Новые функции в Universal Virus Sniffer (uVS)

[PR55.RP55 80]

1) Автоматически помечать как подозрительные все файлы где в качестве ЭЦП прописано числовое значение.

типа:

Действительна, подписано "8.8.8.8"

Действительна, подписано 70166A21-2F6A-4CC0-822C-607696D8F4B7

Или Комбинация:

Действительна, подписано Copyright © 2022

2) В Инфо. изменить порядок подачи информации - первыми\верхними строками должны быть строки с наиболее важной информацией. ( непосредственно под критерием поиска ) т.е. ( ЭЦП и т.д )

3) Нужна нормальная подача информации ( при работе с образами ) По нагрузке на процессор\видеокарту.

Возможно оператор должен решать какую колонку с информацией ему нужно видеть: Производитель или нечто другое...

4) Если есть запись какое приложение было заблокировано фаерволом - будь то фаервол Windows или Ф v1.11

Отображать эту информацию.

 

 

[PR55.RP55 80]

Определять время применения GPO

Определять время применения GPO - с привязкой к событию. ( например запуск... скрипта )

Писать в Инфо.

[PR55.RP55 80]

В окнах -  появилась реклама. ( ожидаемо )

uVS этого не видит.

------------

New-Item -Path "HKCU:\Software\Policies\Microsoft\Windows" -Name "Explorer" -force New-ItemProperty -Path "HKCU:\Software\Policies\Microsoft\Windows\Explorer" -Name "DisableNotificationCenter" -PropertyType "DWord" -Value 1 New-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\PushNotifications" -Name "ToastEnabled" -PropertyType "DWord" -Value 0

-----------------

# Add HKEY_Users as a PS Drive New-PSDrive -PSProvider Registry -Name HKU -Root HKEY_USERS # Add the default user's registry hive so it is viewable/browsable by PowerShell Start-Process -FilePath 'CMD.EXE' -ArgumentList '/C REG.EXE LOAD HKU\AllUsers C:\Users\Default\NTUSER.DAT' -Wait -WindowStyle Hidden | Out-Null # Remove notification group policies from current user Remove-ItemProperty 'HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer' -Name 'TaskbarNoNotification' -Force Remove-ItemProperty 'HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'ToastEnabled' -Force Remove-ItemProperty 'HKCU:\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'NoToastApplicationNotification' -Force # Remove notification group policies from local machine Remove-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer' -Name 'TaskbarNoNotification' -Force Remove-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'ToastEnabled' -Force Remove-ItemProperty 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'NoToastApplicationNotification' -Force Remove-ItemProperty 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\Explorer' -Name 'DisableNotificationCenter' -Force # Remove notification group policies from default user Remove-ItemProperty 'HKU:\AllUsers\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer' -Name 'TaskbarNoNotification' -Force Remove-ItemProperty 'HKU:\AllUsers\SOFTWARE\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'ToastEnabled' -Force Remove-ItemProperty 'HKU:\AllUsers\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications' -Name 'NoToastApplicationNotification' -Force # Remove default user's registry hive Start-Process -FilePath 'CMD.EXE' -ArgumentList '/C REG.EXE UNLOAD HKU\AllUsers C:\Users\Default\NTUSER.DAT' -Wait -WindowStyle Hidden | Out-Null # Remove HKU_Users from PowerShell Remove-PSDrive -Name HKU

---------------

Disable Security and Maintenance Notifications

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Notifications\Settings\Windows.SystemToast.SecurityAndMaintenance

Value Name: Enabled (DWORD)
Value: 0

Disable OneDrive Notifications

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Notifications\Settings\Microsoft.SkyDrive.Desktop

Value Name: Enabled (DWORD)
Value: 0

Disable Photos Notifications

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Notifications\Settings\Microsoft.Windows.Photos_8wekyb3d8bbwe!App

 

 

[PR55.RP55 80]

Думаю стоит добавить твик:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1" [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1"

-------------------

https://www.comss.ru/page.php?id=11668

Бывают всякие непонятные неясные случаи - возможно это в ряде случаев поможет.

[PR55.RP55 80]

Руководство по расследованию атак с использованием CVE-2022-21894 BlackLotus campaign

https://www.microsoft.com/en-us/security/blog/2023/04/11/guidance-for-investigating-attacks-using-cve-2022-21894-the-blacklotus-campaign/

 

 

[PR55.RP55 80]

NVIDIA Power Management - приложение с открытым исходным кодом...

Для управления настройками электропитания приложение использует System Management Interface. Это утилита командной строки NVIDIA, которая позволяет запрашивать и изменять состояния видеокарт. Инструмент поддерживает графические процессоры NVIDIA Tesla, GRID, Quadro и Titan X, а также может работать с ограничениями с другими видеокартами NVIDIA.

NVIDIA Power Management имеет графический интерфейс. Пользователям доступны создание ограничений мощности для отдельных приложений, создание профилей мощности для нескольких приложений, базовый мониторинг производительности, адаптивное энергопотребление и другие функции.

https://www.comss.ru/page.php?id=11792

Фактически это не только позволит получать информацию и вести мониторинг.

Но и добавить в меню\скрипт uVS новые команды.