PDA

Показать полную графическую версию : VT Checker - утилита пакетной проверки файлов на VirusTotal.com


Страниц : 1 2 3 [4] 5 6 7

xoxmodav
20-08-2010, 15:39
Вышла версия 1.4:

+ дубликаты файлов не включаются в список (реализована проверка по хешам)
+ Исправлено изменение значения счётчика при перетаскивании файлов методом drag-n-drop
+ добавлен фильтр отображения результатов по критериям заражённости (меню «Действия» - «Выбрать файлы по риску»)
+ добавлен функционал выделения/переноса/удаления файлов с различными степенями заражённости в указанную папку (щелчок правой клавиша на списке файлов – «Действия над текущим списком»)
+ переделана панель отображения информации о проверке
+ заданы минимальные размеры окна утилиты
+ сообщение о неподходящем размере и дубликатах сделано в одно окно (после добавления файлов)
+ сокращена нумерация версий до формата 1.х
- убрана надпись «ver» в заголовке

Coutty
20-08-2010, 15:55
+ дубликаты файлов не включаются в список (реализована проверка по хешам) »
Не работает при добавлении папки.

xoxmodav
20-08-2010, 16:04
Не работает при добавлении папки. »
Принято - исправим.

Delirium
20-08-2010, 16:50
Coutty, у тебя талант находить недочеты :)

Теперь с моей стороны будет просьба: Для ускорения работы и улучшения, хотелось бы увидеть в формате XML/XLS/TXT(короче в любом удобоваримом) список хешей вот этих файлов:

- Добавить функционал "Не проверять "чистые" файлы". Для этого создать базу хешей чистых операционных систем (XP, Vista, Windows 7). Т.е. добавить проверку при добавлении файлов список MD5-хешей чистых файлов винды, чтобы лишний трафик не генерить и не загружать сервис запросами зазря, т.к. чистые файлы в список проверяемых не будут добавляться. »

Имея подобный список, можно будет довольно быстро сделать просимый функционал + функционал сканирования папок Windows.

- добавить возможность (опционально) при получении страницы с сообщением о том, что файл по MD5-хешу не найден, проверять этот же файл по оставшимся хешам (SHA-1, SHA256) »
Выделяем строку - правой кнопкой - очистить результат сканирования - выделенный файл. Затем в настройках меняем хеш для проверки и запускаем проверку. Проверенные файлы пропустятся, новый просканируется.
В след версиях сделаю более быструю смену хеша и проверки.

- добавить проверку на пропуск повторного сканирования файлов из списка (опционально, опция по умолчанию включена). Чтобы после сканирования одной части файлов, без очистки списка, и последующего добавления других файлов уже проверенные заново не проверялись на сервисе. »
Это уже реализовано, уберите из "хотелок"

Еще была просьба сменить цвет границы у списка. С сожалением сообщаю, что, согласно официальному ответу MS, данный функционал не поддерживается в текущих версиях .Net Framework. Можно изменить только цвет строк, ячеек и т.д. Границы остаются неизменными, в зависимости от текущей темы экрана.

xoxmodav
20-08-2010, 18:05
Это уже реализовано, уберите из "хотелок" »
Сделано.

Vadikan
20-08-2010, 21:02
функционал сканирования папок Windows »
Вот эта идея мне совсем непонятна. Сканирование папки Windows, равно как и процессов - это задача антивируса, который имеет сканер и монитор. А потом что будете добавлять - файлы в профиле и Program Files? :) Тем более, что проверка любых папок не дает никакой гарантии отсутствия вирусов в системе. Сервис VT предназначен для сканирования отдельных файлов, так какой вам смысл прыгать выше головы?

+ сокращена нумерация версий до формата 1.х »
Возможно, стоило принять формат ГГ-ММ-ДД (10.8.20) и сразу понятно, когда версия вышла.

Drongo
20-08-2010, 22:46
Вот эта идея мне совсем непонятна. Сканирование папки Windows »Ребята имеют ввиду получение всех MD5 находящихся файлов в папке Windows и насколько я понял, также всех файлов во вложеных папках. :)

xoxmodav
20-08-2010, 23:39
Вот эта идея мне совсем непонятна. Сканирование папки Windows, равно как и процессов - это задача антивируса, который имеет сканер и монитор. А потом что будете добавлять - файлы в профиле и Program Files? Тем более, что проверка любых папок не дает никакой гарантии отсутствия вирусов в системе. Сервис VT предназначен для сканирования отдельных файлов, так какой вам смысл прыгать выше головы? »
Как известно специалистам в области ИБ - ни один из ныне существующих антивирусов (как и комплексных систем защиты) не может дать даже 95 % гарантию защищённости, а ставить домашнему пользователю несколько антивирусных продуктов подряд и пытаться отлавливать зловреда таким образом - это уже какой-то "антивирусный брутфорс" получается (а проще говоря - ерунда). Сканирование папки Windows (с исключением заведомо чистых файлов) может немного упростить эту задачу. Понятное дело, что от руткитов и особо хитрых зловредов это не спасёт, но, тем не менее, получение результатов проверки с VirusTotal'а "нестандартных" файлов в системном каталоге может помочь пользователям понять откуда ноги растут. Замечу, что это скорее поможет не узкоспециализированным специалистам, которые борьбой со зловредами и лечением компьютеров живут и дышат, а гораздо менее квалифицированным кадрам. Первые и так прекрасно знают - что и где искать, вот только таких людей с каждым годом становится всё меньше и меньше (видимо сказывается снижение общего уровня грамотности и массовая информатизация населения).

Vadikan
21-08-2010, 11:24
xoxmodav, это полная ерунда, прости уж за прямоту. Для подстраховки своего антивируса нужно использовать сканеры других антивирусных компаний, а не проверку файлов в папке Windows с помощью VT. И уж тем более не надо это подсовывать менее квалифицированным кадрам в качестве успокоительного.

Drongo
21-08-2010, 15:09
Замечу, что это скорее поможет не узкоспециализированным специалистам, которые борьбой со зловредами и лечением компьютеров живут и дышат, а гораздо менее квалифицированным кадрам »Рискованое и ошибочное мнение. Поясню почему. Новый вирус, в базах антивирусника нет его детекта, на VT он ещё не проверялся и следовательно результата нет. Пользователь в ошибочной уверености чистоты компьютера, а вирус тихонько делает своё дело, как например с файлом linkinfo.dll детектируется уже давно, но ничего деструктивного троян не делает, всё что он делает это проверяет ОЗУ на наличие скопированого номера веб-кошелька и если находит такой, то подменяет оригинальный на свой номер и в итоге отправка денег налево. Другими словами пока не отошлёшь файл в вирлабы ты можешь даже вирусы считать "чистыми" файлами.

xoxmodav
22-08-2010, 01:25
xoxmodav, это полная ерунда, прости уж за прямоту. Для подстраховки своего антивируса нужно использовать сканеры других антивирусных компаний, а не проверку файлов в папке Windows с помощью VT. И уж тем более не надо это подсовывать менее квалифицированным кадрам в качестве успокоительного. »
Согласен в том, что проверка сторонними сканерами увеличивает уверенность в безопасности. Но, я надеюсь никого не удивлю тем, что расскажу о том, что в ряде случаев ни Антивирус Касперского, ни NOD32, ни dr. Web и даже не Avirа Antivir (на определённый момент) не видят ничего подозрительного в файлах, в то время как антивирусные решения от Panda, Microsoft и ещё нескольких других производителей (повторюсь - на тот момент) зловреды уже вполне замечательно находят. Единственное чего вы добьётесь проверкой сторонними сканерами (к тому же далеко не каждая компания предоставляет бесплатные сканеры) - потеряете кучу времени. Может кто-то из вас составит и опубликует памятку пользователю, в которой расскажет как быстро, эффективно и без излишнего геморроя проверить ОС несколькими антивирусными сканерами?

Другими словами пока не отошлёшь файл в вирлабы ты можешь даже вирусы считать "чистыми" файлами. »
В сколько вирлабов надо будет отсылать пользователям заражённые файлы (и ведь они их должны ещё будут вычислить перед отправкой - ни одна антивирусная компания не возьмётся разбирать архив с папкой Windows) - во все имеющиеся? А вот изменённые или "левые" dll-ки и exe'шники вполне возможно (с большей вероятностью) найдутся на VT и их-то уже можно будет выслать в вируслабы.

Вот кстати простой пример работы Вирусной Лаборатории "Лаборатории Касперского" (из личного опыта):
В вердикте запроса о проверке файлов на вредоносный код № 312341422 от 23.07.2010 значится: "..., MiModules.gif, ... - Вредоносный код в файлах не обнаружен." А уже 09.08.2010 в этом файле замечательно находится Trojan-Spy.Win32.Delf.jxd. Сейчас же, на вопрос "как это понимать", техподдержка сыпет перлами, типа: "Присланные Вами файлы были неоднозначны для вынесения вердикта.Очевидно, был проведен повторный анализ и принято такое решение." и зачем-то просит выслать эти файлы ещё раз. :)

Рискованое и ошибочное мнение. »
Рискованное - да, ошибочное - спорно. Согласен, что далеко не все файлы можно найти на VT, но тем не менее куча людей, вычисляя зловредов, так или иначе использует данный сервис или его аналоги. Поэтому пользователям вычислить заражённый файл с помощью данной утилитой возможно будет проще, нежели разбираться со специализированными утилитами (AVZ, HijackThis и т.п.) или ждать когда он сам начнёт "отлавливаться" антивирусом.

Пользователь в ошибочной уверености чистоты компьютера, а вирус тихонько делает своё дело »
Хм, забавное сравнение - то есть когда с помощью сторонней утилиты пользователь проверит папку Windows и она ничего ему не покажет - это "ошибочная уверенность чистоты компьютера", а когда лажает антивирусная программа (и хорошо если одна), то как это назвать? Какая это "уверенность чистоты компьютера" - внушённая, легальная, ложная, маркетинговая? Чем они в таком случае будут лучше этой утилиты? К тому же - никто и не собирается её преподносить как панацею от всех зловредов.

P.S. Не многовато ли вы требуете от пользователей? Знания о том, что искать, где искать, где спрашивать, куда отправлять и т.п. уже выходят далеко за рамки простого (и даже продвинутого) пользователя.

P.P.S. Добавление файла в базы можно ждать не день и не два, к примеру, у меня в неразобранном (от середины июля и начала августа) Касперский после очередного обновления баз регулярно находит что-то новое. А многие ли согласятся ждать полмесяца или месяц?

Vadikan
22-08-2010, 10:54
Единственное чего вы добьётесь проверкой сторонними сканерами (к тому же далеко не каждая компания предоставляет бесплатные сканеры) - потеряете кучу времени. »
Такая проверка - это первый шаг устранения заражений в методиках российских специалистов, занимающихся лечением систем от вредоносных программ. Она применяется и в нашем форуме лечения. И ее эффективность в любом случае выше, чем проверка папки Windows на VT.

Может кто-то из вас составит и опубликует памятку пользователю, в которой расскажет как быстро, эффективно и без излишнего геморроя проверить ОС несколькими антивирусными сканерами? »
Это не нужно. Достаточно одного сканирования, с учетом наличия резидентного антивируса. Можно подумать, проверка на VT обеспечивает быструю и эффективную проверку системы... Быструю - может быть, но она ничего не дает, кроме ложного ощущения чистоты системы.

Обсуждаемая фича - это шарлатанство. Я лишь хочу, чтобы сия полезная утилита делала то, для чего она предназначена, а не пыталась брать на себя ненужные функции, вызывающие недоумение специалистов ИБ, какую бы аргументацию ты бы не подводил под их внедрение.

xoxmodav
22-08-2010, 12:34
Возможно, стоило принять формат ГГ-ММ-ДД (10.8.20) и сразу понятно, когда версия вышла. »
Этот формат не принят в русскоговорящих странах и, ИМХО, ещё больше введёт пользователей в заблуждение. Скорее всего после версии утилиты будем писать какого числа был выпущен данный билд: "VT Checker 1.5 (от 01.10.2010)".


Такая проверка - это первый шаг устранения заражений в методиках российских специалистов, занимающихся лечением систем от вредоносных программ. Она применяется и в нашем форуме лечения. И ее эффективность в любом случае выше, чем проверка папки Windows на VT. »
Эффективность выше, но не на столько, чтобы считать данный метод панацеей.


Обсуждаемая фича - это шарлатанство. Я лишь хочу, чтобы сия полезная утилита делала то, для чего она предназначена, а не пыталась брать на себя ненужные функции, вызывающие недоумение специалистов ИБ, какую бы аргументацию ты бы не подводил под их внедрение. »
Это будет всего лишь её дополнительный функционал, а не шарлатанство, к тому же мы же не говорим о шарлатанстве антивирусов, которые вводят пользователей в заблуждение, обещая защиту от всех угроз и зловредов - или мало было случаев заражения ОС с установленным лицензионным антивирусом с последними базами? Так же как и не говорим о продукции той или иной фирмы, которые заявляют одно, а на деле оказывается совсем другое и вместо простейшей настройки для работы, приходится устраивать танцы с бубном, обсуждения на форумах и вести многокилометровую переписку с разработчиками. Тот же AVZ многие пользователи до сих пор считают полноценным антивирусом, но на самом деле таковым не является. Но разработчик утилиты ведь не виноват в том, что многие пользователи не читают описание ПО и не хотят понимают разницу? Вот и тут - никакого шарлатанства, мы не обещаем никому никакой безопасности, утилита только просканирует каталог Windows, отсеит заранее "чистые" файлы, и, не спеша, проверит результат сканирования на VT оставшихся. В это время никто не мешает пользователям проверять компьютер сколько угодно различными антивирусными сканерами и т.п. - утилите нужен только интернет.

А в чём собственно будет шарлатанство? Мы же не пишем в описании - замена антивируса, гарантия абсолютной безопасности и т.п. Мы пишем вполне ясно - утилита для получения результатов сканирования файлов на VT. Где тут обман-то?


P.S. А если утилита дорастёт до отправки файлов на VT, и в неё будет добавлен функционал отправки файлов, которые так или иначе находятся в автозагрузке ОС - это тоже будет шарлатанство, обман пользователей и абсолютно никому не нужная фича?

Обсуждаемая фича - это шарлатанство. Я лишь хочу, чтобы сия полезная утилита делала то, для чего она предназначена, а не пыталась брать на себя ненужные функции, вызывающие недоумение специалистов ИБ, какую бы аргументацию ты бы не подводил под их внедрение. »
Кстати пока из всех специалистов ИБ, связанных с оказанием помощи в лечении заражённых систем, высказался только Drongo. И высказался не о том, что данный функционал вреден/опасен/абсолютно не нужен, а всего лишь о том, что часть пользователей будет введена в заблуждение, получив результат сканирования. Но ведь никто не мешает нам во время выполнения данной функции выводить окно с сообщением о том, что эта функция НЕ ДАЁТ НИКАКИХ ГАРАНТИЙ БЕЗОПАСНОСТИ, а всего лишь помогает вычислить заражённые файлы, которые уже были проверены на VT и которые уже детектируются другими антивирусными продуктами. Или это тоже будет шарлатанством?

Severny
22-08-2010, 13:54
Severny, пологаю что как раз .Net сейчас необходимое дополнение для каждой системы, да и вообще время ХР все быстрее быстрее близиться к своему завершению так что проблем с .Net у опытных пользователей для коих и разработана данная утилита не должно быть. »

Ну не думаю. Мне она пригодилась бы как раз в походе :), а вот для личного пользования ну не востребована.
Объяснить всем заранее, что нужно установить Net, ну невозможно.
Устанавливать самому не всегда оправдано и нужно.
В нашем городе, особенно на предприятиях, ну никак не хотят верить, что время ХР прошло :)
И правильно делают с точки зрения экономической.

Неизвестно кто быстрее окажется в небытии -- Virustotal или ХР. :)

Vadikan
22-08-2010, 13:57
Эффективность выше, но не на столько, чтобы считать данный метод панацеей. »
А я и не считал его панацеей. Ну хорошо, проверил человек папку Windows, нашел в ней три детектируемых файла. Что будет делать пользователь дальше?

И вообще, ты представляешь себе кол-во файлов в папке Windows в Windows 7, например?

Но ведь никто не мешает нам во время выполнения данной функции выводить окно с сообщением о том, что эта функция НЕ ДАЁТ НИКАКИХ ГАРАНТИЙ БЕЗОПАСНОСТИ, а всего лишь помогает вычислить заражённые файлы, которые уже были проверены на VT и которые уже детектируются другими антивирусными продуктами. »
Первый раз слышу об этом сообщении.

iskander-k
22-08-2010, 14:27
Вот и тут - никакого шарлатанства, мы не обещаем никому никакой безопасности, утилита только просканирует каталог Windows, отсеит заранее "чистые" файлы, »
Похоже данная утилита приближается к "званию " аналога АВЗ. Зачем утилите предназначенной для пакетной проверки файлов на сервисе VirusTotal.com »
самой искать эти самые подозрительные файлы ?

akok
22-08-2010, 15:00
функционал сканирования папок Windows. »
Плохая идея, даже реализовав систему "белых списков" не удастся избавиться от множества запросов и потери времени.

Тем более не каждый зловред позволит снять свой хеш. А о ложных срабатываниях я умолчу они будут особенно на диких сборках класса Zver.



В хотелки:
- Рекурсия (указываем корневую папку программа смотрит еще и подпапки)
- Возможность преобразовывать имена файлов карантинов AVZ и Combofix

Пример:

Имеем два файла avz00001.dta и avz00001.ini. В avz00001.ini мы видим:

Src=c:\program files (x86)\kaspersky lab\kaspersky internet security 2010\avp.exe
Infected=avz00001.dta

Сможет ли программа отражать в интерфейсе имя файла не avz00001.dta, а avp.exe с указанием полного пути.

С Combofix проще, программа хранит карантин в формате avp.exe.vir но соблюдает структуру каталогов т.е. множество вложенных папок


- добавить возможность отправки файлов на сервис VirutTotal.com на проверку »

Очень нужно, для консультантов ассоциации. :)

xoxmodav
22-08-2010, 15:05
Плохая идея, даже реализовав систему "белых списков" не удастся избавиться от множества запросов и потери времени. »
Зачем утилите самой искать эти самые подозрительные файлы ? »
Как минимум - уменьшить нагрузку на этот самый сервис (думаете будет мало таких пользователей, которые интереса ради закинут каталог с системой на проверку?), как максимум - упростить процедуру проверки файлов из автозагрузки на VT (в многих случаях зловреды прописываются именно там).

Похоже данная утилита приближается к "званию " аналога АВЗ. Зачем утилите предназначенной »
Не дай боже - у AVZ ооочень уж немаленький функционал. :)

А я и не считал его панацеей. Ну хорошо, проверил человек папку Windows, нашел в ней три детектируемых файла. Что будет делать пользователь дальше?
И вообще, ты представляешь себе кол-во файлов в папке Windows в Windows 7, например? »
Удалит, перенесёт, отправит в вирусную лабораторию своего антивируса (если конечно зловред ему это позволит :) ). Или же позвонит человеку или в сервис, которые занимаются профессиональным лечением компов.
Прекрасно представляю это самое количество - порядка 70-80 тысяч (без учёта файлов в архивах), но о чём это говорит? К примеру, файлов, которые относятся к антивирусу Касперскому (без карантина, отчётов, резервного хранилища) - 5.000, в дистрибутиве .NET Framework 3.5 - 21.000 (из них только 12 тысяч уникальных) - это много или мало?

Первый раз слышу об этом сообщении. »
Конечно - пока нет такого функционала, нет никакого сообщения. Зачем делить шкуру неубитого медведя? В текущем же состоянии утилиты считаю такое предупреждение излишним.

Тем более не каждый зловред позволит снять свой хеш. »
Соглашусь с этим, но это также будет дополнительным сигналом для того, чтобы задуматься - к чему относится данный файл и почему он не даёт это сделать.

А о ложных срабатываниях я умолчу они будут особенно на диких сборках класса Zver. »
От них никуда не денешься :( , но всё же хотелось бы минимизировать их количество.

Vadikan
22-08-2010, 16:28
Удалит, перенесёт, отправит в вирусную лабораторию своего антивируса »
Первое наиболее вероятно, учитывая неквалифицированных пользователей, на которых ориентирована фича. И что это даст? Зловред не вылечен, от него осталась куча хвостов.
но это также будет дополнительным сигналом для того, чтобы задуматься - к чему относится данный файл и почему он не даёт это сделать. »
Неквалифицированные пользователи над этим не задумаются.

Ладно, как я понял, решение о внедрении фичи уже принято, а сотрясать воздух - бессмысленно.

Drongo
22-08-2010, 16:37
(в многих случаях зловреды прописываются именно там). »Нет, многие вирусы используют механизм автозапуска, но способы автозапуска уже зависят от фантазии вирусописателя:
1. Это либо вредная служба работающая и запущеная
2. Это либо запуск из Userinit, Shell, AppInit_DLLs, Winlogon, и т.д.
3. Это либо планировщик задействован.
4. Запуск из ветки Run, хотя файл находится хз где, хоть даже в интернет-кеше
5. И наконец, случай, папка Автозагрузка(monoka32.exe), ну так её уже все мы знаем. :)




© OSzone.net 2001-2012