Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 06.06.2012, 10:26   #46 (ссылка)
Стажёр
 
Аватар для Hotab
 
Регистрация: 10.11.2010
Сообщений: 1,904
Записей в блоге: 1
Репутация: 120
По умолчанию

Arkalik, это база хэшэй проверенных файлов.
Hotab вне форума  
Старый 06.06.2012, 11:17   #47 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

Цитата:
Сообщение от Arkalik Посмотреть сообщение
Vvvyg, Это база с вирусами?
базу с сигнатурами, плиз, нарабатываем сами. можно использовать импорт из скриптов.
safety вне форума  
Старый 06.06.2012, 12:25   #48 (ссылка)
Стажёр
 
Аватар для Hotab
 
Регистрация: 10.11.2010
Сообщений: 1,904
Записей в блоге: 1
Репутация: 120
По умолчанию

Можно еще критерии поиска свои делать.. Тоже неплохо помогает в нахождении малварей и прочих не нужных программ.
Hotab вне форума  
Ads
Старый 24.06.2012, 10:17   #49 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

Hotab, типичная ошибка в скрипте.
Код:
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delall %SystemDrive%\DOCUMENTS AND SETTINGS\LOCALSERVICE\APPLICATION DATA\MICROSOFT\LENYZA.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\LOCALSERVICE\APPLICATION DATA\MICROSOFT\LENYZA.EXE
regt 12
deltmp
delnfr
czoo
restart
вначале удаляется файл, потом файл зачем то карантинится, а потом еще и архивируется пустой карантин.
safety вне форума  
Старый 25.06.2012, 19:44   #50 (ссылка)
Стажёр
 
Аватар для Hotab
 
Регистрация: 10.11.2010
Сообщений: 1,904
Записей в блоге: 1
Репутация: 120
По умолчанию

safety, Спасибо,такого больше и не делаю

---------- Добавлено в 18:44 ---------- Предыдущее сообщение было написано в 18:34 ----------

safety, Подскажите пожалуйста!
1.Какова вероятность того,что на максимальной длине сигнатуры будет совпадение с легитимом?
2.Возможно ли,что вирус,может не показаться в подозрительных файлах(и вообще в секции "все")? От чего это зависит?
Спасибо)
Hotab вне форума  
Старый 25.06.2012, 19:52   #51 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

1. такая вероятность есть, скажем некоторые извлеченные сигнатуры фолсят достаточно сильно, (Stayerlown), поэтому я даже и не пытаюсь извлечь сигнатуру из этого трояна. Другие сигнатуры при совпадении с чистым файлом просто удаляю .(Не будем уподобляться Плюшкину, который хранит всякий хлам в своем чулане).

за фолсом надо следить - через проверки на ВТ, через внимательный просмотр инфо о файле.

2. Да, возможно. возможно по каким то причинам его нет в основном автозапуске. (Скажем, часто, SpyEye не попадает в подозрительные, но, правда он есть в основном, а вот файлики от Dorkbot часто могут оказаться не в основном автозапуске, но их можно найти в категории все. (Поэтому, если нет файлов, которые находятся в причинно-следственной связи с описанным симптомом, нет в основном и в подозрительных, то надо внимательно посмотреть еще и в категории все.
safety вне форума  
Старый 25.06.2012, 19:55   #52 (ссылка)
Стажёр
 
Аватар для Hotab
 
Регистрация: 10.11.2010
Сообщений: 1,904
Записей в блоге: 1
Репутация: 120
По умолчанию

safety, Отлично ,спасибо большое

Пока вспомнил,задам еще один вопрос.
Заметил,что при лечении блокеров(загрузка с LiveCD и выбором системы) и создании образа зараженной системы,когда просматриваю образ,то много подозрительных файлов..Причем все легитимные.Если снять птичку с пункта "скрыть известные" то добавляется несколько файлов..В логе написано,что не удалось проверить подпись.
Это случайно не сохранение образа "без проверки цифровых подписей" ?
Hotab вне форума  
Старый 26.06.2012, 06:34   #53 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

скорее всего, это использование загрузочного Live.CD, созданного на базе BART PE, или miniXP, в котором не поддерживается работа с цифровым каталогом. (поэтому большинство системных файлов оказывается без цифровой подписи). Работа с каталогом безопасности поддерживается начиная с WinPE, созданных на базе Vista или Win7.
--------
т.е. лучше использовать для исследования и получения образа системы Winpe на базе Win7.
safety вне форума  
Старый 26.06.2012, 12:37   #54 (ссылка)
Стажёр
 
Аватар для Hotab
 
Регистрация: 10.11.2010
Сообщений: 1,904
Записей в блоге: 1
Репутация: 120
По умолчанию

safety, Ясно,спасибо большое
Hotab вне форума  
Старый 26.06.2012, 14:13   #55 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

по CZOO: обращайте внимание, чтобы в settings было правильно настроено архивирование при запуске uVS из под Live.CD. (возможно, там даже внешнего архиватора нет.)
safety вне форума  
Старый 27.06.2012, 00:29   #56 (ссылка)
Стажёр
 
Аватар для Hotab
 
Регистрация: 10.11.2010
Сообщений: 1,904
Записей в блоге: 1
Репутация: 120
По умолчанию

safety, Спасибо огромное,буду иметь ввиду
Hotab вне форума  
Ads
Старый 27.06.2012, 06:40   #57 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

т.е. в settings добавляются параметры
Цитата:
; Архивация файла (образа)
ArchiveFile = 7zip\7za a -t7z -mx9 -m0=ppmd=32:mem=64m "%s.7z" "%s"
(пример для 7za.exe в подкаталоге 7zip, %s - параметры заполняемые uVS)

; Разархивация образа
DecompressImage = 7zip\7za x -y "%s" -o"%s" *.txt
(пример для 7za.exe в подкаталоге 7zip)

; Архивация Zoo
ArchiveZoo = 7zip\7za a -t7z "%s.7z" -pvirus "%s\*.*"
(пример для 7za.exe в подкаталоге 7zip, архивация с паролем virus)
а в каталог с UVS должен быть добавлен архиватор 7z из пака разработчика.
safety вне форума  
Старый 27.06.2012, 10:21   #58 (ссылка)
Стажёр
 
Аватар для Hotab
 
Регистрация: 10.11.2010
Сообщений: 1,904
Записей в блоге: 1
Репутация: 120
По умолчанию

safety, Спасибо
Hotab вне форума  
Старый 02.07.2012, 21:03   #59 (ссылка)
Стажёр
 
Аватар для Hotab
 
Регистрация: 10.11.2010
Сообщений: 1,904
Записей в блоге: 1
Репутация: 120
По умолчанию

safety, Добрый вечер! Подскажите пожалуйста! В логе uVS ,напротив файла написано "файл не найден" , это аналог "file missing" в HJ ?
Hotab вне форума  
Старый 02.07.2012, 21:26   #60 (ссылка)
Эксперт
 
Аватар для Angel-iz-Ada
 
Регистрация: 06.11.2011
Сообщений: 8,232
Репутация: 864
Профиль в Twitter
По умолчанию

Hotab,
да
Angel-iz-Ada вне форума  
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Не запускается практически ни одна из программ. djabr3 Безопасность 11 20.12.2011 01:45
Перестали устанавливаться практически все игры AQUA46 Windows 7 1 15.06.2011 03:33
Ошибки практически во всех программах Gluk1 Windows Vista 1 20.03.2011 18:31
Практически не работает комп( хеелп KuBiK Неисправности, настройка 40 25.12.2009 23:36
Не устанавливаются практически ни одна игра fitil007 Железо 20 16.06.2009 16:42


Текущее время: 04:04. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.