kot3003

Видео урок по uVS:
http://forum.esetnod32.ru/forum8/topic1417/
http://pchelpforum.ru/showpost.php?p=593305&postcount=2

Наиболее  максимально и эффективно применение именно сигнатур/ы.
А не команд: DELREF; DELALL
Поэтому я и говорю прежде всего об АКТИВНОЙ сигнатуре.
-------------
Я и не говорю, что предложение идеально - однако стоит работать в этом направлении.

proxozhii
Создайте лог в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Дело в том, что Microsoft регулярно выпускает обновления.
В сборки включены некоторые из них.
И к чему может привести выборочное сочетание тех, или иных обновлений на разном железе неизвестно.
Коробочная же версия перед её поступлением в продажу проходит ряд тестовых испытаний.
Если в процессе этих испытаний обнаруживают сбой его причину устраняют.

Чего именно я хочу по данному предложению.
1) Сделать так, чтобы - эффективно работал авто. скрипт.
2) В скрипте присутствовала сигнатура - но при этом была возможность временно блокировать её применение по отношению к заданному объекту.
С сохранением длинны сигнатуры = без её корректировки.
3) Чтобы исключение по sha1 - могло применяться в режиме реального времени.

Какие есть/могут быть иные варианты ?
----------------
По поводу "красоты" программного кода - возможно есть, что сказать Арвиду ?
Арвид, как это лучше всего и эффективнее реализовать ?

Зачем пересканировать ?
Речь идёт о поиске по sha1 - по уже генерированному/составленному списку
Составили список > Проверили.
( это как задать временный поисковый критерий на основе выделенной sha1 )

Затем, что Мы говорим об АВТОМАТИЗИРОВАННОМ СКРИПТЕ = Автоматически составленном на основе сигнатур !

Как пример, возьмём работу антивируса: Есть ложное срабатывание, какие есть варианты ?
1 - Удалить сигнатуру - но это не дело, есть же вирус = потенциальное заражение.
2 - Увеличить длину сигнатуры - Вопрос какой длинны она будет и будет ли эффективен на её основе поиск самого вируса/первоисточника.
3- Внести файл/объект в исключение. В данном варианте длинна сигнатуры не изменяется; проводить проверку/работоспособность сигнатуры повторно не требуется - в силу того, что она не изменялась.
Как внести объект в исключение ?
Самый простой вариант это исключить по sha1.
На то оно и предложение...
----------------
Минус в том, что сигнатура после выполнения будет сохранена в базе sgnz - и при повторном выполнении без учёта exclude - это приведёт к спонтанному удалению объекта.
Соответственно при наличие команды типа: exclude D84EB5022EEF9A024311A0C8BDCF45263E7538A0
Должна приводиться автоматическая очистка базы сигнатур.*
* Что само по себе актуально и уже предлагалось.

Это подразумевается.
Просто я хотел дать основную информацию,необходимый к пояснению минимум.
Это не имеет значения, что и в какой последовательности прописано в скрипте.
Имеет значение алгоритм обработки команд программой - приоритет команд и их выполнения - логика.
Как пример: ----------------
По следующим пунктам/вопросам.
Ответ можно получить вспомнив порядок работы с uVS.
start.exe > Построение списка активных процессов > считывание данных & sha1
На выходе имеем список типа:
A3F40CE20BD7CE3F47CADF266A377DEC94929A3B
0DC348EFDABB2DFDDEFC4762E4A31E25A06D09FB
D84EB5022EEF9A024311A0C8BDCF45263E7538A0
...
где: "exclude ДЛЯ: D84EB5022EEF9A024311A0C8BDCF45263E7538A0"

И далее действует политика ( внутренняя логика программы разрешений/запретов )
Для объекта с sha1 равной: "D84EB5022EEF9A024311A0C8BDCF45263E7538A0"
Автоматически применяется запрет/политика по типу: "Выполнение действий с объектом:
sha1 = D84EB5022EEF9A024311A0C8BDCF45263E7538A0 _ Запрещено ! "

Под сигнатуру попадают три объекта:
" A3F40CE20BD7CE3F47CADF266A377DEC94929A3B
0DC348EFDABB2DFDDEFC4762E4A31E25A06D09FB
D84EB5022EEF9A024311A0C8BDCF45263E7538A0 "

Однако по ЛЮБОЙ команде на удаление действует выше названный запрет - логическая схема по обработке и применению команд.
Считывание имён/директорий актуально при удалении объектов с идентичными именами - и является прежде всего элементом/этапом
защиты предотвращения ошибочного удаления. ( при работе с реестром )

Кроме того, если команды были раннее добавлены в скрипт - то...
После отдачи команды из контекстного меню - происходит их удаление из тела скрипта.
Остаётся одна команда: exclude D84EB5022EEF9A024311A0C8BDCF45263E7538A0
Соответственно, как и было сказано одна команда запускает механизм внутренней логики.
т.е.Последовательную серию команд.

Всё это верно и при работе в реальном времени.
Этапы: Добавление сигнатуры > Проверка списка > Контекстное меню файла и ... ( по необходимости )
"Выполнение действий с объектом:
sha1 = D84EB5022EEF9A024311A0C8BDCF45263E7538A0 _ Запрещено ! "
После чего применяется delvir.

uVS - читает команду:
1) addsgn A7679BF0AA024C064BD4C62C24881261848AFCF689AA7BF1A0C3C5BC5055­9D24704194DE5BBDAE92
A2DD78F544E95C0E0C9FE82BD6D7B08C69775BACCA028237 8 Por.exe.Vir.DNS
Происходит проверка списка...
Имеем результат: Под определение сигнатуры попало 3-три объекта.
2) Идёт считывание следующей команды: "exclude 3BC10B8D00BF12038D180FBBA7FCDF48E1264C6D"
Для объекта с sha1 равной: "BC10B8D00BF12038D180FBBA7FCDF48E1264C6D"
Автоматически применяется запрет/политика по типу: "Выполнение действий с объектом:
sha1 = BC10B8D00BF12038D180FBBA7FCDF48E1264C6D _ Запрещено ! "

Соответственно автоматически для sha1 = BC10B8D00BF12038D180FBBA7FCDF48E1264C6D
Определяется путь/имя.

В результате: при применении скрипта удаляется 2-ва объекта*.
*При том, что под определение сигнатуры подпадает 3-ри объекта.

Что позволяет работать с сигнатурой без изменения её значения и экономит время.

Это, не удобно & не практично.
Сразу отравлять на форум !

Арвид - ты прямо метеор !
Как только, что напишешь - и сразу от тебя - есть ответ !