Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 20.04.2012, 15:06   #1 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию Как начать практически использовать uVS

вот где с этого момента uVS стало возможным использовать на форумах для лечения активного заражения удаленных пользователей.

Цитата:
В голову пришли таки хорошие идеи и нашлось время для их реализации.
Соотв. релиз v3.

Основное:
o Добавлен 4-й режим запуска: "Загрузить образ".
В этом режиме работает симулятор реальной системы, для исполнения доступны некоторые команды, которые выполняются на списке виртуальных файлов. Т.е. поддерживается некоторый эффект присутствия в реальной системе. Автоматически по ходу исполнения команд формируется скрипт для последующего исполнения его в реальной системе. Образы автозапуска можно создавать при проверке активной и неактивной системы.
В общем случае для изучения работы uVS рекомендую:

1. обзавестись виртуальной машиной, типа VMware, VirtualBox чтобы последовательно укрепиться в мысли, что все заявленные в uVS функции выполняются.

2. Следует освоить технологию создания загрузочных дисков, например pebuilder, поскольку uVS замечательным образом работает при запуске с загрузочных дисков. (интерес к uVS возник на ВирусИнфо именно в темах по созданию загрузочных дисков.)

3. Внимательно ознакомиться с концепцией работы uVS в документации к программе, с набором скриптовых команд, который весьма ограничен, но эффективен.

4. Плюсы uVS:
+ "после первого использования образа желание искать в тексте отпадет сразу и навсегда, как и желание править скрипт руками." (c), Кузнецов Дмитрий;
+ накопление собственной базы сигнатур, списков безопасных файлов, возможность обмена базами и списками с другими участниками форума;
+ автоматический отсев подозрительных и вредоносных записей в отдельный список сокращает время анализа зараженной системы до минимального;
+ компактный скрипт лечения, который можно выполнять как из буфера обмена, так и из отдельного файла;
+ uVS продолжает развиваться и поддерживаться разработчиком, который открыт для новых предложений и идей.

Официальный форум поддержки uVS
----------
тема создана для консультирования по работе с uVS для посетителей форума.

Последний раз редактировалось safety; 24.12.2012 в 14:13.
safety вне форума  
Старый 20.04.2012, 15:08   #2 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

Подготовка образа автозапуска антивирусной утилиты uVS
----------
http://pchelpforum.ru/showpost.php?p=593305&postcount=3
safety вне форума  
Старый 20.04.2012, 15:09   #3 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

Как выполнить скрипт в uVS
-------
http://pchelpforum.ru/f26/t24207/#post543010
safety вне форума  
Старый 20.04.2012, 15:10   #4 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

как начать использовать uVS
http://chklst.ru/forum/discussion/38...-virus-sniffer
----------

Последний раз редактировалось safety; 29.05.2014 в 11:02.
safety вне форума  
Старый 20.04.2012, 15:11   #5 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

инструкция для хелпера. (с), Кузнецов Дмитрий.

================================================== ===========
Команды:
-------------------------------------------------------------
BREG
Бэкап реестра
-------------------------------------------------------------
VREG
Виртуализация реестра
-------------------------------------------------------------
AREG
Актуализация реестра
-------------------------------------------------------------
DELREF файл
Удалить все ссылки на объект
-------------------------------------------------------------
DELALL файл
Выгрузить и удалить все ссылки на файл вместе с файлом
-------------------------------------------------------------
ZOO файл
Поместить копию файла в Zoo
-------------------------------------------------------------
DELMZ файл
Лишить файл статуса исполняемого
-------------------------------------------------------------
BL хэш_md5 размер_файла_в_байтах
Запретить исполнение файла с таким хэшем и размером
-------------------------------------------------------------
ADDSGN сигнатура длина имя
Добавить/Обновить сигнатуру
-------------------------------------------------------------
DELHST строка из HOSTS
Удалить соотв. строку
-------------------------------------------------------------
REGT число
Применить соотв. твик:
1 Разблокировать диспетчер задач
2 Разблокировать редактор реестра
3 Разблокировать свойства папки
4 Автоматическая перезагрузка в случае BSOD
5 Отключить автозапуск для всех пользователей
6 Отключить восстановление системы
7 Автоматический перезапуск оболочки (включить)
8 Автоматический перезапуск оболочки (выключить)
9 Отключить скрытие расширений исполняемых файлов
10 Включить отображение скрытых файлов
11 Включить поддержку DCOM
12 Сброс значений ключей Winlogon в начальное состояние
13 Удалить все Persistent routes
14 Очистить HOSTS
15 Разрешить отображение вкладки Экран->Рабочий стол
16 Разрешить отображение вкладки Экран->Заставка
17 Полная очистка ключей Safer\CodeIdentifiers\0\Paths
18 Снять ограничения на запуск приложений в Exlporer-е
19 Снять ограничения на запуск по хэшу, установленные uVS-ом
20 Восстановить испорченные значения ImagePath
21 Восстановить из копии ключ SafeBoot
22 Восстановить из копии параметры запуска файлов
-------------------------------------------------------------
SFCALL
Запус sfc /scannow и ожидание завершения
-------------------------------------------------------------
SFC файл
Проверка и восстановление отдельного файла
-------------------------------------------------------------
CHKLST
Проверить список
-------------------------------------------------------------
DELNFR
Безопасное удаление отсутствующих
-------------------------------------------------------------
DELTMP
Очистка корзины и удаление временных файлов
-------------------------------------------------------------
DELVIR
Убить все найденные вирусы
-------------------------------------------------------------
EXEC
Запустить указанный файл с параметрами и ЖДАТЬ завершения
-------------------------------------------------------------
UIDEL
Удалить ключ с Uninstall Information для указанного деинсталятора.
-------------------------------------------------------------
RESTART
Перезагрузить
-----------
полная документация по uVS в каталоге doc в папке с uVS.

Последний раз редактировалось safety; 20.04.2012 в 15:18.
safety вне форума  
Старый 20.04.2012, 15:25   #6 (ссылка)
Новичок
 
Аватар для Ip_MEN
 
Регистрация: 08.10.2011
Сообщений: 579
Репутация: 43
По умолчанию

В этой теме будет проходить обучение по работе с uVS?
Цитата:
Сообщение от safety Посмотреть сообщение
22 Восстановить из копии параметры запуска файлов
Этот твик восстановления, фиксит нарущение ассоциирования файлов?
Ip_MEN вне форума  
Старый 20.04.2012, 15:55   #7 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

не обучение, но скорее консультирование, чтобы в личке не отвечать на вопросы.
--------------
по 22: да, если есть копия исходная реестра, созданная при установке системы.
safety вне форума  
Старый 20.04.2012, 16:18   #8 (ссылка)
Новичок
 
Аватар для Ip_MEN
 
Регистрация: 08.10.2011
Сообщений: 579
Репутация: 43
По умолчанию

Цитата:
Сообщение от safety Посмотреть сообщение
по 22: да, если есть копия исходная реестра, созданная при установке системы.
Вчера лечил систему зараженную вирусом, все екзещники открывались через муз.проигрователь. При этом AVZ не видел нарущение ассоциирования файлов. Выполнил пункт восстановления №1 AVZ, безрезультатно, применил твик по фиксу екзещников, тоже без результата. Потом в uVS выполнил твик 22 и все заработало. Так и не понял, что там было.
Ip_MEN вне форума  
Ads
Старый 20.04.2012, 16:39   #9 (ссылка)
Стажёр
 
Аватар для Hotab
 
Регистрация: 10.11.2010
Сообщений: 1,904
Записей в блоге: 1
Репутация: 120
По умолчанию

Как часто могут совпадать хэши файлов? Просто на днях было ,что загрузил образ ,а у меня половина файлов под детект попали... Хотя сигнатура была добавлена по отчету ВТ (21 из 41 вроде)
Причем детект на файлы проходил рандомно..например на установщик 7zip и на хром.. и еще на пару легитимных файлов..
Hotab вне форума  
Старый 20.04.2012, 16:59   #10 (ссылка)
Эксперт
 
Регистрация: 25.05.2011
Сообщений: 9,136
Репутация: 811
По умолчанию

У меня частенько, даже на сигнатурах 64 байта. Поэтому я особо вирусную базу не коплю, добавляю в базу проверенных в основном.
Vvvyg вне форума  
Старый 20.04.2012, 17:28   #11 (ссылка)
Новичок
 
Аватар для Ip_MEN
 
Регистрация: 08.10.2011
Сообщений: 579
Репутация: 43
По умолчанию

То есть, желательно удалять через DELALL по одному, чем через addsgn?
Ip_MEN вне форума  
Старый 20.04.2012, 18:04   #12 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

Цитата:
Сообщение от Ip_MEN Посмотреть сообщение
Потом в uVS выполнил твик 22 и все заработало. Так и не понял, что там было.
можно посмотреть в логе выполнения скрипта, хотя не уверен что там есть подробная расшифровка действия данного твика.
safety вне форума  
Старый 20.04.2012, 18:06   #13 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

Цитата:
Сообщение от Hotab Посмотреть сообщение
Как часто могут совпадать хэши файлов? Просто на днях было ,что загрузил образ ,а у меня половина файлов под детект попали... Хотя сигнатура была добавлена по отчету ВТ (21 из 41 вроде)
о каких хэшах идет речь? если о md5, sha1 то это практически невозможно... хэши файлов уникальны.
safety вне форума  
Старый 20.04.2012, 18:10   #14 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

Цитата:
Сообщение от Ip_MEN Посмотреть сообщение
То есть, желательно удалять через DELALL по одному, чем через addsgn?
нет конечно, сигнатуры полезны для быстрого анализа и составления скрипта. Но надо иметь ввиду, что может быть ложное срабатывание.... в этом случае необходимо увеличивать длину активной части сигнатуры. по которой идет проверка. При полном совпадении с сигнатурой по 64байтам если вы уверены что это ложное срабатывание сигнатуру безжалостно удалить. и использовать для удаления файла delall. Часто по сигнатуре от tASKMNG.EXE (Styerlown - детект по Микрософт) много детектируется чистых файлов.
safety вне форума  
Старый 20.04.2012, 18:37   #15 (ссылка)
Эксперт
 
Аватар для Angel-iz-Ada
 
Регистрация: 06.11.2011
Сообщений: 8,232
Репутация: 864
Профиль в Twitter
По умолчанию

22 твик восстанавливает следующие ассоциации: bat, com, exe, hta, vbs, vbe, js , jse, wsh, wsf, scr, cmd, lnk, pif, msc, cpl
Angel-iz-Ada вне форума  
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Не запускается практически ни одна из программ. djabr3 Безопасность 11 20.12.2011 01:45
Перестали устанавливаться практически все игры AQUA46 Windows 7 1 15.06.2011 03:33
Ошибки практически во всех программах Gluk1 Windows Vista 1 20.03.2011 18:31
Практически не работает комп( хеелп KuBiK Неисправности, настройка 40 25.12.2009 23:36
Не устанавливаются практически ни одна игра fitil007 Железо 20 16.06.2009 16:42


Текущее время: 01:23. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.