Технический форум

Технический форум (http://www.tehnari.ru/)
-   Безопасность (http://www.tehnari.ru/f35/)
-   -   Как начать практически использовать uVS (http://www.tehnari.ru/f35/t193774/)

safety 20.04.2012 15:06

Как начать практически использовать uVS
 
вот где с этого момента uVS стало возможным использовать на форумах для лечения активного заражения удаленных пользователей.

Цитата:

В голову пришли таки хорошие идеи и нашлось время для их реализации.
Соотв. релиз v3.

Основное:
o Добавлен 4-й режим запуска: "Загрузить образ".
В этом режиме работает симулятор реальной системы, для исполнения доступны некоторые команды, которые выполняются на списке виртуальных файлов. Т.е. поддерживается некоторый эффект присутствия в реальной системе. Автоматически по ходу исполнения команд формируется скрипт для последующего исполнения его в реальной системе. Образы автозапуска можно создавать при проверке активной и неактивной системы.
В общем случае для изучения работы uVS рекомендую:

1. обзавестись виртуальной машиной, типа VMware, VirtualBox чтобы последовательно укрепиться в мысли, что все заявленные в uVS функции выполняются.

2. Следует освоить технологию создания загрузочных дисков, например pebuilder, поскольку uVS замечательным образом работает при запуске с загрузочных дисков. (интерес к uVS возник на ВирусИнфо именно в темах по созданию загрузочных дисков.)

3. Внимательно ознакомиться с концепцией работы uVS в документации к программе, с набором скриптовых команд, который весьма ограничен, но эффективен.

4. Плюсы uVS:
+ "после первого использования образа желание искать в тексте отпадет сразу и навсегда, как и желание править скрипт руками." (c), Кузнецов Дмитрий;
+ накопление собственной базы сигнатур, списков безопасных файлов, возможность обмена базами и списками с другими участниками форума;
+ автоматический отсев подозрительных и вредоносных записей в отдельный список сокращает время анализа зараженной системы до минимального;
+ компактный скрипт лечения, который можно выполнять как из буфера обмена, так и из отдельного файла;
+ uVS продолжает развиваться и поддерживаться разработчиком, который открыт для новых предложений и идей.

Официальный форум поддержки uVS
----------
тема создана для консультирования по работе с uVS для посетителей форума.

safety 20.04.2012 15:08

Подготовка образа автозапуска антивирусной утилиты uVS
----------
http://pchelpforum.ru/showpost.php?p=593305&postcount=3

safety 20.04.2012 15:09

Как выполнить скрипт в uVS
-------
http://pchelpforum.ru/f26/t24207/#post543010

safety 20.04.2012 15:10

как начать использовать uVS
http://chklst.ru/forum/discussion/38...-virus-sniffer
----------

safety 20.04.2012 15:11

инструкция для хелпера. (с), Кузнецов Дмитрий.

================================================== ===========
Команды:
-------------------------------------------------------------
BREG
Бэкап реестра
-------------------------------------------------------------
VREG
Виртуализация реестра
-------------------------------------------------------------
AREG
Актуализация реестра
-------------------------------------------------------------
DELREF файл
Удалить все ссылки на объект
-------------------------------------------------------------
DELALL файл
Выгрузить и удалить все ссылки на файл вместе с файлом
-------------------------------------------------------------
ZOO файл
Поместить копию файла в Zoo
-------------------------------------------------------------
DELMZ файл
Лишить файл статуса исполняемого
-------------------------------------------------------------
BL хэш_md5 размер_файла_в_байтах
Запретить исполнение файла с таким хэшем и размером
-------------------------------------------------------------
ADDSGN сигнатура длина имя
Добавить/Обновить сигнатуру
-------------------------------------------------------------
DELHST строка из HOSTS
Удалить соотв. строку
-------------------------------------------------------------
REGT число
Применить соотв. твик:
1 Разблокировать диспетчер задач
2 Разблокировать редактор реестра
3 Разблокировать свойства папки
4 Автоматическая перезагрузка в случае BSOD
5 Отключить автозапуск для всех пользователей
6 Отключить восстановление системы
7 Автоматический перезапуск оболочки (включить)
8 Автоматический перезапуск оболочки (выключить)
9 Отключить скрытие расширений исполняемых файлов
10 Включить отображение скрытых файлов
11 Включить поддержку DCOM
12 Сброс значений ключей Winlogon в начальное состояние
13 Удалить все Persistent routes
14 Очистить HOSTS
15 Разрешить отображение вкладки Экран->Рабочий стол
16 Разрешить отображение вкладки Экран->Заставка
17 Полная очистка ключей Safer\CodeIdentifiers\0\Paths
18 Снять ограничения на запуск приложений в Exlporer-е
19 Снять ограничения на запуск по хэшу, установленные uVS-ом
20 Восстановить испорченные значения ImagePath
21 Восстановить из копии ключ SafeBoot
22 Восстановить из копии параметры запуска файлов
-------------------------------------------------------------
SFCALL
Запус sfc /scannow и ожидание завершения
-------------------------------------------------------------
SFC файл
Проверка и восстановление отдельного файла
-------------------------------------------------------------
CHKLST
Проверить список
-------------------------------------------------------------
DELNFR
Безопасное удаление отсутствующих
-------------------------------------------------------------
DELTMP
Очистка корзины и удаление временных файлов
-------------------------------------------------------------
DELVIR
Убить все найденные вирусы
-------------------------------------------------------------
EXEC
Запустить указанный файл с параметрами и ЖДАТЬ завершения
-------------------------------------------------------------
UIDEL
Удалить ключ с Uninstall Information для указанного деинсталятора.
-------------------------------------------------------------
RESTART
Перезагрузить
-----------
полная документация по uVS в каталоге doc в папке с uVS.

Ip_MEN 20.04.2012 15:25

В этой теме будет проходить обучение по работе с uVS?
Цитата:

Сообщение от safety (Сообщение 828890)
22 Восстановить из копии параметры запуска файлов

Этот твик восстановления, фиксит нарущение ассоциирования файлов?

safety 20.04.2012 15:55

не обучение, но скорее консультирование, чтобы в личке не отвечать на вопросы.
--------------
по 22: да, если есть копия исходная реестра, созданная при установке системы.

Ip_MEN 20.04.2012 16:18

Цитата:

Сообщение от safety (Сообщение 828940)
по 22: да, если есть копия исходная реестра, созданная при установке системы.

Вчера лечил систему зараженную вирусом, все екзещники открывались через муз.проигрователь. При этом AVZ не видел нарущение ассоциирования файлов. Выполнил пункт восстановления №1 AVZ, безрезультатно, применил твик по фиксу екзещников, тоже без результата. Потом в uVS выполнил твик 22 и все заработало. Так и не понял, что там было. :)

Hotab 20.04.2012 16:39

Как часто могут совпадать хэши файлов? Просто на днях было ,что загрузил образ ,а у меня половина файлов под детект попали... Хотя сигнатура была добавлена по отчету ВТ (21 из 41 вроде)
Причем детект на файлы проходил рандомно..например на установщик 7zip и на хром.. и еще на пару легитимных файлов..

Vvvyg 20.04.2012 16:59

У меня частенько, даже на сигнатурах 64 байта. Поэтому я особо вирусную базу не коплю, добавляю в базу проверенных в основном.

Ip_MEN 20.04.2012 17:28

То есть, желательно удалять через DELALL по одному, чем через addsgn?

safety 20.04.2012 18:04

Цитата:

Сообщение от Ip_MEN (Сообщение 828974)
Потом в uVS выполнил твик 22 и все заработало. Так и не понял, что там было. :)

можно посмотреть в логе выполнения скрипта, хотя не уверен что там есть подробная расшифровка действия данного твика.

safety 20.04.2012 18:06

Цитата:

Сообщение от Hotab (Сообщение 828991)
Как часто могут совпадать хэши файлов? Просто на днях было ,что загрузил образ ,а у меня половина файлов под детект попали... Хотя сигнатура была добавлена по отчету ВТ (21 из 41 вроде)

о каких хэшах идет речь? если о md5, sha1 то это практически невозможно... хэши файлов уникальны.

safety 20.04.2012 18:10

Цитата:

Сообщение от Ip_MEN (Сообщение 829040)
То есть, желательно удалять через DELALL по одному, чем через addsgn?

нет конечно, сигнатуры полезны для быстрого анализа и составления скрипта. Но надо иметь ввиду, что может быть ложное срабатывание.... в этом случае необходимо увеличивать длину активной части сигнатуры. по которой идет проверка. При полном совпадении с сигнатурой по 64байтам если вы уверены что это ложное срабатывание сигнатуру безжалостно удалить. и использовать для удаления файла delall. Часто по сигнатуре от tASKMNG.EXE (Styerlown - детект по Микрософт) много детектируется чистых файлов.

Angel-iz-Ada 20.04.2012 18:37

22 твик восстанавливает следующие ассоциации: bat, com, exe, hta, vbs, vbe, js , jse, wsh, wsf, scr, cmd, lnk, pif, msc, cpl

Ip_MEN 20.04.2012 18:47

Цитата:

Сообщение от Angel-iz-Ada (Сообщение 829080)
22 твик восстанавливает следующие ассоциации: bat, com, exe, hta, vbs, vbe, js , jse, wsh, wsf, scr, cmd, lnk, pif, msc, cpl

Это я понял, я про то, почему AVZ не видел нарущение ассоциирования файлов, плюс почему не отработали таблетка и рег файл.

Hotab 20.04.2012 18:57

safety, Вот вот..скорей ложное и было ;)

---------- Добавлено в 17:57 ---------- Предыдущее сообщение было написано в 17:56 ----------

Ip_MEN, Может привилегий на ветку было недостаточно

Angel-iz-Ada 20.04.2012 19:00

Да, скорее всего админских прав не хватало

safety 20.04.2012 19:00

Цитата:

Сообщение от Hotab (Сообщение 829095)
safety, Вот вот..скорей ложное и было ;)[COLOR="Silver"]

так на вопрос не ответил, значит нет ясности в голове по поводу хэшей и сигнатур. хэши и сигнатуры - это разные данные. сигнатрура в uVS извлекается по известному автору алгоритму из файла. Хэши (md5, sha1 и др.) же вычисляются по признанным стандартным и известным алгоритмам.

Hotab 20.04.2012 22:08

safety, Конечно же речь идет о сигнатуре.Просто в начале не так выразился ;)

safety 20.04.2012 22:10

ну так все начинается с определений и терминов. ошибаешься в терминах - делаешь неверное заключение.

Hotab 20.04.2012 22:21

safety, Признаю,не так выразился,но подумал именно при сигнатуру ;) Т.к по сигнатуре у меня попали легитимы в списки зловредов..

А было так: Увидел подозрительный файлик проверил его на ВТ(т.е по md5) мне был выдан детект,после этого я добавил сигнатуру в вирусную базу..А после загрузки другого образа,у меня под подозрение,со статусом вируса(т.е добавленной сигнатуры),попали безобидные файлы...

Если не прав,поправьте ;)

safety 20.04.2012 22:27

об этом я написал в ответе Ip_MEN, что с сигнатурами надо осторожно работать. Ложное срабатывание может быть на файле, даже если есть совпадение по 64байтам с сигнатурой.
Плюсы очевидные: быстрота анализа и скорость составления скрипта. Минус - это возможное ложное срабатывание. Поэтому надо все уточнять при подозрительном детекте: по VT, по инфо из образа, по поиску в инете, по хэшам и именам на SystemExplorer.net

Hotab 20.04.2012 23:39

safety, Я так и делаю.

Angel-iz-Ada 21.04.2012 12:14

Насчет сигнатур.
Глянь эти 2 лога uVS и ужаснитесь :D
(сылки удалены)
Удивляюсь порою как у таких людей системы еще дышат. Без сигнатур тут пришлось бы долго каждый файл отмечать и удалять.

safety 21.04.2012 12:46

первый пример, скорее всего, какая была у человека коллекция вирусов, так всю обойму и всадил в систему, чтобы проверить - жива будет или мертва, а вот против Dorkbot (второй случай) иногда достаточно две три сигнатуры чтобы вывести все семейство из системы.

Angel-iz-Ada 21.04.2012 12:52

ну Dorkbot - это один из гостей :D
вместе с сигнатурой на GuardMail получилось 6 сигнатур во втором случае
в первом - 14

Аркалык 25.04.2012 17:31

Вопрос про логи uVS
 
Вложений: 1
Привет всем!
Ну вот я тут зарегистрировался чтобы учится к чему нибудь, чем гамать игру весь день. :)
Но тут возникла одно проблема, в разделе "Безопасности" все скидывает логи uVZ. Все логи (avz, RSIT) кроме uVZ открывается в Блокноте. Но когда открываю логи uVZ через блокнот, там какие-та иероглифы (скрин внизу). Еще вопрос специалистом по "Безопасности": Вы сами создаете такие скрипты для удаление вирусов или закидываете куда-то и он автоматический делает скрипт?

Angel-iz-Ada 25.04.2012 18:23

Вложений: 1
Arkalik,
образ самой программой и открывается
автоматически никакие скрипты появиться не могут. все команды вручную создаются

Аркалык 25.04.2012 19:27

Цитата:

Сообщение от Angel-iz-Ada (Сообщение 832247)
автоматически никакие скрипты появиться не могут. все команды вручную создаются

Все вручную O_O , да вы просто настоящие программисты. Во всех форумах пишут только о портативных антивирусах для проверки (Dr Web Cureit или Kaspersky removal tool или avz) и первый раз вижу скриптов для удаление вирусов. Язык скриптов похож на Turbo Pascal :)! А как можно научиться, чтобы писать такие скрипты. Может скинете ссылку или э-книгу?

Angel-iz-Ada 25.04.2012 19:29

для начала гляньте папку Doc в папке с программой. там полно документации по ней.
программирование для этого не нужно знать.

imported_keksik 25.04.2012 19:37

Angel-iz-Ada, а можите научить лечить этой утилитой

safety 25.04.2012 19:41

Цитата:

Сообщение от Arkalik (Сообщение 832301)
Все вручную O_O , да вы просто настоящие программисты. Во всех форумах пишут только о портативных антивирусах для проверки (Dr Web Cureit или Kaspersky removal tool или avz) и первый раз вижу скриптов для удаление вирусов. Язык скриптов похож на Turbo Pascal :)! А как можно научиться, чтобы писать такие скрипты. Может скинете ссылку или э-книгу?

Не совсем вручную, точнее можно сказать в интерактивном режиме. По поводу научиться. Открыть любой образ из темы заражений - как, на рисунке показано. посмотреть внимательно функциональные возможности программы. Читать доки, пробовать решать простые проблемы, приходить с некоторой базой знаний и конкретными вопросами.

imported_keksik 25.04.2012 19:46

а ка насчет попытать разжевать на каком каком-нибуть реально примере.

safety 25.04.2012 19:46

читаем топик с самого начала, и не повторяем, то о чем уже здесь говорится и написано. примеров в разделе безопасность предостаточно.

Angel-iz-Ada 25.04.2012 20:24

после изучения документации спрашивайте что не ясно - будем подсказывать

York30 25.04.2012 21:09

То есть если научиться работать с uVS, не нужны будут другие антивирусы абсолютно?

Angel-iz-Ada 25.04.2012 21:11

uVS не защищает в режиме реальной защиты. он для лечения активного заражения

Angel-iz-Ada 26.04.2012 14:22

причем тут вообще AVZ? вроде тема по uVS и вопросы по нему

safety 26.04.2012 14:26

народ, будете спамить - закрою тему без вопросов. неужели не хватает знаний чтобы кратко формулировать вопросы и получать соответствующие ответы?


Часовой пояс GMT +4, время: 18:28.

Powered by vBulletin® Version 4.5.3
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.