Технический форум
Вернуться   Технический форум > Компьютерный форум > Форум по вирусам и антивирусам > Безопасность


Ответ
 
Опции темы Опции просмотра
Старый 20.04.2012, 15:06   #1 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию Как начать практически использовать uVS

вот где с этого момента uVS стало возможным использовать на форумах для лечения активного заражения удаленных пользователей.

Цитата:
В голову пришли таки хорошие идеи и нашлось время для их реализации.
Соотв. релиз v3.

Основное:
o Добавлен 4-й режим запуска: "Загрузить образ".
В этом режиме работает симулятор реальной системы, для исполнения доступны некоторые команды, которые выполняются на списке виртуальных файлов. Т.е. поддерживается некоторый эффект присутствия в реальной системе. Автоматически по ходу исполнения команд формируется скрипт для последующего исполнения его в реальной системе. Образы автозапуска можно создавать при проверке активной и неактивной системы.
В общем случае для изучения работы uVS рекомендую:

1. обзавестись виртуальной машиной, типа VMware, VirtualBox чтобы последовательно укрепиться в мысли, что все заявленные в uVS функции выполняются.

2. Следует освоить технологию создания загрузочных дисков, например pebuilder, поскольку uVS замечательным образом работает при запуске с загрузочных дисков. (интерес к uVS возник на ВирусИнфо именно в темах по созданию загрузочных дисков.)

3. Внимательно ознакомиться с концепцией работы uVS в документации к программе, с набором скриптовых команд, который весьма ограничен, но эффективен.

4. Плюсы uVS:
+ "после первого использования образа желание искать в тексте отпадет сразу и навсегда, как и желание править скрипт руками." (c), Кузнецов Дмитрий;
+ накопление собственной базы сигнатур, списков безопасных файлов, возможность обмена базами и списками с другими участниками форума;
+ автоматический отсев подозрительных и вредоносных записей в отдельный список сокращает время анализа зараженной системы до минимального;
+ компактный скрипт лечения, который можно выполнять как из буфера обмена, так и из отдельного файла;
+ uVS продолжает развиваться и поддерживаться разработчиком, который открыт для новых предложений и идей.

Официальный форум поддержки uVS
----------
тема создана для консультирования по работе с uVS для посетителей форума.
safety вне форума   Ответить с цитированием

Старый 20.04.2012, 15:06
Helpmaster
Member
 
Аватар для Helpmaster
 
Регистрация: 08.03.2016
Сообщений: 0



Ошибка резервной линковки
Фильтрация помех в автоусилителе
Электронная таблица

Старый 20.04.2012, 15:08   #2 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

Подготовка образа автозапуска антивирусной утилиты uVS
----------
http://pchelpforum.ru/showpost.php?p=593305&postcount=3
safety вне форума   Ответить с цитированием
Старый 20.04.2012, 15:09   #3 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

Как выполнить скрипт в uVS
-------
http://pchelpforum.ru/f26/t24207/#post543010
safety вне форума   Ответить с цитированием
Старый 20.04.2012, 15:10   #4 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

как начать использовать uVS
http://chklst.ru/forum/discussion/38...-virus-sniffer
----------
safety вне форума   Ответить с цитированием
Старый 20.04.2012, 15:11   #5 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

инструкция для хелпера. (с), Кузнецов Дмитрий.

================================================== ===========
Команды:
-------------------------------------------------------------
BREG
Бэкап реестра
-------------------------------------------------------------
VREG
Виртуализация реестра
-------------------------------------------------------------
AREG
Актуализация реестра
-------------------------------------------------------------
DELREF файл
Удалить все ссылки на объект
-------------------------------------------------------------
DELALL файл
Выгрузить и удалить все ссылки на файл вместе с файлом
-------------------------------------------------------------
ZOO файл
Поместить копию файла в Zoo
-------------------------------------------------------------
DELMZ файл
Лишить файл статуса исполняемого
-------------------------------------------------------------
BL хэш_md5 размер_файла_в_байтах
Запретить исполнение файла с таким хэшем и размером
-------------------------------------------------------------
ADDSGN сигнатура длина имя
Добавить/Обновить сигнатуру
-------------------------------------------------------------
DELHST строка из HOSTS
Удалить соотв. строку
-------------------------------------------------------------
REGT число
Применить соотв. твик:
1 Разблокировать диспетчер задач
2 Разблокировать редактор реестра
3 Разблокировать свойства папки
4 Автоматическая перезагрузка в случае BSOD
5 Отключить автозапуск для всех пользователей
6 Отключить восстановление системы
7 Автоматический перезапуск оболочки (включить)
8 Автоматический перезапуск оболочки (выключить)
9 Отключить скрытие расширений исполняемых файлов
10 Включить отображение скрытых файлов
11 Включить поддержку DCOM
12 Сброс значений ключей Winlogon в начальное состояние
13 Удалить все Persistent routes
14 Очистить HOSTS
15 Разрешить отображение вкладки Экран->Рабочий стол
16 Разрешить отображение вкладки Экран->Заставка
17 Полная очистка ключей Safer\CodeIdentifiers\0\Paths
18 Снять ограничения на запуск приложений в Exlporer-е
19 Снять ограничения на запуск по хэшу, установленные uVS-ом
20 Восстановить испорченные значения ImagePath
21 Восстановить из копии ключ SafeBoot
22 Восстановить из копии параметры запуска файлов
-------------------------------------------------------------
SFCALL
Запус sfc /scannow и ожидание завершения
-------------------------------------------------------------
SFC файл
Проверка и восстановление отдельного файла
-------------------------------------------------------------
CHKLST
Проверить список
-------------------------------------------------------------
DELNFR
Безопасное удаление отсутствующих
-------------------------------------------------------------
DELTMP
Очистка корзины и удаление временных файлов
-------------------------------------------------------------
DELVIR
Убить все найденные вирусы
-------------------------------------------------------------
EXEC
Запустить указанный файл с параметрами и ЖДАТЬ завершения
-------------------------------------------------------------
UIDEL
Удалить ключ с Uninstall Information для указанного деинсталятора.
-------------------------------------------------------------
RESTART
Перезагрузить
-----------
полная документация по uVS в каталоге doc в папке с uVS.
safety вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Старый 20.04.2012, 15:25   #6 (permalink)
Ip_MEN
Member
 
Аватар для Ip_MEN
 
Регистрация: 08.10.2011
Сообщений: 582
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 43
По умолчанию

В этой теме будет проходить обучение по работе с uVS?
Цитата:
Сообщение от safety Посмотреть сообщение
22 Восстановить из копии параметры запуска файлов
Этот твик восстановления, фиксит нарущение ассоциирования файлов?
Ip_MEN вне форума   Ответить с цитированием
Старый 20.04.2012, 15:55   #7 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

не обучение, но скорее консультирование, чтобы в личке не отвечать на вопросы.
--------------
по 22: да, если есть копия исходная реестра, созданная при установке системы.
safety вне форума   Ответить с цитированием
Старый 20.04.2012, 16:18   #8 (permalink)
Ip_MEN
Member
 
Аватар для Ip_MEN
 
Регистрация: 08.10.2011
Сообщений: 582
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 43
По умолчанию

Цитата:
Сообщение от safety Посмотреть сообщение
по 22: да, если есть копия исходная реестра, созданная при установке системы.
Вчера лечил систему зараженную вирусом, все екзещники открывались через муз.проигрователь. При этом AVZ не видел нарущение ассоциирования файлов. Выполнил пункт восстановления №1 AVZ, безрезультатно, применил твик по фиксу екзещников, тоже без результата. Потом в uVS выполнил твик 22 и все заработало. Так и не понял, что там было.
Ip_MEN вне форума   Ответить с цитированием
Старый 20.04.2012, 16:39   #9 (permalink)
Hotab
Member
 
Аватар для Hotab
 
Регистрация: 10.11.2010
Сообщений: 1,909
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 120
По умолчанию

Как часто могут совпадать хэши файлов? Просто на днях было ,что загрузил образ ,а у меня половина файлов под детект попали... Хотя сигнатура была добавлена по отчету ВТ (21 из 41 вроде)
Причем детект на файлы проходил рандомно..например на установщик 7zip и на хром.. и еще на пару легитимных файлов..
Hotab вне форума   Ответить с цитированием
Старый 20.04.2012, 16:59   #10 (permalink)
Vvvyg
Member
 
Регистрация: 17.05.2011
Адрес: Тула
Сообщений: 9,825
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 9863
По умолчанию

У меня частенько, даже на сигнатурах 64 байта. Поэтому я особо вирусную базу не коплю, добавляю в базу проверенных в основном.
Vvvyg вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Выкл.




Часовой пояс GMT +4, время: 16:46.

Powered by vBulletin® Version 6.2.5.
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.