Блокировка файлов по сигнатуре + хеш - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию
Vitokhv

Блокировка файлов по сигнатуре + хеш

Автор Vitokhv, в Universal Virus Sniffer (uVS) - развитие, использование и решение проблем

Recommended Posts

Vitokhv    0

Vitokhv
Опубликовано

Есть ли возможность блокировать запуск файла по его сигнатуре?

Допустим имеем файл, который является вирусом, определяем его сигнатуру, и при запуске вируса система должна запретить его запуск.

Желательно, чтобы на первом месте была именно сигнатура файла. Так как файлы могут компилировать и хеш не поможет.

001-12.png

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

demkd    615

demkd
Опубликовано

В системе нет такой возможности.

  • Upvote 1

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

PR55.RP55    82

PR55.RP55
Опубликовано

Vitokhv

На данный момент это возможно только в альтернативно реальности Варкрафт.
И там это работает так:

Оператор добавляет сигнатуру вируса в базу > Проверяет список, при необходимости корректирует длину сигнатуру
Настраивает австоскрипт: settings.ini  ( как реагировать на угрозу и метод удаления )
Далее...
Оператор добавляет uVS \ start.exe в автозапуск системы.
При старте uVS автоматически определяет  тип своего запуска ( например start.exe через задачу )
Далее работает настройка по settings.ini  ( при запуске через task проверять список по базе вирусов и критериев )
После чего работает ранее настроенный австоскрипт: settings.ini  ( реакция  на угрозу и метод удаления )
Вирус/Adware удаляется - копия угрозы помещается в карантин.
Информация об угрозе пишется в лог. ( + копия лога пересылается на указанный в настройке адрес )

------

А в нашем мире этого ничего нет.

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

santy    153

santy
Опубликовано

 И хорошо, что этого нет, поскольку uVS не предназначен для мониторинга.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

PR55.RP55    82

PR55.RP55
Опубликовано
39 минут назад, santy сказал:

 И хорошо, что этого нет, поскольку uVS не предназначен для мониторинга.

santy

Как по мне, так разница тотальная.
Одно дело мониторинг по умолчанию - ( как функция ) другое дело, мониторинг по требованию.
Не нужен - не делай настройку и не используй.

Не раз уже такие случаи в истории были: появляется новый вирус\червь и начинает прыгать по сети.
А в базе антивируса он может появиться на следующий день, или ещё позже.
А может система безопасности не предполагает наличие антивируса.
А так: выявили > прикончили и для профилактики включили проверку машины через задачу.

 

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Перейти к списку тем Universal Virus Sniffer (uVS) - развитие, использование и решение проблем

  • Сообщения

    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Пожалуй можно добавить команду: > Сбросить все атрибуты файлов каталогов - ориентируясь на указанную дату. 2025-01-14 17:17 - 2025-01-14 17:17 - 000000000
      2025-01-14 17:16 - 2025-01-14 07:50 - 000000000
      2025-01-14 17:15 - 2025-01-14 07:50 - 000000000
      2025-01-14 17:13 - 2025-01-14 11:00 - 000000000 Или даже удаление для: 000 - по дате    
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      Dragokas По работе с программой: https://forum.esetnod32.ru/forum8/topic15785/ В программе есть возможность поиска.
      Вместо категории: Подозрительные и вирусы выберите категорию.
      Выберите поиск по имени, или пути файла.
      Для нормальной работы курсор должен быть на одной из строк. ( Имя ; Каталог ; Статус ; Производитель ) Так:
    • Dragokas
      uVS - Тестирование

      От Dragokas · Опубликовано

      Приветствую! Можно реализовать поиск (или фильтр) среди найденных объектов (вот как Ctrl + F в текстовых редакторах), или такое уже есть? Например, выбираешь категорию "Все файлы", и тебя интересует увидеть все строки, в средине которых есть определённое слово.
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       4.99.10
      ---------------------------------------------------------
       o При активации небезопасных параметров запуска добавлено предупреждение с перечислением этих параметров.

       o Параметры запуска "Заморозить потоки внедренные в uVS" и "Выгружать DLL" объединены в один параметр
         "Выгружать DLL и уничтожать потоки внедренные в uVS".

       o Исправлена ошибка в функции выгрузки DLL из uVS.

       o Исправлена ошибка разбора параметров для исполняемых файлов с именем содержащим 2 точки.
         (например file.txt.exe)

       o Исправлена ошибка в функции удалении задачи по имени отсутствующего XML-файла задачи.

       o Исправлена ошибка в парсере json.
         Теперь в лог выводится участок json вызвавший ошибку разбора.
       
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      тут только присылать мне файлы указанные в логе, буду разбираться что там не так. они именно не удаляются или это сообщения в логе при построении списка?
×