автоскрипт на основе шаблона - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию
santy

автоскрипт на основе шаблона

Recommended Posts

santy

demkd,

тут свежая мысль пришла в голову, как всегда в переходе от компа на кухню :)

добавить функцию по работе с образом - "автоскрипт на основе шаблона".

файл шаблона создается либо вручную, либо из интерфейса uVS (это было бы лучше)

формализовать предложение сразу правильно и точно не получится, как это должно быть технически решено,

важно чтобы на выходе мы имели автоматически полученный скрипт.

например шаблон автоскрипта для избавления от байду должен содержать

команду безопасной виртуализации + завершающую команду актуализации

условие отбора записей, которые будут обрабатываться в скрипт:

во первых - статус записи

во вторых - секции автозапуска.

в третьих - критерий (т.е. не все записи со статусом ?ВИРУС? а только те, что попадают под критерий)

метод удаления записи: можно для каждой секции выбрать свой.

для сервисов свой,

для драйверов свой,

и для основного автозапуска свой.

------------------

скажем, для очистки байду удобно вначале исключить из автозапуска сервисы, драйвера и модули основного автозапуска.

поскольку имена могут быть разные в сервисах, драйверах и основном автозапуске,

то шаблон должен быть составлен таким образом, чтобы учесть это различие и выдать соответствующий скрипт.

т.е. один раз удачно созданный шаблон, и варианты одной и той же проблемы будут автоматически учтены в автоскрипте с помощью шаблона.

----------

видимо, надо еще учесть тип удаляемых объектов: файлы, ссылки, каталоги и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

примерно так:

>>включить виртуализацию (быстрая/безопасная)

>>включить сигнатурный детект.

--------

+ секция (выбираем из списка):

>>удаление файлов >> выбрать из списка команду(del/delall,delref)

>>условие отбора >>(критерий)

>>удалить http-ссылки >>(delref)

>>условие отбора >>(критерий)

>>удалить каталоги >>(deldir/deldirex)

условие отбора >>(критерий)

-------

-->>> создать скрипт.

-------------

тут варианты:

либо генератор создает шаблон и сохраняет его в файл, а затем уже uVS основе выбранного шаблона формирует скрипт

либо генератор создает шаблон и сразу после заполнения формы генерирует скрипт, в который можно так же зайти по ALT+S.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Santy

Для чего все эти сложности ?

Можно элементарно сделать путём сопоставления.

База snms = критерии.

База автоскрипта. ( где речь идёт о ПОИМЁННОМ списке критериев с командами )

База автоскрипта содержит команды ПОСЛЕ сопоставления.

-------

Пример:

База snms содержит критерий: Байду.

База автоскрипта содержит команды сопоставления Байду.

Идёт проверка списка по snms > найдены объекты > Идёт проверка по базе автоскрипта.

Если база автоскрипта содержит сопоставление - отрабатывает автоскритп.

------

Байду {snms } < > Байду { база автоскрипта } = Автоскрипт { Команды }

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Есть перечень заболеваний: https://ru.wikipedia.org/wiki/%D0%A1%D0%BF%...%BD%D0%B8%D0%B9

Грипп; Ветрянка;...

--------

Как их лечить ?

Есть стандартные методики/схемы лечения.

Грипп > http://www.polismed.ru/influenza-post007.html

Ветрянка > http://domadoktor.ru/165-lechenie-vetryanki.html

-------

Значит есть список заболеваний.

Есть методика лечения.

Для эффективной борьбы с болезнью нужно сопоставить название болезни с методикой лечения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Santy

Для чего все эти сложности ?

а где ты здесь увидел сложности?

Можно элементарно сделать путём сопоставления.

База snms = критерии.

База автоскрипта. ( где речь идёт о ПОИМЁННОМ списке критериев с командами )

База автоскрипта содержит команды ПОСЛЕ сопоставления.

-------

база snms - это понятно, из нее и будут браться критерии для генератора. по идее может быть достаточно одного критерия, но в общем случае можно заложить возможность добавить в шаблон несколько критериев из списка snms. так сказать, создаем для шаблона mini-smns

а что такое база автоскрипта - непонятно. о какой базе идет речь.

критерии с настраиваемыми действиями - это понятно, предполагается, что это все будет храниться в snms.... это еще не реализовано,

если это будет реализовано в будущем, тогда алгоритм автоскрипта будет улучшен.

Однако не все можно реализовать с помощью критериев с настраиваемыми действиями.

например, тот же байду.

в одном случае надо применить шаблон с целью единственно исключения из автозапуска сервисов, драйверов, модулей основного автозапуска.

а в другом случае, полностью зачистить систему от файлов (которые уже неактивны) левого антивируса. + параллельно еще и выполнить очистку от других вредоносных объектов.

т.е. генератор автоскрипта на основе шаблона создает усеченный (не полный) автоскрипт, который нужен при определенных условиях.

Пример:

База snms содержит критерий: Байду.

База автоскрипта содержит команды сопоставления Байду.

Идёт проверка списка по snms > найдены объекты > Идёт проверка по базе автоскрипта.

Если база автоскрипта содержит сопоставление - отрабатывает автоскритп.

------

Байду {snms } < > Байду { база автоскрипта } = Автоскрипт { Команды }

это понятно, критерии с настроенными действиями будут нужны для улучшенного алгоритма автоскрипта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

т.е. генератор автоскрипта на основе шаблона создает усеченный (не полный) автоскрипт, который нужен при определенных условиях.

можно конечно шаблон хранить и в snms с назначенными действиями (поскольку критериями можно выделить основные секции автозапуска: процессы, сервисы, драйвера, основной автозапуск и др.), только один шаблон может иметь несколько критериев, и для каждого критерия может быть назначено разное действие.

+

надо все таки указать: скрипт будет с виртуализацией или нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Santy

Речь также может идти о суммировании/обобщении скриптов.

Срабатывает ряд критериев...

По каждому критерию есть соотносящиеся ему действия/команды, их сочетание.

- Значит автоскрипт будет состоять из блоков.

Первыми идут команды на удаление прогамм.

Затем удаление общих элементов.

Затем элементы при удалении которых требуется sreg/areg + перезагрузка PC.

Пример:

;uVS v3.85 [http://dsrt.dyndns.org]

;Target OS: NTv5.1

v388c

;------------------------[autoscript-1]---------------------------

; Webexp Enhanced

exec C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha376\uninstall.exe

; Zona

exec C:\Program Files\Zona\uninstall.exe

; Windows Live ID Sign-in Assistant

exec MsiExec.exe /X{0840B4D6-7DD1-4187-8523-E6FC0007EFB7}

; Html5 geolocation provider

exec MsiExec.exe /I{12644DC5-2271-442B-816F-8CFFD3DDDF32}

; Bing Bar

exec MsiExec.exe /X{16793295-2366-40F7-A045-A3E42A81365E}

; Search.com Toolbar v6.9

exec MsiExec.exe /X{49B82A4E-5AF0-4A9E-A75B-3353CF2D21B4}

;------------------------[/autoscript-1]---------------------------

;------------------------[ autoscript:BAIDU-1 ]---------------------------

sreg

delref \\?\C:\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\DRIVERS\BD0001.SYS

del \\?\C:\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\DRIVERS\BD0001.SYS

delref \\?\C:\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\DRIVERS\BDARKIT.SYS

del \\?\C:\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\DRIVERS\BDARKIT.SYS

areg

;------------------------[ /autoscript:BAIDU-1 ]---------------------------

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

RP55,

порядок (если тебе нужен порядок удаления объектов) здесь можно было бы задавать последовательностью добавления в шаблон критериев.

в принципе, и в назначенные действия можно было бы добавить несколько команд

или выбрать метод удаления.

ImgAutoDelMethod1 (по умолчанию 1)

0 - игнорировать

1 - применить delall

2 - применить delref

3 - применить delref+del

+

добавить 4,5

deldir,

deldirex

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

deldir,

deldirex

--------

А вот эти команды в автоскипт нельзя добавлять не в коем случае.

Я даже не буду пояснять по чему это и так очевидно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

это могло бы выглядеть так:

1. нужна реализация для snms назначенных действий

2. шаблоны храним либо в отдельном файле в подкаталоге templates, либо в базе snms, но лучше бы каждый шаблон хранился в отдельном файле, тогда и выбирать можно из списка шаблонов для генерации автоскрипта.

3. комбинировать несколько шаблонов не имеет смысла(для этого есть полный автоскрипт), для этого и нужен шаблон, чтобы решить частную проблему.

------

да можешь и не пояснять, у страха глаза велики, но тогда придется ручками забивать удаление каталогов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
San

Вроде ничего, спасибо)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      "CurrentControlSet" это виртуальный ключ, он указывает на последний рабочий CurrentControlSetXXX, потому копировать там обычно нечего потому что есть лишь CurrentControlSet001, который и есть CurrentControlSet, другое дело когда есть 001 и 002, один из них может быть живым, а может и не быть.
      Но на самом деле не нужно маяться фигней, нужно пользоваться бэкапом и восстановлением реестра, тем более что в uVS есть твик для включения системного бэкапа реестра, так же копии реестра есть в теневых копиях и точках восстановления, где гарантировано можно найти рабочую ветку реестра и восстановить ее либо руками либо через uVS->Реестр->Восстановить из копии ключ SafeBoot
    • PR55.RP55
      " Вот еще в помощь рекомендации от Зайцева Олега:   Цитата Кроме того, есть еще один метод восстановления испорченных ключей. Как известно, в самом реестре есть копии ключа SafeBoot. Они находятся в HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot и HKLM\SYSTEM\CurrentControlSet002\Control\SafeBoot. Следовательно, можно попробовать следующую операцию:
      1. Экспортировать HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot
      2. В полученном REG файле заменить "CurrentControlSet001" на "CurrentControlSet" (REG файл текстовый, поэтому заменить несложно)
      3. Импортировать модифицированный файл
      Данная операция может быть успешной сразу после запуска повреждающей ключ реестра вредоносной программы, до перезагрузки. Нарушена загрузка в защищенном режиме (SafeBoot) Изменено 6 часов назад пользователем safety " https://forum.kasperskyclub.ru/topic/466078-privetstvuju-slovil-majner-po-nazvaniem-toolbtcmine2782/page/6/#comments А, что если это будет делать uVS ? т.е. Копировать ключ > модифицировать > производить перезапись.
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.1.10.
    • PR55.RP55
      1) По поводу реестра и восстановления. Некоторые программы при работе создают копию реестра. Например в корне диска от FRST  т.е. предлагаю добавить в uVS поиск таких копий. Единственно проверять копии на соответствие Системе. В образ писать информацию о такой копии и дату её создания. 2) Окно с твиками в будущем разбить на два окна, твики работающие с реестром выделить в отдельное окно. 3) В Doc - добавить  информацию по твику 35 и его возможном применении с виртуализацией. 4) Проверять возможность загрузиться с другого диска\системы и добавлять в Инфо. сведения о возможности загрузиться с другого диска\системы. Это я о том, что возможно у PC были\есть несколько пользователей и человек просто не знает, что на дисках есть другие системы.  
    • demkd
      С виртуализацией можно удалять все, защиты от нее практически нет. Выполнить 45-й твик.

      ---------------------------------------------------------
       4.99.12
      ---------------------------------------------------------
      o При удалении исключений Defender-а теперь не_используется powershell из-за неадекватного
         поведения антивируса Kaspersky Free. Теперь удаление производится через сам Defender без
         посредников.
         (!) Если Defender отключен ИЛИ неисправен ИЛИ у вас установлен и АКТИВЕН другой антивирус
         (!) то удаление исключений возможно лишь при использовании виртуализации реестра
         (!) ИЛИ при приостановке защиты этого антивируса.
         (!) Я рекомендую отключать антивирус перед запуском, он все равно бесполезен
         (!) и лишь существенно замедляет и усложняет процесс лечения.

       o Теперь в лог выводится информация о зарегистрированных в системе антивирусах/фаерволах и их состоянии.
         (Доступно для Windows Vista+)

       o Улучшена функция поиска неизвестных DLL в адресном пространстве uVS, теперь она более устойчива
         к мерам противодействия поиску.

       o Удалено ошибочное сообщение в логе для Windows Vista о блокировке kernelbase.dll,
         которой в этой системе нет.

       o Антисплайсинг: расширен список контролируемых функций.

       
×