Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 82]

предлагаешь задачу, предлагай и механизм ее решения.

[santy 153]

RP55, это тоже коряво выходит, но уже ближе к цели.

получается что обработка по списку snms меняет (или не меняет) статус объекта, и назначает (или не назначает) отложенное в автоскрипт действие.

при том, что автоскрипт у нас работает только с объектами ?ВИРУС?

 

линейку "статус" лучше поднять выше автоскрипта и добавить тригер типа "default" (или авто), что должно соответствовать статусу ?ВИРУС?

т.е. по умолчанию детект по критерию устанавливает статус ?ВИРУС? и определяет назначенное действие "авто".

 

остальное все меняет хелпер по своему усмотрению.

если выбирается статус "проверенный", то в принципе не важно какие установлены тригеры из линейки автоскрипт, потому что все равно в обработку "автоскрипт", объекты со статусом "проверенные" не попадут.

-----

 

но здесь опять же необходимо изменение структуры snms.

 

 

+ и бонус в такой схеме получается в том, что можно в критерии добавить список wdsl, по которому все объекты с цифровой по белому списку будут проверенные.

------------

детектирование зловредов это ноу=хоу не  улучшает (на беглый взгляд), единственно, что возможно сокращение списка "вирусы и подозрительные"

ну и желающим городить новые списки, будет где развернуться.

[PR55.RP55 82]

santy

В Австоскрипте есть команда: Пропустить.

т.е. объект пропускается...

и ему назначается, или не назначается статус: Проверенный.

-----

И да...

список проверки при реализации данной схемы по моим прикидкам сократиться процентов на 30.

Значит и  на проверку будет тратиться меньше времени.

------

+

 

+ и бонус в такой схеме получается в том, что можно в критерии добавить список wdsl, по которому все объекты с цифровой по белому списку будут проверенные.

 

и не только по списку wdsl.

[PR55.RP55 82]

Прописывать в инфо.

 

[wdsl] в отдельной строке.

 

 

Действительна, подписано AVAST Software a.s.

Комментарий: [wdsl]

 

Это нужно реализовать по причините:

1) Оператор видит - добавлял он ЭЦП в базу wdsl или нет.

 

2) Можно создать _один добавочный критерий: НЕ СОДЕРЖИТ [wdsl]

------

А что сейчас ?

Сейчас приходиться прописывать кучу корректирующих записей типа:

 

НЕ СОДЕРЖИТ

ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО KASPERSKY LAB

ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО MICROSOFT CORPORATION

ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО HEWLETT-PACKARD COMPANY

ДЕЙСТВИТЕЛЬНА, ПОДПИСАНО SYMANTEC CORPORATION

 

а так задал одно условие...

и всё...

Огромная экономия времени.

как при создании критерия, так и при обработке uVS соответствующих записей.

---------

+

Вначале должна прописаться запись в Инфо.  [wdsl]

и после этого идёт проверка по критериям.

[santy 153]

а так задал одно условие...

есть же такая возможность.

файловый критерий. в качестве внешнего списка указываем файл wdsl

[PR55.RP55 82]

есть же такая возможность.

файловый критерий. в качестве внешнего списка указываем файл wdsl

 

Видимо не очевидно...

У меня в файле wdsl  273 ЭЦП

------

А если сделать, как я предлагаю - то, будет _одна запись в критерии.

А именно эта запись: [wdsl]

не содержит: [wdsl]

- Здесь нужно понять, что если есть _одна запись [wdsl]

 

Одна запись [wdsl] = как соответствие всем 273 ЭЦП

 

 

  Santy пишет:        

поиск прекращается при первом вхождении. (без обхода всего списка)

 

 

И это будет не нужно...

не нужен поиск по файлу/списку.

и не нужно вхождение.

Одна запись равна всем записям.

-------

Это как бочка огурцами.

В ведомости написано: "Одна бочка на ХХХ литров"

а сами огурцы никто не считает, и с ведомостью не сверяет.

[santy 153]

Это как бочка огурцами.

RP55, как у вас все сложно преломляется.

я отозвал предложение, потому что demkd пояснил, что

если тек. статус содержит проверен и цифр.подпись содержит "действительна", это означает то же самое, что сертификат входит в белый список wdsl

[PR55.RP55 82]

  Santy пишет:         

добавить в инфо в поле цифровой

Действительна, подписано AVAST Software a.s. [wdsl]

в том случае, если запись по данной цифровой есть в списке wdsl, иногда бывает это полезно знать.

 

 

 

  Demkd пишет:      

а зачем? если есть в wdsl файл будет иметь статус проверенного иначе нет.

 

Как нетрудно понять речь идёт о двух разных предложениях.

 

Статус проверенный файл получает по: SHA1  - здесь высокая степень доверия.

Статус проверенный файл получает по: wdsl = список ЭЦП

Это разные вещи...

--------

Предложения разные.

Общее только название файла.

[PR55.RP55 82]

1) Пример: в списке установленных программ есть: BROWSER HELPER

exec C:\Program Files\BROWSER HELPER\Uninstall.exe

Есть критерий: содержит: \BROWSER HELPER\

 

При применении автоскрипта все файлы каталога:  \Program Files\BROWSER HELPER\   будут удалены.

при этом, запись в установленных программах не удалиться...

Хотя у нас 100% совпадение.

 

2) Нужно чтобы для списка установленных программ можно было задать критерий не только по имени программы...

но и по\для пути Uninstall.

 

т.е. по: exec C:\Program Files\Зараза***

тем более, что uVS сохраняет в образе эту информацию.

 

3) У оператора есть файловый критерий\список

Путь содержит: ( пример )

 

\ASK.COM\
\ASKPARTNERNETWORK\
\ASKTOOLBAR\
\ASPACKAGE\
\AGENTBAR TOOLBAR\RUBAR
\BABSOLUTION\
\BABYLONTOOLBAR\
\BAIDU\BDDOWNLOAD\

------

и т.д.

 

так вот, хотелось бы, чтобы файл\критерий работал не только на удаление файлов/каталогов но и записей в установленных программах.

ведь и там и там у нас прописан идентичный путь к каталогу.

[PR55.RP55 82]

1) по настройке в settings.ini

--------

пример.

;uVS v3.86.4 [http://dsrt.dyndns.org];Target OS: NTv6.1v385csregкоманды удаления ссылокareg ;------------------------autoscript---------------------------команды автоскрипта.;---------------------------------------------------------------- отдельные команды отданные оператором 

так вот, нужно чтобы команды

 

sreg

 

*******

*******

areg

 

прописывались в конец скрипта _ при его сохранении, чтобы не было необходимости вручную редактировать скрипт.

 

так, как последовательность применения команд/методов/подходов при решении задачи может меняться.

а после   areg  система выполнит перезагрузку.      

[santy 153]

RP55,

areg и так является последней командой скрипта, независимо от того, где она расположена в теле скрипта.

[PR55.RP55 82]

RP55,

areg и так является последней командой скрипта, независимо от того, где она расположена в теле скрипта.

 

А можно увидеть цитату = первоисточник ?

[santy 153]

А можно увидеть цитату = первоисточник ?

отсюда

---------------------------------------------------------

 3.85.24

---------------------------------------------------------

 o Исправлена функция анализа ярлыков.

 o Исправлена ошибка обработки команды areg (прерывалось исполнение скрипта).

-----------

насколько я помню, в темах обсуждений была просьба, чтобы areg всегда выполнялась последней

[PR55.RP55 82]

santy

 

1) В Doc - ках. об этом нет информации.

А то, что обсуждалось...

много чего обсуждалось.

2) В своём предложении я говорю не о команде areg.

А о

 

1) по настройке в settings.ini

нужно чтобы команды

 

sreg

 

*******

*******

areg

 

прописывались в конец скрипта _ при его сохранении.

 

именно две взаимозависимые, последовательные  команды.

 

sreg

areg

 

и именно при сохранении скрипта.

-------------------

Пример:

Оператор применил автоскрипт - чтобы не тратить зря время на типичные объекты/угрозы.

затем произвёл виртуализацию реестра.

после чего заметил ещё несколько объектов и удалил.

------

Логично, если  при сохранении скрипта uVS ( по настройке в settings.ini ) будет реализована верная логика.

+

неизвестно к чему приведёт выполнение sreg в середине скрипта.

[PR55.RP55 82]

2) По поводу автоматического применения команды: bl

 

Нужно внести в работу программы изменения.

 

Блокированию по bl должны подвергаться только те объекты для которых применение команды имеет смысл.

 

верно:

bl 6A1F1554E8FB5D44CCCC158111B3078D 250024
delall %SystemDrive%\PROGRAM FILES (X86)\TOMGAN\FILE.EXE

 

 

Не верно:

 

;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c

bl 6A1F1555E4FB8D44CCCC158121B3078D 250024
delall %Sys32%\DRIVERS\FLXHCСC.SYS

bl 2658FAF199EFEE7BAA4B58F721895A1E 1468608
delall %SystemRoot%\SYSWOW64\RTCO\CXXAAPO.DLL

 

Если блокировка: .SYS и .DLL не имеет смысла...

то, зачем же это нужно ?

это...

приводит к задержкам выполнения скрипта, увеличению его длины и т.д.

[santy 153]

2) По поводу автоматического применения команды: bl Нужно внести в работу программы изменения. Блокированию по bl должны подвергаться только те объекты для которых применение команды имеет смысл.

RP55, нужно просто пересмотреть алгоритм своей работы.

отключить BL из автоскрипта в settings.ini и использовать BL тогда, когда необходимо,

для блокирования запуска трудноудаляемых объектов.

и не засорять реестр пользователя ненужными политиками.

[PR55.RP55 82]

Если программа позволяет блокировать всё подряд - вне зависимости от типа файла, то это ошибка.

[PR55.RP55 82]

1) По базе: VT2

 

логично, если база будет пополнятся и при локальной проверке на сторон оператора.

------

Оператор проверил файлы, uVS произвёл вычисления даты + отсутствие реакции антивирусов и добавил файл к базе

 

1.2) По базе: VT2

 

В нее попадают хэши файлов прошедших проверку антивирусами
без детектов и имеющих Х года разрыва между датой первого появления на VT и датой последнего сканирования.

Дату доверия определяет оператор. ( по настройке в settings.ini )

т.е. оператор может установить  на выбор: 1.5 года; 2 года; 2.5 года; 3 года; любая дата старше 3 лет.

 

VT2, это обычная база проверенных, если она лежит в sha1 то автоматически подгрузится, о чем будет запись в логе и будет использована как обычная база проверенных файлов, т.е. это не замена кэшу VT это уже "проверенные" файлы.

 

 

[PR55.RP55 82]

1) Разбор полученных минидампов и список несовместимого софта

 

Нужна обратная связь.

раз человек отправил минидамп - то, должен получить на него ответ ( или может получить )

 

например дополнительно переслать ярлык браузера, или что-то ещё.

Соответственно здесь нужен: @ ящик. отправителя.

" для получения ответа укажите свой @ ... "

[PR55.RP55 82]

По поводу файловых критериев.
Вещь отличная.
но...
Очень геморройно прописывать путь до файла
Предлагаю в каталоге uVS создать постоянную:

\uvs_v3\Файловые критерии
-------
Так например uVS всегда знает где находятся файлы: snms; wdsl; MAIN
и где бы не находилась, и куда бы не перемещали программу файлы сами подгружаются !
А сейчас стоит изменить путь запуска start.exe и всё...
файловые критерии отваливаются...
Это проблема.

---------

подход по принципу:

\uvs_v3\Файловые критерии\Критерий №1.txt

\uvs_v3\Файловые критерии\Критерий №2.txt

 

и т.д.

[santy 153]

файловые критерии отваливаются...

RP55, дак надо прописывать относительный (от uVS) путь до файла.  можно и в сам каталог uVS скидывать файловые списки, тогда достаточно только имя файла указать и все.

[PR55.RP55 82]

santy

 

Да.

Как говориться мысля была направлена не в ту степь.

[PR55.RP55 82]

1) vtcache

 

В меню добавить команду: Показать результаты проверки списка сохранённые в vtcache.

-----

 

В чём же смысл...
Оператор работает с повторно созданным образом автозапуска ( после выполнения первого скрипта )
Само собой, что оператор проверял не всё подряд - т.е. не все файлы, а делал проверку выборочно.
и при этом применял фильтр, чтобы ограничиться область проверки.
Значит, при повторном открытии он будет прежде всего обращать внимание на те же файлы, что его заинтересовали в первый раз.

здесь в помощь приходит: vtcache

 

И нет нообходимости в лишних телодвижениях...

[PR55.RP55 82]

1) settings.ini

bAutoBL
; Значение определяет расширения файлов чей запуск автоматически блокируются по MD5
; Пример параметра:

bAutoBL = 1 : exe.com.

[PR55.RP55 82]

1) В uVS есть команда:

 

Удалить каталог > Удалить все исполняемые файлы в каталоге и подкаталогах.

 

Сейчас много тем где нужно удалить _только один тип файлов: .tmp

 

причём уже после того как создан образ автозапуска могут появиться новые файлы.

предлагаю модифицировать команду до: 

 

Удалить каталог > Удалить все исполняемые файлы данного типа в каталоге и подкаталогах.

оператор выбирает строку:

C:\PROGRAM FILES\66729E8D-1440192230-E011-B4F1-DC0EA102797B\HNSH4936.TMP

uVS определяет наличие точки в строке.

и

В скрипт добавлена команда:

deldirex *.tmp %SystemDrive%\PROGRAM FILES\66729E8D-1440192230-E011-B4F1-DC0EA102797B.

---------