Перейти к содержанию
demkd

Recommended Posts

demkd    603

demkd
Опубликовано

---------------------------------------------------------
 4.00 Beta 8
---------------------------------------------------------
 o Обновлен формат базы вирусных сигнатур.
   Добавлена дата модификации (заполняется автоматически при создании и модификации) и флаги которые управляют способом удаления объекта в функции
   "Убить все вирусы".

 o Изменена скриптовая команда "addsgn" добавлено поле "флаги".
   ADDSGN сигнатура длина имя флаги, старая команда без флагов поддерживается в этом случае флаг = 7.
   (флаг есть битовая комбинация значений unload(1), delref(2), del(4))

 o функции "Безопасное удаление ссылок на ВСЕ отсутствующие объекты" не вызывает предварительное обновление списка,
   если это было сделано хотя бы 1 раз.

 o Добавлен запрос на исполнение команд при выходе из uVS.
   Для всех режимов кроме режима работы с образом, запрос выводится в случае если очередь команд не пуста.

 o В очереди команд теперь отображается поле производитель и доступны горячие клавиши Alt+W и Alt+J.
   В контекстном меню доступны команды для работы с VT и JT.

 o Флаг bWebVT больше не поддерживается.
   Для проверки на VT теперь вам необходимо получить свой VTAPI ключ и прописать его в параметр VTAPIKey файла settings.ini

 o При выполнении скрипта завершаюшая проверка списка на вирусы производится лишь в случае если в скрипте была команда "delvir".

 o Обновлена функция "Убить все вирусы".
   Теперь функция проверяет файлы со статусом "ВИРУС" на наличие всех сигнатур из базы, все флаги найденых в файле сигнатур суммируются и
   формируется команда в очереди, по окончанию процесса все команды в очереди исполняются, при работе с образом эмулируются,
   а команды записываются в скрипт.

 o Исправлена ошибка при добавлении сигнатур из скрипта, в некоторых случаях могло не сохраняться изменение длины сигнатуры.

  • Upvote 1

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

PR55.RP55    82

PR55.RP55
Опубликовано
2 часа назад, demkd сказал:

комбинация значений unload(1), delref(2), del(4))

1) Здесь следует учитывать один момент:

У многих наименование сигнатур совпадает.

т.е. в базе десятки сигнатур с одинаковым наименованием.

И если оператор захочет изменить тип команд - то он запариться искать нужную сигнатуру.

Поэтому в контекстное меню файла нужно добавит команду:

Изменить комбинацию значений: ( unload(1), delref(2), del(4)) )

2) Второй вопрос тоже по сигнатурам.

Всё таки delref + del  это  delref + del 

И совсем не: delall

Мы уже этот вопрос обсуждали.

3)

;uVS v4.0b8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\CONTENT DEFENDER\CONTENTDEFENDER.EXE
bl 2A7A6547F4D2A9816947426443878878 576672
addsgn BA6F9BB2BD85DF720B9C2D754C211005258A303AC173435C958B4CC874CE2604A0FBF3BF8E089D4924377426441649FA95A47B725562FD762D77ECA2FAA97588 8 проба 7

chklst
delvir

delall %SystemDrive%\PROGRAM FILES\CONTENT DEFENDER\CONTENTDEFENDER.EXE

И что это получается ?

 

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

demkd    603

demkd
Опубликовано
19 минут назад, PR55.RP55 сказал:

т.е. в базе десятки сигнатур с одинаковым наименованием.

ну это проблема того кто так делает.

19 минут назад, PR55.RP55 сказал:

Изменить комбинацию значений: ( unload(1), delref(2), del(4)) )

Вообще это делается один раз и менять туда сюда это не надо.
 

20 минут назад, PR55.RP55 сказал:

Всё таки delref + del  это  delref + del 

В чем вопрос?
 

20 минут назад, PR55.RP55 сказал:

И что это получается ?

Опять же в чем вопрос?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

PR55.RP55    82

PR55.RP55
Опубликовано
15 минут назад, demkd сказал:

В чем вопрос?

Если для сигнатуры настроена комбинация: ( unload(1), delref(2), del(4)) )

то по чему в скрипт пишется команда: delall

delall %SystemDrive%\PROGRAM FILES\CONTENT DEFENDER\CONTENTDEFENDER.EXE

17 минут назад, demkd сказал:

Опять же в чем вопрос?

В выполнении команд

вначале идёт комбинация:

chklst
delvir

и всё это завершает команда:

delall   ( по настройке от: ( unload(1), delref(2), del(4)) )

непонятно.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

santy    151

santy
Опубликовано

demkd,

по новой бетке можно разобраться (хорошо ли это, или можно еще лучше :)) только на конкретном примере.

добавил образ для примера работы с сигнатурами.

PC-201602231923_2017-03-03_09-36-47.7z
 

Цитата

 

o Обновлен формат базы вирусных сигнатур.
   Добавлена дата модификации (заполняется автоматически при создании и модификации)

 

 

 

это инфо полезное для управления базой сигнатур.

Цитата

и флаги которые управляют способом удаления объекта в функции
   "Убить все вирусы".

а здесь вопрос: если флаг сигнатуры 7, значит сформируется команда delall для всех объектов, которые задетектированы данной сигнатурой,

если скажем под сигнатуру попало несколько десятков файлов, а такое бывает, судя по добавленному выше примеру, и только часть из них находится в автозапуске, остальные просто лежат на диске, даже без ссылок в реестре, получается что каждый из этих файлов будет удален по максиму: т.е. через выгрузку несуществующего процесса, через удаление несуществующих ссылок в реестре, и через простое удаление файла. Т.е. uVS выполнит массу лишних телодвижений, которые снижают ценность данной оптимизации. Кроме того, что скрипт будет забит под завязку командами прямого удаления.

кроме того вопрос:

как отработает uVS, если в скрипт будет добавлена команда adddir каталог и при запуске скрипта часть файлов из данного каталога будет задетектирована сигнатурами дополнительно к файлам из образа автозапуска.?

 

и да, непонятно (пока) зачем добавлены сигнатуры в скрипт, если файлы в скрипте все равно явно удаляются по полному пути через delall или del&ref или просто del

что-то здесь лишнее.

т.е. (имхо) логичнее здесь было бы сделать так:

или хелпер выбирает режим формирования скрипта без сигнатур, т.е. сигнатуры просто участвуют в детектировании, и задетектированные файлы удаляются через команды с учетом флага сигнатур (это то что ранее предлагал RP55)

или в скрипт добавляются только сигнатуры. (без развертки команд удаления с учетом флага).

команды удаления с учетом флага сигнатуры формируются на стадии выполнения скрипта в реальной системе и не перегружают скрипт дополнительно командами удаления del/delall

 

пример скрипта по текущей версии здесь:

scrypt_am.txt

Цитата

o Изменена скриптовая команда "addsgn" добавлено поле "флаги".
   ADDSGN сигнатура длина имя флаги, старая команда без флагов поддерживается в этом случае флаг = 7.
   (флаг есть битовая комбинация значений unload(1), delref(2), del(4))

можно ли сделать так, что если флаг не добавлен в команду addsgn, то при выполнении в новой версии считать его максимальным? чтобы была совместимость со скриптами предыдущих версий.

Цитата

o При выполнении скрипта завершаюшая проверка списка на вирусы производится лишь в случае если в скрипте была команда "delvir".

что значит завершающая проверка? chklst теперь не проверяет список по сигнатурам?


 

Цитата

 

o Обновлена функция "Убить все вирусы".
   Теперь функция проверяет файлы со статусом "ВИРУС" на наличие всех сигнатур из базы, все флаги найденых в файле сигнатур суммируются и
   формируется команда в очереди, по окончанию процесса все команды в очереди исполняются, при работе с образом эмулируются,
   а команды записываются в скрипт.

 

 

 

так понимаю, что максимальная сумма флагов в итоге все равно будет равна 7, даже если сумма флагов будет 14.

+

еще вопрос:

получается что проверка списка по базе сигнатур будет выполнена дважды. при собственно "проверке списка" и при "убить все вирусы".

можно ли сделать так, что если выполнена проверка списка chklst, в этом случае формируется временный файл sgns_tmp в который добавлены только те сигнатуры из базы sgns, которые были проявлены в результате проверки chklst,

и далее,

delvir уже работает только с базой проявленных сигнатур, т.е. с базой sgns_tmp.

после каждой команды chklst (например, по ходу были добавлены новые (или изменены) сигнатуры в sgns необходимо пересоздать sgns_tmp.

в этом случае, delvir отработает быстрее.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

PR55.RP55    82

PR55.RP55
Опубликовано
1 час назад, santy сказал:

то что ранее предлагал RP55)

Я сейчас попробовал создать критерий на базе сигнатуры. ( см. фото )

и  у меня ничего не получилось - критерий не работает...

И по факту получается дублирование: А именно.

Выбор команд в меню сигнатуры: ( unload(1), delref(2), del(4)) )

и

Выбор в меню критериев. ( способ удаления ) - автоскрипт.

 

1111.jpg

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

PR55.RP55    82

PR55.RP55
Опубликовано

+

Здесь же в критерии можно выбрать ( содержит ) значение: (delall ) [гл

И тогда один критерий _должен работать со всеми сигнатурами.

т.е. не нужно создавать критерий под каждую сигнатуру.

 

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

santy    151

santy
Опубликовано
2 часа назад, santy сказал:

т.е. (имхо) логичнее здесь было бы сделать так:

или хелпер выбирает режим формирования скрипта без сигнатур, т.е. сигнатуры просто участвуют в детектировании, и задетектированные файлы удаляются через команды с учетом флага сигнатур (это то что ранее предлагал RP55)

или в скрипт добавляются только сигнатуры. (без развертки команд удаления с учетом флага).

команды удаления с учетом флага сигнатуры формируются на стадии выполнения скрипта в реальной системе и не перегружают скрипт дополнительно командами удаления del/delall

тут поясню, что можно  добавить настройку в settings.ini.

Если человек хочет использовать базу сигнатур как дополнительный файл критериев, так и пусть это делает (формирует скрипт через прямое удаление), со всеми вытекающими последствиями.

но если сигнатуры добавлены в скрипт (в результате проверки chklst), то считаю излишним(избыточным) дополнительно добавлять в скрипт команды прямого удаления, того, что задетектировано сигнатурами и будет удалено в контексте команды delvir.

а в реальной системе пусть это удаление в delvir работает единообразно (с тем, что задетектировано по файлу критериев snms) через механизм очереди.

+

имхо, можно поднять планку автоскрипта

Цитата

;------------------------autoscript---------------------------

выше, поскольку теперь уже и команды addsgn добавляются в скрипт функцией автоскрипта.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

demkd    603

demkd
Опубликовано
9 часов назад, PR55.RP55 сказал:

Если для сигнатуры настроена комбинация: ( unload(1), delref(2), del(4)) )

то по чему в скрипт пишется команда: delall

То что пишется лишняя команда в delvir это ошибка эмуляции, команду и так выполнит delvir это я исправлю, однако unload(1) + delref(2) +  del(4) = 7 = delall так что именно delall будет применен.

2 часа назад, santy сказал:

т.е. через выгрузку несуществующего процесса, через удаление несуществующих ссылок в реестре, и через простое удаление файла. Т.е. uVS выполнит массу лишних телодвижений, которые снижают ценность данной оптимизации. Кроме того, что скрипт будет забит под завязку командами прямого удаления.

нет, все делается теперь в 1 проход, никаких лишних телодвижений и в скрипте ничего не будет, хоть там 1000 объектов на удаление, то что команды добавлялись после delvir это глюк просто функция сейчас одна для всех режимов и для эмуляции и для удаления, просто забыл отфильтровать лишнее при работе с образом.
С другой стороны можно ввести флаг который будет управлять разворачиванием delvir в цепочку команд, чисто для полного контроля над тем что удаляется, но если в системе просто изменится имя зловреда за вермя между созданием образа и исполнением скрипта, то скрипт его не удалит.

2 часа назад, santy сказал:

как отработает uVS, если в скрипт будет добавлена команда adddir каталог и при запуске скрипта часть файлов из данного каталога будет задетектирована сигнатурами дополнительно к файлам из образа автозапуска.?

если chklst что-то там найдет, то delvir удалит в соответствии с прописанными флагами для сигнатур, тут ничего не изменилось.

2 часа назад, santy сказал:

можно ли сделать так, что если флаг не добавлен в команду addsgn, то при выполнении в новой версии считать его максимальным?

так и есть сейчас.

2 часа назад, santy сказал:

что значит завершающая проверка? chklst теперь не проверяет список по сигнатурам?

в 3.* после выполнения скрипта список обязательно проверялся на вирусы, теперь только если это имеет смысл для контроля выполнения по логу.

2 часа назад, santy сказал:

так понимаю, что максимальная сумма флагов в итоге все равно будет равна 7, даже если сумма флагов будет 14.

да, обычное логическое или, но не обязательно 7, все зависит от флагов.

2 часа назад, santy сказал:

получается что проверка списка по базе сигнатур будет выполнена дважды. при собственно "проверке списка" и при "убить все вирусы".

нет, delvir работает исключительно с файлами имеющими статус "вирус", только эти файлы подвергаются дополнительному анализу.

2 часа назад, santy сказал:

в этом случае, delvir отработает быстрее.

Количество сигнатур в базе практически никак не влияет на скорость исполнения delvir даже если в базе будут десятки тысяч записей глазом оценить разницу не получится это миллисекунды, так что смысла сокращать список сигнатур нет.

1 час назад, PR55.RP55 сказал:

и  у меня ничего не получилось - критерий не работает...

Так и не будет работать, точнее будет, но исключительно в реальной системе.

44 минут назад, PR55.RP55 сказал:

Здесь же в критерии можно выбрать ( содержит ) значение: (delall ) [гл

И тогда один критерий _должен работать со всеми сигнатурами.

И в чем суть подобного извращения? Что бы тратить время еще и на возню с критериями?

46 минут назад, santy сказал:

но если сигнатуры добавлены в скрипт (в результате проверки chklst), то считаю излишним(избыточным) дополнительно добавлять в скрипт команды прямого удаления, того, что задетектировано сигнатурами.

Это я уже ответил выше, это просто глюк эмуляции.

45 минут назад, santy сказал:

выше, поскольку теперь уже и команды addsgn добавляются в скрипт функцией автоскрипта.

а тут надо посмотреть, когда добавлять сигнатуры, я еще с этим не определился.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

PR55.RP55    82

PR55.RP55
Опубликовано
25 минут назад, demkd сказал:
1 час назад, PR55.RP55 сказал:

и  у меня ничего не получилось - критерий не работает...

Так и не будет работать, точнее будет, но исключительно в реальной системе.

А, что нельзя сделать чтобы и при работе с образом ?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

santy    151

santy
Опубликовано
53 минут назад, demkd сказал:

а тут надо посмотреть, когда добавлять сигнатуры, я еще с этим не определился.

demkd,

теперь все понятно. буду ждать новой бетки с исправлением текущих глюков.

 

и да,

может и стандартную очистку как-то можно свернуть через настройки при работе с образом при запуске функции автоскрипта?

чтобы в скрипт попадала команда свертки, а развернулась свертка через команды очереди при запуске скрипта на реальной системе.

-----------

только по идее, это должен быть какой-то горячий параметр,

чтобы не через settings.ini задавать.

изменил параметр по ходу работы с образом, получил результат (или результирующий скрипт) с разверткой (и по ссылкам на отсутствующие файлы и по командам очереди, которые генерируются в delvir),

отменил параметр - получил скрипт с командой свертки действий.

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

PR55.RP55    82

PR55.RP55
Опубликовано

+

В категории: Список сигнатур вирусов

Можно добавить команду: Удалить все сигнатуры с учётом фильтра.

Отфильтровать все устаревшие по дате их создания и в расход...

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

PR55.RP55    82

PR55.RP55
Опубликовано

+

Хорошо бы доработать автоскрипт.

Сейчас файлы\объекты из разных категорий ( и по разным сработавшим критериям ) добавляются в скрипт беспорядочно.

А именно:

Удалился файл... потом HTTP ссылка... потом две ссылки подряд... потом опять файл и т.д.

А раз есть очередь команд - то прогонять для оптимизации через очередь.

Или же формировать скрипт по категориям.

Хотя бы для категории: Скрипты

 

 

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

demkd    603

demkd
Опубликовано
36 минут назад, santy сказал:

чтобы в скрипт попадала команда свертки, а развернулась свертка через команды очереди при запуске скрипта на реальной системе.

автоскрипт формируется не на голом месте, а на результатах проверки на vt, работе критериев и т.п., все тащить в целевую систему, там повторять все действия на основе одной команды? и мало того  бесконтрольно применять автоскрипт? <_<

36 минут назад, santy сказал:

теперь все понятно. буду ждать новой бетки с исправлением текущих глюков.

Сейчас можно просто игнорировать эти лишние команды, значительно на времени исполнения они не скажутся, просто плюс одно обновление списка.
 

1 час назад, PR55.RP55 сказал:

А, что нельзя сделать чтобы и при работе с образом ?

Можно, но проверка по критериям замедлится раза так в 2-3

 

34 минут назад, PR55.RP55 сказал:

Можно добавить команду: Удалить все сигнатуры с учётом фильтра.

Это можно, но как-то не очень продуктивно.
 

25 минут назад, PR55.RP55 сказал:

А раз есть очередь команд - то прогонять для оптимизации через очередь.

Это и так запланировано, автоскрипта процесс оптимизации еще не касался.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

santy    151

santy
Опубликовано
7 минут назад, demkd сказал:

автоскрипт формируется не на голом месте, а на результатах проверки на vt, работе критериев и т.п., все тащить в целевую систему, там повторять все действия на основе одной команды? и мало того  бесконтрольно применять автоскрипт? <_<

вообщем, да, согласен.

мы ведь не добавляем те же файлы SHA, критерии в целевую систему, поэтому результат обработки по списку может быть другим.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

PR55.RP55    82

PR55.RP55
Опубликовано
32 минут назад, demkd сказал:
1 час назад, PR55.RP55 сказал:

А, что нельзя сделать чтобы и при работе с образом ?

Можно, но проверка по критериям замедлится раза так в 2-3

Так здесь всё от объёма будет зависеть.

И от оператора...

Его же не заставляют - нужно будет сделает такую настройку - сделает.

32 минут назад, demkd сказал:
58 минут назад, PR55.RP55 сказал:

Можно добавить команду: Удалить все сигнатуры с учётом фильтра.

Это можно, но как-то не очень продуктивно.

Так можно продумать вопрос.

Есть settings.ini  и настройку можно сделать там.

Что то вроде:

 [Settings]
   ; Время хранения записей ( дней ) sgnz для сигнатуры.
   SgnzDays (150 по умолчанию) ( для контроля используется сервер времени )
      0 - не использовать
     -1 - не ограничивать время действия.

-------------
И по поводу баз: SHA1
вот у нас есть база проверенных.
А нельзя ли автоматически формировать базу Black-SHA1
т.е. всё, что удаляется по сигнатуре, автоскрипту, или в ручную. пишется в базу.

Потом базы от разных операторов можно...

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

demkd    603

demkd
Опубликовано
20 минут назад, PR55.RP55 сказал:

Так здесь всё от объёма будет зависеть.

И от оператора...

Его же не заставляют - нужно будет сделает такую настройку - сделает.

Тут основная зависимость от количества объектов в списке. Насчет сделать я подумаю.

22 минут назад, PR55.RP55 сказал:

SgnzDays (150 по умолчанию) ( для контроля используется сервер времени )

Бесконтрольное удаление это очень плохая идея.

22 минут назад, PR55.RP55 сказал:

А нельзя ли автоматически формировать базу Black-SHA1

Про это я уже говорил ранее, никакого черного списка не будет, он совершенно бесполезен.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

PR55.RP55    82

PR55.RP55
Опубликовано
5 минут назад, demkd сказал:
28 минут назад, PR55.RP55 сказал:

SgnzDays (150 по умолчанию) ( для контроля используется сервер времени )

Бесконтрольное удаление это очень плохая идея.

Так я не предлагаю всё делать в лоб.

Можно перед применением: SgnzDays  задать вопрос оператору: Хотите произвести очистку: Да\Нет

или в меню.  Если есть сомнения тогда операцию по удалению разбить на 2-3 этапа ( во избежании ошибки )

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

santy    151

santy
Опубликовано
19 минут назад, demkd сказал:
43 минут назад, PR55.RP55 сказал:

SgnzDays (150 по умолчанию) ( для контроля используется сервер времени )

Бесконтрольное удаление это очень плохая идея.

для любителей создавать а потом чистить sgns списками

проще удалить зафильтрованное, только фильтр должен ставиться в том числе и по дате создания (или модификации) сигнатуры, безо всяких запросов и подтверждений.

хотя простота здесь только видимая, потому что здесь структура файла другая, и видимо потребуется дополнительное программирование.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

PR55.RP55    82

PR55.RP55
Опубликовано

 

Можно сигнатуры не удалять автоматически, а сбрасывать\перемещать в Sgnz-Сache

* Оператору достаточно для восстановления данных переименовать:  Sgnz-Сache до sgnz

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

demkd    603

demkd
Опубликовано
1 час назад, PR55.RP55 сказал:

Можно сигнатуры не удалять автоматически, а сбрасывать\перемещать в Sgnz-Сache

это уже извращение, пожалуй остановлюсь на удалении того что попало в фильтр.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

PR55.RP55    82

PR55.RP55
Опубликовано
1 час назад, demkd сказал:

пожалуй остановлюсь на удалении того что попало в фильтр.

Можно и для других категорий это реализовать.

Удалить все: .bat

; .hta

; .tmp

; .vbs

и т.д.

т.е. объекты которые не влияют на работоспособность системы и которых может быть много.

Фактически для всех типов поддерживаемых расширений кроме: sys; exe; dll...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

demkd    603

demkd
Опубликовано
2 часа назад, PR55.RP55 сказал:

Удалить все: .bat

вот уж чего не будет так это подобных вещей.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

demkd    603

demkd
Опубликовано

---------------------------------------------------------
 4.00 Beta 9
---------------------------------------------------------
 o Исправлена ошибка в функции эмуляции "Убить все вирусы", при работе с образом в очередь добавлялись дублирующие работу delvir команды.

 o Функции "Проверить список" и "Добавить вирус" больше не добавляют в скрипт команды addsgn/bl/zoo.

 o Обновлена функция "Убить все вирусы" функция добавляет в скрипт команды addsgn/bl/zoo и комментарий для всех файлов имеющих статус вирус
   в соответствии с флагами bAutoZooOnF7/bAutoBLOnF7/bAddComment.

 o Оптимизирована и улучшена функция автоскрипта.

 o Добавлена поддержка фильтрующего поиска в очереди команд и списке сигнатур.

 o Добавлена возможность удалять все сигнатуры прошедшие фильтр.

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

PR55.RP55    82

PR55.RP55
Опубликовано
5 часов назад, demkd сказал:
7 часов назад, PR55.RP55 сказал:

Удалить все: .bat

вот уж чего не будет так это подобных вещей.

Здесь речь идёт о работе с образом и применении фильтра.

Чем не нравиться идея например удалить все: .tmp  файлы ?

Их может быть и 50

и не все работают с автоскриптом.

1 час назад, demkd сказал:

 o Оптимизирована и улучшена функция автоскрипта.

delref HTTP:\\R.MAIL.RU\N137259061
del HTTP:\\R.MAIL.RU\N137259061
delref HTTP://4GAME.COM/?CLIENT-APP=V2
del HTTP://4GAME.COM/?CLIENT-APP=V2

1) Очевидно, что команда: del  здесь лишняя.

2) Команды: delall; del  

идут в перемешку.

По хорошему отдельно блок из: delall

отдельно блок из: del

Да и: HTTP:\\ HTTP:// отдельным блоком пустить.

delall %SystemDrive%\USERS\TEMP\APPDATA\LOCAL\AMIGO\APPLICATION\AMIGO.EXE
del %SystemDrive%\USERS\ОБЩЕЕ\DESKTOP\АМИГО.LNK
del %SystemDrive%\USERS\TEMP\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.BAT
delall %SystemDrive%\USERS\TEMP\APPDATA\ROAMING\MAIL.RU\AGENT\MAGENT.EXE
del %SystemDrive%\USERS\ОБЩЕЕ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\АМИГО.LNK

1 час назад, demkd сказал:

 o Добавлена возможность удалять все сигнатуры прошедшие фильтр.

Гхм...

А если фильтр пустой ?

А если фильтр пустой - то удаляться _все сигнатуры...

Оператор так случайно может всю свою базу зачистить.

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Перейти к списку тем Universal Virus Sniffer (uVS) - развитие, использование и решение проблем

  • Сообщения

    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      а внутри локалки и не получится, белые ip нужны только при подключении через интернет.
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      Проверил на двух домашних ПК в локальной сети с роутером. Схема с серым IP работает отлично. Передача файлов гениальна! Вот просто как будто дополнительное зрение появилось :). Через белый IP  пока не удалось подключиться. Пришлось еще фаерволлы включить в интерактивный режим. (На автомате еще не проверял, возможно надо сохранить некоторые правила.)
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       4.99.4
      ---------------------------------------------------------
       o Исправлена функция автоматического переключения удаленных рабочих столов.
         Проблема проявлялась при работе с удаленной системой через локальную сеть, при запуске приложения
         от имени администратора не происходило автоматическое переключение на защищенный рабочий стол.
         (не касается полной версии разового доступа к рабочему столу, в этом режиме проблемы не было).

       o Проведено сравнительное тестирование системного удаленного рабочего стола и uVS.
         Передача файлов через системный удаленный рабочий стол идет почти в 20 раз медленней чем через через uVS.
         Максимальный fps в 32-х битном цвете почти в 3 раза ниже чем у uVS в FHD.
         (!) Выявлена проблема совместного использования uVS и системного рабочего стола.
         (!) Если системный рабочий стол был закрыт БЕЗ выхода из пользователя, то uVS не сможет
         (!) отбразить рабочий стол логона пользователя (Winlogon).
         (!) Единственное решение проблемы: подключиться заново через системный рабочий стол и выйти из пользователя.
       
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       4.99.3
      ---------------------------------------------------------
       o Это обновление повышает качество работы с удаленной системой и добавляет новый режим работы.
         (!) Новая функция не совместима со старыми версиями uVS, если у вас в настройках установлен флаг bReUseRemote = 1,
         (!) то перед обновлением необходимо закрыть все серверные части uVS на удаленных компьютерах с помощью
         (!) старой версии uVS.

       o Добавлен новый режим работы: Разовый доступ к удаленному компьютеру.
         (!) Доступно начиная с Vista, подключение к рабочему столу устаревших систем возможно лишь прежним способом.
         Ранее просмотр и управление рабочим столом удаленного компьютера было вспомогательной функцией при работе с удаленной системой.
         Для подключения требовались полномочия администратора или знание логина и пароля администратора удаленного компьютера и
         физическая возможность подключения к удаленному компьютеру.
         Новый режим работы похож на то, что предлагают всевозможные поделки для удаленного администрирования.
         o В этом режиме доступно: управление и просмотр рабочего стола, а также быстрый и надежный обмен файлами на пределе пропускной
           способности канала. (для сравнения RAdmin в гигабитной сети передает файлы более чем в 15 раз медленней чем uVS).
         o Передаваемые кадры теперь не только сжимаются, но и шифруются,  целостность передаваемых файлов защищена
           проверочным хэшем и шифрованием.
         o Подключение осуществляется без использования промежуточного сервера, т.е. это чистый P2P.
         o Подключение возможно к компьютеру за NAT при включенной у роутера опции uPNP.
         o Подключение возможно к компьютеру, где активирован VPN.
           (!) Подключение производится к реальному адресу роутера или адаптера компьютера с VPN, VPN канал полностью игнорируется.
         o Подключение возможно в обе стороны, т.е. из пары компьютеров требуется лишь 1 белый IP, направление подключения выбирается
           при начальной настройке.

         При запуске start.exe теперь вам доступны три новые кнопки:
         o Управление удаленным компьютером и обмен файлами.
           Эту кнопку нажимает тот кто хочет получить доступ к удаленному компьютеру, в открывшемся окне можно выбрать
           вариант подключения (см. ниже) и ввести код доступа полученный от того кто предоставляет доступ к компьютеру.
           Варианты подключения:
             o Соединение примет мой компьютер - в этом случае необходимо выбрать IP к которому будет подключаться другая
               сторона. При подключении через интернет следует выбирать белый IP адрес, если ваш компьютер за роутером
               и на нем активен NAT, то выбрать нужно именно его IP адрес. (адрес с пометкой [router]).
               Если роутер поддерживает uPNP, то этот адрес будет выбран по умолчанию.
               Если же в списке нет белых IP то вам следует выбрать другую опцию подключения.
               После выбора IP просто нажмите кнопку Старт и передайте одноразовый код доступа другой стороне.
               При подключении по локальной сети вы можете нажать кнопку "Все IP" и выбрать любой серый адрес для подключения.
               Поддерживается и IPv4 и IPv6.
               (!) Код доступа автоматически копируется в буфер обмена при нажатии кнопки "Старт".

             o Соединение установит мой компьютер - просто скопируйте код доступа в поле ввода или код там появится автоматически
               если вы его скопировали из мессенджера. После чего нажмите кнопку Старт и ожидайте подключения.

         o Разовый удаленный доступ к моему компьютеру [админ]
           (!)Пользователь должен обладать правами администратора или правами по запуску и установке служб.
           Эту кнопку нажимает тот кто хочет предоставить доступ к своему компьютеру, в открывшемся окне можно выбрать
           разрешения для другой стороны.
           Доступны 3 варианта:
             o  Управление     - доступно: мышь, клавиатура, просмотр экрана и обмен файлами.
             o  Просмотр       - доступно: просмотр экрана и обмен файлами.
             o  Обмен файлами  - доступно: обмен файлами.
           Это полнофункциональная версия удаленного рабочего стола uVS, с возможностью удаленного подтверждения
           запуска приложений от имени администратора и эмуляции нажатия Ctrl+Alt+Del.

         o Разовый удаленный доступ к моему компьютеру [не админ]
           Все тоже самое что и во 2-м случае, кроме удаленного подтверждения запуска приложений от имени администратора
           и эмуляции нажатия Ctrl+Alt+Del, дополнительно есть ограничение по использованию защищенных рабочих столов.

       o При работе с удаленным рабочим столом теперь доступна передача файлов и каталогов из буфера обмена в обе стороны.
         Что бы передать файлы или целые каталоги на удаленный компьютер, просто скопируйте их в буфер обмена и в окне
         удаленного рабочего стола нажмите кнопку со стрелкой вверх.
         Передача изображения автоматически отключится и откроется окно с логом передачи файлов.
         В заголовке окна лога вы увидите объем переданных данных и среднюю скорость передачи (с учетом чтения их с диска).
         По окончании передачи  файлов в лог будет выведена информации о времени передачи, количестве успешно переданных файлов и
         средней скорости передачи.
         Переданные файлы будут помещены в буфер обмена удаленной системы и вы сможете  вставить их из буфера
         в любой каталог или прямо на рабочий стол. При этом файлы переносятся из временного каталога.
         Если же вы не вставили файлы из буфера обмена то они останутся во временном каталоге C:\uVS_copyfiles\*
         точный путь до которого выводится в лог на удаленном компьютере.
         Что бы получить файлы проделайте обратную операцию: скопируйте файлы в буфер обмена на удаленном компьютере
         и нажмите кнопку со стрелкой вниз, по завершению передачи файлы будут помещены в буфер обмена вашего компьютера
         и вы можете перенести их в любую нужную папку.
         Таким образом обе стороны видят какие файлы и куда копируются и при этом максимально упрощается процесс копирования.
         (!) При закрытии окна лога передача файлов будет остановлена.
         (!) При разрыве соединения передача файлов будет автоматически продолжена после восстановления соединения,
         (!) при этом работает функция докачки, т.е. если ошибка произошла при передаче большого файла, то передача его
         (!) продолжится с последнего успешно полученного блока, т.е. блок будет заново.
         (!) Каждая передача файлов является независимой, т.е. нельзя прервать передачу и воспользоваться функцией докачки.
         (!) Проверка целостности файлов производится на лету вместе с его расшифровкой, таким образом достигается
         (!) максимально возможная скорость передачи примерно равная скорости копирования файлов по локальной сети системой.
         (!) При необходимости передачи большого количества мелких файлов рекомендуется поместить их в архив, это серьезно
         (!) сократит время передачи.
         (!) Состоянии кнопки CS никак не влияет на данный функционал.

       o Изменен приоритет протоколов: IPv4 теперь является приоритетным, как показали замеры в гигабитной локальной сети
         IPv4 позволяет достичь более высокой скорости передачи данных.

       o Добавлено шифрование сжатых кадров удаленного рабочего стола для повышения защиты передаваемой по сети информации.

       o В случае разрыва соединения повторное подключение происходит автоматически без запроса.

       o Снижен инпут лаг при работе с удаленным рабочим столом.

       o Обновлена функция синхронизации буфера обмена с удаленной системой: теперь поддерживается передача скриншотов
         в обе стороны.

       o Обновлена функция передачи движений мыши в удаленную систему.
         Теперь доступно управление с помощью движений мыши, которое используется в некоторых приложениях и играх. (если нажата кнопка MM)
         Если указатель мыши видим в удаленной системе то управление производится позиционированием указателя по расчетным координатам (как и раньше),
         в противном случае указатель скрывается в клиентской системе и передаются лишь движения мыши.
         При возникновении проблем с восстановлением видимости указателя вы всегда можете переключиться из окна удаленной рабочего стола по горячей
         клавише RWin.

       o uVS теперь при старте добавляется в исключения Ф и брандмауэра до выхода из uVS.

       o Теперь запоминаются размеры и режим отображения удаленного рабочего стола для каждого активного монитора.
         Кнопка 1:1 применяется автоматически при первом выборе монитора.
         Обработчик кнопки 1:1 обновлен, теперь размер окна рассчитывается с высокой точностью для новых систем,
         где размер окна включает в себя тень.

       o Добавлен выбор метода захвата экрана, доступно 3 варианта:
         o GDI -  медленный метод захвата экрана, но работает в любой удаленной системе, постоянный fps.
                  (единственный доступный метод для Win2k-Win7)

         o DDA1 - быстрый, работает начиная с Windows 8, максимальный коэффициент сжатия,
                  переменный fps в зависимости от экранной активности.
                  (!) рекомендуется использовать при ширине канала ниже 100Mbit, вместо DDA2.

         o DDA2 - очень быстрый метод сравнимый с захватом экрана с помощью mirror драйвера, но без использования драйвера,
                  работает начиная с Windows 8, низкий коэффициент сжатия, переменный fps в зависимости от экранной активности.
                  Способен захватывать видео с высоким fps (до 60) за счет упрощенного метода сжатия и обработки потока кадров.
                  (метод по умолчанию для Win8+, рекомендуется при значительной экранной активности).
                  (!) рекомендуется использовать при ширине канала не менее 100Mbit, при высоких разрешениях 1Gbit и выше
                  (!) из-за низкого коэффициента сжатия.
                  (!) При низкой экранной активности трафик до 10 раз больше чем у DDA1, при высокой - в 2 раза больше.
          
       o В окно удаленной рабочего стола добавлена кнопка "SYN" она замещает собой ручной выбора задержки захвата кадров.
         (отжатая кнопка соответствует нулевой задержке)
         Если кнопка нажата то задержка, а значит и максимальный fps ограничивается автоматически в соответствии
         с пропускной способностью канала, к сожалению это понижает максимальный fps и увеличивает инпут лаг,
         однако это полностью решает проблему, которой страдают даже лучшие программы удаленного управления
         при недостаточной ширине канала. Если канал слишком узок (10Mbit и менее) то при значительной
         экранной активности (оконное видео или анимация) происходит потеря управления удаленным рабочим столом
         из-за того что новые кадры отправляются в буфер значительно быстрее, чем клиентская машина успевает их получить и отобразить,
         в результате чего даже нажатия кнопок отображаются с задержкой в несколько секунд.
         Тоже самое будет наблюдаться в uVS в сходных условиях если кнопка SYN не нажата.
         Поэтому SYN не рекомендуется отключать при значительной активности в кадре и узком канале.
         Если канал 100Mbit и выше (локальная сеть), используется DDA2 то можно выключить SYN и это сильно поднимет fps и значительно уменьшит инпут лаг.
         Кнопка SYN по умолчанию нажата, состояние кнопки сохраняется при выходе из uVS.
         Выбранная цветовая битность теперь тоже сохраняется.

       o В окно удаленной рабочего стола добавлена кнопка "MR" она позволяет управлять указателем мыши из удаленной системы,
         Функция работает ЕСЛИ кнопка нажата И курсор находится в пределах окна удаленного рабочего стола И это окно активно.
         Функция предназначена для тех случаев когда человеку на том конце проще показать проблему чем описать ее словами.

       o Теперь клиентская часть uVS автоматически завершается если удаленная система перезагружается, выключается или завершается сеанс пользователя.
         (только если открыто окно удаленного рабочего стола)

       o Значительно увеличена скорость переключения мониторов, рабочих столов и смены разрешения монитора в DDA режиме.
         (!) Однако есть побочный эффект: если новый монитор будет подключен к удаленной системе пока открыто окно рабочего стола,
         (!) то для отображения картинки с этого монитора необходимо будет закрыть/открыть окно или повторно выбрать метод захвата экрана.

       o Добавлена поддержка браузера Microsoft Edge.

       o Обновлена функция чтения и удаления расширений браузеров: Chrome, Yandex, Edge.
         Добавлены сайты с включенными уведомлениями с указанием времени активации уведомлений.
         Из окна информации о расширении удалено поле Extension_homepageURL за бесполезностью.
         Мусор оставшийся от старых расширений помечается как "файл не найден" и будет удален при вызове функции удаления ссылок на
         отсутствующие файлы.

       o Контекстное меню в окне редактирования критериев теперь тоже использует выбранный размер шрифта.

       o Улучшена совместимость с системами с малым количеством оперативной памяти.

       o Исправлена функция захвата экрана в GDI режиме.

       o Исправлена ошибка в функции чтения защищенных файлов, в некоторых случаях функция не могла получить доступ к файлу.

       o Исправлена ошибка в функции смены рабочего стола

       o Исправлены ошибки инициализации COM.

       o Исправлена ошибка из-за которой из списка проверки выпало 2 ключа автозапуска.

       o Исправлена ошибка в функции отката изменений (Ctrl+Z) при работе с образом.

       o Исправлена ошибка повторной инициализации захвата экрана в случае если рабочий стол был переключен пользователем или системой
         до повторного открытия окна удаленного рабочего стола.

       o Исправлена ошибка при открытии окна информации о компьютере.
         Добавлена дата релиза биоса, исправлено отображение объема физической памяти, добавлена расшифровка типа памяти и условное обозначение
         ее производительности.

       o Добавлена возможность открывать ключ реестра в regedit-е двойным щелчком по строке в логе или
         через контекстное меню.
         (!) Недоступно при работе с образом автозапуска.
       
    • Ego Dekker
      Актуальные версии антивируса 18-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 18.0.12.
×