Технический форум

Технический форум (http://www.tehnari.ru/)
-   Безопасность (http://www.tehnari.ru/f35/)
-   -   Как начать практически использовать uVS (http://www.tehnari.ru/f35/t193774/)

safety 20.04.2012 15:06

Как начать практически использовать uVS
 
вот где с этого момента uVS стало возможным использовать на форумах для лечения активного заражения удаленных пользователей.

Цитата:

В голову пришли таки хорошие идеи и нашлось время для их реализации.
Соотв. релиз v3.

Основное:
o Добавлен 4-й режим запуска: "Загрузить образ".
В этом режиме работает симулятор реальной системы, для исполнения доступны некоторые команды, которые выполняются на списке виртуальных файлов. Т.е. поддерживается некоторый эффект присутствия в реальной системе. Автоматически по ходу исполнения команд формируется скрипт для последующего исполнения его в реальной системе. Образы автозапуска можно создавать при проверке активной и неактивной системы.
В общем случае для изучения работы uVS рекомендую:

1. обзавестись виртуальной машиной, типа VMware, VirtualBox чтобы последовательно укрепиться в мысли, что все заявленные в uVS функции выполняются.

2. Следует освоить технологию создания загрузочных дисков, например pebuilder, поскольку uVS замечательным образом работает при запуске с загрузочных дисков. (интерес к uVS возник на ВирусИнфо именно в темах по созданию загрузочных дисков.)

3. Внимательно ознакомиться с концепцией работы uVS в документации к программе, с набором скриптовых команд, который весьма ограничен, но эффективен.

4. Плюсы uVS:
+ "после первого использования образа желание искать в тексте отпадет сразу и навсегда, как и желание править скрипт руками." (c), Кузнецов Дмитрий;
+ накопление собственной базы сигнатур, списков безопасных файлов, возможность обмена базами и списками с другими участниками форума;
+ автоматический отсев подозрительных и вредоносных записей в отдельный список сокращает время анализа зараженной системы до минимального;
+ компактный скрипт лечения, который можно выполнять как из буфера обмена, так и из отдельного файла;
+ uVS продолжает развиваться и поддерживаться разработчиком, который открыт для новых предложений и идей.

Официальный форум поддержки uVS
----------
тема создана для консультирования по работе с uVS для посетителей форума.

safety 20.04.2012 15:08

Подготовка образа автозапуска антивирусной утилиты uVS
----------
http://pchelpforum.ru/showpost.php?p=593305&postcount=3

safety 20.04.2012 15:09

Как выполнить скрипт в uVS
-------
http://pchelpforum.ru/f26/t24207/#post543010

safety 20.04.2012 15:10

как начать использовать uVS
http://chklst.ru/forum/discussion/38...-virus-sniffer
----------

safety 20.04.2012 15:11

инструкция для хелпера. (с), Кузнецов Дмитрий.

================================================== ===========
Команды:
-------------------------------------------------------------
BREG
Бэкап реестра
-------------------------------------------------------------
VREG
Виртуализация реестра
-------------------------------------------------------------
AREG
Актуализация реестра
-------------------------------------------------------------
DELREF файл
Удалить все ссылки на объект
-------------------------------------------------------------
DELALL файл
Выгрузить и удалить все ссылки на файл вместе с файлом
-------------------------------------------------------------
ZOO файл
Поместить копию файла в Zoo
-------------------------------------------------------------
DELMZ файл
Лишить файл статуса исполняемого
-------------------------------------------------------------
BL хэш_md5 размер_файла_в_байтах
Запретить исполнение файла с таким хэшем и размером
-------------------------------------------------------------
ADDSGN сигнатура длина имя
Добавить/Обновить сигнатуру
-------------------------------------------------------------
DELHST строка из HOSTS
Удалить соотв. строку
-------------------------------------------------------------
REGT число
Применить соотв. твик:
1 Разблокировать диспетчер задач
2 Разблокировать редактор реестра
3 Разблокировать свойства папки
4 Автоматическая перезагрузка в случае BSOD
5 Отключить автозапуск для всех пользователей
6 Отключить восстановление системы
7 Автоматический перезапуск оболочки (включить)
8 Автоматический перезапуск оболочки (выключить)
9 Отключить скрытие расширений исполняемых файлов
10 Включить отображение скрытых файлов
11 Включить поддержку DCOM
12 Сброс значений ключей Winlogon в начальное состояние
13 Удалить все Persistent routes
14 Очистить HOSTS
15 Разрешить отображение вкладки Экран->Рабочий стол
16 Разрешить отображение вкладки Экран->Заставка
17 Полная очистка ключей Safer\CodeIdentifiers\0\Paths
18 Снять ограничения на запуск приложений в Exlporer-е
19 Снять ограничения на запуск по хэшу, установленные uVS-ом
20 Восстановить испорченные значения ImagePath
21 Восстановить из копии ключ SafeBoot
22 Восстановить из копии параметры запуска файлов
-------------------------------------------------------------
SFCALL
Запус sfc /scannow и ожидание завершения
-------------------------------------------------------------
SFC файл
Проверка и восстановление отдельного файла
-------------------------------------------------------------
CHKLST
Проверить список
-------------------------------------------------------------
DELNFR
Безопасное удаление отсутствующих
-------------------------------------------------------------
DELTMP
Очистка корзины и удаление временных файлов
-------------------------------------------------------------
DELVIR
Убить все найденные вирусы
-------------------------------------------------------------
EXEC
Запустить указанный файл с параметрами и ЖДАТЬ завершения
-------------------------------------------------------------
UIDEL
Удалить ключ с Uninstall Information для указанного деинсталятора.
-------------------------------------------------------------
RESTART
Перезагрузить
-----------
полная документация по uVS в каталоге doc в папке с uVS.

Ip_MEN 20.04.2012 15:25

В этой теме будет проходить обучение по работе с uVS?
Цитата:

Сообщение от safety (Сообщение 828890)
22 Восстановить из копии параметры запуска файлов

Этот твик восстановления, фиксит нарущение ассоциирования файлов?

safety 20.04.2012 15:55

не обучение, но скорее консультирование, чтобы в личке не отвечать на вопросы.
--------------
по 22: да, если есть копия исходная реестра, созданная при установке системы.

Ip_MEN 20.04.2012 16:18

Цитата:

Сообщение от safety (Сообщение 828940)
по 22: да, если есть копия исходная реестра, созданная при установке системы.

Вчера лечил систему зараженную вирусом, все екзещники открывались через муз.проигрователь. При этом AVZ не видел нарущение ассоциирования файлов. Выполнил пункт восстановления №1 AVZ, безрезультатно, применил твик по фиксу екзещников, тоже без результата. Потом в uVS выполнил твик 22 и все заработало. Так и не понял, что там было. :)

Hotab 20.04.2012 16:39

Как часто могут совпадать хэши файлов? Просто на днях было ,что загрузил образ ,а у меня половина файлов под детект попали... Хотя сигнатура была добавлена по отчету ВТ (21 из 41 вроде)
Причем детект на файлы проходил рандомно..например на установщик 7zip и на хром.. и еще на пару легитимных файлов..

Vvvyg 20.04.2012 16:59

У меня частенько, даже на сигнатурах 64 байта. Поэтому я особо вирусную базу не коплю, добавляю в базу проверенных в основном.


Часовой пояс GMT +4, время: 19:14.

Powered by vBulletin® Version 4.5.3
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.