[ Закрыто ] Предложения по дальнейшему развитию функций Universal Virus Sniffer

RSS
здесь можно вносить и обсуждать новые предложения по функционалу uVS

Ответы

хэш rdpwrap.dll скорее всего добавлен разработчиком, потому что у меня он тоже показан как добавлен в базу пользователем (и выходит что подписан пользователем),
удалить хэш в данном случае не получится, потому что юзер может удалить хэш только из своей базы, а не из базы разработчика.


Полное имя                  C:\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLL
                           
Обнаруженные сигнатуры      
Сигнатура                   Win64/RDPWrap.B (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2020-07-29
                           
Цитата
www.virustotal.com          2020-11-02 22:13 [2016-07-15]
DrWeb                       Program.Rdpwrap.7
ESET-NOD32                  a variant of Win64/RDPWrap.B potentially unsafe
Kaspersky                   not-a-virus:RemoteAdmin.Win32.RDPWrap.h
Microsoft                   PUA:Win32/Presenoker
ну, здесь только разработчику писать, чтобы он удалил данный хэш из своей базы.
--------
при том, что файл скорее всего безопасен, но используется злоумышленниками для получения удаленного доступа.

или добавить сигнатуру файла в базу sgnz
Цитата
santy написал:
здесь только разработчику писать
т.е. тему читаем только мы ?
Сигнатуры - дело муторное.
Возможно история с rdpwrap.dll  это не решение разработчика, а ошибка в программе.
---------
Наткнулся:
Показ рекламы в приложении с помощью Microsoft Advertising SDK
Наверно можно выявлять приложения с SDK.
+

Это 100% ошибка.
1) На стороне пользователя есть база проверенных файлов - это видно по логу.
C:\USERS\ZZ\DESKTOP\НОВАЯ ПАПКА (2)\МНОГОФУНКЦИОНАЛЬНАЯ УТИЛИТА\UVS_V411\SHA\VT1
Загружено хэшей проверенных файлов: 96555
-----------
Там же:
C:\PROGRAM FILES (X86)\ADOBE\READER 11.0\READER\PLUG_INS\ACCESSIBILITY.API
Действительна, подписано Пользователем (хэш файла есть в базе проверенных)

C:\PROGRAM FILES (X86)\PRMT9\PREPROC\STANDARD.PRE
Действительна, подписано Пользователем (хэш файла есть в базе проверенных)
При том, что у файла есть своя легитимная ЭЦП:
https://www.virustotal.com/gui/file/c348f11ff5b03983d666e375ad95c203bd8a9da5138fb82­a25c7d007f6b1df1e/details

Нет смысла эти файлы добавлять в саму программу.
+ шедевр на фото.
прпр.jpg (86.87 КБ)
Изменено: RP55 RP55 - 04.11.2020 00:27:20
Цитата
RP55 RP55 написал:
На uVS с моими базами.Проверка файлов по базе проверенных...--------------------------------------------------------Проверено файлов: 216Всего неизвестных файлов: 136Всего подписанных файлов: 101C:\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLLSHA1: B3892EEF846C044A2B0785D54A432B3E93A968C8Хэш найден в базе проверенных файлов, файл помечен как проверенный--------------------------------------------------------C:\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLLSHA1: B3892EEF846C044A2B0785D54A432B3E93A968C8--------------------------------------------------------При попытке удалить из базы: Хэш НЕ найден в базе проверенных файлов--------

у меня  тоже самое.
возможно, глюк с удалением хэша, точнее в сообщении при удалении данного хэша.
или этот хэш есть в базе main или в VT1
(поскольку удалить из main и VT1 юзер и оператор не может)
1) Проверил на uVS v4.11 [http://dsrt.dyndns.org:8888]: Windows 10 Pro 1607 x64 (NT v10.0 SP1) build 14393 [E:\WINDOWS]
В режиме выбора системы.
Образ с проверкой ЭЦП uVS со всеми базами SHA1

Открыт на чистой uVS
Итог: 5 файлов с: Действительна, подписано Пользователем (хэш файла есть в базе проверенных)

E:\WINDOWS\SYSTEM32\LOADWOW64.EXE
845B18B4EA1B2BB78E1DE1FC045C6CB4E79C9FF8
E:\WINDOWS\SYSTEM32\SYSDM.CPL
C593E62873B74012D3EAFDAF4DD378CF096D5FD5
E:\WINDOWS\SYSTEM32\TIMEDATE.CPL
2BF0A637EE4F13DD97E85CFD5840284A5B4579B0
E:\WINDOWS\WINSXS\X86_MICROSOFT-WINDOWS-SERVICINGSTACK_31BF3856AD364E35_10.0.14393.0_NONE_DAB53140259FAD95\TIWORKER.EXE
F957687BE2DD99CCCFD0A2A9D97DA23072640D72
E:\WINDOWS\WINSXS\AMD64_MICROSOFT-WINDOWS-SERVICINGSTACK_31BF3856AD364E35_10.0.14393.0_NONE_36D3CCC3DDFD1ECB\TIWORKER.EXE
ECADC96744D724422E835F9B8E72DA5EAF3B3ED2
--------
2) uVS v4.11 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]
Стандартный запуск.
Итог: 5 файлов с: Действительна, подписано Пользователем (хэш файла есть в базе проверенных)

C:\PROGRAM FILES (X86)\FASTSTONE IMAGE VIEWER\FSICONS.DB
ED31630E6EB0D39884E15BAB23EFC7F411C0F399
C:\PROGRAM FILES\UVS_V4\PORTABLE.EXE\HIJACKTHIS FORK 2.9.0.18\HIJACKTHIS.2.9.0.18 -2019.EXE
DD4275FEA0AE62E92CCB159359A22174442956A3
C:\USERSS\USERSS\DESKTOP\УПРАВЛЕНИЕ\FLASHPLAYER\INSTALL_FLASH_­PLAYER.32.0.0.142.EXE
5588F871246075EC7719A29D5B01A1932508B3BA
C:\PROGRAM FILES\UVS_V4\PROCESS HACKER 2.5\PROCESSHACKER.2.39.0.125.EXE
A0BDFAC3CE1880B32FF9B696458327CE352E3B1D
C:\PROGRAM FILES\UVS_V4\ADWCLEANER\КРАЙНЯЯ ДЛЯ ХР ADWCLEANER_6.041.EXE
322DF7084E893D96B7C4A06AADE24D6321378917
Изменено: RP55 RP55 - 04.11.2020 20:15:39
+
Предложение.
В меню: Файл > Сохранить список...
Реализовать добавочное меню.
а) Сохранить полный список ( т.е. в список выводиться вся информация из ИНФО. )
б) Сохранить список + SHA1 ( так, как я дал список выше )
в) Сохранить список + SHA1 + ЭЦП
г) Сохранить список + SHA1 + ЭЦП+ Адрес на V.T.
возможно, откроют в ближайшее время доступ к форуму uVS на AM
Форум открыт для доступа, комментариев и новых собщений.

Цитата
13.11.2020 1:43, Oleg Ivanov / AM Team пишет:
> Всем привет!
>
> Александр, я открыл форум по Universal Virus Sniffer. Проверьте, пожалуйста, доступ.

https://www.anti-malware.ru/forum/topic/18985-%D0%BD%D0%BE%D0%B2%D1%8B%D0%B5-%D1%84%D1%83%D0%BD%D0%BA%D1%86%D0%B8%D0%B8-%D0%B2-universal-virus-sniffer-uvs/
4.11.3
---------------------------------------------------------
o Исправлены функции массовой проверки файлов на VT.

o Исправлена функция анализа внедренных потоков.
Читают тему (гостей: 1)