Universal Virus Sniffer (uVS), Вопросы разработчику

[PR55.RP55 82]

Цитата(PR55.RP55 @ 29.01.2011, 21:57) *

1.Возможность просмотра - Показать: "только известные" По категориям.

Для чего?

Для просмотра директории файла.

Например система на диске D

D:\WINDOWS\SYSTEM32\USERINIT.EXE

D:\WINDOWS\SYSTEM32\AUTOCHK.EXE

А какой то файл на Е:\WINDOWS\SYSTEM32\CMD.EXE

* Не факт, что такой файл попадёт в категорию подозрительных !

**Да, и для тренировки оператора от склероза.

1.Анализ фрагментированности данных системного диска.

*Только анализ - результат отображать рядом с данными по объёму свободного пространства на диске.

2.Поиск.

не искать: больше чем

не искать: меньше чем

содержит в имени, или пути

содержит в цифровой подписи

все не подписанные:

поиск: только исполняемые типа - по расширению.

имеющих - нестандартное расширение - задать расширение.

поиск: все типы файлов

проверить каталог по базе проверенных:

отсортировать прошедшие проверку по sha1 :

исключить из проверки каталог:

исключить файл по дате создания:

Пример:

Есть папка - в ней 400 файлов.

Среди 400 файлов - есть чистые и нужно провести отсев - отделив их от инфицированных.

Есть база проверенных uVS sha1.

Проверяем файлы каталога по базе.

Выбираем папку - и в неё автоматом перемещаются все чистые файлы.

[demkd 603]

А какой то файл на Е:\WINDOWS\SYSTEM32\CMD.EXE

* Не факт, что такой файл попадёт в категорию подозрительных !

Факт Поэтому отклоняется.

2.Поиск.

Поиск мне не интересен, о чем я неоднократно говорил.

Среди 400 файлов - есть чистые и нужно провести отсев - отделив их от инфицированных.

В принципе это уже есть в виде отдельной утилиты и даже в более серьезном виде, но покая я еще думаю над этим.

[santy 151]

Реализуемо все, но опять же лень.

А вот автоматическая проверка это зря, тут и лимит есть, да и доступ к vt может напрочь отсутствовать на зараженной машине.

В принципе, можно ведь деактивировать опцию, если отсутствует доступ к vt или вообще к инету - основной режим, конечно, здесь - полный образ автозапуска, а с дополнительной проверкой категории подозрительных на vt, это что -то типа прообраза облачных технологий в uVS для анализа состояний системы. . т.е. это проверку, возможно и не имеет смысла привязывать к созданию образа автозапуска.

[demkd 603]

т.е. это проверку, возможно и не имеет смысла привязывать к созданию образа автозапуска

это точно, образ и так не быстро делается, да и пока он дойдет до хелпера базы антивирусов трижды обновятся.

[Smit 29]

demkd

периодически пользуюсь пашей программой и возник вопрос:

если есть возможность просматривать содержимое хоста, так может это реализовать для батников тоже?

дабы не делать лишних телодвижений с блокнотом тем более если это отягощено нарушением ассоциации файлов и пр.

к примеру сегодня выловил «подозрительный» svchost .exe (c левой подписью от Майкрософта) к нему «прилагался» батник с одноименным названием после удаления обоих и зачистки реестра ,он вновь появился после перезагрузки ,но без батника (вот этом то месте я и пожалел что небыло возможности подглядеть содержимое батника, который так ловко прописал левый svchost .exe)

[demkd 603]

если есть возможность просматривать содержимое хоста, так может это реализовать для батников тоже?

Да, пожалуй будет полезно.

v3.46

Исправлена критическая ошибка в функции антисплайсинга, не учел извращенную разновидность сплайсинга Какой софт или зловред так резвится пока не ясно, соотв. в лог вешается предупреждение, никаких активных действий в этом случае больше не предпринимается.

o Новая функция на основе 2-х уже существующих доступна в меню "Дополнительно":

"Очистить корзину, удалить временные файлы, затем удалить ссылки на отсутствующие"

Горячая клавиша: Alt+Del

o Новые параметры в settings.ini

[settings]

; Быстрый бэкап ключей реестра 1:1 (без дефрагментации результата)

; Этот параметр влияет на работу всех функций связанных с сохранением/копированием ключей.

; Параметр игнорируется если uVS работает в Windows 2000.

; Параметр всегда равен 1 для сетевого режима.

bFastBackup = 1 (1 по умолчанию)

; Сохранять при выходе размер и позицию окна

bSaveWndPos = 1 (0 по умолчанию)

o Новая скриптовая команда bdreg.

Бэкап реестра с дефрагментацией результирующих файлов.

breg - бэкап реестра без дефрагментации.

o Новая функция "Дефрагментация SYSTEM и SOFTWARE" в меню "Файл".

o Добавлена горячая клавиша Shift+F10 для вызова контекстного меню файла.

o Исправлена ошибка в функции инициализации антисплайсинга, ошибка могла привести к

аварийному завершению программы на этапе запуска.

[PR55.RP55 82]

1.Пример:

Всего неизвестных файлов: 4

Сделать возможность просмотра: всех неизвестных в отдельной вкладке.

Это оптимальный вариант при работе на машине в режиме реального времени.

Когда все исполняемые файлы добавлены в базу проверенных/известных.

Зачем, искать по всем категориям,если можно просмотреть в компактном виде !

* И если потребуется уточнение: свойства - "переход к категории".

2.Сейчас при добавлении к базе проверенных - примерно так:

Загружено хэшей проверенных файлов: 2000

Добавлено новых хэшей: 1800

Сохранение базы проверенных...

База проверенных файлов успешно сохранена

Загружено хэшей проверенных файлов: 520000

Добавить:

C:\Documents and Settings\User\Рабочий стол\SHA c 1

*Удобно в таком виде просмотреть путь - откуда и что добавлено, особенно в случае, если

происходит добавление из нескольких баз поочерёдно.

3.В базу SHA1 добавить продукты adobe.

* Часто встречаются в образах.

4.Добавлять в лог информацию: попытка повторного запуска - выгруженного процесса.

* Помещать в категорию подозрительных - при генерации образа.

5.Для работы с SFC добавить пункт " Удалить файл & резервировать " & внимание !

т.е. в данном случае ссылки на объект - мы не трогаем!

Суть:

a) Удаляем файл...

* Файл автоматически резервируется.

** Например это системный файл.

б) Отдаём команду "Восстановить файл с помощью SFC "

в) В случае ошибки извлечения sfc %SystemDrive%

удалённый файл автоматически восстанавливается из резервного хранилища uVS.

* с записью в логе журнала - error*.

;uVS v 3.55 script [://dsrt.jino-net.ru | ://dsrt.dyndns.org]

zoo %Sys32%\DRIVERS\ATAPI.SYS

replica %Sys32%\DRIVERS\ATAPI.SYS

;c:\program files\uvs.v3.55\replica

;attention!

delete %Sys32%\DRIVERS\ATAPI.SYS

sfc %Sys32%\DRIVERS\ATAPI.SYS

regt 1

regt 2

regt 6

regt 14

regt 20

deltmp

delnfr

*Защитить файл/лы sfc от подобной команды.

6.Возможность работы uVS в режиме автозапуска.

Стандартная скриптовая команда:

;uVS v3.55 script [://dsrt.jino-net.ru | ://dsrt.dyndns.org]

; C:\WINDOWS\SYSTEM32\rabbit.exe

addsgn 48686C9155E186C9A7B09BB16703ED347C752D5556695F78AE1DC6647B10728A63141B1F1596D54A 20 rabbit shis

chklst

delvir

deltmp

restart

* сигнатура из скрипта при его выполнении - автоматически попадает в User базу "sgnz"

Значит, есть смысл в её повторном автоматическом применении - скажем после перезагрузки PC.

** Для более надёжной зачистки системы.

*** Ранняя загрузка uVS - при старте системы.

Где:

[task?] ?- = 1

[repeat?] ?- = 1

time auto = выполнить при загрузке PC.

*Где [?] = количество повторов.

;uVS v3.55 script [://dsrt.jino-net.ru | ://dsrt.dyndns.org]

; C:\WINDOWS\SYSTEM32\rabbit.exe

addsgn 48686C9155E186C9A7B09BB16703ED347C752D5556695F78AE1DC6647B10728A63141B1F1596D54A 20 Shis

task 1

time auto

repeat 1

chklst 2

delvir 2

deltmp

[demkd 603]

Сделать возможность просмотра: всех неизвестных в отдельной вкладке.

Категория файлы без проверенной подписи.

3.В базу SHA1 добавить продукты adobe.

Это самостоятельно, я добавляю то что попадается мне, остальные добавлют то что нужно им.

[PR55.RP55 82]

Цитата(PR55.RP55 @ 04.02.2011, 21:47) *

Сделать возможность просмотра: всех неизвестных в отдельной вкладке.

Категория файлы без проверенной подписи.

Я говорю - Вообще, обо всех исполняемых файлах - даже о тех, что имеют цифровую подпись!

Прежде всего речь идёт о добавлении новых в базу SHA1.

И соответственно - о проверке списка - только по базе SHA1 - в режиме реального времени - уже без необходимости дополнительной

проверки цифровых подписей списочных файлов!

* Это экономия времени, как при проверке так и при пополнении базы.

Пример: Ставим легальную программу - она состоит из 10 файлов 3- ри файла имея цифровую подпись "засветились" в списке uVS в разных

категориях - при проверке.

Имея - отдельный список/категорию всех - новых/неизвестных для данной машины объектов - Мы можем оперативно их обнаружить

и внести в базу.

*Вот именно в данном варианте речь идёт о необходимости создания новой категории - просмотра с возможностью перехода от категории

к категории - с целю уточнения параметров.

** Я себе это так всё представляю.

[demkd 603]

Я говорю - Вообще, обо всех исполняемых файлах - даже о тех, что имеют цифровую подпись!

А кто мешает нажать "Нет"? Вот и будут все что не в базе.

Опять же есть BOX для таких файлов.

[santy 151]

Приветствую.

вот пришла идея, пока варил вареники на кухне. .

Использовать механизм ВНЕШНИХ (пользовательских)правил для дополнительного анализа.

например.

руткитный драйвер C:\WINDOWS\KSMT.SYS

Kaspersky 7.0.0.125 2010.12.28 Rootkit.Win32.Qhost.al

NOD32 5737 2010.12.27 Win32/Rootkit.Kryptik.CJ

имя (и сигнатура, конечно) в последнее время мутирует, и таким может быть SGOPE.SYS,

однако замечаем, что имя сервиса остается неизменным - mkdrv,

заходим в инфо о файле и видим:

ссылка на объект

ссылка HKLM\System\CurrentControlSet\Services\mkdrv\ImagePath

Предполагаем, что структура записей для определенной категории в образе автозапуска однородная,

поэтому имеет смысл создавать устойчивые правила.

для детектирования в будущем из ОКНА ИНФОРМАЦИЯ используем КОНТЕКСТНЫЙ ВЫЗОВ функции записи правила - создаем:

Категория секции из образа автозапуска[идентификатор значения]=HKLM\System\CurrentControlSet\Services\mkdrv\ImagePath

или

Категория секции из образа автозапуска[идентификатор значения]символ входимости подстроки, например $ mkdrv

данное правило сохраняем в файл, возможно шифрованный файл,

Таким образом, данное правило будет дополнительно (к заложенной разработчиком в программе эвристике) переносить в "подозрительные" вирусную запись, даже если нет сигнатуры данного файла, имя не включено в список небезопасных, и хелпер поленился глянуть вкладку "ДРАЙВЕРА".

хелпер ДОЛЖЕН ИМЕТЬ ВОЗМОЖНОСТЬ просмотреть список правил в своей базе,

и какие то из них удалить (так же как и сигнатуры)

правила хранить в виде строк, и последовательно использовать при обработке_анализе для соответствующей категории автозапуска.

анализ по правилам можно подключать или отключать через настройки в settings.ini

Может быть, имеет смысл добавить новую команду скрипта ADDRULE(), которая добавляет правило в базу юзера

и будет детектировать все записи, подпадающие под это правило, аналогично сигнатурам, (возможно, добавлять при этом все найденные таким образом файлы в папку ZOO) и которые будут соответственно удаляться командой DELVIR.

или хотя бы помещать найденные файлы в карантин ZOO.

[demkd 603]

Использовать механизм ВНЕШНИХ (пользовательских)правил для дополнительного анализа.

Пролезная идея, подумаю.

Может быть, имеет смысл добавить новую команду скрипта ADDRULE(), которая добавляет правило в базу юзера

Зачем лишние телодвижения... правильней будет применять правила к готовому образу при открытии.

[santy 151]

Пролезная идея, подумаю.

+ предусмотреть возможность импорта правил из внешнего файла (аналогично сигнатурам и хэшам sha1)

[demkd 603]

3.47 BETA, для тестирования массовой проверки по хэшам на VT.

http://dsrt.dyndns.org/files/uvsz.zip

Файл разворачивать на v3.46.

o Добавлена новая функция "Проверить НЕПРОВЕРЕННЫЕ файлы в текущей категории на VirusTotal.com".

Результат проверки доступен в логе.

При проверке активиной/неактивной системы результат дополнительно доступен в окне

информации о файле.

Используются системные (MSIE) настройки доступа в интернет.

При работе с удаленной системой подключение к интернету требуется лишь для системы проверяющего.

Горячая клавиша: Alt+W.

o Новые параметр в settings.ini

[settings]

; Количество одновременных потоков для закачки файлов из интернета.

; Допустимые значения от 1 до 100

MaxInetThreads = 4 (4 по умолчанию)

[santy 151]

3.47 BETA, для тестирования массовой проверки по хэшам на VT.

работает!

блок из лога проверки

C:\WINDOWS\DFRTI.SYS

SHA1: 42C9D73BB32362C382A7BBAD24CF681D7B8E2CBC

Хэш НЕ найден в базе проверенных файлов

--------------------------------------------------------

C:\WINDOWS\DFRTI.SYS

Имя: DFRTI.SYS

Дата: 2011-02-16 11:02:14 (UTC)

Детектов: 21

AhnLab-V3: Backdoor/Win32.Qhost (2011.02.14)

AntiVir: RKIT/Qhost.br (2011.02.16)

AVG: BackDoor.Generic13.AGPY (2011.02.16)

BitDefender: Trojan.Generic.KDV.132894 (2011.02.16)

DrWeb: Trojan.NtRootKit.10435 (2011.02.16)

Emsisoft: Rootkit.Win32.Qhost!IK (2011.02.16)

F-Secure: Trojan.Generic.KDV.132894 (2011.02.16)

Fortinet: W32/Qhost.BR!tr.rkit (2011.02.16)

GData: Trojan.Generic.KDV.132894 (2011.02.16)

Ikarus: Rootkit.Win32.Qhost (2011.02.16)

K7AntiVirus: RootKit (2011.02.16)

Kaspersky: Rootkit.Win32.Qhost.br (2011.02.16)

NOD32: Win32/Qhost.Banker.GJ (2011.02.16)

Panda: Suspicious file (2011.02.15)

PCTools: Hacktool.Rootkit (2011.02.16)

Rising: Trojan.Win32.Generic.1278DF8F (2011.02.16)

Symantec: Hacktool.Rootkit (2011.02.16)

TrendMicro: TROJ_GEN.R27C3BF (2011.02.16)

TrendMicro-HouseCall: PAK_Generic.001 (2011.02.15)

VIPRE: Trojan.Win32.Generic!BT (2011.02.16)

VirusBuster: Rootkit.Qhost!hWyWDWosnxA (2011.02.15)

http://www.virustotal.com/file-scan/report...7008-1297854134

блок из лога проверки

C:\WINDOWS\SYSTEM32\DRIVERS\HL_MULL.SYS

SHA1: 0376C5A37E3DC784CCD728689711928BBC309805

Хэш НЕ найден в базе проверенных файлов

--------------------------------------------------------

C:\WINDOWS\SYSTEM32\DRIVERS\HL_MULL.SYS

Имя: hl_mull.sys

Дата: 2011-01-24 23:59:14 (UTC)

Детектов: 7

CAT-QuickHeal: Trojan.Agent.IRC (2011.01.24)

Jiangmin: Rootkit.Agent.of (2011.01.24)

McAfee: Artemis!776D7B611E9B (2011.01.25)

McAfee-GW-Edition: Artemis!776D7B611E9B (2011.01.24)

Prevx: High Risk Worm (2011.01.25)

Rising: Trojan.Win32.Generic.125DC48B (2011.01.24)

VirusBuster: Trojan.Rootkit!UkPdGT1HC6s (2011.01.24)

http://www.virustotal.com/file-scan/report...0d6d-1295913554

[santy 151]

предложение:

завершать проверку категории непроверенных на ВИрустотал стандартным звуковым сигналом, как при импорте хэшей, или сигнатур.

есть глюк.

после данной проверки некорректно работает функция - убить все вирусы,

до проведения проверки работает корректно.

Проверял на образе юзера.

[demkd 603]

стандартным звуковым сигналом

логично.

есть глюк.

после данной проверки некорректно работает функция - убить все вирусы,

до проведения проверки работает корректно.

В каком плане? Если не убиваются файлы имеющих статус "?ВИРУС?" то это не баг, иначе слишком много безвредных файлов помрет Если надо могу сделать настройку, но черевато это...

[santy 151]

логично.

В каком плане? Если не убиваются файлы имеющих статус "?ВИРУС?" то это не баг, иначе слишком много безвредных файлов помрет Если надо могу сделать настройку, но черевато это...

угу ,

до проверки указанные файлы были с детектом по сигнатуре, а после проверки их статус изменился на ?ВИРУС?

может, не менять статус у тех файлов, которые ранее попали под детект сигнатур? и новая проверка "проверить список" уже не определяет эти файлы по сигнатурам... Подумал, глюк.

[Sergey Dindikov 10]

Можно ли перезалить в другое место

>3.47 BETA, для тестирования массовой проверки по хэшам на VT.

>http://dsrt.dyndns.org/files/uvsz.zip

http://screenshot.su/show.php?img=77c72961...b569ca1d46a.jpg

[santy 151]

может, не менять статус у тех файлов, которые ранее попали под детект сигнатур? и новая проверка "проверить список" уже не определяет эти файлы по сигнатурам... Подумал, глюк.

т.е. чтобы приоритет детекта по сигнатуре должен быть выше детекта (или отсутствия детекта) по ВИРУСТОТАЛ.

хотя... функция "отменить все" все восстанавливает, и соответственно, восстанавливает приоритет детекта по сигнатурам.

[demkd 603]

может, не менять статус у тех файлов, которые ранее попали под детект сигнатур?

Да, тут еще надо подумать.

[PR55.RP55 82]

Отображать информацию в свойствах файла, а не в логе !

*При обнаружении множества угроз например: найдено 20 вирусов будет путаница - много информации и длинный список.

А, так можно просмотреть по каждому файлу отдельно - и принять решение.

________________________________________________________________________________

_________________________________

|| Атрибут || Значение ||

Данные: образ на момент создания 15.02.2011

Имя D:\WINDOWS\SYSTEM32\SWCVCCO.EXE

Тек.статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Файл создан 15.04.2008 в 17:00:00

Изменён 15.04.2008 в 17:00:00

Тип 32-х битный ИСПОЛНЯЕМЫЙ

Версия 5.2.0.4

Описание dieffenbachia

продукт Connection

Copyring Ultraloyal

Цифровая подпись проверка не производилась !

Производитель K.Lab ZAO _ Не действительна ?

Ссылки на объект HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

Автозапуск... Неизвестный файл использует ключ реестра часто используемый вирусами

Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

MD5 9A133536BD7E2186C0B6AF067A07265B

SHA1 2BDAD91C8B70AF551393325000CF33E241F912BC

Размер 146.944 байт

*

Результаты доп.поиска работа с таблицей MFT раздела

Найдено: совпадений 2;

C:\Program Files\Cobian\un2.exe ; 146.944 байт

C:\Program Files\Cobian\un4.exe ; 146.944 байт

Результаты доп.проверки SHA1 2BDAD91C8B70AF551393325000CF33E241F912BC

Найдено: совпадений 0;

*

Доп проверка аналогов VirusTotal ; Проверка отключена; settings.ini

НАЧАЛО ПРОВЕРКИ КАТЕГОРИИ на VirusTotal: 16.02.2011; 14:04:7

D:\WINDOWS\SYSTEM32\SWCVCCO.EXE

Имя: ikudhfc.exe

Дата: 2011-01-17 07:14:27 (UTC)

Детектов: 14

Avast: Win32:Malware-gen (2011.01.16)

Avast5: Win32:Malware-gen (2011.01.16)

AVG: Generic20.OFT (2011.01.17)

BitDefender: Trojan.Generic.5125499 (2011.01.17)

Comodo: TrojWare.Win32.Trojan.Agent.Gen (2011.01.17)

DrWeb: Trojan.MulDrop1.52533 (2011.01.17)

F-Secure: Trojan.Generic.5125499 (2011.01.17)

GData: Trojan.Generic.5125499 (2011.01.17)

Kaspersky: Trojan.Win32.Jorik.Shiz.hu (2011.01.17)

McAfee: Artemis!9A133536BD7E (2011.01.17)

Microsoft: Trojan:Win32/Meredrop (2011.01.17)

Panda: Generic Trojan (2011.01.16)

Symantec: Trojan.Gen (2011.01.17)

TrendMicro: TROJ_GEN.R47C2L1 (2011.01.17)

--------------------------------------------------------

ОКОНЧАНИЕ ПРОВЕРКИ КАТЕГОРИИ: 16.02.20011; 14:05:10

_________________________________________________________

* Это только моё представление о возможном сценарии.

[demkd 603]

BETA2, качать по прежнему адресу, исправлены особо жестокие глюки, выявленные при тестировании.

Отображать информацию в свойствах файла, а не в логе !

Оно и там и там, но вот в случае образов это не так, там есть некоторые трудности и в релизе они будут решены... а может и нет, если переделка окажется излишне трудоемкой и потребует капитальной переделки формата образа автозапуска.

Можно ли перезалить в другое место

Мне даже на основной сервер залить тяжко, поэтому беты будут исключительно на dsrt.dyndns.org, куда что-то заливать одно удовольствие.

[WindR 0]

Проверка подписи файла на windows 7 x64 приводит к зависанию программы.

[santy 151]

BETA2, качать по прежнему адресу, исправлены особо жестокие глюки, выявленные при тестировании.

ИМХО, полезно еще добавить инфо о количестве детектов при выводе статуса в списке.

например, в списке :

сигнатура+VT(21), где 21 - количество детектов по ВТ

?ВИРУС?(2), где 2 - количество детектов по ВТ

и в окне Информация, в поле текущий статус так же указывать ?ВИРУС?(21), ?ВИРУС?(2)