-
[quote=NickGolovko;169366]А тогда какой смысл? Проще сказать пользователю "поищите файлы на диске с такими-то параметрами". Такие данные, на мой взгляд, как раз и должны быть только в общем логе исследования системы. Или в DSS и ComboFix это тоже запускается отдельно от основного исследования? ;)
Мне такая дополнительная таблица представляется преследующей примерно те же цели, что и список подозрительных файлов в конце исследования системы.[/quote]
Имхо - воткнуть это в исследование, отдельной таблицей, файлы искать только в корне диска и системной папке, без повторов, исключая известные AVZ или прошедшие контроль MS, измененные или созданные за последние 7-10 дней.
-
[QUOTE=Зайцев Олег;169375]файлы искать только в корне диска и системной папке[/QUOTE]Может расшириться на весь системный диск?
-
Олег, похоже "проблемный Мастер" не исправляет таймаут завершения служб, проверьте пожалуйста.
-
Баг в avz: При просмотре в менеджере процессов например если отсортировать все данные по какой либо колонки, то колонка что была выделена собьется. То есть после отсортировки данные не обновляются в таблице и видно список модулей dll старого процесса
-
[quote=Maxim;169383]Может расширится на весь системный диск?[/quote]
Я думаю не стоит - я всегда рассматриваю любое новшество как совокупность затрат усилий на реализацию (тут это не критично), затрат времени и ресурсов на выполнение (очень критично) и результата. Сканируя весь диск я конечно могу что-то найти, но если вдруг попадется юзер с диском на 2 терабайта, что тогда !? Его сканирование может занять в лучшем случае часы (а если у него неотключенный AV монитор - сутки).
-
[QUOTE=Maxim;169383]Может расшириться на весь системный диск?[/QUOTE]
Предлагал уже сделать такой поиск: то есть поиск файлов там где они должны находится... ну например драйверов в папке system32 system и т.д. файлов exe и dll в папке драйверов. Поиск потенциально опасных файлов во временных директориях.
-
[quote=NickGolovko;169366]А тогда какой смысл? Проще сказать пользователю "поищите файлы на диске с такими-то параметрами". Такие данные, на мой взгляд, как раз и должны быть только в общем логе исследования системы. Или в DSS и ComboFix это тоже запускается отдельно от основного исследования? ;)
[/quote]
Смысл - не загружать основные логи, если потребуется, можно запросить, как дополнительный лог. Пользователю сказать можно "поищите...", вот только не все правильно ищут (даже то, что действительно существует, иногда найти не могут). Уж лучше сказать: "Выполните стандартный скрипт 7" :)
В DSS логи разделены на main.txt и extra.txt, в посл. лог, кроме чего прочего, входит ещё секция "Add/Remove Programs", имхо, полезная часть лога.
Файлы+каталоги надо искать ещё в профиле пользователя, насчет периода... dss и combofix период берут больше (полмесяца, месяц), имхо, период скорее всего подобран опытным путем :)
И ещё, неплохо бы атрибуты файлов/папок видеть и их размеры.
-
[QUOTE=Зайцев Олег;169397]Сканируя весь диск я конечно могу что-то найти, но если вдруг попадется юзер с диском на 2 терабайта, что тогда !? Его сканирование может занять в лучшем случае часы (а если у него неотключенный AV монитор - сутки).[/QUOTE]Какова вероятность того, что попадется юзер с таким диском? :smile:
-
[quote=Jef239;169308]Ну в этой теме такой зоопарк, что может быть всё, что угодно.
А вообще в OPF есть антируткит. И много разногопротиводействия выгрузке. А может быть сделать вариант стандартного скрипта без выгрузки OPF? То есть выгружать все руткиты, кроме известных FireWall и антивирусных ядер?[/quote]
Так не выйдет - это уже когда-то обсуждалось, возможен каскадный перехват (руткит + легитимное поверх, или наоборот), или баг за счет частичного снятия перехвата.
-
[quote=Maxim;169406]Какова вероятность того, что попадется юзер с таким диском? :smile:[/quote]
А ты годик подожди.. Уже народ покупает винты по 750Гб
-
[QUOTE=ALEX(XX);169410]А ты годик подожди.. Уже народ покупает винты по 750Гб[/QUOTE]Убедил :dry:
-
[quote=zerocorporated;169403]Поиск потенциально опасных файлов во временных директориях.[/quote]
Кстати, может ещё очистку временных файлов визардом или скриптом сделать? )
-
[QUOTE=Зайцев Олег;169375]файлы искать только в корне диска и системной папке[/QUOTE]Тогда ещё и в кэше браузера.
-
[quote=Maxim;169406]Какова вероятность того, что попадется юзер с таким диском? :smile:[/quote]
процент высок (мне тестироваться придется на виртуалке - у меня диски по 750 стоит). Причем что интересно - такие диски начинают ставить в юзеровские ПК. Нечасто, но уже ставят ... и они быстро дешевеют
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[quote=Maxim;169422]Тогда ещё и в кэше браузера.[/quote]
А кеш зачем ? там обычно страшная помойка, тем более кеш может быть скажем размером 1-2 ГБ ... и все это попадет в лог
[size="1"][color="#666686"][B][I]Добавлено через 32 секунды[/I][/B][/color][/size]
[quote=Pili;169418]Кстати, может ещё очистку временных файлов визардом или скриптом сделать? )[/quote]
Легко, прототип уже есть ...
-
[QUOTE=Зайцев Олег;169427]А кеш зачем ? там обычно страшная помойка, тем более кеш может быть скажем размером 1-2 ГБ ... и все это попадет в лог.[/QUOTE]Вот сколько у Вас на работе ПК, доступных для исследований? Проведите эксперимент, скажите сколько найдется в кэше браузера на каждом компе безопасных *.exe файлов?
-
[quote=Maxim;169433]Вот сколько у Вас на работе ПК, доступных для исследований? Проведите эксперимент, скажите сколько найдется в кэше браузера на каждом компе безопасных *.exe файлов?[/quote]
Гигов 100 найдется ... там будет туча мусора - разные закачанные легитимные программы, битые - недокачанные файлы и т.п. У меня есть идея другого сорта - попробовать просканировать базу кеша и вынуть оттуда подозрительные URL, которые недавно загружались
-
[QUOTE=Зайцев Олег;169436]Гигов 100 найдется ... там будет туча мусора - разные закачанные легитимные программы, битые - недокачанные файлы и т.п.[/QUOTE]Я наивно полагал, что кэш и закачанные файлы хранятся в разных папках. Нет?
-
[quote=Maxim;169439]Я наивно полагал, что кэш и закачанные файлы хранятся в разных папках. Нет?[/quote]
Не всегда.
-
[quote=Maxim;169439]Я наивно полагал, что кэш и закачанные файлы хранятся в разных папках. Нет?[/quote]
Нет, это не так. Я к примеру сохраняю штатным образом (из IE) некий файл из Инет ... он сначала сохраняется в кеш, а затем - переписывается куда сказано. При этом в кеше копия чаще всего остается - на случай, если я еще раз обращусь к этому ресурсу. При написании разных обновлялок/загружалок это бывает проблемой - на стороне WEB сервера приходится указывать в заголовке ответа, что файл не кешировать ... и в API это указывать. Причем еще момент - у альтернативных бразуров/качалок могут быть свои кеши, которы они ведут по собственным алгоритмам ...
-
Тогда действительно проблем больше.
Page generated in 0.01047 seconds with 10 queries