Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 82]

Да, согласен.

[santy 151]

demkd,

предлагаю добавить (в новые версии) функционал UVS Prevent.

данный функционал сейчас есть в виде блокировки по хэшам, но можно было бы добавить блокировку запуска программ по относительным путям, типа %UserProfile%, %appdata%, %programdata%, Startup folder и маскам файлов, с указанием расширений. (*.js, *.bat, *.cmd и другие)

подобного функционала сейчас не хватает в HIPS от вендоров, по крайней мере, в правилах невозможно указать относительные пути и маски расширений файлов.

 

аналоги программ есть. CryptoPrevent free и Premium (15$). free версия ограничена тем, что используется только базовый набор правил, который не редактируется и не дополняется через интерфейс программы.

можно было бы в будущем добавить в uVS так же обновление правил, через механизм обновлений (аналогично, main, store и др)

[demkd 603]

@santy,

подумаю

[PR55.RP55 82]

1) Предлагаю реализовать поиск по сайту.

 

Типа: http://netload.biz/2010/04/10/insitesearch/

* Кстати у этого расширения тоже интересный тип установки

 

Для поиска работать с: V.T.  &  herdprotect.com

 

Например поиск из Инфо. файла.

Оператор может выбрать любой элемент из Инфо. поиск по: (  имени; производителю; sha1 и т.д )

[PR55.RP55 82]

1) Фильтр

В каталоге uVS создаётся файл.

В файл оператор прописывает выражение/я с которым/и он хочет работать в режиме скрыть/показать.

-----

Пример таких выражений:

C:\WINDOWS\INSTALLER\{

C:\PROGRAM FILES\D-LINK\

C:\PROGRAM FILES\AUTOCAD 2010\

C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V4

C:\PROGRAM FILES\NVIDIA CORPORATION\3D

C:\PROGRAM FILES\COMMON FILES\AUTODESK SHARED\

и т.д.

--------------

Логика такая.

_на время убрать из списка часто встречающиеся - отвлекающие объекты...

Обработать список, после чего снять фильтр и просмотреть оставшиеся объекты.

--------

преимущество в скорости и в том, что не нужно набирать поисковый запрос.

Оператор может прописать в файле как несколько выражений - так и одно.

например: VTOK.

или ?ВИРУС?

 

 

 

 

[santy 151]

 

1) Фильтр В каталоге uVS создаётся файл. В файл оператор прописывает выражение/я с которым/и он хочет работать в режиме скрыть/показать. ----- Пример таких выражений:

 

RP55,

мутно это все.

подобные предложения следовало бы вначале обсудить, хотя бы в тестировании, прежде чем добавлять в новые предложения.

это ж сколько в данный файл придется писать выражений, целый настоящие теневой snms-обоз получается.

который надо возить за uVS-ом.

 

проще как раз зафильтровать то, что ты хочешь выделить, и добавить в выделенную группу.

а затем уже работать с выделенной группой,

после нескольких наложений фильтров.

 

тем более, что в будущем возможны и другие способы добавления в выделенную группу.

например: через запрос, или через комбинацию клавиш: shift +стрелки

[PR55.RP55 82]

santy

 

Здесь важен режим работы: Скрыть/Показать.

А сейчас нет такой возможности.

----

На время убрал отвлекающие объекты из списка...

Обработал основные объекты.

После чего вернулся - к второстепенным.

Например оператор ищет определённый вирус...

И ему точно известно, что в \PROGRAM FILES\  он не гнездиться...

Оператор на время скрывает ВСЕ \PROGRAM FILES\***

Находит вирус - удаляет...

И потом - до проверяет оставшиеся объекты.

[santy 151]

RP55,

если искать определенный вирус, то зачем заниматься исключениями?

фильтруем список по его известным признакам (если он определенный), пишем запрос по тем полям (их инфо), которые не входят базовые (имя, каталог, статус, производитель).

--------

добавляем все в выделенную группу: изучаем ее.

если нет в этом необходимости -  возвращаемся в "подозрительные и вирусы"

[alamor 69]

Здесь важен режим работы: Скрыть/Показать. А сейчас нет такой возможности.

Есть.

 

Например оператор ищет определённый вирус... И ему точно известно, что в \PROGRAM FILES\  он не гнездиться... Оператор на время скрывает ВСЕ \PROGRAM FILES\***

Фильтруешь по \PROGRAM FILES\  а потом инвертируешь фильтр.

[Виктор Коляденко 6]

фильтруем список по его известным признакам

 

Например критерий одного трояна - файлы с одинаковым (но случайным) названием:

SysWOW64\tpuuhmi.dll;

AppData\Local\Temp\tpuuhmi.dll;

AppData\Local\Temp\tpuuhmi.exe.

[PR55.RP55 82]

Ну хорошо...

Тогда такое предложение.

 

1) В меню добавить команду: " Временно скрыть файлы в текущей категории с учётом фильтра"

 

т.е. применили фильтр и _временно...  убрали объекты из списка.

потом применили второй фильтр, третий...

Фильтр можно применить столько раз сколько нужно.

- А потом фильтр по команде можно сбросить и продолжить работу с файлами.

-----

Смысл в том, чтобы разделить объекты на группы.

На условно опасные и условно безопасные объекты.

Отработать одну группу и перейти к другой.

Можно вначале отработать безопасные, а можно наоборот рассчитаться с условно опасными и... до проверить условно безопасные.

[santy 151]

RP55,

хайд зафильтрованных - не единственный метод отбора, который здесь предлагают.

тут по крайней мере три альтернативы.

1. хайд выделенных (через фильтр) объектов (то что ты предлагаешь)

2. простое выделение (через Ctrl или Shift + стрелки) + в дальнейшем (любые возможные) функции с выделенными, то что выше уже предлагал alamor и  другие,

3. фильтрование + добавление в выделенную группу + дальнейшая манипуляция с выделенными.

--------

нет смысла реализовать только хайд, когда есть возможность добавить более универсальный механизм работы:

а. выделение группы объектов

б. выбор возможных функций над выделенной группой. (повторяю, что это может быть не только хайд)

------------

мне это видится, как введение дополнительного флага для объекта автозапуска, состояние которого будет меняться.

выделен или нет.

 

т.о. флаг можно поменять: через Shift (Ctrl) + стрелки, через добавить зафильтрованные в группу, через запрос по условию.

[PR55.RP55 82]

Я в своё время предлагал создать совместный анализ логов

лог создаёт одна программа - другая его анализирует.

= сравнивает результаты на расхождение в данных.

= использует возможности других программ.

- создаёт общий Образ/лог.

 

Например uVS + ESET SysInspector

SysInspector создаёт лог - uVS его преобразует/трансформирует и данные отображаются в привычном для uVS виде.

 

Но это проигнорировали...

 

В вот человек  сам пришёл к аналогичной идее и реализовал: http://idsmonitor.narod.ru/

[santy 151]

Я в своё время предлагал создать совместный анализ логов лог создаёт одна программа - другая его анализирует. = сравнивает результаты на расхождение в данных. = использует возможности других программ. - создаёт общий Образ/лог.

RP55, если бы ты когда-нибудь писал программы, то  знал бы наверняка, что самые муторные задачи в программировании связаны с привязкой своей программы к чужим  структурам (спроектированным иным мышлением) данных.

вот чего там особенного может быть в логе AVZ или ESET sysinspector, чего бы следовало добавить в структуру uVS?

--------

[PR55.RP55 82]

sysinspector

 

Разрабатывает компания ESET.

 

1) Сравнение результатов.

 

Пример, есть файл:   C:\WINDOWS\system32\atrake.dll

sysinspector  его видит...

А uVS нет.

О чём это говорит ?

Вот в подозрительные и попадёт файл найденный sysinspector

 

2) Можно не всё подряд анализировать/сопоставлять, а сопоставлять только избранную часть данных.

[PR55.RP55 82]

В процессе работы периодически появляется необходимость загружать скрипт на ф.обменник.

Это связано с длинной скрипта и невозможностью его публикации в связи с ограничением форума на количество символов сообщения.

Что отнимает время.

-------

Предложение:

 

Добавить новую команду в меню Скрипт: " Скрипт сохранить на сервер"

 

Это может быть сторонний ф. обменник, или http://dsrt.dyndns.org/files

 

Функционал загрузки файлов уже реализован ( анализ образов автозапуска )

Скрипты небольшие - что позволяет быстро отравить на сервер.

на самом сервере места также много не занимает.

- Ограничить срок хранения файла/скрипта = 5 дней.

-----

Ссылка для скачивания выводиться в Лог ( см. фото пример )

 

 

[PR55.RP55 82]

В uVS нет онлайн проверки ЭЦП.

В том смысле что невозможно понять ёжик это или лиса.

----

Предлагаю добавить проверку.

Пример проверки ЭЦП.

 

Sale Charger

https://www.reasoncoresecurity.com/signer-sale-charger-2e1496934e342efe74bc793c8acaa746.aspx

 

Fragile Fixer

https://www.reasoncoresecurity.com/signer-fragile-fixer-5be44c05d936a3d821c784427126ccaa.aspx

 

Sharp Angle

https://www.reasoncoresecurity.com/signer-sharp-angle-4fb63c66d49cc670d253c301f93c575b.aspx

 

-------

Логика такая.

Оператор открывает инфо.

и применяет команду: " Найти данные по ЭЦП на https://www.reasoncoresecurity.com "

--------

Кстати говоря работает поиск и по SHA1.

[PR55.RP55 82]

Хм...

И на самом http://www.herdprotect.com

Добавили поиск по ЭЦП ( был поиск только по sha1 )

Пример: http://www.herdprotect.com/signer-edu-app-2a116e4ddae4eb2c28f70fbc481d3e94.aspx

[PR55.RP55 82]

Нужна команда.

 

Скрыть, для: действительна, однако сертификат устарел.

[santy 151]

RP55,

как вариант, использовать настроенное действие skip для критерия

действительна, однако сертификат устарел

 

demkd,

возвращаясь к работе с критериями хорошо бы реализовать такую возможность

поясню на примере инфо.

 

Полное имя                  C:\WINDOWS\SYSTEM32\DRIVERS\BD0001.SYS
Имя файла                   BD0001.SYS
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                            
Удовлетворяет критериям     
FALSE.SIGN.LIST             (ЦИФР. ПОДПИСЬ ~ BEIJING BAIDU)(1) [auto]
DEL.DRIVERS.NON.ACTIVE      (ПОЛНОЕ ИМЯ ~ \DRIVERS\)(1)   AND   (ИМЯ ФАЙЛА ~ .SYS)(1)   AND   (СТАТУС ~ ЗАПУСКАЛСЯ НЕЯВНО)(1) [del]
                            
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ [Запускался неявно или вручную]
File_Id                     537EAE451D000
Linker                      9.0
Размер                      70984 байт
Создан                      28.12.2014 в 20:29:22
Изменен                     17.09.2014 в 05:37:36
                            
TimeStamp                   23.05.2014 в 02:11:17
EntryPoint                  +
OS Version                  6.0
Subsystem                   No subsystem required (device drivers and native system processes)
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Beijing baidu Netcom science and technology co.ltd
                            
Оригинальное имя            bd0001.sys
Версия файла                2, 0, 1, 4 built by: WinDDK
Описание                    bd0001
Производитель               Baidu
                            
Доп. информация             на момент обновления списка
SHA1                        CFFE28F4C4D4C8B17259AEA6733F9EAB1DE072F7
MD5                         04116475CFF6D3305A8233C8342FFA88
                            
Ссылки на объект            
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini

 

видим, что uVS накапливает критерии, по которым объект попадает под детект и добавляет в автоскрипт настроенное действие из последнего критерия.

DEL.DRIVERS.NON.ACTIVE      (ПОЛНОЕ ИМЯ ~ \DRIVERS\)(1)   AND   (ИМЯ ФАЙЛА ~ .SYS)(1)   AND   (СТАТУС ~ ЗАПУСКАЛСЯ НЕЯВНО)(1) [del]

 

так вот, последний критерий хотелось бы записать в таком виде:

 

DEL.DRIVERS.NON.ACTIVE      (FALSE.SIGN.LIST) AND (ПОЛНОЕ ИМЯ ~ \DRIVERS\)(1)   AND   (ИМЯ ФАЙЛА ~ .SYS)(1)   AND   (СТАТУС ~ ЗАПУСКАЛСЯ НЕЯВНО)(1) [del]

 

 

 т.е. uVS здесь проверяет, сработал ли определенный критерий (указано его имя) для данного объекта или нет и добавляет этот факт в логический результат.

 

 

--------

при условии конечно, что на момент проверки объекта по указанному второму критерию, проверка по первому критерию уже была выполнена.

(т.е. не инициировать заново проверку по первому критерию).
 

[santy 151]

но в данном случае нужен механизм изменения порядка критериев в списке snms, чтобы была возможность нужный критерий поднять вверх или опустить вниз.

[Виктор Коляденко 6]

(ПОЛНОЕ ИМЯ ~ \DRIVERS\)(1)   AND   (ИМЯ ФАЙЛА ~ .SYS)

Но это же не единственное место, где может спрятать себя драйвер трояна.

[santy 151]

(ПОЛНОЕ ИМЯ ~ \DRIVERS\)(1)   AND   (ИМЯ ФАЙЛА ~ .SYS)

Но это же не единственное место, где может спрятать себя драйвер трояна.

да, но это не единственный критерий в базе snms.

т.е. можно добавить почти афористичное: одним критерием всех троянов не переловишь.

[PR55.RP55 82]

Думаю нужно обновить собственную эвристику uVS.

 

В том плане, что в подозрительные нужно добавлять объекты:

 

( привожу по минимуму )

--------------

 

Имя файла:

 

SYSTEM.EXE

MACHINEUPDATE32.EXE

TOOLBAR.EXE

 

--------------

Путь:

 

\APPDATA\LOCAL\00000
\APPLICATION DATA\00000
\APPDATA\ROAMING\00000

 

\BROWSER HELPER
\BrowserHelper

 

\HELPER OBJECTS\

 

\GLOBALUPDATE\

 

\SHOPPERPRO\

 

\WEBPROTECTOR

\WEBSEARCH\

 

 

Здесь мой полный список: http://www.anti-malware.ru/forum/index.php?showtopic=23751&page=9#entry185142

 

файловые критерии - составлены на базе  статистики.

Просмотрено порядка 500 тем/образов/скриптов за 2013; 14; 15 годы.

[santy 151]

Думаю нужно обновить собственную эвристику uVS. В том плане, что в подозрительные нужно добавлять объекты: ( привожу по минимуму )

RP55, смысла нет тащить эти записи внутрь uVS, для того и создан сервис критериев, чтобы можно было без изменения кода программы создавать дополнительные эвристические правила для детектирования вредоносных программ.

----------

 

 

 

возвращаясь к комбинированным критериям, можно заметить, что использование подобных критериев позволяет создать многомерную эвристическую сеть состоящую из простых (списков: цифровые, каталоги, сервисы, и проч.) и составных критериев.

+

в зависимости от определенных условий прописать разные реакции_настроенные действия на детектируемые объекты.

 

например:

"объект содержит \SHOPPERPRO\" можно прописать реакцию deldirex

но если

"объект содержит \SHOPPERPRO\ и файл не найден", то можно в настраиваемые действия добавить deldir

 

т.е. комбинируя списки (однородные критерии) и составные критерии можно в настраиваемые действия добавлять более точные действия.

 

каким образом uVS определит что в качестве условия используется ссылка на критерий из списка SNMS?

по имени критерия.

+

можно добавить к имени критерия алиас файла критериев.

 

DEL.DRIVERS.NON.ACTIVE      (SNMS.FALSE.SIGN.LIST) AND (ПОЛНОЕ ИМЯ ~ \DRIVERS\)(1)   AND   (ИМЯ ФАЙЛА ~ .SYS)(1)   AND   (СТАТУС ~ ЗАПУСКАЛСЯ НЕЯВНО)(1) [del]