Как начать практически использовать uVS - Страница 11

safety · 11.11.2012, 17:54

RP55, не может знать, значит будет знать что не знает пока как работать с критериями.

Цитата:

Нужна практика/опыт работы с программой.

судя по скриптам - опыт имеется работы с программой, он не первый день в разделе безопасности.

-------------
далее, to Ark
ПРИМЕР 4.
http://rghost.ru/41497153

описать последовательность лечения подобного заражения
+
скрипт лечения.

safety · 11.11.2012, 21:33

Ark, по критериям поиска тебе шпаргалка и мануал.
http://chklst.ru/forum/discussion/90...-poiska#Item_1

Аркалык · 11.11.2012, 21:44

safety, Можно узнать на что жалуется пользователь?

---------- Добавлено в 22:44 ---------- Предыдущее сообщение было написано в 22:43 ----------

Цитата:

Сообщение от Arkalik

Ark

, по критериям поиска тебе шпаргалка и мануал.
http://chklst.ru/forum/discussion/90...-poiska#Item_1

Вот, Спасибо safety

safety · 11.11.2012, 21:51

Цитата:

Сообщение от Arkalik

safety, Можно узнать на что жалуется пользователь?

---------- Добавлено в 22:44 ---------- Предыдущее сообщение было написано в 22:43 ----------

Вот, Спасибо safety

жалуется, типа вылетают запускаемые приложения с ошибкой "не win32"

.

RP55.RP55 · 11.11.2012, 21:56

safety

Я бы в качестве критерия поиска задал значение.
Services\newdriver ( содержит )
И
.sys ( содержит )
Или
Ядра 1 ( содержит )

Задавать конкретное имя не самая лучшая идея = пример.

safety · 11.11.2012, 22:04

это визуальный пример: как создавать простые и сложные критерии. а как, и кто будет создавать критерии - это уже должна работать логика, этому труднее научить... этому уже в ВУЗ-ах и колледжах учат на прикладной математике.
---------
(я просто добавил правило: ссылка ~ newdriver)

Аркалык · 11.11.2012, 22:13

Цитата:

Сообщение от safety

жалуется, типа вылетают запускаемые приложения с ошибкой "не win32"

По этим данным похоже на Sality, но Редактор реестра - Диспетчер задач - Свойства папки не заблокирован и ошибки win32 нету:

Цитата:

(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\MMC.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\REGEDIT.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\LOGONUI.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\NTSD.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\CSCRIPT.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\MSDTC.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\CMD.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\TASKMGR.EXE
(!) Нет подписи у известного файла: C:\WINDOWS\SYSTEM32\MSPAINT.EXE

Цитата:

Сообщение от RP55.RP55

Аналог: http://rghost.ru/41469478
Будет легче

По инструкций и по логам RP55.RP55 создал критерий поиска, оцените

Цитата:

Удовлетворяет критериям
NEWDRIVER (ССЫЛКА ~ SERVICES\NEWDRIVER)(1) AND (IMAGEPATH ~ MOKOM.SYS)(1)

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\newdriver\I magePath
ImagePath \??\C:\WINDOWS\mokom.sys
newdriver тип запуска: При инициализации ядра (1)

safety · 11.11.2012, 22:15

критерий сделан правильно, имя драйвера здесь необязательно уточнять, достаточно простого правила.
-----------
подсказываю по симптому, файловое заражение есть, но не sality

RP55.RP55 · 11.11.2012, 22:20

Так и надо написать.
Вирус меняет своё имя.
Вывод: Задавать критерий поиска по имени нельзя.
В силу того, что при смене/изменении имени критерий не сработает.
что приведёт к пропуску вируса при проверке.
Это относиться и к SHA1 файла.
И привести пример устойчивых значений.
Это:
расширение файла.
отсутствие/наличае цифровой подписи.
тип старта/запуска/приоритета

safety · 11.11.2012, 22:21

RP55, давайте здесь не устраивать дискуссии. надо различать примеры и рабочие критерии.

11.11.2012, 21:33	#102 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	Ark, по критериям поиска тебе шпаргалка и мануал. http://chklst.ru/forum/discussion/90...-poiska#Item_1

11.11.2012, 21:56	#105 (permalink)
RP55.RP55 Member Регистрация: 29.10.2011 Сообщений: 5,543 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 554	safety Я бы в качестве критерия поиска задал значение. Services\newdriver ( содержит ) И .sys ( содержит ) Или Ядра 1 ( содержит ) Задавать конкретное имя не самая лучшая идея = пример.

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

11.11.2012, 22:04	#106 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	это визуальный пример: как создавать простые и сложные критерии. а как, и кто будет создавать критерии - это уже должна работать логика, этому труднее научить... этому уже в ВУЗ-ах и колледжах учат на прикладной математике. --------- (я просто добавил правило: ссылка ~ newdriver)

11.11.2012, 22:15	#108 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	критерий сделан правильно, имя драйвера здесь необязательно уточнять, достаточно простого правила. ----------- подсказываю по симптому, файловое заражение есть, но не sality

11.11.2012, 22:20	#109 (permalink)
RP55.RP55 Member Регистрация: 29.10.2011 Сообщений: 5,543 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 554	Так и надо написать. Вирус меняет своё имя. Вывод: Задавать критерий поиска по имени нельзя. В силу того, что при смене/изменении имени критерий не сработает. что приведёт к пропуску вируса при проверке. Это относиться и к SHA1 файла. И привести пример устойчивых значений. Это: расширение файла. отсутствие/наличае цифровой подписи. тип старта/запуска/приоритета

11.11.2012, 22:21	#110 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	RP55, давайте здесь не устраивать дискуссии. надо различать примеры и рабочие критерии.