обсуждение справочника CLSID

Кирилл

Команда форума
Администратор
Сообщения
14,081
Реакции
6,133
Баллы
993
весь легитим со своей оси я выписал.

Добавлено через 1 минуту 26 секунд
по тихой добивать что еще попадется из софта напирмер?
или тока системные?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,905
Баллы
1,008
ну тогда, как говорится, сам дурак и будет))
виноваты будем. так как мы вынесли им вердиктикт зловреды.

несколько проверенных ключей из этих списков не имеют ни одного совпадения в systemlookup и Яше с Гошей.
по ним как бы вообще нет данных зловреды это или нет и взята они как понимая из файла экспорта реестра так что о них мы практически ничего не знаем, так что просто предлагаю не вносить за недостатком данных.
как представляешь это?
перечень вариантов?
если несколько вариантов, то надо под спойлером указывать все возможные варианты тогда по ситуации будет видно, к какой категории в данном случае относится.
я тебе надергаю результатов поиска вебальты AVZ
опять таки эт будут данные только с компов заражённых вебальтой, к кому они там будут относиться можно заранее сказать.

Я предлагаю только легитимные системные CLSID сюда запостить
тот список нелегала, который выписал и который уже в шапке был проверен и яшей и гошей и системлукапом,так что в них я уверен. Считаю что нужно анологично добавлять и другие зловредные ключи, но при этом так же тщательно проверив.

Добавлено через 1 минуту 4 секунды
по тихой добивать что еще попадется из софта напирмер?
да хотя бы антивирусы.
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
виноваты будем. так как мы вынесли им вердиктикт зловреды
а к тому, чему ты вынес вердикт "100% легитим" (кроме закрепленных за системными) может со временем присоединиться не такой уж и легитим. и наоборот. Так что все - не постоянно, поскольку список, если составляется, то не на пару месяцев, и потом могут быть не точности.

поэтому есть смысл составлять только список системных данных.

Вебальту пока к 100% зловредам пока не относят. Можно создать отдельный список с ней. По необходимости править. Если это кому то нужно. Мне - нет. Но тема "убить вебальту" в сети популярна.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,905
Баллы
1,008
Можно создать отдельный список с ней. По необходимости править. Если это кому то нужно. Мне - нет.
в том-то и дело зачем добавлять эти ключи, если их можно найти поиском в реестре. Если уж искать в реестре, то проще забить вебальта и будет надёжней.

а к тому, чему ты вынес вердикт "100% легитим" (кроме закрепленных за системными) может со временем присоединиться не такой уж и легитим. и наоборот.
сомневаюсь, что легальные файлы начнут использовать CLSID от явных зловредов, другое дело что зловреды могут начать потом использовать ключи от легальных, но по крайней мере от нас будет информация, что нельзя слепо его удалять и он может легальным (а справочник надеюсь будет обновляться и эта информация если изменится тоже обновится). А для того чтобы лешче было отличать, к кому он относится считаю что нужно указывать и исполняемые файлы, к сожалению в шапке они не указаны, но думаю что на это просто пока не хватило времени.
 

Кирилл

Команда форума
Администратор
Сообщения
14,081
Реакции
6,133
Баллы
993
давайте так:
отдельно оставляем спойлер легитим системный.
я вынес для вин7 ультиматум
если у кого есть хр,базик,виста и прочие системы то с помощью проги из этого поста вы сможете легко за 3 минуты сделать список ключей,останется только слэш для таблицы поставить.
 
Последнее редактирование:

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
Если уж искать в реестре, то проще забить вебальта и будет надёжней.
а ты думал, оно ищется как то по другому?
сомневаюсь, что легальные файлы начнут использовать CLSID от явных зловредов
конечно, куда им. а от неявных - не могут? ежедневно штампуются разные полулегальные приколюхи вроде vksaver, mediaget, тулбары и другой подобный мусор, из которых часть со временем отойдет в нишу легальных, часть -зловредных, еще что то останется ни то ни се - и как с этим быть? Не будь наивным.
 

Кирилл

Команда форума
Администратор
Сообщения
14,081
Реакции
6,133
Баллы
993
но Koza Nozdri, затер)))
саш затираю не из вредности,а что бы не размножать объем речевого оборота)))
но оп ходу бесполезно...

Добавлено через 21 минуту 23 секунды
А для того чтобы лешче было отличать, к кому он относится считаю что нужно указывать и исполняемые файлы, к сожалению в шапке они не указаны, но думаю что на это просто пока не хватило времени.
это верно,не учел.
короче я занимаюсь легитимом системным,если админы не против-то оставлю и малварьные,но принимать ключи будем тока от спецов.
софтовые делать понту нет,неопределенные тоже-лучше добить еще тему или пост о том как формируются данные ключи и как их правильно анализировать.
имхо
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,905
Баллы
1,008
а ты думал, оно ищется как то по другому?
не вижу тогда пользы от того, что выпишем её ключи.

Добавлено через 5 минут 32 секунды
а от неявных - не могут? ежедневно штампуются разные полулегальные приколюхи вроде vksaver, mediaget, тулбары и другой подобный мусор,
имхо либо вообще не включать их пока в шапку, либо добавлять, но указывать от чего. А пользователь/хелпер или кто там будет эту информацию смотреть будет решать, как с ними поступить. Может просто немного расширить систему оценки, не только хороший и плохой, но и допустим нейтральный. А для того чтобы не изобретать заново велосипед предлагаю посмотреть, как это сделано на специализированных справочниках том же http://www.systemlookup.com и сделать наподобие.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753
но оп ходу бесполезно...
А ты не затирай, а вынеси все посты, которые считаешь здесь не нужные в отдельную тему: "Обсуждение краткого справочника CLSID"..., очень полезно перечитывать мнения других участников обсуждения)))
короче я занимаюсь легитимом системным...
А вот это верно, когда я их в первом твоем посту увидел, мне понравилось что есть их описание)))
 

Кирилл

Команда форума
Администратор
Сообщения
14,081
Реакции
6,133
Баллы
993
shestale,перенес все кроме шапки,так всем диалог виден)))
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,905
Баллы
1,008
для пополнения списка малвары

Код:
24311111-1111-1121-1111-111191113457 - Trojan-Downloader.Win32.Mediket.au - eied_s7.cab
33331111-1111-1111-1111-611111193423 - 777.cab
33331111-1111-1111-1111-611111193429 - _ipsec_.cab
33331111-1111-1111-1111-611111193457 - Adult Content Dialer - ex.cab
33331111-1111-1111-1111-611111193458 - Adult Content Dialer - ex.cab
43331111-1111-1111-1111-611111195622 - Adult Content Dialer - ex.cab
61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633 - WebAlta
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
ты уверен что эти номера жестко закреплены за тем что ты нашел? доказательства приведи
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,905
Баллы
1,008
Сашка, гугол в помощь, конкретные ссылки давать не буду, т.к. определял не по одному сайту и не по одному логу.
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
это не доказательство, что этим же clsid не может быть и в будущем не будет назначено ничего другого
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,905
Баллы
1,008
несколько минут, искал где исходная тема, чтобы другим не искать http://safezone.cc/forum/showthread.php?t=20350

Добавлено через 2 часа 5 минут 36 секунд
это не доказательство, что этим же clsid не может быть и в будущем не будет назначено ничего другого
вроде уже обсуждали ... что ключи явных зловредов никто не станет использовать для легала и ты вроде согласился. Кол-во записей в гугле доказывает, что ключи появились не сегодня и пользуются популярностью (часть логов были датированы 2009 годом) . А также ты можешь ещё дополнительно перепроверить здесь http://www.systemlookup.com/ считаю этот сайт тоже надо указать в шапке справочника.
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
что ключи явных зловредов никто не станет использовать для легала
есть полулегал и условный легал (и не легал), не забывай. Вроде обсудили уже что со временем эти значения могут поменяться и что не стоит его вписывать, если справочник создается не на пару месяцев.
 
Сверху Снизу