальше, пока что она сырая, и никто ей не пользуется.

[PR55.RP55 82]

Я и говорю...

Есть теория.

И есть практика.

Это разные вещи.

Не все сторонки перфекционизма.

Чему сотни примеров.

Пишется скрипт...

Который НЕ может быть выполнен...

------

Здесь обсуждение связанное с предложениями по поиску/фильтрации:

http://www.anti-malware.ru/forum/index.php...st&p=178428

* Чтобы всё было в одном месте - и не потерялось.

[PR55.RP55 82]

6) Поиск как элемент автоматизации.

Пример:

Поисковый запрос из _Серии_ последовательных запросов: "sptd.sys"

т.е. в ряд этапов.

sptd.sys >>> Windows\System32\DRIVERS

Где имя файла 1 - й этап _АВТОМАТИЧЕСКОГО_ запроса/поиска

А Windows\System32\DRIVERS - т.е. путь до файла 2- й этап.

т.е. Сочетание Имя + Путь + Производитель ( 3 -й э. ) +; +;

После того, как найден объект полностью соответствующий запросу в отношении объекта может быть _АВТОМАТИЧЕСКИ_ применена команда:

"Файл проверен"

или, если речь идёт о группе объектов ( например по расширению )

применяться команда: "Все файлы категории пров. ( с учётом фильтра )

или

"Удалить все файлы категории " ( с учётом фильтра )

----------

6.1) С учётом того, что реализован поиск по колонкам.

| СТАТУС |

Можно/нужно реализовать.

| ADEARE |

| ПОДМЕНА |

| VIRUS |

| УТОЧНИ |

т.е. при Создании критерия поиска Оператор задаёт имя критерия поиска.

Заданное Имя отображается в колонке | СТАТУС |

Таким образом, все ПОДОЗРИТ. объекты можно разбить на группы - по типу.

Логика: Есть группа | ADEARE |

Там нет ложных определений - настройка основывается на цифровой подписи.

Применяем фильтр> в списке остаются только | ADEARE | объекты.

Их может быть и 10 и 20 и более.

Применяем Автоскрипт ( с учётом фильтра )

или если Автоскрипт не настроен применяем команду:

"Удалить все файлы в категории " ( с учётом фильтра )

т.е. Отдаём одну команду - разом удаляя 10 и более объектов.

----

Работа основывается на критериях поиска + фильтр по типу.

Оператор ориентируется на надёжность критерия.

И соответственно выстраивает свою работу.

[PR55.RP55 82]

7) также по предложениям.

По поиску.

http://www.anti-malware.ru/forum/index.php...st&p=178456

[santy 153]

6) Поиск как элемент автоматизации.

имеет смысл дождаться реализации функционала настраиваемого действия для критериев, там по идее все будет работать автоматически.

[PR55.RP55 82]

Santy пишет:

имеет смысл дождаться реализации функционала настраиваемого действия для критериев, там по идее все будет работать автоматически.

Функционал должен базироваться на неком принципе.

Как именно всё будет работать.

Какой механизм.

То, что я написал - это как дополнительная идя.

Чтобы было над чем подумать/задуматься.

[santy 153]

Функционал должен базироваться на неком принципе.

Как именно всё будет работать.

Какой механизм.

выше мы уже обсуждали эту идею. По всем записям, которые попадут под детект критерия будет сформировано определенное действие. Это действие(я) можно будет определить_настроить при создании или редактировании критерия.

[PR55.RP55 82]

1) Автоматический определитель типа поискового запроса.

Пример:

Оператор набирает запрос: .EXE

Программа определяет что запрос по колонке ИМЯ

А разве в какой другой колонке будет такое сочетание ?

Оператор пишет ПОДОЗРИТ.

и программа автоматически определяет, что запрос задан по колонке...

А разве в какой другой колонке будет такое сочетание ?

Определяет... и автоматически переключат систему.

P.S. таким образом:

3.82.6

*********_фильтрующий_ поиск осуществляется по

выбранному для сортировки столбцу.

Да... поиск осуществляется по выбранному для сортировки столбцу.

Но это доп. опция - на случай, если результат автоматической обработки запроса не будут соответствовать поисковой задаче.