proxozhii
Создайте лог в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Дело в том, что Microsoft регулярно выпускает обновления.
В сборки включены некоторые из них.
И к чему может привести выборочное сочетание тех, или иных обновлений на разном железе неизвестно.
Коробочная же версия перед её поступлением в продажу проходит ряд тестовых испытаний.
Если в процессе этих испытаний обнаруживают сбой его причину устраняют.

Чего именно я хочу по данному предложению.
1) Сделать так, чтобы - эффективно работал авто. скрипт.
2) В скрипте присутствовала сигнатура - но при этом была возможность временно блокировать её применение по отношению к заданному объекту.
С сохранением длинны сигнатуры = без её корректировки.
3) Чтобы исключение по sha1 - могло применяться в режиме реального времени.

Какие есть/могут быть иные варианты ?
----------------
По поводу "красоты" программного кода - возможно есть, что сказать Арвиду ?
Арвид, как это лучше всего и эффективнее реализовать ?

[QUOTE]santy пишет:
А это выглядит очень некрасиво (в плане программирования - пересканировать весь список и отметить у какого из элементов есть подобный sha)
[/QUOTE]
Зачем пересканировать ?
Речь идёт о поиске по sha1 - по уже генерированному/составленному списку
Составили список > Проверили.
( это как задать временный поисковый критерий на основе выделенной sha1 )

[QUOTE]santy пишет:
И вот это уже полная чушь - если ты определил что данный объект должен быть удален (по сигнатурам) - зачем еще раз делать дополнительные проверки - а не входит ли он в игнор_лист. Спрашивается, зачем тогда помещаешь команду удаления в скрипт - если данный объект входит в игнор_лист?
[/QUOTE]
Затем, что Мы говорим об АВТОМАТИЗИРОВАННОМ СКРИПТЕ = Автоматически составленном на основе сигнатур !

Как пример, возьмём работу антивируса: Есть ложное срабатывание, какие есть варианты ?
1 - Удалить сигнатуру - но это не дело, есть же вирус = потенциальное заражение.
2 - Увеличить длину сигнатуры - Вопрос какой длинны она будет и будет ли эффективен на её основе поиск самого вируса/первоисточника.
3- Внести файл/объект в исключение. В данном варианте длинна сигнатуры не изменяется; проводить проверку/работоспособность сигнатуры повторно не требуется - в силу того, что она не изменялась.
Как внести объект в исключение ?
Самый простой вариант это исключить по sha1.
[QUOTE]santy пишет:
И удаление из скрипта строки удаления объекта, по которому ты назначил exclude тоже не катит, потому что сейчас нет такой техники, чтобы можно было удалить произвольную команду из скрипта.... есть только полная очистка скрипта.[/QUOTE]
На то оно и предложение...
----------------
Минус в том, что сигнатура после выполнения будет сохранена в базе sgnz - и при повторном выполнении без учёта exclude - это приведёт к спонтанному удалению объекта.
Соответственно при наличие команды типа: exclude D84EB5022EEF9A024311A0C8BDCF45263E7538A0
Должна приводиться автоматическая очистка базы сигнатур.*
* Что само по себе актуально и уже предлагалось.

[QUOTE]santy пишет:
я так понимаю, что chklst и delvir тоже должны быть в скрипте.
[/QUOTE]
Это подразумевается.
Просто я хотел дать основную информацию,необходимый к пояснению минимум.
[QUOTE]santy пишет:
первая команда в скрипте у тебя...
[/QUOTE]
Это не имеет значения, что и в какой последовательности прописано в скрипте.
Имеет значение алгоритм обработки команд программой - приоритет команд и их выполнения - логика.
Как пример: [QUOTE]RESTART
Перезагрузить, команда выполняется всегда после исполнения остального скрипта.[/QUOTE]
----------------
По следующим пунктам/вопросам.
Ответ можно получить вспомнив порядок работы с uVS.
start.exe > Построение списка активных процессов > считывание данных & sha1
На выходе имеем список типа:
A3F40CE20BD7CE3F47CADF266A377DEC94929A3B
0DC348EFDABB2DFDDEFC4762E4A31E25A06D09FB
D84EB5022EEF9A024311A0C8BDCF45263E7538A0
...
где: "exclude ДЛЯ: D84EB5022EEF9A024311A0C8BDCF45263E7538A0"

И далее действует политика ( внутренняя логика программы разрешений/запретов )
Для объекта с sha1 равной: "D84EB5022EEF9A024311A0C8BDCF45263E7538A0"
Автоматически применяется запрет/политика по типу: "Выполнение действий с объектом:
sha1 = D84EB5022EEF9A024311A0C8BDCF45263E7538A0 _ Запрещено ! "

Под сигнатуру попадают три объекта:
" A3F40CE20BD7CE3F47CADF266A377DEC94929A3B
0DC348EFDABB2DFDDEFC4762E4A31E25A06D09FB
D84EB5022EEF9A024311A0C8BDCF45263E7538A0 "

Однако по ЛЮБОЙ команде на удаление действует выше названный запрет - логическая схема по обработке и применению команд.
Считывание имён/директорий актуально при удалении объектов с идентичными именами - и является прежде всего элементом/этапом
защиты предотвращения ошибочного удаления. ( при работе с реестром )

Кроме того, если команды были раннее добавлены в скрипт - то...
После отдачи команды из контекстного меню - происходит их удаление из тела скрипта.
Остаётся одна команда: exclude D84EB5022EEF9A024311A0C8BDCF45263E7538A0
Соответственно, как и было сказано одна команда запускает механизм внутренней логики.
т.е.Последовательную серию команд.

Всё это верно и при работе в реальном времени.
Этапы: Добавление сигнатуры > Проверка списка > Контекстное меню файла и ... ( по необходимости )
"Выполнение действий с объектом:
sha1 = D84EB5022EEF9A024311A0C8BDCF45263E7538A0 _ Запрещено ! "
После чего применяется delvir.

[QUOTE]santy пишет:
Что дальше.[/QUOTE]

uVS - читает команду:
1) addsgn A7679BF0AA024C064BD4C62C24881261848AFCF689AA7BF1A0C3C5BC5055­9D24704194DE5BBDAE92
A2DD78F544E95C0E0C9FE82BD6D7B08C69775BACCA028237 8 Por.exe.Vir.DNS
Происходит проверка списка...
Имеем результат: Под определение сигнатуры попало 3-три объекта.
2) Идёт считывание следующей команды: "exclude 3BC10B8D00BF12038D180FBBA7FCDF48E1264C6D"
Для объекта с sha1 равной: "BC10B8D00BF12038D180FBBA7FCDF48E1264C6D"
Автоматически применяется запрет/политика по типу: "Выполнение действий с объектом:
sha1 = BC10B8D00BF12038D180FBBA7FCDF48E1264C6D _ Запрещено ! "

Соответственно автоматически для sha1 = BC10B8D00BF12038D180FBBA7FCDF48E1264C6D
Определяется путь/имя.

В результате: при применении скрипта удаляется 2-ва объекта*.
*При том, что под определение сигнатуры подпадает 3-ри объекта.

Что позволяет работать с сигнатурой без изменения её значения и экономит время.

[QUOTE]Арвид пишет:
В личку[/QUOTE]
Это, не удобно & не практично.
Сразу отравлять на форум !

[QUOTE]Арвид пишет:
точно. давно пора.[/QUOTE]
Арвид - ты прямо метеор ! :D
Как только, что напишешь - и сразу от тебя - есть ответ !

В инструкции к скрипту/uVS стоит изменить:
[QUOTE]- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами [/QUOTE]
На: ZOO_2012-03-09_09-29-00.7z
* [QUOTE] o Изменено имя архива Zoo (добавлен префикс ZOO_) [/QUOTE]

Santy
http://pchelpforum.ru/f26/t97330/2/

в скрипте должна быть это
Цитата:
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA