[ Закрыто ] Предложения по дальнейшему развитию функций Universal Virus Sniffer

RSS
здесь можно вносить и обсуждать новые предложения по функционалу uVS

Ответы

REGT 18 выполняет очистку ограничения запуска приложений

HKLM\...\Policies\Explorer: [DisallowRun] 0
HKLM\...\Policies\Explorer: [RestrictRun] 0

если бы лог FRST был сделан вместе с образом, можно было бы увидеть, какие приложения были ограничены
https://forum.esetnod32.ru/forum6/topic16164/
Смотрю образ автозапуска - Чисто.
Смотрю лог FRST - Вирус.
Повторно открывают образ > файла нет ? > Файл есть, но он в проверенных ? > удаляю файл из проверенных > файл в проверенных...
Смотрю лог, у человека есть своя база проверенных и файл в _его базе, не в моей...

Мораль:
1) Статус: Проверен - только по базе хелпера, или по настройке settings.ini
2) Не дурить оператора, что SHA удалён - а сообщать: SHA  файла невозможно удалить из базы.
3) В Инфо. каждого файла писать подробные сведения  по задействованной базе.

Как я помню вопрос уже обсуждался, но по нему не было принято процессуального решения.
Цитата
RP55 RP55 написал:
Смотрю образ автозапуска - Чисто.
Смотрю лог FRST - Вирус.
Повторно открывают образ > файла нет ? > Файл есть, но он в проверенных ? > удаляю файл из проверенных > файл в проверенных...
Смотрю лог, у человека есть своя база проверенных и файл в _его базе, не в моей...

Мораль:
1) Статус: Проверен - только по базе хелпера, или по настройке settings.ini
2) Не дурить оператора, что SHA удалён - а сообщать: SHA  файла невозможно удалить из базы.
3) В Инфо. каждого файла писать подробные сведения  по задействованной базе.

Как я помню вопрос уже обсуждался, но по нему не было принято процессуального решения.
лучше конкретнее на примере. возможно файл действительно чистый, но может выполнять деструктивные действия, это сплошь и рядом.
Цитата
santy написал:
возможно файл действительно чистый
Без разницы.

Файл в _его базе.
Его нет в моей базе...
Оператор решает - что хорошо, что плохо.
А мне программа говорит: Файл проверен, SHA удалена из базы - а по факту...
Цитата
RP55 RP55 написал:
Оператор решает - что хорошо, что плохо.
за работу софта отвечает разработчик. (в том числе за файл чистых)
у оператора есть другие возможности отметить файлы, подозрительные с его точки зрения. (сигнатуры, критерии)

кстати, скрипт в AVZ очищает только ключ текущего пользователя:
RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer­\DisallowRun');
в uVS очистка этого ключа через REGT 18 выполняется для всех учетных записей
Цитата
santy написал:
у оператора есть другие возможности отметить файлы, подозрительные с его точки зрения. (сигнатуры, критерии)

Мы видимо говорим о разном.
Человек загрузил uVS  > добавил в список проверенных по SHA1 ряд файлов - т.е. создал свою базу.
Оператор открывает образ... и НЕ видит файлов - фалы в базе проверенных и uVS  до лампочки, что и как.
uVS при создании образа отметил файл, как ПРОВЕРЕННЫЙ.
Как может сработать критерий, сигнатура и т.д. если оператор впервые имеет дело с этим файлом.
Оператор просто не увидит файл, а если увидит и удалит SHA из базы проверенных... ( а программа в лог,  так и напишет - файл удалён из базы... ) а реально внести изменения невозможно... невозможно удалить из своей базы то, чего в ней не было.
Хм...
Сейчас проверил на своей системе и такого эффекта нет.
В таком случае поясни, что ты имеешь ввиду.
если посмотреть поведение функции "проверен" на рисунке, то нажатие на эту кнопку добавляется результат в цифровую "проверен пользователем", что я считаю сомнительным. - лучше бы SHA1 файла при этом добавлялось в собственную базу оператора SHA1
--------------
добавление хэша (через контекстную функцию) в базу SHA1(на диске) выполняется после закрытия uVS.
(добавил хэш для файла на рисунке.)
SHA1: изменен: ‎3 ‎ноября ‎2020 ‎г., ‏‎22:59:44

удалил хэш файла (через контекстую функцию) из собств. базы, закрыл uVS, вижу, что дата изменения файла поменялась:
‎3 ‎ноября ‎2020 ‎г., ‏‎23:04:57

запустил по новой uVS и файл снова попал в подозрительные.
uvs_info.jpg (98.24 КБ)
uvs_info1.jpg (16.44 КБ)
Ага...

C:\USERS\ZZ\DESKTOP\НОВАЯ ПАПКА (2)\МНОГОФУНКЦИОНАЛЬНАЯ УТИЛИТА\UVS_V411\SHA\VT1
Загружено хэшей проверенных файлов: 96555

C:\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLL
Хэш НЕ найден в базе проверенных файлов.
----------
Полное имя                  C:\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLL
Имя файла                   RDPWRAP.DLL
Тек. статус                 АКТИВНЫЙ ПРОВЕРЕННЫЙ сервисная_DLL в автозапуске [SVCHOST]
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПРОВЕРЕННЫЙ сервисная_DLL в автозапуске [SVCHOST]
File_Id                     5488AA5A22000
Linker                      12.0
Размер                      116736 байт
Создан                      26.08.2020 в 12:27:41
Изменен                     26.08.2020 в 12:27:41
Атрибуты                    СКРЫТЫЙ  СИСТЕМНЫЙ  
                           
TimeStamp                   10.12.2014 в 20:17:30
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Пользователем (хэш файла есть в базе проверенных)
                           
Оригинальное имя            rdpwrap.dll
Версия файла                1.5.0.0
Описание                    Terminal Services Wrapper Library
Производитель               Stas'M Corp.
                           
Доп. информация             на момент обновления списка
SHA1                        B3892EEF846C044A2B0785D54A432B3E93A968C8
MD5                         461ADE40B800AE80A40985594E1AC236
                           
Процессы                    на момент обновления списка
Процесс                     C:\WINDOWS\SYSTEM32\SVCHOST.EXE [900]
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\TermService\Parameter­s\ServiceDLL
ServiceDLL                  %ProgramFiles%\RDP Wrapper\rdpwrap.dll
Name                        Службы удаленных рабочих столов
Изменен                     26.08.2020 в 12:27:41
-----------
Специально открывал и в чистом uVS.
+
На uVS с моими базами.
Проверка файлов по базе проверенных...
--------------------------------------------------------
Проверено файлов: 216
Всего неизвестных файлов: 136
Всего подписанных файлов: 101
C:\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLL
SHA1: B3892EEF846C044A2B0785D54A432B3E93A968C8
Хэш найден в базе проверенных файлов, файл помечен как проверенный
--------------------------------------------------------
C:\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLL
SHA1: B3892EEF846C044A2B0785D54A432B3E93A968C8
--------------------------------------------------------
При попытке удалить из базы:
Хэш НЕ найден в базе проверенных файлов
--------
Читают тему (гостей: 1)