Как начать практически использовать uVS - Страница 6

safety · 25.06.2012, 19:52

1. такая вероятность есть, скажем некоторые извлеченные сигнатуры фолсят достаточно сильно, (Stayerlown), поэтому я даже и не пытаюсь извлечь сигнатуру из этого трояна. Другие сигнатуры при совпадении с чистым файлом просто удаляю .(Не будем уподобляться Плюшкину, который хранит всякий хлам в своем чулане).

за фолсом надо следить - через проверки на ВТ, через внимательный просмотр инфо о файле.

2. Да, возможно. возможно по каким то причинам его нет в основном автозапуске. (Скажем, часто, SpyEye не попадает в подозрительные, но, правда он есть в основном, а вот файлики от Dorkbot часто могут оказаться не в основном автозапуске, но их можно найти в категории все. (Поэтому, если нет файлов, которые находятся в причинно-следственной связи с описанным симптомом, нет в основном и в подозрительных, то надо внимательно посмотреть еще и в категории все.

Hotab · 25.06.2012, 19:55

safety, Отлично ,спасибо большое

Пока вспомнил,задам еще один вопрос.
Заметил,что при лечении блокеров(загрузка с LiveCD и выбором системы) и создании образа зараженной системы,когда просматриваю образ,то много подозрительных файлов..Причем все легитимные.Если снять птичку с пункта "скрыть известные" то добавляется несколько файлов..В логе написано,что не удалось проверить подпись.
Это случайно не сохранение образа "без проверки цифровых подписей" ?

safety · 26.06.2012, 06:34

скорее всего, это использование загрузочного Live.CD, созданного на базе BART PE, или miniXP, в котором не поддерживается работа с цифровым каталогом. (поэтому большинство системных файлов оказывается без цифровой подписи). Работа с каталогом безопасности поддерживается начиная с WinPE, созданных на базе Vista или Win7.
--------
т.е. лучше использовать для исследования и получения образа системы Winpe на базе Win7.

Hotab · 26.06.2012, 12:37

safety, Ясно,спасибо большое

safety · 26.06.2012, 14:13

по CZOO: обращайте внимание, чтобы в settings было правильно настроено архивирование при запуске uVS из под Live.CD. (возможно, там даже внешнего архиватора нет.)

Hotab · 27.06.2012, 00:29

safety, Спасибо огромное,буду иметь ввиду

safety · 27.06.2012, 06:40

т.е. в settings добавляются параметры

Цитата:

; Архивация файла (образа)
ArchiveFile = 7zip\7za a -t7z -mx9 -m0=ppmd

=32:mem=64m "%s.7z" "%s"
(пример для 7za.exe в подкаталоге 7zip, %s - параметры заполняемые uVS)

; Разархивация образа
DecompressImage = 7zip\7za x -y "%s" -o"%s" *.txt
(пример для 7za.exe в подкаталоге 7zip)

; Архивация Zoo
ArchiveZoo = 7zip\7za a -t7z "%s.7z" -pvirus "%s\*.*"
(пример для 7za.exe в подкаталоге 7zip, архивация с паролем virus)

а в каталог с UVS должен быть добавлен архиватор 7z из пака разработчика.

Hotab · 27.06.2012, 10:21

safety, Спасибо

Hotab · 02.07.2012, 21:03

safety, Добрый вечер! Подскажите пожалуйста! В логе uVS ,напротив файла написано "файл не найден" , это аналог "file missing" в HJ ?

Angel-iz-Ada · 02.07.2012, 21:26

Hotab,
да

25.06.2012, 19:52	#51 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	1. такая вероятность есть, скажем некоторые извлеченные сигнатуры фолсят достаточно сильно, (Stayerlown), поэтому я даже и не пытаюсь извлечь сигнатуру из этого трояна. Другие сигнатуры при совпадении с чистым файлом просто удаляю .(Не будем уподобляться Плюшкину, который хранит всякий хлам в своем чулане). за фолсом надо следить - через проверки на ВТ, через внимательный просмотр инфо о файле. 2. Да, возможно. возможно по каким то причинам его нет в основном автозапуске. (Скажем, часто, SpyEye не попадает в подозрительные, но, правда он есть в основном, а вот файлики от Dorkbot часто могут оказаться не в основном автозапуске, но их можно найти в категории все. (Поэтому, если нет файлов, которые находятся в причинно-следственной связи с описанным симптомом, нет в основном и в подозрительных, то надо внимательно посмотреть еще и в категории все.

25.06.2012, 19:55	#52 (permalink)
Hotab Member Регистрация: 10.11.2010 Сообщений: 1,909 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 120	safety, Отлично ,спасибо большое Пока вспомнил,задам еще один вопрос. Заметил,что при лечении блокеров(загрузка с LiveCD и выбором системы) и создании образа зараженной системы,когда просматриваю образ,то много подозрительных файлов..Причем все легитимные.Если снять птичку с пункта "скрыть известные" то добавляется несколько файлов..В логе написано,что не удалось проверить подпись. Это случайно не сохранение образа "без проверки цифровых подписей" ?

26.06.2012, 06:34	#53 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	скорее всего, это использование загрузочного Live.CD, созданного на базе BART PE, или miniXP, в котором не поддерживается работа с цифровым каталогом. (поэтому большинство системных файлов оказывается без цифровой подписи). Работа с каталогом безопасности поддерживается начиная с WinPE, созданных на базе Vista или Win7. -------- т.е. лучше использовать для исследования и получения образа системы Winpe на базе Win7.

26.06.2012, 12:37	#54 (permalink)
Hotab Member Регистрация: 10.11.2010 Сообщений: 1,909 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 120	safety, Ясно,спасибо большое

26.06.2012, 14:13	#55 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	по CZOO: обращайте внимание, чтобы в settings было правильно настроено архивирование при запуске uVS из под Live.CD. (возможно, там даже внешнего архиватора нет.)

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

27.06.2012, 00:29	#56 (permalink)
Hotab Member Регистрация: 10.11.2010 Сообщений: 1,909 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 120	safety, Спасибо огромное,буду иметь ввиду

27.06.2012, 10:21	#58 (permalink)
Hotab Member Регистрация: 10.11.2010 Сообщений: 1,909 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 120	safety, Спасибо

02.07.2012, 21:03	#59 (permalink)
Hotab Member Регистрация: 10.11.2010 Сообщений: 1,909 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 120	safety, Добрый вечер! Подскажите пожалуйста! В логе uVS ,напротив файла написано "файл не найден" , это аналог "file missing" в HJ ?

02.07.2012, 21:26	#60 (permalink)
Angel-iz-Ada Member Регистрация: 06.11.2011 Сообщений: 8,170 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 864	Hotab, да