uVS - Тестирование - Страница 7 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

PR55.RP55

Как я это вижу. ( здесь по хорошему нужно несколько фото с изменением цвета )

но думаю и так понятно - меню: активно или\или не активно.

 

77-7.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, PR55.RP55 сказал:

Какой смыл создавать программу с которой будет работать всего несколько человек.

uVS существует лишь потому что нужен мне лично, а сколько с ним работает человек мне мало интересно.
Второе, со всеми предложениями в соседнюю ветку, здесь тестирование, дальше просто буду удалять сообщения не по теме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

кстати, поработал сегодня на нескольких компьютерах с удаленного рабочего стола.

чистил в uVS системы от потенциально опасных программ, в частности майл_ру, которые забили все логи в сервере ERA.

технология с очередью команд в реальной системе крайне эффективна. скорость очистки в реальной системе значительно увеличена.

-----------

думаю, Smit-у понравится :), и другим, которые чистят системы с рабочего стола, не используя скрипты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

 o При работе с образом теперь нет необходимости нажимать завершающий "Применить",
   можно просто закрыть uVS, команды из очереди будут помещены в скрипт.

Demkd

Тогда логично и меню:

Скрипт > Сохранить созданный автоматически скрипт в файл...

Привести к :

o При работе с образом теперь нет необходимости нажимать "Применить",
при отданной команде: Сохранить созданный автоматически скрипт в файл...  ( ALT+S )

команды из очереди будут автоматически помещены в скрипт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
1 час назад, PR55.RP55 сказал:

 o При работе с образом теперь нет необходимости нажимать завершающий "Применить",
   можно просто закрыть uVS, команды из очереди будут помещены в скрипт.

а это опять же на любителя. Я например, не закрываю без надобности uVS вообще в течение рабочего дня. Потому что приходится смотреть 5-10 образов как минимум, и писать так же 4-5 скриптов каждый день.

так что нет смысла его закрывать, чтобы через 5 минут запускать по новой.

поэтому, от этого рацио, польза минимальная.
 

Цитата

 

o При работе с образом теперь нет необходимости нажимать "Применить",
при отданной команде: Сохранить созданный автоматически скрипт в файл...  ( ALT+S )

команды из очереди будут автоматически помещены в скрипт.

 

Alt+S - это как раз временный режим, когда (иногда) можно заглянуть как формируется скрипт по ходу работы. Привязывать к нему command-block не нужно.

....и лишь, когда все сделано и проверено и применено, + добавлены текствые комментарии к скрипту, можно нажать окончательное Alt+S и затем уже редактировать скрипт в редакторе, если есть в этом необходимость. да и с точки зрения эргономики работы, правильнее будет соотнести применить изменения не редактированием скрипта, а с очередью команд. (заглянул в очередь команд, ты еще можешь что-то отменить, а заглянув в редактор,  и сбросив туда очередь команд, согласно твоему предложению, обратно уже не отменишь команды).

 

потому я любитель править скрипт (в редакторе) только тогда, когда он сформирован окончательно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
22 минут назад, santy сказал:

Alt+S - это как раз временный режим, когда (иногда) можно заглянуть как формируется скрипт по ходу работы. Привязывать к нему command-block не нужно.

Заглянуть можно было в uVS 3* а, в четвёртой версии в этом нет смысла.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.00 Beta 6
---------------------------------------------------------
 o Обновлен формат файла образа автозапуска.
   Старые форматы образов поддерживаются.   

 o Обновлена утилита cmpimg до v1.02

 o Обновлена утилита uvs_snd до v1.02

 o В контекстное меню окна установленных программ добавлен пункт для копирования в буфер обмена имени раздела в реестре.

 o Оптимизирован процесс перерисовки списка, время перерисовки сокращено в 5 раз, что прямо повлияло на скорость
   фильтрующего поиска и сортировки на списке с большим количеством элементов. (например в категории "все").

 o Обновлена функция обработки горячей клавиши RWin, из-за глюков Windows с активизацией окон
   окно uVS могло не высплывать на верхний уровень случайным образом.

 o Добавлена новая функция кнопке закрытия uVS (x) в окне удаленного рабочего стола, нажатие ее с зажатой клавишей RWin
   дополнительно выгружает серверную часть uVS (актуально при bReUseRemote=1).

 o Исправлена функция считывания командной строки 64-х битных процессов.

 o Исправлена ошибка при работе с удаленной системой, не отсылались команды на перезагрузку и реинициализацию серверной части (при bReUseRemote=1).

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

При работе с реальной системой, если открыть категорию: Скрипты.

то можно увидеть странную картинку - которая отличается от той, что была.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Чем отличается?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Должна быть таблица.

А вместо  неё пока не дойдёт до 100%  белое окно. ( см. фото )

1111.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
4 часа назад, PR55.RP55 сказал:

А вместо  неё пока не дойдёт до 100%  белое окно. ( см. фото )

А это побочный эффект ускорения прорисовки в 5,5раз (это у меня на i7@4.5Ghz, а на более слабых машинах скорее всего вообще разница на порядок, а то и больше)
можно в принципе вынести функцию анализа списка до запрета на прорисовку, но тогда будет виден список предыдущей категории, что тоже плохо. Поэтому или так или тормоза с поиском и переключением категорий как раньше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

А добавление deltmp не должно убирать файлы находящиеся в Темп из выводимых в список? 
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

И не знаю нормально или нет, на всякий случай сообщаю

Полное имя                  & IF EXIST !FILE! START \
Имя файла                   
Тек. статус                 в автозапуске 
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске 
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\TASKS\KLCP_UPDATE.JOB
Значение                    CMD /C sc create KLCPU binPath= "CMD /V /C SET \"FILE=\"%ProgramFiles%\K-Lite Codec Pack\Tools\CodecTweakTool.exe\"\" & IF EXIST !FILE! START \"CTT\" !FILE! /verysilent /update /freq=30" type= own type= interact & net start KLCPU & sc delete KLCPU
                            

Обратить внимание на имя файла.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
45 минут назад, alamor сказал:

А добавление deltmp не должно убирать файлы находящиеся в Темп из выводимых в список? 

нет, эмуляция данной команды слишком сложная, да и смысла нет ее эмулировать, все равно в конце стоит.

45 минут назад, alamor сказал:

Обратить внимание на имя файла.

Да, ошибка разбора, без ошибок тут не получится, но посмотрю может как-то улучшу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
8 минут назад, demkd сказал:

да и смысла нет ее эмулировать, все равно в конце стоит.

Просто вставил её в начале работы, хотел убрать все темповские файлы, чтобы на них не отвлекаться.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
9 минут назад, alamor сказал:

Просто вставил её в начале работы, хотел убрать все темповские файлы, чтобы на них не отвлекаться.

сортировка по каталогу сильно упрощает жизнь или выбор лишь того что в автозапуске сильно упрощает жизнь, в темп очень редко ведут ссылки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

alamor
по поводу файлов из Temp
здесь для очистки ( при работе с образом ) хорошо работает автоскрипт.
Настроить автоматическое удаление для:
\TEMP\
.TMP
и будет счастье.

Demkd

А нельзя в меню: Скрипты
добавить: Предварительный просмотр ?
т.е. то, тот вид который мы получим после отдачи команды: apply

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, PR55.RP55 сказал:

т.е. то, тот вид который мы получим после отдачи команды: apply

А кто мешает нажать применить? И если не понравится то Ctrl+Z?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

можно и Ctrl+Z

Но это два лишних действия. Применить > Посмотреть > Отменить.

Тем более, что в ряде случаев оператору нужно именно посмотреть - что и как и всё.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

По поводу разбора.

Полное имя                  2060.0.490826539\838153092
Имя файла                   838153092
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
                            
Доп. информация             на момент обновления списка
CmdLine                     "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -contentproc --channel="2060.0.490826539\838153092" -greomni "C:\Program Files (x86)\Mozilla Firefox\omni.ja" -appomni "C:\Program Files (x86)\Mozilla Firefox\browser\omni.ja" -appdir "C:\Program Files (x86)\Mozilla Firefox\browser"  2060 "\\.\pipe\gecko-crash-server-pipe.2060" tab
______________________________________________

• версия 40.0 Firefox
- поисковые плагины больше не работают из browser\searchplugins, только из %папка_профиля%\searchplugins
и отключено по умолчанию, т. к. по умолчанию теперь поисковики берутся из omni.ja
(user_pref ("browser.search.loadFromJars", true);)

------------

Результат поиска по omni.ja на оф. форуме: http://forum.mozilla-russia.org/search.php?search_id=249568115

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
2 часа назад, PR55.RP55 сказал:

Но это два лишних действия. Применить > Посмотреть > Отменить.

рукалицо.

34 минут назад, PR55.RP55 сказал:

поисковые плагины больше не работают из browser\searchplugins

я в курсе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.00 Beta 7
---------------------------------------------------------
 o Улучшена функция разбора параметров cmd.exe

 o Исправлена функция чтения пути до расширения Yandex Browser.
   (добавлена поддержка UTF-8)

 o Изменена функция автоскрипта, команды chklst и delvir добавляются только при наличии в скрипте команды addsgn.

 o Изменено расположение управляющих элементов, добавлен новый элемент скрыть "DLL без точки входа".
   Как и для скрыть "без производителя" требуется предварительное сканирование списка по F3.

 o Новый параметр ImgAutoClean
   [Settings]
   ; Завершить функцию автоскрипта командами deltmp+delnfr (delnfr может быть развернут в очередь команд если ImgDelnfrUnwind=1)
     ImgAutoClean (по умолчанию 0)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

По поводу нового меню: Dll без точки входа.

Тогда в Инфо. для _всех файлов должна быть запись типа: Точка входа в процедуру да\нет ( и данные )

Это будет полезно при формировании критериев.

------

И по поводу предложений:

Я в соответствующий теме недавно предлагал по поводу производителя...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
58 минут назад, PR55.RP55 сказал:

Тогда в Инфо. для _всех файлов должна быть запись типа: Точка входа в процедуру да\нет ( и данные )

Оно уже как год есть или больше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
38 минут назад, demkd сказал:

Оно уже как год есть или больше.

Когда нибудь наступят счастливые времена и вся информация будет в WhatsNew.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      " Вот еще в помощь рекомендации от Зайцева Олега:   Цитата Кроме того, есть еще один метод восстановления испорченных ключей. Как известно, в самом реестре есть копии ключа SafeBoot. Они находятся в HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot и HKLM\SYSTEM\CurrentControlSet002\Control\SafeBoot. Следовательно, можно попробовать следующую операцию:
      1. Экспортировать HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot
      2. В полученном REG файле заменить "CurrentControlSet001" на "CurrentControlSet" (REG файл текстовый, поэтому заменить несложно)
      3. Импортировать модифицированный файл
      Данная операция может быть успешной сразу после запуска повреждающей ключ реестра вредоносной программы, до перезагрузки. Нарушена загрузка в защищенном режиме (SafeBoot) Изменено 6 часов назад пользователем safety " https://forum.kasperskyclub.ru/topic/466078-privetstvuju-slovil-majner-po-nazvaniem-toolbtcmine2782/page/6/#comments А, что если это будет делать uVS ? т.е. Копировать ключ > модифицировать > производить перезапись.
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.1.10.
    • PR55.RP55
      1) По поводу реестра и восстановления. Некоторые программы при работе создают копию реестра. Например в корне диска от FRST  т.е. предлагаю добавить в uVS поиск таких копий. Единственно проверять копии на соответствие Системе. В образ писать информацию о такой копии и дату её создания. 2) Окно с твиками в будущем разбить на два окна, твики работающие с реестром выделить в отдельное окно. 3) В Doc - добавить  информацию по твику 35 и его возможном применении с виртуализацией. 4) Проверять возможность загрузиться с другого диска\системы и добавлять в Инфо. сведения о возможности загрузиться с другого диска\системы. Это я о том, что возможно у PC были\есть несколько пользователей и человек просто не знает, что на дисках есть другие системы.  
    • demkd
      С виртуализацией можно удалять все, защиты от нее практически нет. Выполнить 45-й твик.

      ---------------------------------------------------------
       4.99.12
      ---------------------------------------------------------
      o При удалении исключений Defender-а теперь не_используется powershell из-за неадекватного
         поведения антивируса Kaspersky Free. Теперь удаление производится через сам Defender без
         посредников.
         (!) Если Defender отключен ИЛИ неисправен ИЛИ у вас установлен и АКТИВЕН другой антивирус
         (!) то удаление исключений возможно лишь при использовании виртуализации реестра
         (!) ИЛИ при приостановке защиты этого антивируса.
         (!) Я рекомендую отключать антивирус перед запуском, он все равно бесполезен
         (!) и лишь существенно замедляет и усложняет процесс лечения.

       o Теперь в лог выводится информация о зарегистрированных в системе антивирусах/фаерволах и их состоянии.
         (Доступно для Windows Vista+)

       o Улучшена функция поиска неизвестных DLL в адресном пространстве uVS, теперь она более устойчива
         к мерам противодействия поиску.

       o Удалено ошибочное сообщение в логе для Windows Vista о блокировке kernelbase.dll,
         которой в этой системе нет.

       o Антисплайсинг: расширен список контролируемых функций.

       
    • PR55.RP55
      Посмотрел тему: https://forum.kasperskyclub.ru/topic/466078-privetstvuju-slovil-majner-po-nazvaniem-toolbtcmine2782/ Возможно имеет смысл  - выполнение  Твика #35  с виртуализацией реестра ? т.е. именно отдельный твик с виртуализацией? ( для обхода защит\ы ) ------- А как средствами uVS  удалить запись типа: Запись из Лога: Обнаружена поврежденная задача: : Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\1EOSv3 Scheduler onLogOn Собственно это единственная запись\информация. Другой информации в uVS нет. т.е.  если нет записей = иной информации, то и применить к ней команды из интерфейса невозможно. т.е. нужно или отдельно задействовать cmd и\или открывать  taskschd как-то это...  
×