Перейти к содержанию

Recommended Posts

akoK
В 15.08.2021 at 7:28 AM, demkd сказал:

логе указываются процессы действительно нагружающие cpu и gpu, а изучать низкую загрузку стоит другим средствами, непонятно зачем правда.

А в процентном значении это примерно сколько? Некторые майнеры грузят ~30% от процессора/видеокарты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
1 час назад, akoK сказал:

А в процентном значении это примерно сколько? Некторые майнеры грузят ~30% от процессора/видеокарты.

GPU 15%, CPU загрзка 60% в пересчете на 1 ядро, т.е. для 4-х поточного процессора это те же 15%.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

Новый инструмент Chainsaw помогает командам IR анализировать журналы событий Windows

Chainsaw.webp

F-Secure заявляет, что Chainsaw специально разработан для быстрого анализа журналов событий в средах, где решение для обнаружения и реагирования (EDR) отсутствовало во время взлома.

В таких случаях специалисты, реагирующие на инциденты могут использовать функции поиска Chainsaw для извлечения из журналов Windows информации, относящейся к вредоносной деятельности.

Пользователи могут использовать этот инструмент для следующих действий:

Поиск в журналах событий по идентификатору события, ключевому слову и шаблонам регулярных выражений
Извлечение и анализ предупреждений Защитника Windows, F-Secure, Sophos и Kaspersky AV.
Обнаружение очистки журналов ключевых событий или остановки службы журнала событий
Обнаружение пользователей, которые создаются или добавляются в конфиденциальные группы пользователей
Брутфорс локальных учетных записей пользователей
Логины RDP, сетевые логины и т. д.

https://www.bleepingcomputer.com/news/security/new-chainsaw-tool-helps-ir-teams-analyze-windows-event-logs/

https://www.bleepingcomputer.com/news/security/new-chainsaw-tool-helps-ir-teams-analyze-windows-event-logs/

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg

А дельная утилита. Прогнал на журнале, где взлом был у юзера, всё по полочкам разложено.

chainsaw.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Например есть  пакет с драйверами ( сотни... тысячи драйверов )

Предполагается использовать этот пакет для обновления системных драйверов, или WIM

Часть драйверов подписана, часть нет...

Хотелось бы, чтобы uVS  ( по команде в меню: Файл ) - создала из этих драйверов пакет установки\обновления.

Копию только из подписанных ( прошедших проверку ( и проверенных по SHA ) драйверов.

Копию по типу программы: " Double Driver"

http://soft.oszone.net/program/5936/Double_Driver/

+

Возможность создать копию системных драйверов, системы - но, опять таки... копировать только подписанные драйвера и те, что есть в базе SHA.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Допустим:

'%WINDIR%\syswow64\cmd.exe' /c powershell -nop -exec bypass -win Hidden -noni -enc aQBmACgAWwBJAG4AdABQAHQAcgBdADoAOgBTAGkAegBlACAALQBlAHEAIAA0ACkAewAkAGIAPQAnAHAAbwB3AGUAcgBzAGgAZQBsAGwALgBlAHgAZQAnAH0AZQBsAHMAZQB7ACQAYg...

'<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "%WINDIR%\syswow64\windowspowersh...

Было бы неплохо, если бы в Инфо. объекта. Прописывались данные по настройке  разрешений Firewall.

+

Отдельная категория по Firewall - что разрешено, что заблокировано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

в Windows 11  добавили ( На странице приложения «Параметры» ) возможность  посмотреть - использование батареи для каждого приложения.

" Данная сводка дает наглядное представление о том, какие программы потребляют больше всего заряда аккумулятора. "

т.е.  Прямая зависимость - чем больше  приложение работает с процессором\видеокартой - тем выше энергопотребление...

" Можно посмотреть данные за последние 24 часа или за последнюю неделю. "

" Windows 11 также показывает время использования приложения" ( например приложение работало 10 секунд... )  или 10 часов...

https://www.comss.ru/page.php?id=9632

2021-09-29_140009.png

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

В программе FRST 

Обновили команду - EmptyTemp:  теперь при очистке Temp.  происходит  удаление файла: qmgr.db

Причина: Злоумышленники используют фоновую интеллектуальную службу передачи (BITS)...

Подробнее:

https://www.mandiant.com/resources/attacker-use-of-windows-background-intelligent-transfer-service

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
7 часов назад, PR55.RP55 сказал:

Причина: Злоумышленники используют фоновую интеллектуальную службу передачи (BITS)...

uVS c v 3.87.4 работает с bits и все что там есть попадает в раздел "Задачи".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Хорошо бы, чтобы uVS мог "самостоятельно" пополнять базу проверенных.

Так: Оператор указывает каталог где находятся файлы установки: 

Типа: Firefox Setup 93.0.exe  ;  472.12-desktop-win10-win11-64bit-international-whql.exe;  и т.д.

А программа "сама" их  распаковывает и пополняет базу проверенных.

По хорошему ещё можно задать список\исключения\игнорирования - вложенных файлов.

nvgwls.exe - не распаковывать.

NvCplSetupInt.exe  - распаковать

и т.д.

Это позволит существенно быстрее пополнять базу + экономя времени.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Хорошо бы, чтобы uVS мог "самостоятельно" пополнять базу проверенных. Так: Оператор указывает каталог где находятся файлы установки:  Типа: Firefox Setup 93.0.exe  ;  472.12-desktop-win10-win11-64bit-international-whql.exe;  и т.д. А программа "сама" их  распаковывает и пополняет базу проверенных. По хорошему ещё можно задать список\исключения\игнорирования - вложенных файлов. nvgwls.exe - не распаковывать. NvCplSetupInt.exe  - распаковать и т.д. Это позволит существенно быстрее пополнять базу + экономя времени.    
    • demkd
      ---------------------------------------------------------
       4.11.12
      ---------------------------------------------------------
       o В обработчик BITS добавлен разбор командной строки нотификации. (BITS v1.5+)  o Добавлено автоматическое определение NTFS линков.  
    • Ego Dekker
      Антивирусы для macOS были обновлены до версии 6.11.2. В числе прочего добавлена поддержка macOS Monterey (версия 12).
    • demkd
      uVS c v 3.87.4 работает с bits и все что там есть попадает в раздел "Задачи".
    • PR55.RP55
      В программе FRST  Обновили команду - EmptyTemp:  теперь при очистке Temp.  происходит  удаление файла: qmgr.db Причина: Злоумышленники используют фоновую интеллектуальную службу передачи (BITS)... Подробнее: https://www.mandiant.com/resources/attacker-use-of-windows-background-intelligent-transfer-service  
×