Как начать практически использовать uVS

[safety]

Как начать практически использовать uVS

вот где с этого момента uVS стало возможным использовать на форумах для лечения активного заражения удаленных пользователей.

В голову пришли таки хорошие идеи и нашлось время для их реализации.
Соотв. релиз v3.

Основное:
o Добавлен 4-й режим запуска: "Загрузить образ".
В этом режиме работает симулятор реальной системы, для исполнения доступны некоторые команды, которые выполняются на списке виртуальных файлов. Т.е. поддерживается некоторый эффект присутствия в реальной системе. Автоматически по ходу исполнения команд формируется скрипт для последующего исполнения его в реальной системе. Образы автозапуска можно создавать при проверке активной и неактивной системы.

В общем случае для изучения работы uVS рекомендую:

1. обзавестись виртуальной машиной, типа VMware, VirtualBox чтобы последовательно укрепиться в мысли, что все заявленные в uVS функции выполняются.

2. Следует освоить технологию создания загрузочных дисков, например pebuilder, поскольку uVS замечательным образом работает при запуске с загрузочных дисков. (интерес к uVS возник на ВирусИнфо именно в темах по созданию загрузочных дисков.)

3. Внимательно ознакомиться с концепцией работы uVS в документации к программе, с набором скриптовых команд, который весьма ограничен, но эффективен.

4. Плюсы uVS:
+ "после первого использования образа желание искать в тексте отпадет сразу и навсегда, как и желание править скрипт руками." (c), Кузнецов Дмитрий;
+ накопление собственной базы сигнатур, списков безопасных файлов, возможность обмена базами и списками с другими участниками форума;
+ автоматический отсев подозрительных и вредоносных записей в отдельный список сокращает время анализа зараженной системы до минимального;
+ компактный скрипт лечения, который можно выполнять как из буфера обмена, так и из отдельного файла;
+ uVS продолжает развиваться и поддерживаться разработчиком, который открыт для новых предложений и идей.

Официальный форум поддержки uVS
----------
тема создана для консультирования по работе с uVS для посетителей форума.

 

[safety]

Подготовка образа автозапуска антивирусной утилиты uVS
----------
http://pchelpforum.ru/showpost.php?p=593305&postcount=3

 

[safety]

Как выполнить скрипт в uVS
-------
http://pchelpforum.ru/f26/t24207/#post543010

 

[safety]

как начать использовать uVS
http://chklst.ru/forum/discussion/38/kak-nachat-prakticheski-ispolzovat-universal-virus-sniffer
----------

 

[safety]

инструкция для хелпера. (с), Кузнецов Дмитрий.

=============================================================
Команды:
-------------------------------------------------------------
BREG
Бэкап реестра
-------------------------------------------------------------
VREG
Виртуализация реестра
-------------------------------------------------------------
AREG
Актуализация реестра
-------------------------------------------------------------
DELREF файл
Удалить все ссылки на объект
-------------------------------------------------------------
DELALL файл
Выгрузить и удалить все ссылки на файл вместе с файлом
-------------------------------------------------------------
ZOO файл
Поместить копию файла в Zoo
-------------------------------------------------------------
DELMZ файл
Лишить файл статуса исполняемого
-------------------------------------------------------------
BL хэш_md5 размер_файла_в_байтах
Запретить исполнение файла с таким хэшем и размером
-------------------------------------------------------------
ADDSGN сигнатура длина имя
Добавить/Обновить сигнатуру
-------------------------------------------------------------
DELHST строка из HOSTS
Удалить соотв. строку
-------------------------------------------------------------
REGT число
Применить соотв. твик:
1 Разблокировать диспетчер задач
2 Разблокировать редактор реестра
3 Разблокировать свойства папки
4 Автоматическая перезагрузка в случае BSOD
5 Отключить автозапуск для всех пользователей
6 Отключить восстановление системы
7 Автоматический перезапуск оболочки (включить)
8 Автоматический перезапуск оболочки (выключить)
9 Отключить скрытие расширений исполняемых файлов
10 Включить отображение скрытых файлов
11 Включить поддержку DCOM
12 Сброс значений ключей Winlogon в начальное состояние
13 Удалить все Persistent routes
14 Очистить HOSTS
15 Разрешить отображение вкладки Экран->Рабочий стол
16 Разрешить отображение вкладки Экран->Заставка
17 Полная очистка ключей Safer\CodeIdentifiers\0\Paths
18 Снять ограничения на запуск приложений в Exlporer-е
19 Снять ограничения на запуск по хэшу, установленные uVS-ом
20 Восстановить испорченные значения ImagePath
21 Восстановить из копии ключ SafeBoot
22 Восстановить из копии параметры запуска файлов
-------------------------------------------------------------
SFCALL
Запус sfc /scannow и ожидание завершения
-------------------------------------------------------------
SFC файл
Проверка и восстановление отдельного файла
-------------------------------------------------------------
CHKLST
Проверить список
-------------------------------------------------------------
DELNFR
Безопасное удаление отсутствующих
-------------------------------------------------------------
DELTMP
Очистка корзины и удаление временных файлов
-------------------------------------------------------------
DELVIR
Убить все найденные вирусы
-------------------------------------------------------------
EXEC
Запустить указанный файл с параметрами и ЖДАТЬ завершения
-------------------------------------------------------------
UIDEL
Удалить ключ с Uninstall Information для указанного деинсталятора.
-------------------------------------------------------------
RESTART
Перезагрузить
-----------
полная документация по uVS в каталоге doc в папке с uVS.

 

[Ip_MEN]

В этой теме будет проходить обучение по работе с uVS?

22 Восстановить из копии параметры запуска файлов

Этот твик восстановления, фиксит нарущение ассоциирования файлов?

 

[safety]

не обучение, но скорее консультирование, чтобы в личке не отвечать на вопросы.
--------------
по 22: да, если есть копия исходная реестра, созданная при установке системы.

 

[Ip_MEN]

по 22: да, если есть копия исходная реестра, созданная при установке системы.

Вчера лечил систему зараженную вирусом, все екзещники открывались через муз.проигрователь. При этом AVZ не видел нарущение ассоциирования файлов. Выполнил пункт восстановления №1 AVZ, безрезультатно, применил твик по фиксу екзещников, тоже без результата. Потом в uVS выполнил твик 22 и все заработало. Так и не понял, что там было.

 

[Hotab]

Как часто могут совпадать хэши файлов? Просто на днях было ,что загрузил образ ,а у меня половина файлов под детект попали... Хотя сигнатура была добавлена по отчету ВТ (21 из 41 вроде)
Причем детект на файлы проходил рандомно..например на установщик 7zip и на хром.. и еще на пару легитимных файлов..

 

[Vvvyg]

У меня частенько, даже на сигнатурах 64 байта. Поэтому я особо вирусную базу не коплю, добавляю в базу проверенных в основном.

 

[Ip_MEN]

То есть, желательно удалять через DELALL по одному, чем через addsgn?

 

[safety]

Потом в uVS выполнил твик 22 и все заработало. Так и не понял, что там было.

можно посмотреть в логе выполнения скрипта, хотя не уверен что там есть подробная расшифровка действия данного твика.

 

[safety]

Как часто могут совпадать хэши файлов? Просто на днях было ,что загрузил образ ,а у меня половина файлов под детект попали... Хотя сигнатура была добавлена по отчету ВТ (21 из 41 вроде)

о каких хэшах идет речь? если о md5, sha1 то это практически невозможно... хэши файлов уникальны.

 

[safety]

То есть, желательно удалять через DELALL по одному, чем через addsgn?

нет конечно, сигнатуры полезны для быстрого анализа и составления скрипта. Но надо иметь ввиду, что может быть ложное срабатывание.... в этом случае необходимо увеличивать длину активной части сигнатуры. по которой идет проверка. При полном совпадении с сигнатурой по 64байтам если вы уверены что это ложное срабатывание сигнатуру безжалостно удалить. и использовать для удаления файла delall. Часто по сигнатуре от tASKMNG.EXE (Styerlown - детект по Микрософт) много детектируется чистых файлов.

 

[Angel-iz-Ada]

22 твик восстанавливает следующие ассоциации: bat, com, exe, hta, vbs, vbe, js , jse, wsh, wsf, scr, cmd, lnk, pif, msc, cpl

 

[Ip_MEN]

22 твик восстанавливает следующие ассоциации: bat, com, exe, hta, vbs, vbe, js , jse, wsh, wsf, scr, cmd, lnk, pif, msc, cpl

Это я понял, я про то, почему AVZ не видел нарущение ассоциирования файлов, плюс почему не отработали таблетка и рег файл.

 

[Hotab]

safety, Вот вот..скорей ложное и было

---------- Добавлено в 17:57 ---------- Предыдущее сообщение было написано в 17:56 ----------

Ip_MEN, Может привилегий на ветку было недостаточно

 

[Angel-iz-Ada]

Да, скорее всего админских прав не хватало

 

[safety]

safety, Вот вот..скорей ложное и было

так на вопрос не ответил, значит нет ясности в голове по поводу хэшей и сигнатур. хэши и сигнатуры - это разные данные. сигнатрура в uVS извлекается по известному автору алгоритму из файла. Хэши (md5, sha1 и др.) же вычисляются по признанным стандартным и известным алгоритмам.

 

[Hotab]

safety, Конечно же речь идет о сигнатуре.Просто в начале не так выразился