Программа uVS 374

mixajlom
SysInspector
"Файл" = "c:\windows\apppatch\tcsrkhy.exe" ( 5: Неизвестно ) ;
"Размер файла" = "252928"
"SHA1" = "94354525A82F3506B7352CD7CB3B1501934B2495"
"Время создания" = "2012/02/04  22:41"
"Последнее время записи" = "2012/02/05  14:56"

mixajlom

Создайте лог в uVS
http://forum.esetnod32.ru/forum9/topic2687/

[QUOTE]santy пишет:
все это можно реализовать по технологии селектированных записей (которые формируются в том числе и по составному запросу.) если это будет реализовано, тогда можно думать и развивать дальше, какие действия можно выполнить над селектированными записями.[/QUOTE]
Есть подвижки в этом направлении ?

Обновил базу проверенных файлов.
[URL=http://forum.esetnod32.ru/messages/forum8/topic1449/message12011/?result=edit#message12011]База проверенных sha1 [/URL]

Вот например удаление по имени файла принято и используется.
Что такое имя ?
Это набор символов их определённая последовательность.
Что такое "параметр производитель" - тот же набор символов.
Прочитали имя - удалили файл.
Прочитали производителя и удалили...
Имя файла может измениться...
Да и наименование производителя тоже...
Однако - от удаления по имени в связи с этим не отказываются...  

Кстати говоря дальше рассуждать будем или всё затираю - в силу невостребованности ?

[QUOTE]santy пишет:
А в чем принципиальная разница в удалении известного файла по сигнатуре или по прямому пути? ты ведь все равно видишь все файлы в списке подозрительные и вирусы. И должен проанализировать - ложное это срабатывание, или действительно файл заражен. В каком случае это (предполагаемое нововведение) может сработать?[/QUOTE]

Я на данный момент уже говорю о комплексном применении и работе с сигнатурой !
Тема - развивается...
В возможности точечного наведения на цель - при том, что сигнатура сработала на 2-ва файла.
*Один из них системный, а второй вирус.
И нет возможности увеличить длину сигнатуры - "сигнатуры идентичны"
Если задать доп.параметр ( например размер файла 570 )
То из двух файлов - будет удалён  только файл = 570kb ! = вирус !
А системный будет цел !
И это при том, что он изначально попадал под действие сигнатуры...
Иначе говоря УЖЕ можно как удалять файл по доп.критериям  - так и спасти его от ложного срабатывания.
" Мы добавили сигнатуру > отдали команду delvir > и при этот ограничили её действие ( в данном случае это был размер файла )
> ликвидировали вирус.
Двойное наведение на цель...

В меню uVS опция:
"Задайте файл исключение по имени;размеру;хешу;дате создания;производителю;подписи;пути;
В общем я размышляю...  :oops:   8)

[QUOTE]santy пишет:
что значит есть идеи? ты предлагаешь идею, ты ее аргументируй, как она должна работать в случае разных если.[/QUOTE]
А поддержать !!!  :cry:

[QUOTE]
santy пишет:
А если системный файл полностью подменен, как в случае Winlock - перезаписан userinit.exe, taskmgr.exe и обнаруживается это заражение только по сигнатуре локера?  [/QUOTE]
Значит ЭТОГО системного файла уже нет... и беспокоиться о нём нет необходимости ( в определённом смысле )
Но - под данную сигнатуру, могут попасть и другие файлы...

Здесь ключевое слово: [COLOR=#006600]Обнаруживается[/COLOR]...
Речь же идёт об удалении...
Детект/определение зловреда по сигнатуре - а удаление ?...
Значит, удаление будет на основе [U]комплекса[/U] критериев - имя; размер; дата создания ; производитель;версия.
т.е возвращаюсь к своему же "старому" предложению  - "удаление объектов по ряду критериев"
uVS - сравнивает заданные параметры ( + путь до файла ) - считывает у всех файлов директории ? параметры - сопоставляет/сравнивает с  
заданным критерием ( или группой критериев ) и приводит удаление.

Или комплексный подход: Сигнатура + "удаление объектов по ряду критериев"
т.е. ОДНОВРЕМЕННОЕ совпадение группы критериев.
И если сигнатура находит 2-ва файла/объекта и по одному из них есть дополнительное совпадение - ( по заданным параметрам ) -
 например точный размер& дата создания )
Тогда удаляется только один файл.
+ Эвристический  анализ - например язык программирования на котором написан объект.
т.е. Добавить "фактор контроля исполнения"

Что еще пропустил?

И потом несколько от темы отклонились...
Есть ли смысл "Производить маркировку добавляемой в базу сигнатуры - то типу расширения".
В качестве параметра позволяющего более надёжно идентифицировать объект и вероятно избежать проведения некорректных действий
в отношении данного объекта.

[QUOTE]santy пишет:
А если системный файл полностью подменен, как в случае Winlock - перезаписан userinit.exe, taskmgr.exe и обнаруживается это заражение только по сигнатуре локера?[/QUOTE]

Есть идеи ?

[QUOTE]Арвид пишет:
ну просто чтоб программа проверяла есть ли у файла цифровая подпись - если да, то под сигнатуру чтоб не попадало [/QUOTE]
Куча системных файлов не имеет подписи...
Так, что номер не пройдёт...
Да и после лечения от:Win32/Expiro; Win32/Jeefo.A; Neshta
Цифровая подпись будет нарушена.

Праеториан - не вирус а защитник.
Но вред от него есть - а вот польза сомнительна ( но это уже не по теме )
---------
Что можно предложить - это полный отказ от удаления системных файлов по сигнатуре.
И опора на тезис - "Удаление возможно только по прямому пути "
Где анализируется - путь и имя файла ( по принципу: какой у файла статус - есть ли файл в списке известных;цифр.подпись)
А вообще - есть вариант - Это база с сигнатурами в которую включены сигнатуры всех известных/системных файлов.*
*Я так понимаю, частично это реализовано.
Но с образами не работает...
И при совпадении сигнатур - команда на удаление не будет приниматься.
Желательно иметь данную функцию и при работе/разборе образов.
Значит, нужна изолированная база: sys.sgnz - которая будет входить в комплект поставки uVS
Без возможности добавления в неё своих/левых файлах.
Или же данная возможность будет подключаться опционально !
** Возможно стоит добавить функцию проверки - т.е. перед "реальным" выполнением скрипт прогоняется в тестовом режиме и оператор
видит результат/следствие его выполнения - какие файлы "реально" были затронуты при его выполнении.
*** Или же требовать/выдавать спец.запрос на выполнение операции по типу:
В скрипт добавлена команда: uidel "C:\MERCURY-8\UNINS000.EXE"
С требованием подтверждения. Да/Нет
Подходит предварительная проверка - с выводом возможного/вероятного результата.

Так как ?