Предложения по дальнейшему развитию функций Universal Virus Sniffer

RSS
здесь можно вносить и обсуждать новые предложения по функционалу uVS

Ответы

В Windows 10 внесены изменения при работе с GPU - “Specific GPU”
https://www.comss.ru/page.php?id=7869
т.е. это может повлиять на определение %  соотношения нагрузки.
Изменено: RP55 RP55 - 20.08.2020 19:44:12
Теперь и Et tu, Brute? Microsoft Defender...
Цитата
MpCmdRun.exe -DownloadFile -url [URL-адрес] -path [путь для сохранения файла]
Цитата
Данная функция может использоваться злоумышленниками для доставки вредоносного ПО в целевые системы.
https://www.comss.ru/page.php?id=7932
update:
Цитата

   4.11 o Исправлена ошибка из-за которой не обновлялся список сетевой активности.
   4.1.9 o Исправлена ошибка в обработчике планировщика задач, ошибка могла приводить к зацикливанию.

   o Исправлена функция обработки 38-го твика при работе с образами и удаленными системами.
Цитата
RP55 RP55 написал:
Добавить информатор ( по выбранным типам обновлений )
это можно делать через скриптовую команду:
Цитата
Добавлена скриптовая команда cexec для запуска консольных приложений
  с выводом результата в лог uVS.
  Результат выводится в 2-х кодировках.

пример:

--------------------------------------------------------
cexec cmd /c ver
--------------------------------------------------------

Microsoft Windows [Version 6.1.7601]
--------------------------------------------------------

Microsoft Windows [Version 6.1.7601]
--------------------------------------------------------
--------------------------------------------------------
cexec cmd /c wmic qfe get hotfixid | find "KB4012212"
--------------------------------------------------------
KB4012212  
--------------------------------------------------------
KB4012212
Цитата
RP55 RP55 написал:
Сейчас в каждой второй теме по лечению фиксят записи типа:
FirewallRules: [{700AF8EB-DFC9-4B3E-830C-92BB1A9AA978}] => (Block) LPort=***

FirewallRules: [{B10722AC-3E9F-4997-A84F-93BE0ADE4EE5}] => (Allow) C:\Program Files (x86)\Core\Core.exe

Может быть заблокировано обновление антивируса, или наоборот добавлено разрешение для нежелательной программы...

Хотелось бы видеть эти записи и нужен твик\ки для сброса параметров:
1) Все FirewallRules (Block)  - Сброс.
2) Все FirewallRules (Allow)  - Сброс.
RP55, это не всегда актуально:
во первых,
 установленные антивирусы с функцией firewall отключают встроенный брэндмауэр
во вторых,
 показывать правила брэндмауэра для входящих и исходящих, не есть хорошо - это будет утечка чувствительной информации о защите системы.
в третьих,
 сброс всех блокирующих или разрешающих правил   приведет к тому, что и полезные правила будут удалены, и придется заново настраивать разрешение и блокировку для приложений и системных файлов.
Цитата
RP55 RP55 написал:
Хотелось бы видеть эти записи и нужен твик\ки для сброса параметров
в uVS есть твики по сбросу и удалению вредоносной политики:
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{c2c11a00-551e-41c8-8bb9-5d11119e293e}
твик 25 удалить все политики
твик 26 деактивировать активную политику
------------
насколько помню, блокировку обновлений антивируса через политики безопасности практиковал Carberp
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{b4f9004c-904c-45a5-8711-3501b4a3f465}
Цитата
santy написал:
показывать правила брэндмауэра для входящих и исходящих, не есть хорошо - это будет утечка чувствительной информации о защите системы.
Речь идёт о аналогичной функции - так как это реализовано в FRST

Цитата
santy написал: сброс всех блокирующих или разрешающих правил   приведет к тому, что и полезные правила будут удалены, и придется заново настраивать разрешение и блокировку для приложений и системных файлов.

Если оператор видит все правила - то он решает есть полезные правила или нет.
если их нет...
Изменено: RP55 RP55 - 08.09.2020 23:12:24
Возможно, будет реализован VT API v3

Цитата
VT APIv3 is the preferred way to programmatically interact with VirusTotal. While older API endpoints are still available and will not be deprecated, we encourage you to migrate your workloads to this new version. It exposes far richer data in terms of: IoC relationships, sandbox dynamic analysis information, static information for files, YARA workloads management, crowdsourced detection details, etc.

https://developers.virustotal.com/v3.0/reference#overview
Так, как вирусы начали блокировать установку антивирусов  появились спец. скрипт\ы лечения.

https://www.cyberforum.ru/viruses/thread2711200.html
forum.kasperskyclub.ru/topic/74431-podhvatil-virusy-ne-zapuskaetsja-skanirovanie-kvrt/
Цитата
RP55 RP55 написал:
Так, как вирусы начали блокировать установку антивирусов  появились спец. скрипт\ы лечения.

https://www.cyberforum.ru/viruses/thread2711200.html
forum.kasperskyclub.ru/topic/74431-podhvatil-virusy-ne-zapuskaetsja-skanirovanie-kvrt/
да, видел эти темы. в uVS можно через exec cmd написать подобный скрипт, но опять же, чтобы это сделать, надо вначале увидеть все эти каталоги, и все равно придется получить логи в FRST, так проще тогда в FRST это сделать,
или через deldir пробовать вынести эти каталоги
Читают тему (гостей: 1)