Технический форум
Страница 10 из 32 123456789 10 1112131415161718192021222324 Last »
Показывать 40 сообщений этой темы на одной странице

Технический форум (http://www.tehnari.ru/)
-   Безопасность (http://www.tehnari.ru/f35/)
-   -   Как начать практически использовать uVS (http://www.tehnari.ru/f35/t193774/)

safety 11.11.2012 16:56
Пример 3
http://rghost.ru/41495701

задание такое же.
- анализ заражения
- скрипт
- какие критерии можно использовать для детекта данного файла

RP55.RP55 11.11.2012 17:15
Цитата:
Сообщение от safety (Сообщение 967072)
Пример 3
http://rghost.ru/41495701
Какие критерии можно использовать для детекта данного файла
По одному образу это сложно будет сделать.
Необходимо провести сравнение > вывести закономерность.
Для этого необходимо несколько аналогов/образов.

---------- Добавлено в 18:00 ---------- Предыдущее сообщение было написано в 17:54 ----------

Аналог: http://rghost.ru/41469478
Будет легче ;)

RP55.RP55 11.11.2012 17:15
Аналог: http://rghost.ru/41469478
Будет легче ;)

Аркалык 11.11.2012 17:19
Цитата:
Сообщение от RP55.RP55 (Сообщение 967083)
Аналог: http://rghost.ru/41469478
Будет легче
Щя будет скрипт

Аркалык 11.11.2012 17:21
Цитата:
Сообщение от safety (Сообщение 967072)
- анализ заражения
Newdriver (больше сказать ни че не могу) :)

Цитата:
Сообщение от safety (Сообщение 967072)
- скрипт
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn 79132211B982F18DF42BF3584833EDFAE946E07089FA1F7885C3C5BC50D621CB231753D43E5591CF2B80849F461649FA7DDF72F555DA30AF2D77A42FC7062273 8 newdriver 1
zoo %SystemRoot%\HOBIO.SYS
delref HTTP://BROWSERHELP2.RU
delref HTTP://WWW.MAIL.RU/CNT/8731
exec MSIEXEC.EXE /X{F75CF7C3-AB31-4E4E-A38D-051D634EE2A6}
exec D:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.EXE UNINSTALL
exec "D:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
deltmp
delnfr
czoo
sreg
delref %SystemRoot%\HOBIO.SYS
areg
Цитата:
Сообщение от safety (Сообщение 967072)
- какие критерии можно использовать для детекта данного файла
Не знаю, как создать критерий. Это что-то новое в UVS?
Ну примерно:
Цитата:
Ссылка HKLM\System\CurrentControlSet\Services\newdriver\I magePath
ImagePath \??\D:\WINDOWS\hobio.sys
newdriver тип запуска: При инициализации ядра (1)

safety 11.11.2012 17:28
почитай документацию по uVS -как создать критерий поиска. подсказка: критерий создается из окна информация (об объекте)

RP55.RP55 11.11.2012 17:36
Для критерия нужно задавать такие значения которые будут устойчивы.
т.е. имя диска меняется.
имя файла меняется.
Остаётся: \Services\newdriver\
Лишняя информация может привести к тому, что критерий не сработает.
или даст ложные определения.

---------- Добавлено в 18:21 ---------- Предыдущее сообщение было написано в 18:15 ----------

И ещё следует смотреть какая система.
Команды
sreg
delref %SystemRoot%\HOBIO.SYS
areg
Хорошо работают на XP
На Win7 - после их применения могут быть проблемы.
Это связано с доступом/сохранением информации реестра.
т.е.может не хватить прав.
Система будет работать но...
Для Win7
delref %SystemRoot%\HOBIO.SYS
+
Помним о возможности выполнения скрипта в безопасном режиме.
т.е. Мало дать человеку готовый скрипт.
Нужно ещё и дать понятную/логичную НЕ перегруженную инструкцию.

safety 11.11.2012 17:41
RP55, здесь сейчас экзаменуется Arkalik, поэтому...
лучше написать ему свое задание, и прокомментировать выполнение.

Аркалык 11.11.2012 17:41
Цитата:
Сообщение от RP55.RP55 (Сообщение 967083)
Аналог: http://rghost.ru/41469478
Будет легче
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn 79132211B982F18DF42BF3584833EDFAE946E07089FA1F7885C3C5BC50D621CB231753D43E5591CF2B80849F461649FA7DDF72F555DA30AF2D77A42FC7062273 8 newdriver 1
delref %SystemRoot%\MOKOM.SYS
delref HTTP://WWW.YANDEX.RU/?CLID=48100
delref HTTP://WWW.MAIL.RU/CNT/9516
delref CHROME://FASTDIAL/CONTENT/FASTDIAL.HTML
exec "C:\PROGRAM FILES\YANDEX\YANDEXBARIE\UNINS000.EXE"
exec MSIEXEC.EXE /X{79155F2B-9895-49D7-8612-D92580E0DE5B}
deltmp
delnfr
restart
Сейчас попытаюсь создать "критерий для поиска"

RP55.RP55 11.11.2012 17:49
Кроме того, важно правильно задать имя для критерия поиска.
Когда критериев накопиться 80-100 потребуется время чтобы сориентироваться.
т.е. имя критерия должно дать точную информацию.
По какой именно причине файл/объект получил статус: ?Вирус?
т.е.Имена должны быть индивидуальны + при необходимости содержать подсказку.
Например когда речь идёт о редком заражении.

---------- Добавлено в 18:34 ---------- Предыдущее сообщение было написано в 18:26 ----------

Цитата:
Сообщение от safety (Сообщение 967108)
RP55, здесь сейчас экзаменуется Arkalik, поэтому...
лучше написать ему свое задание, и прокомментировать выполнение.
Arkalik
Не может этого знать по определению.
Нужна практика/опыт работы с программой.

Команду:
delref %SystemRoot%\MOKOM.SYS
лучше давать непосредственно перед командой restart

Почему ?
Допустим вирус регулярно проверяет наличае записи.
HKLM\System\CurrentControlSet\Services\newdriver\I magePath
Выполнение очистки Temp в ряде случаев занимает много времени
( Особенно при активном Антивирусе )
И на выполнение других команд затрачивается время.
Поэтому важные команды лучше применить в конце скрипта.


Часовой пояс GMT +4, время: 21:13.
Страница 10 из 32 123456789 10 1112131415161718192021222324 Last »
Показывать 40 сообщений этой темы на одной странице

Powered by vBulletin® Version 4.5.3
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.