-
Сообщение от
NickGolovko
А тогда какой смысл? Проще сказать пользователю "поищите файлы на диске с такими-то параметрами". Такие данные, на мой взгляд, как раз и должны быть только в общем логе исследования системы. Или в DSS и ComboFix это тоже запускается отдельно от основного исследования?
Мне такая дополнительная таблица представляется преследующей примерно те же цели, что и список подозрительных файлов в конце исследования системы.
Имхо - воткнуть это в исследование, отдельной таблицей, файлы искать только в корне диска и системной папке, без повторов, исключая известные AVZ или прошедшие контроль MS, измененные или созданные за последние 7-10 дней.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Зайцев Олег
файлы искать только в корне диска и системной папке
Может расшириться на весь системный диск?
Последний раз редактировалось Макcим; 09.01.2008 в 15:33.
-
-
Олег, похоже "проблемный Мастер" не исправляет таймаут завершения служб, проверьте пожалуйста.
I am not young enough to know everything...
-
-
Баг в avz: При просмотре в менеджере процессов например если отсортировать все данные по какой либо колонки, то колонка что была выделена собьется. То есть после отсортировки данные не обновляются в таблице и видно список модулей dll старого процесса
-
-
Сообщение от
Maxim
Может расширится на весь системный диск?
Я думаю не стоит - я всегда рассматриваю любое новшество как совокупность затрат усилий на реализацию (тут это не критично), затрат времени и ресурсов на выполнение (очень критично) и результата. Сканируя весь диск я конечно могу что-то найти, но если вдруг попадется юзер с диском на 2 терабайта, что тогда !? Его сканирование может занять в лучшем случае часы (а если у него неотключенный AV монитор - сутки).
-
-
Сообщение от
Maxim
Может расшириться на весь системный диск?
Предлагал уже сделать такой поиск: то есть поиск файлов там где они должны находится... ну например драйверов в папке system32 system и т.д. файлов exe и dll в папке драйверов. Поиск потенциально опасных файлов во временных директориях.
-
-
Сообщение от
NickGolovko
А тогда какой смысл? Проще сказать пользователю "поищите файлы на диске с такими-то параметрами". Такие данные, на мой взгляд, как раз и должны быть только в общем логе исследования системы. Или в DSS и ComboFix это тоже запускается отдельно от основного исследования?
Смысл - не загружать основные логи, если потребуется, можно запросить, как дополнительный лог. Пользователю сказать можно "поищите...", вот только не все правильно ищут (даже то, что действительно существует, иногда найти не могут). Уж лучше сказать: "Выполните стандартный скрипт 7" 
В DSS логи разделены на main.txt и extra.txt, в посл. лог, кроме чего прочего, входит ещё секция "Add/Remove Programs", имхо, полезная часть лога.
Файлы+каталоги надо искать ещё в профиле пользователя, насчет периода... dss и combofix период берут больше (полмесяца, месяц), имхо, период скорее всего подобран опытным путем
И ещё, неплохо бы атрибуты файлов/папок видеть и их размеры.
-
Сообщение от
Зайцев Олег
Сканируя весь диск я конечно могу что-то найти, но если вдруг попадется юзер с диском на 2 терабайта, что тогда !? Его сканирование может занять в лучшем случае часы (а если у него неотключенный AV монитор - сутки).
Какова вероятность того, что попадется юзер с таким диском? 
-
-
Сообщение от
Jef239
Ну в этой теме такой зоопарк, что может быть всё, что угодно.
А вообще в OPF есть антируткит. И много разногопротиводействия выгрузке. А может быть сделать вариант стандартного скрипта без выгрузки OPF? То есть выгружать все руткиты, кроме известных FireWall и антивирусных ядер?
Так не выйдет - это уже когда-то обсуждалось, возможен каскадный перехват (руткит + легитимное поверх, или наоборот), или баг за счет частичного снятия перехвата.
-
-
Сообщение от
Maxim
Какова вероятность того, что попадется юзер с таким диском?
А ты годик подожди.. Уже народ покупает винты по 750Гб
Left home for a few days and look what happens...
-
-
Сообщение от
ALEX(XX)
А ты годик подожди.. Уже народ покупает винты по 750Гб
Убедил 
-
-
Сообщение от
zerocorporated
Поиск потенциально опасных файлов во временных директориях.
Кстати, может ещё очистку временных файлов визардом или скриптом сделать? )
-
Сообщение от
Зайцев Олег
файлы искать только в корне диска и системной папке
Тогда ещё и в кэше браузера.
-
-
Сообщение от
Maxim
Какова вероятность того, что попадется юзер с таким диском?
процент высок (мне тестироваться придется на виртуалке - у меня диски по 750 стоит). Причем что интересно - такие диски начинают ставить в юзеровские ПК. Нечасто, но уже ставят ... и они быстро дешевеют
Добавлено через 1 минуту
Сообщение от
Maxim
Тогда ещё и в кэше браузера.
А кеш зачем ? там обычно страшная помойка, тем более кеш может быть скажем размером 1-2 ГБ ... и все это попадет в лог
Добавлено через 32 секунды
Сообщение от
Pili
Кстати, может ещё очистку временных файлов визардом или скриптом сделать? )
Легко, прототип уже есть ...
Последний раз редактировалось Зайцев Олег; 09.01.2008 в 15:51.
Причина: Добавлено
-
-
Сообщение от
Зайцев Олег
А кеш зачем ? там обычно страшная помойка, тем более кеш может быть скажем размером 1-2 ГБ ... и все это попадет в лог.
Вот сколько у Вас на работе ПК, доступных для исследований? Проведите эксперимент, скажите сколько найдется в кэше браузера на каждом компе безопасных *.exe файлов?
-
-
Сообщение от
Maxim
Вот сколько у Вас на работе ПК, доступных для исследований? Проведите эксперимент, скажите сколько найдется в кэше браузера на каждом компе безопасных *.exe файлов?
Гигов 100 найдется ... там будет туча мусора - разные закачанные легитимные программы, битые - недокачанные файлы и т.п. У меня есть идея другого сорта - попробовать просканировать базу кеша и вынуть оттуда подозрительные URL, которые недавно загружались
-
-
Сообщение от
Зайцев Олег
Гигов 100 найдется ... там будет туча мусора - разные закачанные легитимные программы, битые - недокачанные файлы и т.п.
Я наивно полагал, что кэш и закачанные файлы хранятся в разных папках. Нет?
-
-
Сообщение от
Maxim
Я наивно полагал, что кэш и закачанные файлы хранятся в разных папках. Нет?
Не всегда.
-
Сообщение от
Maxim
Я наивно полагал, что кэш и закачанные файлы хранятся в разных папках. Нет?
Нет, это не так. Я к примеру сохраняю штатным образом (из IE) некий файл из Инет ... он сначала сохраняется в кеш, а затем - переписывается куда сказано. При этом в кеше копия чаще всего остается - на случай, если я еще раз обращусь к этому ресурсу. При написании разных обновлялок/загружалок это бывает проблемой - на стороне WEB сервера приходится указывать в заголовке ответа, что файл не кешировать ... и в API это указывать. Причем еще момент - у альтернативных бразуров/качалок могут быть свои кеши, которы они ведут по собственным алгоритмам ...
-
-
Тогда действительно проблем больше.
-
