Universal Virus Sniffer (uVS), Вопросы разработчику

[demkd 603]

Sergey Dindikov

мда... ярлыки то забавные с привязкой к папкам текущего пользователя, если бы uVS был запущен под тек. пользователем то зарезолвился бы он правильно,

а под LS так и будет, а если зарезолвить из другой системы то ярлык опять же привяжется к appdata тек. пользователя уже этой системы

Я пока даже не знаю что с этим безобразием делать, разве что пытаться как-то это дело править по папке запуска, а если она специально другая или ее нет... мда... понаделали... писать еще и парсер shell айтемов, ну это уже совсем тяжко, тем более что к нему документации уже точно нет.

[PR55.RP55 82]

Santy пишет:

яснее не стало. можно покороче, и самую суть

Хорошо.

На примере: .exe файлов.

Есть DVD диск №1 с программами.

программы нужно добавить в базу проверенных...

Добавили.

---

Через некоторое время появляется DVD диск №2 .

Ясно, что часть программ будет повторяться от диска к диску.

---

И, что снова/повторно работать с одними и теме же программами ?

Нет...

оператору вначале нужно отсеять/отфильтровать файлы.

- содержимое DVD диска копируется на HDD диск.

- после чего применяется команда "добавить исполняемые файлы каталога в список"

- применяем F4 ( т.е. отсев по базе проверенных = ранее обработанных файлов )

- на выходе в списке остаются только неизвестные/новые файлы - файлы которые раньше не обрабатывались и их нет в базе проверенных...

---

Например после того, как файлы добавили в список - их было 106.

После F4 их осталось 60.

Даже если оператор тратит на обработку одного файла 2 минуты...

46 x 2 = 92. минут чистой экономии времени ( а реально больше - файл/программа может весить и 300mb )

---

Чем .msi файлы хуже ?

Почему препаратор не может сэкономить 92 минуты на обработке .msi пакетов ?

[demkd 603]

PR55.RP55

т.е. смысл в набивании базы проверенных что ли?

[PR55.RP55 82]

Demkd пишет: т.е. смысл в набивании базы проверенных что ли?

Да.

---

Смысл в экономии времени.

Есть файл.

Прогнали его через фильтр F4.

И пляшем от результата...

НЕ известный/новый - работаем с файлом.

Известный - идёт в корзину.

[demkd 603]

PR55.RP55

а зачем их руками то обрабатывать? все массово распаковывать и добавлять автоматом.

[PR55.RP55 82]

Demkd пишет:

а зачем их руками то обрабатывать? все массово распаковывать и добавлять автоматом.

Не все файлы можно распаковать...

Защищённые или НЕ поддерживаемые типы.

И Что - то приходиться устанавливать.

---

и когда файл весит 300 или 1500 mb.

Сколько уйдёт времени на распаковку ?

А если есть многократно вложенные архивы ?

---

И фильтр разве не быстрее не удобные будет -

При верном подходе ?

---

Да и не у всех 16 ядерные процессоры и 40 гб оперативки

[santy 151]

RP55,

и когда файл весит 300 или 1500 mb.

Сколько уйдёт времени на распаковку ?

А если есть многократно вложенные архивы ?

дак все равно, чтобы добавить файлы из этой "большой бочки", как ты пишешь, ее надо распаковать чтобы добавить хэши файлов в базу.

и в чем здесь ноу-хау? в том, чтобы потом повторный раз не добавлять из этого же архива?

[PR55.RP55 82]

Santy пишет:

дак все равно, чтобы добавить файлы из этой "большой бочки", как ты пишешь, ее надо распаковать чтобы добавить хэши файлов в базу.

и в чем здесь ноу-хау? в том, чтобы потом повторный раз не добавлять из этого же архива?

Сейчас .msi файлы нельзя обработать.

uVS работу с .msi НЕ поддерживает.

_ПЕРВЫЙ РАЗ_ да - всё стандартно - распаковали, или установили...

Добавили файлы в базу.

--------

А вот второй раз...

повторный раз не добавлять из этого же архива?

НЕ ИЗ АРХИВА.

Фильтр по F4 позволяет - этот архив отсеять/пропустить/игнорировать.

Он ВООБЩЕ НЕ БУДЕТ ОБРАБОТАН - только пройдёт через фильтр.

---

Самый наглядный пример это работа с .exe файлом - так, как я написал выше.

[santy 151]

а зачем сам msi добавлять в хэши проверенных?

[PR55.RP55 82]

Santy пишет:

а зачем сам msi добавлять в хэши проверенных?

А о чём я говорил выше ?

----

Для отсева, для отсева...

И речь идёт о базе проверенных SHA1 - ОПЕРАТОРА !!

Не об общей базе.

Пример:

Nero.7897.msi 280mb - файл найден в базе проверенных.

Nero.7898.msi 285mb - файл НЕ найден в базе проверенных.

---

Если файл не найден в базе...

Значит файл не попадал к оператору - не обрабатывался...

---

Оператор с этим: Nero.7898.msi 285mb - файл НЕ найден в базе проверенных. будет работать.

А с этим: Nero.7897.msi 280mb - файл найден в базе проверенных. - работать НЕ будет - он с ним уже работал.

---

Это позволит экономить время на обработке.

Сейчас это как происходит ?

Распаковали > Проверили Антивирусами или ещё как > потом добавили в базу проверенных.

Сколько на это уходит времени ?

10 минут ? 30 минут ?

---

А если файл ЕСТЬ В БАЗЕ.

Работаем с фильтром по F4 - и это 10 секунд ? или 20 секунд ?

Есть разница.

[demkd 603]

PR55.RP55

ладно, в принципе пять минут делов, может даже полезно не в плане msi конечно, а в общем и целом

см. флаг Add2ListExt в beta 18.

[PR55.RP55 82]

demkd

Полное имя 10.100.0.89:3128

Имя файла 10.100.0.89:3128

Тек. статус в автозапуске

Сохраненная информация на момент создания образа

Статус в автозапуске

Ссылки на объект

Ссылка HKLM\hanoykxtb\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer

ProxyServer 10.100.0.89:3128

Ссылка HKLM\maprdypfb\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer

ProxyServer 10.100.0.89:3128

Ссылка HKEY_USERS\S-1-5-21-1354032001-2242957732-2997980703-6761\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer

ProxyServer 10.100.0.89:3128

------------------------

------------------------

Полное имя 110.100.0.89:3128

Имя файла 110.100.0.89:3128

Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям

***

Сохраненная информация на момент создания образа

Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Ссылки на объект

Ссылка HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies\

110.100.0.89:3128

-----------------------------------

По идее один адрес внешний - второй локальный.

только адреса практически идентичны.

И человеку впаривают рекламу.

И удаление 110.100.0.89:3128

Результата не даёт...

Тема: http://forum.esetnod32.ru/messages/forum6/...0/#message79060

[santy 151]

demkd,

новые трюки в lnk пошли, уже не только по браузерам.

Полное имя D:\DIABLO III LAUNCHER.BAT

Имя файла DIABLO III LAUNCHER.BAT

Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]

Удовлетворяет критериям

EXECUTE.FILE (ИМЯ ФАЙЛА ~ .BAT)(1) OR (ИМЯ ФАЙЛА ~ .VBS)(0)

Сохраненная информация на момент создания образа

Статус ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]

Размер 188 байт

Создан 25.08.2014 в 12:20:47

Изменен 25.08.2014 в 12:20:55

Атрибуты СКРЫТЫЙ

Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Атрибут файла "Скрытый" или "Системный" [типично для вирусов]

Доп. информация на момент обновления списка

SHA1 E31FB07240999054CB20CFFF11F8EAFC9B7D94AF

MD5 7324DB3DA6624A5F7B47EA0969307F07

Ссылки на объект

SHORTCUT C:\DOCUMENTS AND SETTINGS\ALL USERS\РАБОЧИЙ СТОЛ\Diablo III.lnk

содержимое D:\DIABLO III LAUNCHER.BAT

start "" /I /B /D"D:\Diablo III\" "D:\Diablo III\Diablo III Launcher.exe" "http://anower.ru"

и другие файлики с аналогичным содержанием.

start "" /I /B /D"C:\Documents and Settings\Константин\Application Data\SbisLauncher\" "C:\Documents and Settings\Константин\Application Data\SbisLauncher\Launcher.exe" "http://anower.ru"

файл *.bat как правило имеет атрибут "скрытый".

----------

в данном случае, если мы удаляем *.bat файлы, то автоматически будут удалены ярлыки на рабочем столе?

может и пару строк добавить из бат-файла в Инфо, как это сделано для ярлыков с запуском браузер.url?

[demkd 603]

в данном случае, если мы удаляем *.bat файлы, то автоматически будут удалены ярлыки на рабочем столе?

да, если вместе со ссылками, если как файл то нет.

может и пару строк добавить из бат-файла в Инфо, как это сделано для ярлыков с запуском браузер.url?

можно

[alamor 69]

в данном случае, если мы удаляем *.bat файлы, то автоматически будут удалены ярлыки на рабочем столе?

да, если вместе со ссылками, если как файл то нет.

То есть, ярлыки на браузеры будут удалены и потом пользователю надо будет их заново создавать?

Если это возможно, то лучше сделать чтобы из ярлыка вырезался только путь для запуска батника, а сам ярлык не удалялся.

[demkd 603]

То есть, ярлыки на браузеры будут удалены и потом пользователю надо будет их заново создавать?

Если это возможно, то лучше сделать чтобы из ярлыка вырезался только путь для запуска батника, а сам ярлык не удалялся.

да, но если удалять только сам файл то ярлык никуда не денется, а вот насчет пути я не понял, с пустой строкой вместо таргета? а какой смысл?

[alamor 69]

а вот насчет пути я не понял, с пустой строкой вместо таргета? а какой смысл?

Да, как-то не подумал, что пути к исполняемому файлу браузера там уже нет. Может тогда каким-то образом восстанавливать этот путь? Брать например из того же батника.

[demkd 603]

alamor

в батнике может оказаться совсем не тот exe, автоматически решить произвольную замену таргета и восстановить оригинал вряд ли выйдет вообще.... хотя... хм... хорошо бы мне кучку таких замененных ярлыков чисто посмотреть, там ведь есть много всякой информации, возможно в linkinfo и остается имя оригинального файла если таргет меняли через шелловский объект, другое дело что linkinfo существует далеко не всегда... вообще если оно есть то получится даже сделать автоматическое выявление таких правленных ярлыков.

[грум 0]

Здравствуйте.

demkd скажи а что значат эти плюсы и минусы.

[demkd 603]

грум

"+" означает что оно есть, "-" что нет.

т.е. в данном случае:

EntryPoint "+" значит есть точка входа и соотв. есть код который выполняется при загрузке dll/exe, если "-" файл условно безопасный, он может конечно содержать код, экспортируемые функции и т.п. но для их исполнения нужны дополнительные дейсвтия.

IMAGE_FILE_EXECUTABLE "+" файл исполняемый, флаг ставит компилятор, если - то с файлом-что не так.

IMAGE_FILE_DLL "-" значит это не DLL.

[demkd 603]

v3.83

релиз, функционально идентичен beta 32.

[Sergey Dindikov 10]

первый раз обновлял получил 2 ошибки:

14.09.2014 02:58:03 C:\UTILITY\AV\Universal Virus Sniffer\STORE\NT63\WUAUENG.DLL [Ошибка]

14.09.2014 02:58:03 Не удалось получить файл

14.09.2014 02:58:03 C:\UTILITY\AV\Universal Virus Sniffer\STORE\NT63X64\0001\CMD.EXE [Ok]

14.09.2014 02:58:03 C:\UTILITY\AV\Universal Virus Sniffer\STORE\NT63X64\0001\CTFMON.EXE [Ok]

14.09.2014 02:58:03 C:\UTILITY\AV\Universal Virus Sniffer\STORE\NT63X64\0001\SFC.DLL [Ok]

14.09.2014 02:58:03 C:\UTILITY\AV\Universal Virus Sniffer\STORE\NT63X64\0001\SFC.EXE [Ok]

14.09.2014 02:58:03 C:\UTILITY\AV\Universal Virus Sniffer\STORE\NT63X64\0001\SFC_OS.DLL [Ok]

14.09.2014 02:58:03 C:\UTILITY\AV\Universal Virus Sniffer\STORE\NT63X64\0001\TASKMGR.EXE [Ok]

14.09.2014 02:58:03 C:\UTILITY\AV\Universal Virus Sniffer\STORE\NT63X64\0001\USERINIT.EXE [Ok]

14.09.2014 02:58:03 C:\UTILITY\AV\Universal Virus Sniffer\STORE\NT63X64\ATAPI.SYS [Ok]

14.09.2014 02:58:03 C:\UTILITY\AV\Universal Virus Sniffer\STORE\NT63X64\BOOTMGR [Ok]

14.09.2014 02:58:03 C:\UTILITY\AV\Universal Virus Sniffer\STORE\NT63X64\CMD.EXE [Ошибка]

14.09.2014 02:58:03 Не удалось получить файл

вторично запустил 2 эти файла скачались без проблем.

14.09.2014 02:58:45 Построение списка файлов для обновления... [Ok]

14.09.2014 02:58:45 Новых хэшей в базе проверенных: 0

14.09.2014 02:58:45 Доступно обновление файлов:

14.09.2014 02:58:45 C:\UTILITY\AV\Universal Virus Sniffer\STORE\NT63\WUAUENG.DLL [Ok]

14.09.2014 02:58:45 C:\UTILITY\AV\Universal Virus Sniffer\STORE\NT63X64\CMD.EXE [Ok]

14.09.2014 02:58:45 Обновление завершено.

в чём могла быть трабла?

[demkd 603]

Sergey Dindikov

посмотрю логи может что найду, но скорее всего сервер отпихнул по общему лимиту соединений, надо бы поднять его уже.

... посомотрел, запрос был, значит при передаче ошибка возникла, может инет оборвался, а может и глюк какой, расширю логи помониторю.

[g0dl1ke 26]

Свежий store только по апдейту или уже на депозите?

[demkd 603]

g0dl1ke

на депозите он уже несколько дней как