0
0eck
Гость
Universal Virus Sniffer
Программа предназначена для облегчения процесса обнаружения и уничтожения неизвестных вирусов, руткитов и буткитов.
02. Работа с реестром в трех режимах: удаление ссылок на вирусы, устранение проблем после лечения системы антивирусом.
02. Создание образов автозапуска. (например для удаленного помощника).
03. Четвертый режим работы: cимуляция работы в виртуальной системе на основе ее образа.
04. Автоматическая генерация скриптов для лечения реальной системы (при работе с образом системы).
05. Уникальный набор фильтров и встроенный анализатор для быстрого обнаружения неизвестных зловредов.
06. Ведение пользовательской базы вирусов, автоматическое извлечение сигнатур из исполняемых файлов (в т.ч. защищенных)
07. Автоматическое обнаружение активных файловых вирусов и снятие их сигнатур.
08. Быстрое обнаружение и легкое устранение любых файловых руткитов [файл сверки + проверка цифр. подписей под чистой системой]
09. Возможность использования каталога внешних цифровых подписей (CatRoot) неактивной системы (в т.ч. и в WinPE 2.x-3.x)
10. Обнаружение скрытых DLL в адресном пространстве процесса.
11. Специальный иммунный (к нек. видам блок. запуска) модуль зачистки системы перед запуском uVS. (StartF)
12. Выявление скрытого заражения MBR, Boot секторов и загрузчиков Windows. [файл сверки]
13. Удобное восстановление поврежденных/отсутствующих файлов из дистрибутива Windows.
14. Бэкап реестра с его дефрагментацией и восстановлением.
15. Выявление исполняемых файловых потоков.
16. Виртуализация реестра.
17. Взаимодейтсвие с редактором реестра в т.ч. в x64 и WinPE.
Программа предназначена для облегчения процесса обнаружения и уничтожения неизвестных вирусов, руткитов и буткитов.
Уникальные возможности:
01. Три основных режима: работа с активными, неактивными, удаленными системами.02. Работа с реестром в трех режимах: удаление ссылок на вирусы, устранение проблем после лечения системы антивирусом.
02. Создание образов автозапуска. (например для удаленного помощника).
03. Четвертый режим работы: cимуляция работы в виртуальной системе на основе ее образа.
04. Автоматическая генерация скриптов для лечения реальной системы (при работе с образом системы).
05. Уникальный набор фильтров и встроенный анализатор для быстрого обнаружения неизвестных зловредов.
06. Ведение пользовательской базы вирусов, автоматическое извлечение сигнатур из исполняемых файлов (в т.ч. защищенных)
07. Автоматическое обнаружение активных файловых вирусов и снятие их сигнатур.
08. Быстрое обнаружение и легкое устранение любых файловых руткитов [файл сверки + проверка цифр. подписей под чистой системой]
09. Возможность использования каталога внешних цифровых подписей (CatRoot) неактивной системы (в т.ч. и в WinPE 2.x-3.x)
10. Обнаружение скрытых DLL в адресном пространстве процесса.
11. Специальный иммунный (к нек. видам блок. запуска) модуль зачистки системы перед запуском uVS. (StartF)
12. Выявление скрытого заражения MBR, Boot секторов и загрузчиков Windows. [файл сверки]
13. Удобное восстановление поврежденных/отсутствующих файлов из дистрибутива Windows.
14. Бэкап реестра с его дефрагментацией и восстановлением.
15. Выявление исполняемых файловых потоков.
16. Виртуализация реестра.
17. Взаимодейтсвие с редактором реестра в т.ч. в x64 и WinPE.
Общий F.A.Q.
Q: Зачем нужен uVS?
A: Для быстрого устранения заражения неизвестными вирусами, руткитами, буткитами.
Q: Минимальные требования к пользователю?
A: Должен уметь руками убивать простые трояны и иметь основные познания в устройстве системы.
Т.е. продвинутый пользователь хорошо знакомый с реестром Windows.
Q: Является ли uVS заменой антивирусу?
A: Нет. uVS предназначен для борьбы с вирусами, которые не способен опознать ИЛИ убить ваш любимый
антивирус с ТЕКУЩИМИ антивирусными базами.
Q: Является ли uVS полной заменой vscan-а 1.x?
A: Полностью. Проект vscan закрыт.
Q: Стоит ли запускать uVS в нормальном режиме, не лучше ли сразу запустить в безопасном?
A: uVS предназначен для запуска именно в зараженной системе и именно в нормальном режиме.
Q: Системные требования uVS?
A: Win2k, WinXP x86/x64, Win2k3 x86/x64, Vista x86/x64, Win7 x86/x64,
возможно Win2k8 x86/x64, WinPE.
45mb+свободной оперативной памяти (+память под реестр), пароль/логин администратора,
(!) Проверка в Windows PE 1.x возможна на компьютерах со 64(и более)Mb оперативной памяти.
(проверка цифровых подписей НЕ_доступна)
(!) Проверка в Windows PE 2.x-3.x возможна лишь на компьютерах с 384(и более)Mb.
(проверка цифровых подписей доступна)
Q: Чем uVS отличается от подобного ПО?
A:
Q: У меня не получается запустить uVS, что я делаю не так?
A: Правильный способ:
Для начала uVS рекомендуется хранить в архиве.
Разворачивать архив непосредственно на зараженной машине в каталог
не имеющий ограничений на запись.
Соотв. запуск uVS непосредственно с CD/DVD-ROM или защищенной от записи флешки невозможен.
Q: Чем отличается запуск uVS под LocalSystem от обычного запуска?
A: LocalSystem имеет максимальные права доступа к реестру и файловой системе,
но не имеет доступа к сети.
Обычный запуск обеспечивает uVS теми правами, что имеет текущий пользователь.
Q: Почему диспетчер задач показывает некий процесс
со странным именем без расширения, а uVS его не видит?
A: uVS запускается под случайным именем – соотв. возможно это он и есть.
Q: Почему uVS показывает только один процесс svchost.exe, ведь их много?
A: uVS работает с файлами, один файл - одна запись. Выгрузка или команда на
уничтожение выгружает все процессы соотв. этому файлу.
Q: Почему uVS не показывает LNK-файлы в автозапуске?
A: uVS извлекает из LNK ссылки на файлы и добавляет в список реальный объект автозапуска.
LNK добавляется в список только в случае если он испорчен, либо он НЕ является LNK, либо
uVS не поддерживает данный тип LNK.
LNK-файлы указывающие на отсутствующий файл находятся в соотв. разделе.
LNK удаляется синхронно с самим объектом автозапуска.
Q: Можно ли узнать почему файл помечен "подозрительным"?
A: Даблклик.
Q: Что делает "Удалить все ссылки на файл"?
A: Ссылки в реестре, lnk/pif файлы и т.п. указывающие на этот файл уничтожаются.
(!) Команда исполняется немедленно без вопросов.
Q: Что делает "Удалить все ссылки вместе с файлом"?
A: Все исполняющиеся копии файла насильно выгружаются и уничтожаются ссылки на них,
затем удаляется сам файл.
(!) Команда исполняется немедленно без вопросов.
Q: Почему не_активна кнопка "Проверить список"?
A: Список сигнатур пуст, соотв. не на что проверять.
Q: А почему тогда активна кнопка "Проверить каталог"?
A: Проверка каталога не только ищет вирусы, но и подозрительные файлы в этом каталоге.
Q: Почему при проверке каталога проверяются и отдельные файлы вне его?
A: LNK файлы находящиеся внутри проверяемого каталога могут указывать куда угодно, соотв. uVS
проверяет все файлы на которые указывает каждый LNK файл.
Q: Почему uVS поставляется с пустой базой сигнатур?
A: uVS не антивирус, базу заполняет сам пользователь только тем, что ему
необходимо в данный момент времени для успешного лечения.
Q: Как добавить вирусную сигнатуру?
A: Правой кнопкой по элементу списка или кнопкой "Добавить вирусы"
можно указать на файл(ы).
Q: Для чего нужна длина сигнатуры?
A: Чем меньше длина тем выше вероятность ложного срабатывания.
8 байт подходит почти для всего.
Для полиморфов и файловых вирусов она может быть 5,
будет очень сложно
Для некоторых троянов требуется 32 байта.
Для DLL рекомендуется указывать 64 байта.
(!) Для серьезных полиморфов сигнатурный движок uvs совершенно бесполезен,
(!) в этом случае без хорошего антивируса победить заразу (особенно удаленно) будет очень сложно.
Q: Можно ли менять длину уже существующей сигнатуры?
A: Да.
Q: Почему uVS не хочет добавлять сигнатуру из указанного файла?
A: Добавление сигнатур возможно лишь из исполняемых файлов.
Q: Как убить найденные вирусы?
A: Есть 2 пути простой и правильный.
Изложу правильный:
Каждого обнаруженного зловреда необходимо внести в базу, затем проверить
список нажав соотв. кнопку, убедиться, что нет ложных срабатываний и затем
нажать кнопку "Убить вирусы". Этот способ гарантирует с вероятностью близкой
к 100%, что ни один активный вирус из внесенных в базу не выживет, даже если
один из вирей поддерживает другой.
Q: Зачем нужен Zoo?
A: Для сбора сэмплов и последующего их опознания.
Q: Что такое "известный модуль"?
A: Это файл имеющий определенное имя и лежащий по определенному пути.
Списки известных модулей для каждой ОС независимы друг от друга и включают в себя базовый набор
системных файлов.
Q: В “известные” можно добавлять что угодно?
A: Да, однако лучше обойтись без излишнего фанатизма.
\Program files и \Windows не привязаны к конкретному диску, все остальное
добавляется по абсолютному пути.
Q: Почему так долго сохраняется реестр?
A: В процессе происходит дефрагментация и восстановление реестра.
(время выполнения сильно зависит от флага bFastBackup).
Q: Как починить поврежденный реестр?
A: Запустить uVS выбрав каталог системы с поврежденным реестром, затем сделать бэкап реестра
и выполнить восстановление. В процессе реестр будет исправлен и дефрагментирован.
Q: Как восстановить реестр из бэкапа uVS если Windows отказался грузиться?
A: Загрузиться с диска/флешки и в windows\system32\config скопировать файлы
system.uVS и software.uVS вместо system и software соотв.
Q: Как открыть ссылку на ключ запуска в редакторе реестра?
A: Открыть окно информации о файле и даблклик по нужной ссылке.
Q: Тест на скрытые драйверы находит все руткиты?
A: Нет, лишь определенный их тип. Для обнаружения любых руткитов используйте файл сверки и
проверку цифровой подписи под WinPE не младше 2.0.
Q: Как избавиться от найденных руткитов? Указанных uVS файлов на диске нет.
A: см. соотв. файл.
Q: Как запустить uVS с CD/DVD диска в т.ч. и при вставке диска.
A: _autorun.zip
Q: Что означает поле статус в информации о файле.
A:
АКТИВНЫЙ
Процесс/Драйвер загруженный в память (по мнению системы).
Загруженная библиотека (DLL) (по мнению uVS).
ВИРУС
Файл опознанный как вирус, но его сигнатура не найдена в базе.
Имя_вируса(глубина_совпадения_сигнатуры)+VT
Файл опознанный как вирус (по сигнатуре из пользовательской базы данных).
"+VT" означает что диагноз был подтвержден на VirusTotal.com.
?ВИРУС?
Возможно вирус по данным VirusTotal.com
(файл детектится как минимум одним из антивирусных движков)
ВНЕДРЯЕМЫЙ
Неизвестная DLL обнаруженная в адресном пространстве uVS или одного из процессов на базе
ИЗВЕСТНОГО файла.
ИЗВЕСТНЫЙ
Файл имеющий определенное имя и лежащий по определенному пути внесенный в базу известных файлов.
(не путать с ПРОВЕРЕННЫМ, содержимое файла не верифицировано!)
ПРОВЕРЕННЫЙ
Файл прошедший проверку цифровой подписи или проверку хэша (по SHA1) или статус "проверенный"
был присвоен файлу пользователем вручную (в окне информации о файле).
ПОДОЗРИТЕЛЬНЫЙ
Файл на который стоит обратить внимание, причина добавления в подозрительные
указана в информации о файле.
АВТОРАНОВЫЙ
Прописан в autorun.inf, находящемся в корне одного и логических дисков.
драйвер/сервис (в т.ч. отключенный)
Ясно из названия.
Прим. я использую слово "сервис" вместо официального "служба".
DLL
Библиотека/модуль.
сервисная_DLL
DLL прописаная в ServiceDLL / Library / ProviderPath одного из сервисов.
в Zoo
Файл находится в Zoo.
в автозапуске
Файл МОЖЕТ запуститься автоматически без участия пользователя.
(МОЖЕТ - означает, что это и сервисы в режиме ручного запуска)
Следует понимать, что такой статус имеют не только те файлы на которые указывает ссылка
в реестре, линк в автозагрузке и т.п. Но и те что в общем случае запустятся обязательно
не взирая ни на что (например NTDLL.DLL).
Firefox_плагин, Opera_плагин
Ясно из названия
[system.ini]
Файл указан в system.ini
[СЕТЕВАЯ_АКТИВНОСТЬ]
Процесс на базе данного файла проявляет сетевую активность, т.е. владеет открытым портом или
как минимум пытается установить соединение в т.ч. и с localhost.
(только для TCP/TCP6, UDP/UDP6)
[SAFE_MODE]
Файл участвует в автозагрузке одного из вариантов безопасного режима.
Неизвестные файлы с таким статусом обычно являются зловредами.
[SVCHOST]
Файл прописан в ServiceDLL / Library / ProviderPath сервиса на базе _известного_ svchost.exe
[файловый поток]
Ясно из названия
загрузчик
файлы ntldr, bootmgr и т.п. в корнях логических дисков (т.е. не только загрузчики акт. системы)
[Запускался неявно или вручную]
_Существующий_ файл, который не содержится в автозапуске, НО п.н. запускался в прошлом,
соотв. либо пользователем, либо системой, либо каким-то процессом, либо он в автозапуске,
но uVS об этом ничего не знает.
добавлен вручную
Файл, НЕ в автозапуске был добавлен специальной функцией в соотв. с фильтром по дате,
либо каким-либо другим способом, но всегда строго по требованию пользователя.
Q: Для чего все эти файлы без расширений?
A: – тестовый файл для ловли файловых вирусов (зашифрован)
bl.log - В файле сохраняются хэши файлов (MD5) запрещенных к запуску с помощью uVS.
Для включения ведения лога в Settings.ini укажите в секции [Settings] значение bLogBL=1
- списки известных модулей для соотв. OS
(в открытом виде UTF8, km*.x64 для x64 систем)
– база сигнатур (зашифрован) этот файл можно использовать
с любой версией uVS.
- база проверенных файлов.
- база поисковых критериев. (текстовый файл)
– бэкап start.exe (зашифрован)
– бэкап startf.exe (зашифрован)
- локализация uVS (зашифрован)
– тело uVS (зашифрован)
- модуль для подключения к удаленному компьютеру (зашифрован)
Q: Для чего нужен xMD5?
A: xMD5.exe предназначен для внесения хэшей из bl.log в реестр.
xMD5 можно запускать с параметром (ip адрес или имя компьютера) или запускать без параметра
для внесения хэшей в реестр активной системы.
(Для применения изменений можно использовать gpupdate /force и/или перезагрузить целевой компьютер)
Q: Какие дополнительные параметры можно настроить в settings.ini?
[Settings]
при добавлении сигнатуры добавлять в скрипт полный путь до файла в виде комментария
bAddComment = 1 (1 по умолчанию)
Автоматически копировать в zoo файл, удаляемый с помощью команды delall (кроме сетевого режима)
bAutoZooOnDelAll = 1 (0 по умолчанию)
Автоматически блокировать запуск файла по MD5, удаляемого с помощью команды delall или
при добавлении сигнатуры файла в _базу_
(!) только для ручного добавления сигнатуры
= 1 (0 по умолчанию)
Автоматически добавлять команду "ZOO" в скрипт для всех найденных вирусов (по F7).
Команда НЕ добавляется если она уже присутствует в скрипте для данного файла.
bAutoZooOnF7 = 1 (0 по умолчанию)
Автоматически добавлять команду "BL" в скрипт для всех найденных вирусов (по F7).
bAutoBLOnF7 = 1 (0 по умолчанию)
0 = Не создавать файл с логом.
1 = Создавать лог в каталоге Zoo _перед выполнением команды CZOO.
2 = Создавать лог _после выполнения скрипта в корневом каталоге uVS.
3 = Создавать оба лога.
bSaveScrLog = 2 (2 по умолчанию)
при добавлении файла в Zoo (не для сетевого режима) помещать в Zoo файл с описанием.
bSaveZooFileInfo = 1 (1 по умолчанию)
Дополнительно сканировать D&S/Users и загружать найденные профили пользователей, даже
если их НЕТ в списке профилей пользователей, проверяемой системы.
bAllProfiles = 1 (0 по умолчанию)
вести лог файлов запрещенных к запуску по MD5 хэшу
bLogBL=1
Управление загрузкой в сетевом режиме.
bNetFastLoad = 0 (0 по умолчанию, обычный запуск)
1 (не считывать список автозапуска)
2 (не считывать список автозапуска и открыть удаленный рабочий стол)
Сохранять при выходе размер и позицию окна
bSaveWndPos = 1 (0 по умолчанию)
Быстрый бэкап ключей реестра 1:1 (без дефрагментации результата)
Этот параметр влияет на работу всех функций связанных с сохранением/копированием ключей.
Параметр игнорируется если uVS работает в Windows 2000.
Параметр всегда равен 1 для сетевого режима.
bFastBackup = 1 (1 по умолчанию)
Количество одновременных потоков для закачки файлов из интернета.
Допустимые значения от 1 до 16
MaxInetThreads = 4 (4 по умолчанию)
Автоматически архивировать созданный образ автозапуска.
При наличии в системе 7-Zip/WinRAR.
bZipImage = 1 (1 по умолчанию)
Автоматически проверять список при открытии образа
ImgAutoF7 = 1 (1 по умолчанию)
Автоматически проверять список по базе поисковых критериев
ImgAutoAltF7 = 1 (1 по умолчанию)
Автоматически проверять список по базе проверенных файлов при открытии образа
ImgAutoF4 = 1 (1 по умолчанию)
Имя пользовательской базы проверенных файлов
Sha1Name (по умолчанию SHA1)
Секция APP
[APP]
Внешний файловый менеджер
Поддерживаются относительные пути.
FM
Используемый браузер (полный путь без кавычек)
Выбор браузера доступен в меню "Настройка".
Поддерживаются относительные пути.
Browser (по умолчанию используется дефолтный)
Используемый текстовый редактор
Выбор редактора доступен в меню "Настройка".
Поддерживаются относительные пути.
TextEditor (по умолчанию используется notepad)
Q: Почему uVS стартует очень медленно?
A: Возможно у вас подключен кардридер или док-станция. Windows пожизненно плохо работает
со съемными устройствами, ускорить процесс загрузки поможет перезагрузка системы
или отключение ридера.
Q: Есть ли горячие клавиши?
A: Горячие клавиши:
Esc - Сбросить фильтр (по имени файла).
Backspace - Удалить последний введенный символ в строке фильтра.
F1 - Скрыть/показать известные и проверенные файлы.
Ctrl+F1 - Скрыть/показать проверенные файлы.
Alt+F1 - Скрыть/показать известные файлы.
F2 - Скрывать файлы с указанным в информации о файле производителем.
Отсутствующие файлы тоже скрываются.
F3 - Считать "производителя" и сигнатуры для всех файлов в списке.
(для которых они еще не считаны)
Ctrl+F3 - Включить автосчитывание "производителя" и сигнатур для всех файлов в списке.
- Проверка хэшей файлов в списке по базе проверенных файлов
- Обновить список автозапуска.
- Проверка цифр. подписей файлов в списке.
- Проверить список автозапуска на вирусы.
- Поднять/опустить главное окно
- Скрыть все перекрывающие окна и опознать их владельцев
Shift+F10 - Контекстное меню файла.
Ctrl+O - Открыть образ автозапуска.
Сtrl+P - Режим сканирования процессов. (альтернативный режим выявляет скрытые процессы)
Ctrl+S - Сохранить список.
Сtrl+B- Блокировать/разблокировать запуск служб.
Enter - Информация о файле.
Del - Удалить из списка.
Alt+Del - Очистить корзину, удалить временные файлы затем удалить ссылки на отсутствующие
Alt+Up - Предыдущая категория
Alt+Down - Следующая категория
Alt+F - Запустить внешний файловый менеджер с повышенными привилегиями.
Alt+L - Режим просмотра лога.
Alt+S - Сохранить скрипт.
Alt+T - Твики.
Alt+U - Открыть окно установленных программ
Alt+V - Удаленный рабочий стол
A: Для быстрого устранения заражения неизвестными вирусами, руткитами, буткитами.
Q: Минимальные требования к пользователю?
A: Должен уметь руками убивать простые трояны и иметь основные познания в устройстве системы.
Т.е. продвинутый пользователь хорошо знакомый с реестром Windows.
Q: Является ли uVS заменой антивирусу?
A: Нет. uVS предназначен для борьбы с вирусами, которые не способен опознать ИЛИ убить ваш любимый
антивирус с ТЕКУЩИМИ антивирусными базами.
Q: Является ли uVS полной заменой vscan-а 1.x?
A: Полностью. Проект vscan закрыт.
Q: Стоит ли запускать uVS в нормальном режиме, не лучше ли сразу запустить в безопасном?
A: uVS предназначен для запуска именно в зараженной системе и именно в нормальном режиме.
Q: Системные требования uVS?
A: Win2k, WinXP x86/x64, Win2k3 x86/x64, Vista x86/x64, Win7 x86/x64,
возможно Win2k8 x86/x64, WinPE.
45mb+свободной оперативной памяти (+память под реестр), пароль/логин администратора,
(!) Проверка в Windows PE 1.x возможна на компьютерах со 64(и более)Mb оперативной памяти.
(проверка цифровых подписей НЕ_доступна)
(!) Проверка в Windows PE 2.x-3.x возможна лишь на компьютерах с 384(и более)Mb.
(проверка цифровых подписей доступна)
Q: Чем uVS отличается от подобного ПО?
A:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Q: У меня не получается запустить uVS, что я делаю не так?
A: Правильный способ:
Для начала uVS рекомендуется хранить в архиве.
Разворачивать архив непосредственно на зараженной машине в каталог
не имеющий ограничений на запись.
Соотв. запуск uVS непосредственно с CD/DVD-ROM или защищенной от записи флешки невозможен.
Q: Чем отличается запуск uVS под LocalSystem от обычного запуска?
A: LocalSystem имеет максимальные права доступа к реестру и файловой системе,
но не имеет доступа к сети.
Обычный запуск обеспечивает uVS теми правами, что имеет текущий пользователь.
Q: Почему диспетчер задач показывает некий процесс
со странным именем без расширения, а uVS его не видит?
A: uVS запускается под случайным именем – соотв. возможно это он и есть.
Q: Почему uVS показывает только один процесс svchost.exe, ведь их много?
A: uVS работает с файлами, один файл - одна запись. Выгрузка или команда на
уничтожение выгружает все процессы соотв. этому файлу.
Q: Почему uVS не показывает LNK-файлы в автозапуске?
A: uVS извлекает из LNK ссылки на файлы и добавляет в список реальный объект автозапуска.
LNK добавляется в список только в случае если он испорчен, либо он НЕ является LNK, либо
uVS не поддерживает данный тип LNK.
LNK-файлы указывающие на отсутствующий файл находятся в соотв. разделе.
LNK удаляется синхронно с самим объектом автозапуска.
Q: Можно ли узнать почему файл помечен "подозрительным"?
A: Даблклик.
Q: Что делает "Удалить все ссылки на файл"?
A: Ссылки в реестре, lnk/pif файлы и т.п. указывающие на этот файл уничтожаются.
(!) Команда исполняется немедленно без вопросов.
Q: Что делает "Удалить все ссылки вместе с файлом"?
A: Все исполняющиеся копии файла насильно выгружаются и уничтожаются ссылки на них,
затем удаляется сам файл.
(!) Команда исполняется немедленно без вопросов.
Q: Почему не_активна кнопка "Проверить список"?
A: Список сигнатур пуст, соотв. не на что проверять.
Q: А почему тогда активна кнопка "Проверить каталог"?
A: Проверка каталога не только ищет вирусы, но и подозрительные файлы в этом каталоге.
Q: Почему при проверке каталога проверяются и отдельные файлы вне его?
A: LNK файлы находящиеся внутри проверяемого каталога могут указывать куда угодно, соотв. uVS
проверяет все файлы на которые указывает каждый LNK файл.
Q: Почему uVS поставляется с пустой базой сигнатур?
A: uVS не антивирус, базу заполняет сам пользователь только тем, что ему
необходимо в данный момент времени для успешного лечения.
Q: Как добавить вирусную сигнатуру?
A: Правой кнопкой по элементу списка или кнопкой "Добавить вирусы"
можно указать на файл(ы).
Q: Для чего нужна длина сигнатуры?
A: Чем меньше длина тем выше вероятность ложного срабатывания.
8 байт подходит почти для всего.
Для полиморфов и файловых вирусов она может быть 5,
будет очень сложно
Для некоторых троянов требуется 32 байта.
Для DLL рекомендуется указывать 64 байта.
(!) Для серьезных полиморфов сигнатурный движок uvs совершенно бесполезен,
(!) в этом случае без хорошего антивируса победить заразу (особенно удаленно) будет очень сложно.
Q: Можно ли менять длину уже существующей сигнатуры?
A: Да.
Q: Почему uVS не хочет добавлять сигнатуру из указанного файла?
A: Добавление сигнатур возможно лишь из исполняемых файлов.
Q: Как убить найденные вирусы?
A: Есть 2 пути простой и правильный.
Изложу правильный:
Каждого обнаруженного зловреда необходимо внести в базу, затем проверить
список нажав соотв. кнопку, убедиться, что нет ложных срабатываний и затем
нажать кнопку "Убить вирусы". Этот способ гарантирует с вероятностью близкой
к 100%, что ни один активный вирус из внесенных в базу не выживет, даже если
один из вирей поддерживает другой.
Q: Зачем нужен Zoo?
A: Для сбора сэмплов и последующего их опознания.
Q: Что такое "известный модуль"?
A: Это файл имеющий определенное имя и лежащий по определенному пути.
Списки известных модулей для каждой ОС независимы друг от друга и включают в себя базовый набор
системных файлов.
Q: В “известные” можно добавлять что угодно?
A: Да, однако лучше обойтись без излишнего фанатизма.
\Program files и \Windows не привязаны к конкретному диску, все остальное
добавляется по абсолютному пути.
Q: Почему так долго сохраняется реестр?
A: В процессе происходит дефрагментация и восстановление реестра.
(время выполнения сильно зависит от флага bFastBackup).
Q: Как починить поврежденный реестр?
A: Запустить uVS выбрав каталог системы с поврежденным реестром, затем сделать бэкап реестра
и выполнить восстановление. В процессе реестр будет исправлен и дефрагментирован.
Q: Как восстановить реестр из бэкапа uVS если Windows отказался грузиться?
A: Загрузиться с диска/флешки и в windows\system32\config скопировать файлы
system.uVS и software.uVS вместо system и software соотв.
Q: Как открыть ссылку на ключ запуска в редакторе реестра?
A: Открыть окно информации о файле и даблклик по нужной ссылке.
Q: Тест на скрытые драйверы находит все руткиты?
A: Нет, лишь определенный их тип. Для обнаружения любых руткитов используйте файл сверки и
проверку цифровой подписи под WinPE не младше 2.0.
Q: Как избавиться от найденных руткитов? Указанных uVS файлов на диске нет.
A: см. соотв. файл.
Q: Как запустить uVS с CD/DVD диска в т.ч. и при вставке диска.
A: _autorun.zip
Q: Что означает поле статус в информации о файле.
A:
АКТИВНЫЙ
Процесс/Драйвер загруженный в память (по мнению системы).
Загруженная библиотека (DLL) (по мнению uVS).
ВИРУС
Файл опознанный как вирус, но его сигнатура не найдена в базе.
Имя_вируса(глубина_совпадения_сигнатуры)+VT
Файл опознанный как вирус (по сигнатуре из пользовательской базы данных).
"+VT" означает что диагноз был подтвержден на VirusTotal.com.
?ВИРУС?
Возможно вирус по данным VirusTotal.com
(файл детектится как минимум одним из антивирусных движков)
ВНЕДРЯЕМЫЙ
Неизвестная DLL обнаруженная в адресном пространстве uVS или одного из процессов на базе
ИЗВЕСТНОГО файла.
ИЗВЕСТНЫЙ
Файл имеющий определенное имя и лежащий по определенному пути внесенный в базу известных файлов.
(не путать с ПРОВЕРЕННЫМ, содержимое файла не верифицировано!)
ПРОВЕРЕННЫЙ
Файл прошедший проверку цифровой подписи или проверку хэша (по SHA1) или статус "проверенный"
был присвоен файлу пользователем вручную (в окне информации о файле).
ПОДОЗРИТЕЛЬНЫЙ
Файл на который стоит обратить внимание, причина добавления в подозрительные
указана в информации о файле.
АВТОРАНОВЫЙ
Прописан в autorun.inf, находящемся в корне одного и логических дисков.
драйвер/сервис (в т.ч. отключенный)
Ясно из названия.
Прим. я использую слово "сервис" вместо официального "служба".
DLL
Библиотека/модуль.
сервисная_DLL
DLL прописаная в ServiceDLL / Library / ProviderPath одного из сервисов.
в Zoo
Файл находится в Zoo.
в автозапуске
Файл МОЖЕТ запуститься автоматически без участия пользователя.
(МОЖЕТ - означает, что это и сервисы в режиме ручного запуска)
Следует понимать, что такой статус имеют не только те файлы на которые указывает ссылка
в реестре, линк в автозагрузке и т.п. Но и те что в общем случае запустятся обязательно
не взирая ни на что (например NTDLL.DLL).
Firefox_плагин, Opera_плагин
Ясно из названия
[system.ini]
Файл указан в system.ini
[СЕТЕВАЯ_АКТИВНОСТЬ]
Процесс на базе данного файла проявляет сетевую активность, т.е. владеет открытым портом или
как минимум пытается установить соединение в т.ч. и с localhost.
(только для TCP/TCP6, UDP/UDP6)
[SAFE_MODE]
Файл участвует в автозагрузке одного из вариантов безопасного режима.
Неизвестные файлы с таким статусом обычно являются зловредами.
[SVCHOST]
Файл прописан в ServiceDLL / Library / ProviderPath сервиса на базе _известного_ svchost.exe
[файловый поток]
Ясно из названия
загрузчик
файлы ntldr, bootmgr и т.п. в корнях логических дисков (т.е. не только загрузчики акт. системы)
[Запускался неявно или вручную]
_Существующий_ файл, который не содержится в автозапуске, НО п.н. запускался в прошлом,
соотв. либо пользователем, либо системой, либо каким-то процессом, либо он в автозапуске,
но uVS об этом ничего не знает.
добавлен вручную
Файл, НЕ в автозапуске был добавлен специальной функцией в соотв. с фильтром по дате,
либо каким-либо другим способом, но всегда строго по требованию пользователя.
Q: Для чего все эти файлы без расширений?
A: – тестовый файл для ловли файловых вирусов (зашифрован)
bl.log - В файле сохраняются хэши файлов (MD5) запрещенных к запуску с помощью uVS.
Для включения ведения лога в Settings.ini укажите в секции [Settings] значение bLogBL=1
- списки известных модулей для соотв. OS
(в открытом виде UTF8, km*.x64 для x64 систем)
– база сигнатур (зашифрован) этот файл можно использовать
с любой версией uVS.
- база проверенных файлов.
- база поисковых критериев. (текстовый файл)
– бэкап start.exe (зашифрован)
– бэкап startf.exe (зашифрован)
- локализация uVS (зашифрован)
– тело uVS (зашифрован)
- модуль для подключения к удаленному компьютеру (зашифрован)
Q: Для чего нужен xMD5?
A: xMD5.exe предназначен для внесения хэшей из bl.log в реестр.
xMD5 можно запускать с параметром (ip адрес или имя компьютера) или запускать без параметра
для внесения хэшей в реестр активной системы.
(Для применения изменений можно использовать gpupdate /force и/или перезагрузить целевой компьютер)
Q: Какие дополнительные параметры можно настроить в settings.ini?
[Settings]
при добавлении сигнатуры добавлять в скрипт полный путь до файла в виде комментария
bAddComment = 1 (1 по умолчанию)
Автоматически копировать в zoo файл, удаляемый с помощью команды delall (кроме сетевого режима)
bAutoZooOnDelAll = 1 (0 по умолчанию)
Автоматически блокировать запуск файла по MD5, удаляемого с помощью команды delall или
при добавлении сигнатуры файла в _базу_
(!) только для ручного добавления сигнатуры
= 1 (0 по умолчанию)
Автоматически добавлять команду "ZOO" в скрипт для всех найденных вирусов (по F7).
Команда НЕ добавляется если она уже присутствует в скрипте для данного файла.
bAutoZooOnF7 = 1 (0 по умолчанию)
Автоматически добавлять команду "BL" в скрипт для всех найденных вирусов (по F7).
bAutoBLOnF7 = 1 (0 по умолчанию)
0 = Не создавать файл с логом.
1 = Создавать лог в каталоге Zoo _перед выполнением команды CZOO.
2 = Создавать лог _после выполнения скрипта в корневом каталоге uVS.
3 = Создавать оба лога.
bSaveScrLog = 2 (2 по умолчанию)
при добавлении файла в Zoo (не для сетевого режима) помещать в Zoo файл с описанием.
bSaveZooFileInfo = 1 (1 по умолчанию)
Дополнительно сканировать D&S/Users и загружать найденные профили пользователей, даже
если их НЕТ в списке профилей пользователей, проверяемой системы.
bAllProfiles = 1 (0 по умолчанию)
вести лог файлов запрещенных к запуску по MD5 хэшу
bLogBL=1
Управление загрузкой в сетевом режиме.
bNetFastLoad = 0 (0 по умолчанию, обычный запуск)
1 (не считывать список автозапуска)
2 (не считывать список автозапуска и открыть удаленный рабочий стол)
Сохранять при выходе размер и позицию окна
bSaveWndPos = 1 (0 по умолчанию)
Быстрый бэкап ключей реестра 1:1 (без дефрагментации результата)
Этот параметр влияет на работу всех функций связанных с сохранением/копированием ключей.
Параметр игнорируется если uVS работает в Windows 2000.
Параметр всегда равен 1 для сетевого режима.
bFastBackup = 1 (1 по умолчанию)
Количество одновременных потоков для закачки файлов из интернета.
Допустимые значения от 1 до 16
MaxInetThreads = 4 (4 по умолчанию)
Автоматически архивировать созданный образ автозапуска.
При наличии в системе 7-Zip/WinRAR.
bZipImage = 1 (1 по умолчанию)
Автоматически проверять список при открытии образа
ImgAutoF7 = 1 (1 по умолчанию)
Автоматически проверять список по базе поисковых критериев
ImgAutoAltF7 = 1 (1 по умолчанию)
Автоматически проверять список по базе проверенных файлов при открытии образа
ImgAutoF4 = 1 (1 по умолчанию)
Имя пользовательской базы проверенных файлов
Sha1Name (по умолчанию SHA1)
Секция APP
[APP]
Внешний файловый менеджер
Поддерживаются относительные пути.
FM
Используемый браузер (полный путь без кавычек)
Выбор браузера доступен в меню "Настройка".
Поддерживаются относительные пути.
Browser (по умолчанию используется дефолтный)
Используемый текстовый редактор
Выбор редактора доступен в меню "Настройка".
Поддерживаются относительные пути.
TextEditor (по умолчанию используется notepad)
Q: Почему uVS стартует очень медленно?
A: Возможно у вас подключен кардридер или док-станция. Windows пожизненно плохо работает
со съемными устройствами, ускорить процесс загрузки поможет перезагрузка системы
или отключение ридера.
Q: Есть ли горячие клавиши?
A: Горячие клавиши:
Esc - Сбросить фильтр (по имени файла).
Backspace - Удалить последний введенный символ в строке фильтра.
F1 - Скрыть/показать известные и проверенные файлы.
Ctrl+F1 - Скрыть/показать проверенные файлы.
Alt+F1 - Скрыть/показать известные файлы.
F2 - Скрывать файлы с указанным в информации о файле производителем.
Отсутствующие файлы тоже скрываются.
F3 - Считать "производителя" и сигнатуры для всех файлов в списке.
(для которых они еще не считаны)
Ctrl+F3 - Включить автосчитывание "производителя" и сигнатур для всех файлов в списке.
- Проверка хэшей файлов в списке по базе проверенных файлов
- Обновить список автозапуска.
- Проверка цифр. подписей файлов в списке.
- Проверить список автозапуска на вирусы.
- Поднять/опустить главное окно
- Скрыть все перекрывающие окна и опознать их владельцев
Shift+F10 - Контекстное меню файла.
Ctrl+O - Открыть образ автозапуска.
Сtrl+P - Режим сканирования процессов. (альтернативный режим выявляет скрытые процессы)
Ctrl+S - Сохранить список.
Сtrl+B- Блокировать/разблокировать запуск служб.
Enter - Информация о файле.
Del - Удалить из списка.
Alt+Del - Очистить корзину, удалить временные файлы затем удалить ссылки на отсутствующие
Alt+Up - Предыдущая категория
Alt+Down - Следующая категория
Alt+F - Запустить внешний файловый менеджер с повышенными привилегиями.
Alt+L - Режим просмотра лога.
Alt+S - Сохранить скрипт.
Alt+T - Твики.
Alt+U - Открыть окно установленных программ
Alt+V - Удаленный рабочий стол
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
