Jump to content

Сергей88321

Members
  • Content Count

    3
  • Joined

  • Last visited

About Сергей88321

  • Rank
    Candidate
  1. " AVZ не умеет работать с неактивной системой " - Ну а бороться с вирусами из под активной зараженной ОС - это безумие. Нет никакой гарантии, что антивирус победит. Это попытка поднять самого себя за волосы ) regist, спасибо, поизучаю
  2. Ну и, подобная опция в AVZ должна еще забирать к себе в образ CD-R копию MBR, и тоже сравнивать ее с той версией, которая при проверке находится на винчестере. Сейчас я MBR своих трех винчестеров забираю и если надо, восстанавливаю на место отдельной утилитой MbrWiz. И файл автозагрузки тоже помещать в образ CD, чтобы сравнивать и при необходимости, восстанавливать с CD
  3. Утилита AVZ впечатляет своей многофункциональностью. Антивирусная база у нее, конечно , не всеобъемлющая, так что в этом смысле полагаться на утилиту не приходится. А вот много разных дополнительных полезных плюшек - впечатляет. Думаю, что Олег Зайцев - один из немногих, кто мог бы реально добавить и тот функционал, который я хочу ) Идея такова: можно делать телодвижения. Можно делать фигурные телодвижения. Против вирусов. Ценность невелика - потому что все это ненадежно. Полумеры меня давно перестали интересовать. Нужно что-то железобетонное, чему можно верить. Выковыривание строк из файлов системного реестра - это занятие сомнительное. Есть способы прописания в реестр программ, что вы никак корректно их не выковырите, не зная секрет, каким образом они туда положены. Я уже много лет подменяю файлы системного реестра целиком. В XP и Windows 7. Потому что комп довольно слабый, и на нем прежние версии винды работают быстрее. Так, в XP полагается подменять 5 файлов реестра одновременно, а не какой-то один файл. Много раз сталкивался с ситуацией, что какая-то программа прописывает себя в автозагрузку, и она вирусом не является. Полезная программа, с фирм. сайта разработчиков, virustotal говорит что это не вирус. А рна все равно что-то нарушает в работе компьютера. У меня отключалась и мышь, и интернет, от полезных но некорректных программ. Читал форум банки.ру, темы про мошенничества через сбербанк-онлайн, и подобные. После того как у знакомого в сбербанке обнулили 6 млн. руб. И вот в итоге что тогда сделал: при помощи BartPE забранного с фирм. сайта, сделал загрузочный CD из чистого дистрибутива XP, и удалось в образ CD запихать браузер Мозиллу, тоже с фирм-сайта mozilla.org, таким образом, чтобы мозилла работала загрузившись с этого CD. Теперь, если так загрузиться с этого CD, и в браузере с отключенным обновлением заходить только на сайты банков, и скажем yandex.ru, google.com и свои почты, а больше никуда - то я чувствую себя уверенно. CD одноразовой записи. Так что записать на него что-то вирусное ни одному вирусу не под силу. Новая перезагрузка компа с CD возвращает все в корректное, безопасное состояние. Функционал, конечно, максимально урезан. --------- Вот и подумал - хорошо бы иметь подобный CD, образ которого для записи на болванку CD-R, создавала бы утилита AVZ ! Загрузка должна будет начинаться с CD, он должен будет делать копию файлов 5 системного реестра диска С в свою папку, потом в файлах системного реестра винчестера отключить автозагрузку всех файлов, которые не признаны как доверенные. Например, прописанием в реестре другой буквы логического диска, С заменяем грубо говоря на H Поскольку на H у нас по таким путям таких файлов нет, то понятное дело, файлы и не автозагрузятся. Утилита должна лазить по путям, указанным в системном реестре. И вычислять их SHA256. Потому что состав файлов в автозагрузке может быть корректным, но подменены сами файлы на вредоносные. Если SHA256 файла не соответствует эталонной, хранящейся на CD-R, то мы считаем такой файл скомпроментированным. У нас есть вариант скопировать его с CD, у нас там должны лежать здоровые копии всех файлов, необходимых для загрузки с винчестера. Кроме того, если какие-то нужные файлы пропали на винчестере - то утилита забирает их с CD и копирует на нужные места. А то винда устроена так, что может всего 1 файла не найти, и не загрузится вообще. Если при вычислении SHA256 на винчестере, нам нравится его сумма - то мы ничего не предпринимаем. Если файл пропал по такому пути - то копируем его с CD. Если файл есть, но изменена SHA256, то переименовываем расширение у такого файла в свое, и копируем версию этого файла с нашего CD. ---------- Потом CD должен передать управление загрузке с винчестера. Мы проверили, что нам злоумышленник не подменил файлы. Мы проверили, что он не удалил какие-то файлы, необходимые для загрузки Windows. И мы в нашей созданной версии системного реестра - временно отключили все файлы, про которые мы не понимаем, доверенные они, или нет. --------- Естественно, образ для записи такого CD должен создаваться, пока вирусов на компе еще нет. Но утилита AVZ должна помогать ! У нее должен быть свой список SHA256 доверенных файлов, чтобы не спрашивать "а что это за файл", когда файл из фирменного дистрибутива Windows 10, или дистрибутива самой распространенной СУБД в мире, Oracle Подобную свою базу доверенных файлов вела в свое время утилита OSAM Autorun Manager, но они тогда так и не довели функционал до нужной логической кондиции. Например, нельзя было, загрузившись с какой-то копии ОС, лазить и изучать реестр какой-то другой копии ОС, пассивной. Не реализована была у них и возможность журналировать историю добавления файлов в автозагрузку системного реестра, путем сравнения реестров за разные дни. Как и журналировать историю измерения SHA256 файлов, прописанных в автозагрузку. Например, нельзя было получить отчет, что изменилось в автозагрузке с 15.01 по 25.01 Хотелось бы видеть информацию вида: 17.01.2019 в автозагрузку, в ветку такую-то, был добавлен С:\---system32---\virus001.sys А 18.01 была изменена SHA256 файла host.exe. расположенного по такому-то пути....
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.