Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 11.11.2012, 16:56   #91 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

Пример 3
http://rghost.ru/41495701

задание такое же.
- анализ заражения
- скрипт
- какие критерии можно использовать для детекта данного файла
safety вне форума  
Старый 11.11.2012, 17:15   #92 (ссылка)
Специалист
 
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
По умолчанию

Цитата:
Сообщение от safety Посмотреть сообщение
Пример 3
http://rghost.ru/41495701
Какие критерии можно использовать для детекта данного файла
По одному образу это сложно будет сделать.
Необходимо провести сравнение > вывести закономерность.
Для этого необходимо несколько аналогов/образов.

---------- Добавлено в 18:00 ---------- Предыдущее сообщение было написано в 17:54 ----------

Аналог: http://rghost.ru/41469478
Будет легче
RP55.RP55 вне форума  
Старый 11.11.2012, 17:15   #93 (ссылка)
Специалист
 
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
По умолчанию

Аналог: http://rghost.ru/41469478
Будет легче
RP55.RP55 вне форума  
Старый 11.11.2012, 17:19   #94 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

Цитата:
Сообщение от RP55.RP55 Посмотреть сообщение
Аналог: http://rghost.ru/41469478
Будет легче
Щя будет скрипт
Arkalik вне форума  
Старый 11.11.2012, 17:21   #95 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

Цитата:
Сообщение от safety Посмотреть сообщение
- анализ заражения
Newdriver (больше сказать ни че не могу)

Цитата:
Сообщение от safety Посмотреть сообщение
- скрипт
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn 79132211B982F18DF42BF3584833EDFAE946E07089FA1F7885C3C5BC50D621CB231753D43E5591CF2B80849F461649FA7DDF72F555DA30AF2D77A42FC7062273 8 newdriver 1
zoo %SystemRoot%\HOBIO.SYS
delref HTTP://BROWSERHELP2.RU
delref HTTP://WWW.MAIL.RU/CNT/8731
exec MSIEXEC.EXE /X{F75CF7C3-AB31-4E4E-A38D-051D634EE2A6}
exec D:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.EXE UNINSTALL
exec "D:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
deltmp
delnfr
czoo
sreg
delref %SystemRoot%\HOBIO.SYS
areg
Цитата:
Сообщение от safety Посмотреть сообщение
- какие критерии можно использовать для детекта данного файла
Не знаю, как создать критерий. Это что-то новое в UVS?
Ну примерно:
Цитата:
Ссылка HKLM\System\CurrentControlSet\Services\newdriver\I magePath
ImagePath \??\D:\WINDOWS\hobio.sys
newdriver тип запуска: При инициализации ядра (1)
Arkalik вне форума  
Старый 11.11.2012, 17:28   #96 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

почитай документацию по uVS -как создать критерий поиска. подсказка: критерий создается из окна информация (об объекте)
safety вне форума  
Ads
Старый 11.11.2012, 17:36   #97 (ссылка)
Специалист
 
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
По умолчанию

Для критерия нужно задавать такие значения которые будут устойчивы.
т.е. имя диска меняется.
имя файла меняется.
Остаётся: \Services\newdriver\
Лишняя информация может привести к тому, что критерий не сработает.
или даст ложные определения.

---------- Добавлено в 18:21 ---------- Предыдущее сообщение было написано в 18:15 ----------

И ещё следует смотреть какая система.
Команды
sreg
delref %SystemRoot%\HOBIO.SYS
areg
Хорошо работают на XP
На Win7 - после их применения могут быть проблемы.
Это связано с доступом/сохранением информации реестра.
т.е.может не хватить прав.
Система будет работать но...
Для Win7
delref %SystemRoot%\HOBIO.SYS
+
Помним о возможности выполнения скрипта в безопасном режиме.
т.е. Мало дать человеку готовый скрипт.
Нужно ещё и дать понятную/логичную НЕ перегруженную инструкцию.
RP55.RP55 вне форума  
Старый 11.11.2012, 17:41   #98 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

RP55, здесь сейчас экзаменуется Arkalik, поэтому...
лучше написать ему свое задание, и прокомментировать выполнение.
safety вне форума  
Старый 11.11.2012, 17:41   #99 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

Цитата:
Сообщение от RP55.RP55 Посмотреть сообщение
Аналог: http://rghost.ru/41469478
Будет легче
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn 79132211B982F18DF42BF3584833EDFAE946E07089FA1F7885C3C5BC50D621CB231753D43E5591CF2B80849F461649FA7DDF72F555DA30AF2D77A42FC7062273 8 newdriver 1
delref %SystemRoot%\MOKOM.SYS
delref HTTP://WWW.YANDEX.RU/?CLID=48100
delref HTTP://WWW.MAIL.RU/CNT/9516
delref CHROME://FASTDIAL/CONTENT/FASTDIAL.HTML
exec "C:\PROGRAM FILES\YANDEX\YANDEXBARIE\UNINS000.EXE"
exec MSIEXEC.EXE /X{79155F2B-9895-49D7-8612-D92580E0DE5B}
deltmp
delnfr
restart
Сейчас попытаюсь создать "критерий для поиска"
Arkalik вне форума  
Старый 11.11.2012, 17:49   #100 (ссылка)
Специалист
 
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
По умолчанию

Кроме того, важно правильно задать имя для критерия поиска.
Когда критериев накопиться 80-100 потребуется время чтобы сориентироваться.
т.е. имя критерия должно дать точную информацию.
По какой именно причине файл/объект получил статус: ?Вирус?
т.е.Имена должны быть индивидуальны + при необходимости содержать подсказку.
Например когда речь идёт о редком заражении.

---------- Добавлено в 18:34 ---------- Предыдущее сообщение было написано в 18:26 ----------

Цитата:
Сообщение от safety Посмотреть сообщение
RP55, здесь сейчас экзаменуется Arkalik, поэтому...
лучше написать ему свое задание, и прокомментировать выполнение.
Arkalik
Не может этого знать по определению.
Нужна практика/опыт работы с программой.

Команду:
delref %SystemRoot%\MOKOM.SYS
лучше давать непосредственно перед командой restart

Почему ?
Допустим вирус регулярно проверяет наличае записи.
HKLM\System\CurrentControlSet\Services\newdriver\I magePath
Выполнение очистки Temp в ряде случаев занимает много времени
( Особенно при активном Антивирусе )
И на выполнение других команд затрачивается время.
Поэтому важные команды лучше применить в конце скрипта.
RP55.RP55 вне форума  
Старый 11.11.2012, 17:54   #101 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

RP55, не может знать, значит будет знать что не знает пока как работать с критериями.

Цитата:
Нужна практика/опыт работы с программой.
судя по скриптам - опыт имеется работы с программой, он не первый день в разделе безопасности.

-------------
далее, to Arkalik
ПРИМЕР 4.
http://rghost.ru/41497153

описать последовательность лечения подобного заражения
+
скрипт лечения.
safety вне форума  
Старый 11.11.2012, 21:33   #102 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

Arkalik, по критериям поиска тебе шпаргалка и мануал.
http://chklst.ru/forum/discussion/90...-poiska#Item_1
safety вне форума  
Старый 11.11.2012, 21:44   #103 (ссылка)
Специалист
 
Аватар для Arkalik
 
Регистрация: 22.04.2012
Сообщений: 5,218
Репутация: 458
Профиль в Мой мир
По умолчанию

safety, Можно узнать на что жалуется пользователь?

---------- Добавлено в 22:44 ---------- Предыдущее сообщение было написано в 22:43 ----------

Цитата:
Сообщение от Arkalik Посмотреть сообщение
Arkalik, по критериям поиска тебе шпаргалка и мануал.
http://chklst.ru/forum/discussion/90...-poiska#Item_1
Вот, Спасибо safety
Arkalik вне форума  
Старый 11.11.2012, 21:51   #104 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

Цитата:
Сообщение от Arkalik Посмотреть сообщение
safety, Можно узнать на что жалуется пользователь?

---------- Добавлено в 22:44 ---------- Предыдущее сообщение было написано в 22:43 ----------


Вот, Спасибо safety
жалуется, типа вылетают запускаемые приложения с ошибкой "не win32" .
safety вне форума  
Ads
Старый 11.11.2012, 21:56   #105 (ссылка)
Специалист
 
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
По умолчанию

safety

Я бы в качестве критерия поиска задал значение.
Services\newdriver ( содержит )
И
.sys ( содержит )
Или
Ядра 1 ( содержит )

Задавать конкретное имя не самая лучшая идея = пример.
RP55.RP55 вне форума  
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Не запускается практически ни одна из программ. djabr3 Безопасность 11 20.12.2011 01:45
Перестали устанавливаться практически все игры AQUA46 Windows 7 1 15.06.2011 03:33
Ошибки практически во всех программах Gluk1 Windows Vista 1 20.03.2011 18:31
Практически не работает комп( хеелп KuBiK Неисправности, настройка 40 25.12.2009 23:36
Не устанавливаются практически ни одна игра fitil007 Железо 20 16.06.2009 16:42


Текущее время: 08:25. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.