Перейти к содержанию

Recommended Posts

ktotama

http://www.team-cymru.org

Кто что думает о Malware Hash Registry отдельной программе и о плагине для Firefox?

Насколько совершенны эти штуки, с какими из известных антивирусных решений по эффективности могут быть близки по уровню? Кому проигрывают в чем, кроме очевидных отсутствия лечения, антируткита (?), эвристики, фаервола и самозащиты, черных списков адресов и пр. - с убедительными доводами?

Откуда у них вообще большая конкурентноспособная база хэшей малвари?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama

Они сами пишут, что у них миллионы хэшей.

Тут подробнее, у кого с ними сотрудничество, и кто использует их базу: http://www.securelist.com/ru/blog/32430/Ch...lya_virusologov

http://isc.sans.edu/diary.html?storyid=8236

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama
We aggregate results of over 30 anti-virus engines, so we detect a far greater percentage of malware than a single, traditional anti-virus product.

Решил процитировать ключевую фразу с их сайта, раз наблюдается пока молчание, судя по некоторым иногда наблюдаемым явно тематически неравнодушным посетителям темы - робкое.

Однако в соседних ветках и форумах воздух по данной стезе периодически сотрясается, но Мелих с DACS технологией при некоторой доле популистских и слегка блефовых заявлений, но рациональным для большинства персональных пользователей зерном со своей идеей постепенно развивается. Никто из тех, чьи коммерческие интересы косвенно затрагиваются - на настоящий момент в судах от него так и не добился сатисфакции, так что, как комментирует часто кое-кто критику своей продукции, виня во всем в основном заказушные происки одного и почему-то именно того конкурента: "... - караван идет"!

Нравится кому-то или нет, но при "относительно грамотной" стратегии с обходом ошибок, с проработкой юридических тонкостей, "китайским путем" "юзания" несвоих идей или как-то еще.

И тот же Китай к примеру при всем при этом - член ВТО, и все противники его экономической политики давно почему-то смирились, и даже с удовольствием приобретают и пользуют его недорогие одежду и электронику/бытовую технику, и даже уже автомобили, далеко не всегда дочерних предприятий развитых стран.

И по поводу к примеру торрентов и сопутствующего им известного явления даже явные противники уже поняли, что борьба малоэффективна, и по собственным признаниям некоторых из них: надо учиться извлекать рациональное зерно.

Однако, все же надеюсь, что некоторые из "приближенных" к разным базам малвари все же опубликуют статистику детектов рассматриваемой программы.

Судя по далеко невчерашней новости в блоге с ресурса ЛК, в которой упоминается данный разработчик с его базой хэшей, и отсутствию какой бы то ни было критики явного потенциального конкурента, хоть и не с полноценным решением, напрашивается вывод о том, что все как минимум "не так уж и плохо". И сам факт публикации новости там, и тихое молчание там и текущее - подтверждают отнюдь не отсутствие интереса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

А что тут обсуждать ?

Белые списки по хэшам - это ок, черные списки по хешам - детский сад.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama
А что тут обсуждать ?

Белые списки по хэшам - это ок, черные списки по хешам - детский сад.

Одобрение белых списков по хэшам - тут Рабинович должен обрадоваться.

"Детский сад" бывает отстойный по своему уровню, а бывает и образцово-показательный. То есть и черные списки могут быть мизерные, а могут теоретически вмещать в себя все известные по вышеупомянутым 30 антивирусным движкам, и пополняться по мере же пополнения этих же 30.

Поэтому и нужна статистика детектов.

И все же открыт вопрос: откуда может быть "столько" открытых хэшей в черном списке, если это действительно так, или же все же "на том конце провода" просто к сигнализатору детектов подключены и перенастроены те самые обычные движки 30 фирм.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
И все же открыт вопрос: откуда может быть "столько" открытых хэшей в черном списке, если это действительно так, или же все же "на том конце провода" просто к сигнализатору детектов подключены и перенастроены те самые обычные движки 30 фирм.

"столько" - это сколько ? 40 млн ?

Ну среднее такое число, примерно соответствующее размеру вирусной коллекции средней антивирусной компании.

Не понимаю что именно вас тут смущает\интересует ? Откуда они у них или что ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama
"столько" - это сколько ? 40 млн ?

Ну среднее такое число, примерно соответствующее размеру вирусной коллекции средней антивирусной компании.

Не понимаю что именно вас тут смущает\интересует ? Откуда они у них или что ?

Да, откуда столько - 40 млн или, не знаю, сколько миллионов хэшей малвари ИМЕННО у них?

Про 40 в статье сказано, что столько у SANS, причем в тексте мысль перескакивает смешано с "белой" на "черную" (хотя в тексте и есть разделение абзацами) и не совсем ясно, что 40 = всего или только белое или черное, и не факт, что в программе MHR база именно порядка 40 млн "черных" хэшей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Да, откуда столько - 40 млн или, не знаю, сколько миллионов хэшей малвари именно у них?

Уточняю - у них, то есть у Team Cymru ? Я все равно не понимаю почему вы акцентируете вопрос именно на "них" ? вы про них ничего не знаете или что ?

P.S. Как вы думаете - сколько хешей есть, например, на вирустотале ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama
Уточняю - у них, то есть у Team Cymru ? Я все равно не понимаю почему вы акцентируете вопрос именно на "них" ? вы про них ничего не знаете или что ?

P.S. Как вы думаете - сколько хешей есть, например, на вирустотале ?

Почему у организации в соответствующей сфере не особо на слуху - столько вдруг хэшей зловредов - либо они их у кого-то "взяли" каким-то путем, либо кто-то "дал", либо они умудряются в авторежиме дизасемблировать базы этих неких 30 компаний, либо тупо на их серверах стоят 30 движков этих компаний, а результат позже переинтерпретируется под интерфейс MHR, либо блефа немало, но хотелось бы достоверно знать, можно ли рассчитывать всерьез на "мнение" этой программы или нет.

Про P.S.: Когда-то ради интереса интересовался поисковым запросом Гугле, сколько им проиндексировно страниц на вирустотале - витали некие идеи практического применения этому. Но забросил эту идею - проиндексировано гораздо меньше, чем порядком хэшей ожидается от мнений всех антивирусных движков вирустотала. Соответственно, достоверной информацией о количестве хэшей черных/белых на вирустотале обладают только инсайдеры, и то только по числу проверенных файлов, а неизвестно, сколько файлов еще не проверено.

На сегодня из больших вирусных коллекций в интернете можно найти только базу тушек ЛК, но свежесть годовалой давности, весит 400 Гб - столько качать, чтобы проверить антивир муторно, и проблема места на локальном диске, и невольно подпадает под уголовную ответственность, если не сотрудник антивирусной индустрии - даже преследуя благие цели.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Почему у организации в соответствующей сфере не особо на слуху.

Давайте я вам так отвечу - Team Cymru является одним из наиболее профессиональных и серьезных групп в мире в области безопасности. Да, они не на слуху для широкой публики, но внутри индустрии они пользуются абсолютным авторитетом и принимают участие в расследовании самых сложных и громких инцидентов.

Больше рассказать не могу :) отмечу только, что это единственный мой контакт при общении с которым я всегда использую pgp :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama

Вопрос: при наличии пропатченной Windows и относительно хорошем фаерволе с включенной проактивной защитой, при загруженном в память мониторе этой HMR - какие из потенциальных угроз задетектит эта программа при браузинге в интернете, а чего не может задетектить?

От фишинга не спасет. Как насчет троянов, злонамеренных скриптов, руткитов итп?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Почему у организации в соответствующей сфере не особо на слуху - столько вдруг хэшей зловредов - либо они их у кого-то "взяли" каким-то путем, либо кто-то "дал", либо они умудряются в авторежиме дизасемблировать базы этих неких 30 компаний, либо тупо на их серверах стоят 30 движков этих компаний, а результат позже переинтерпретируется под интерфейс MHR, либо блефа немало, но хотелось бы достоверно знать, можно ли рассчитывать всерьез на "мнение" этой программы или нет.

Не важно, сколько у них хешей и кто их им дал, важно другое:

1. Критически важно то, что сказал А. в посте #4 - база чистых по хешам файлов - это разумно, правильно и будет работать (именно так и работают все базы чистых где угодно - от бортовой базы AVZ и до огромных "облаков" антивирусных компаний). Логика поиска чистых по хешу основана на том, что если совпадение нашли - то файл гарантировано чистый (точнее "почти гарантировано" - дальше все зависит от стойкости хеш-функции). Если в файле изменить хотя-бы один бит, то хеш поменяется и файл не опознается как чистый, и это правильно, так как мы не знаем, что за собой повлекло это изменение ... мне встречались патченные малварью файлы, отличающиеся от чистых 1-2 битами). К малварям обнаружение по хешу почти неприменимо. Причина - положим, известна малварь X и извествен ее хеш. Но если ее перепаковать, обработать криптером, обфускатором, или даже дописать в хвост пару EXE файла пару пробелов, то хеш изменится. При этом если зловредописатель перекомпилирует свое творение, поменяв пару строчек, то ни от каком совпадении хешей даже и речи быть не может ... Кроме того, малварь может обладать функцией самомодификации (начиная от хранения каких-то настроек в хвосте EXE), что даст миллионы хешей для одного EXE

2. Сколько бы движков не применялось, получим результат как на VT: там часто ситуация такая, что 50% ядер сказали "зверь", 50% - чистый - и что в итоге делать ? Считать чистым, зверем, или стереть половину файла и сказать "вылечено" ? :) И чем больше ядер, тем больше будет фолсов и подобных "пограничных ситуаций", прибавим к этому "воровство сигнатур" (т.е. геометрическая прогрессия по принципу "X и Y детектят, и мы будем")

3. Часто зверь на ПК пользователя внедряется не сам по себе, так сказать в чистом виде, а в составе "бутерброда". Т.е. зловредописателем берется например инсталлятор чего-то полезного, или крек/кейген к некоей программе, и далее он "склеивается" с трояном (программ для этого существует туча). При запуске такого "бутерброда" троян тихо делает свое дело и ворует пароли, а параллельно запускается полезная программа и пользователь в итоге ни о чем не подозревает. В таком случае мы не будем видеть хеш трояна в чистом виде, а будем видеть хеш "бутерброда" и результативность будет нулевой.

От фишинга не спасет. Как насчет троянов, злонамеренных скриптов, руткитов итп?

В дополнение - скрипт очень легко подвергать офбускации (начная от разбавления его комментариями и примитивной шифровки тела скрипта). Дальше как о описано выше - эффективность поиска зловреда по хешу будет очень невысокой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama

Зайцев Олег спасибо за развернутый ответ, в общем согласен.

Понимаю также, что сегодня некий сайт может быть не заражен, а завтра заражен.

Но та же компания Касперского к примеру обещает скорость реакции на угрозу до 40 секунд (на практике не имел возможности убедиться), а эти ребята Team Cymru, полагаю, не затягивают с обновлением списков, декларируя свои возможности, ссылаясь на 30 движков, полагаю и ЛК там.

Как насчет ситуации, что большинство посетителей сайтов все же не являются их первыми посетителями после создания сайта или его соответствующей модификации? При данных условиях какие риски пропустить какой детект с упомянутым набором софта? Есть зараженные сайты, на которых заражающая программа под каждое очередное заражение видоизменяется? Много таких сайтов встречали?

Так на какие из видов угроз не будет детекта с этой программой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
Так на какие из видов угроз не будет детекта с этой программой?

WinMHR не более чем утилита для сравнения хэшей файлов с хэшами в облаке.

Какой такой защиты вы от нее ожидаете ? Это не более чем сканер по требованию, но только с одним облачным детектом вместо сигнатурного или комбинированного.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama
WinMHR не более чем утилита для сравнения хэшей файлов с хэшами в облаке.

Какой такой защиты вы от нее ожидаете ? Это не более чем сканер по требованию, но только с одним облачным детектом вместо сигнатурного или комбинированного.

В режиме резидентного системного монитора процессов в памяти тоже работает. Об утилите конкретно - не о защите речь, а о детекте, то есть без защиты и без лечения. Для прочих целей можно использовать другие средства.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
В режиме резидентного системного монитора процессов в памяти тоже работает. Об утилите конкретно - не о защите речь, а о детекте, то есть без защиты и без лечения. Для прочих целей можно использовать другие средства.
Как насчет ситуации, что большинство посетителей сайтов все же не являются их первыми посетителями после создания сайта или его соответствующей модификации? При данных условиях какие риски пропустить какой детект с упомянутым набором софта? Есть зараженные сайты, на которых заражающая программа под каждое очередное заражение видоизменяется? Много таких сайтов встречали?

Так на какие из видов угроз не будет детекта с этой программой?

Еще раз. В этой программе есть:

- On-Access модуль ?

- Web Anti-Virus ?

- серьезная проверка памяти ?

- детектор сетевых атак ?

- etc.

Она хоть один драйвер дропает при инсталляции ?

Это ВСПОМОГАТЕЛЬНАЯ утилита для ПРОФЕССИОНАЛОВ, которая решает узкую задачу сверки хэша указанного файла с базой компании.

Все!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama

sergey ulasen, зачем тогда, как выяснилось, нешарашкина организация делала проверку памяти с резидентным модулем? Программа проще пареной репы - ничего такого, чтобы именно для профессионалов - в ней нет.

Да, по идее проверка памяти неглубокая, он-аксесса нет и вэб-антивируса в полном его понимании, но любопытен процент детекта при браузинге по хэшам.

Ну а детектор атак есть и в фаерволе порядочном.

Программа как лайт решение возложенные функции выполняет, драйвер не дропает, зато совместима.

Вопрос по статистике возможных детектов с ее помощью на основе сегодняшних баз угроз открыт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
sergey ulasen, зачем тогда, как выяснилось, нешарашкина организация делала проверку памяти с резидентным модулем? Программа проще пареной репы - ничего такого, чтобы именно для профессионалов - в ней нет.

ну вы фак о программе почитайте хоть. они делали утилиту, потом решили приделать к ней дополнительную фичу - плагин.

а так да - проще пареной репы, хеш файла передать на сервер и получить ответ. в идеале это работает именно из командной строки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama
ну вы фак о программе почитайте хоть. они делали утилиту, потом решили приделать к ней дополнительную фичу - плагин.

а так да - проще пареной репы, хеш файла передать на сервер и получить ответ. в идеале это работает именно из командной строки.

Вижу, что плагин отдельно идет - для Firefox самостоятельная вещь - для проверки загружаемых файлов. В факе нет того, о чем Вы говорите. Про командную строку не вижу - только один гуи и для сканирования, и для управления резидентной загрузкой в память.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Вижу, что плагин отдельно идет - для Firefox самостоятельная вещь - для проверки загружаемых файлов. В факе нет того, о чем Вы говорите. Про командную строку не вижу - только один гуи и для сканирования, и для управления резидентной загрузкой в память.

Я не понимаю где и что вы такое читаете, что не видите ?

http://www.team-cymru.org/Services/MHR/

An example use of the command-line arguments on a single malware hash query:

$ whois -h hash.cymru.com e1112134b6dcc8bed54e0e34d8ac272795e73d74

e1112134b6dcc8bed54e0e34d8ac272795e73d74 1221154281 53

и тд и тп

фак там же, ниже, в конце

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama
Я не понимаю где и что вы такое читаете, что не видите ?

http://www.team-cymru.org/Services/MHR/

An example use of the command-line arguments on a single malware hash query:

$ whois -h hash.cymru.com e1112134b6dcc8bed54e0e34d8ac272795e73d74

e1112134b6dcc8bed54e0e34d8ac272795e73d74 1221154281 53

и тд и тп

фак там же, ниже, в конце

Я Вам про WinMHR (Windows приложение), и сначала Вас понял, что командная строка предполагается к нему или некоей отдельной программе, а Вы про Whois daemon сервер-сайт, с которым да можно формировать командно-аргументные запросы - по одному или кучей, и речь там не об ими (Team Cymru) некоей сделанной утилите под командную строку, а о netcat Unix для удобства работы с сервером.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.99.2
      ---------------------------------------------------------
       o Это обновление повышает качество работы с удаленной системой и снимает некоторые ограничения.
         Работа с удаленным рабочим столом вышла на новый уровень недостижимый для подавляющего большинства программ удаленного управления.
         Функция оптимизирована для работы в локальной сети, что обеспечивает минимальный, почти неощутимый лаг и высокий максимальный fps.
         Дополнительно это обновление исправляет проблему с анализом ответа от сервиса VT.

       o Для Windows 8 и старше для получения копии экрана теперь используется Desktop Duplication API + DX11,
         который уменьшает загрузку процессора в удаленной системе и изменяет FPS в зависимости
         от интенсивности изменения содержимого экрана, что позволяет устанавливать нулевую задержку
         для обновления экрана без существенной загрузки процессора, что в свою очередь обеспечивает
         минимальный инпут лаг. В этом режиме состояние кнопки "CAPBLT" игнорируется.
         Максимальный fps в этом режиме минимум в 2 раза выше, чем в устаревших системах.

       o В клиентской части для отрисовки экрана задействован Direct2D с поддержкой использования ресурсов видеокарты,
         что позволяет отображать удаленный рабочий стол с приличным FPS даже при масштабировании кадра.
         Качество масштабирования экрана при использовании аппаратного ускорения стало заметно выше.
         (!) Минимальные требования Vista SP2/Windows Server 2008 SP2.

       o Добавлена поддержка передачи стандартных курсоров, стандартные курсоры не рендерятся на рабочий стол,
         а устанавливаются в клиентской системе, что позволяет избежать лагов при движении курсора и повышает fps.
         (!) В удаленных системах без физической мыши для поддержки этой функции необходимо активировать отображение курсора мыши.
         (!) Win+U -> Мышь и выбрать "Управлять мышью с помощью клавиатуры".

       o Исправлена и оптимизирована функция сжатия фреймов при работе с удаленным рабочим столом, из-за ошибки
         не поддерживались фреймы размером более 2560x1600 пикселей.
         Время сжатия фрейма уменьшено на 40%. (для 32/24 битных режимов)
         Коэффициент сжатия фрейма увеличен на 25%. (для всех режимов)
         (!) Новая функция не совместима со старыми версиями uVS, если у вас в настройках флаг bReUseRemote = 1,
         (!) то перед обновлением необходимо закрыть все серверные часть uVS на удаленных компьютерах с помощью
         (!) старой версии uVS.

       o В целях уменьшения трафика добавлена поддержка понижения цветности для 32/24/16bpp  режимов экрана
         (детализация не понижается, а лишь удаляется избыточная информация о цвете).
         Вы можете выбрать в списке 24bpp (24 бита на цвет), 15bpp (15 бит) и 7bpp (7 бит).
         7bpp это черно-белый режим со 128 градациями серого. Яркость в это режиме представлена средним арифметическим
         цветовых компонент, этот вариант смотрится лучше и требует меньше ресурсов процессора, чем "правильное" обесцвечивание.
         Каждый шаг понижения цветности экономит до 70% трафика относительно предыдущего режима, однако 24bpp
         позволяет достичь максимального fps (только при достаточной ширине канала), за счет минимального времени сжатия картинки.

       o Повышена точность трансляции координат курсора.

       o Добавлена дополнительная кнопка "1:1", при нажатии на нее устанавливается размер отображаемого рабочего стола 1:1
         (при физической возможности), а при нажатии на нее правой кнопкой мыши высота окна остается неизменной,
         а ширина окна подстраивается под соотношение сторон удаленного рабочего стола.

       o Изменена функция кнопки "[ ]", при при первом нажатии на нее высота удаленного рабочего стола становится максимальной
         с учетом высоты таскбара, при повторном нажатии размер удаленного рабочего стола масштабируется до максимума в соответствии
         с текущим разрешением клиентского монитора и учетом соотношения сторон исходного изображения вплоть до перехода в полноэкранный режим,
         заголовок окна и управляющие кнопки автоматически скрываются и проявляются если подвести курсор мыши к верхней границе дисплея,
         эффект от третьего нажатия на эту кнопку соответствует эффекту от первого нажатия.
         Горячая клавиша RWIN доступна и в полноэкранном режиме, при ее нажатии в клиентской системе полноэкранный режим будет отменен и будет
         активировано ближайшее окно другого приложения (эмуляция Alt+Tab), при повторном ее нажатии или переключении в окно удаленного рабочего стола
         полноэкранный режим будет восстановлен.

       o Передача удаленного рабочего стола и нажатий кнопок теперь производится через сокет открываемый на время
         передачи по случайному порту, что позволило дополнительно повысить FPS и отзывчивость удаленного интерфейса.
         Серверная часть uVS на удаленном компьютере автоматически добавляет себя в исключения брандмауэра Windows при запуске
         и удаляет себя из исключений при завершении. При использовании стороннего фаервола необходимо добавить uVS в исключения
         самостоятельно на удаленной машине, в этом случае необходимо прописать bFixedName=1 в settings.ini, что бы имя исполняемого файла
         было постоянным.
         В качестве имени удаленного компьютера допустимо использовать:
          o IPv4 (подключение по TCP-IPv4, максимальная скорость запуска серверной части)
          o Имя компьютера (автоматический выбор версии IP, скорость передачи картинки выше в случае TCP-IPv6 в пределах 4%)
          o Доменное имя   (автоматический выбор версии IP)
         (!) Приоритетным протоколом является IPv6, т.е. если у удаленной системы есть IPv4 и IPv6 адрес, то подключение будет по IPv6.
         (!) Если вы используете Ф или сторонний фаервол то в клиентской и удаленной системе необходимо разрешить исходящие запросы
         (!) по протоколу ICMPv6 для SYSTEM.
         (!) Подключение по IPv6 доступно начиная с WinXP.
         (!) Для работы с удаленной системой без отображения рабочего стола внесение изменений в настройки фаервола не требуется.

       o Новый параметр в settings.ini
         [Settings]
         ; Использовать IPv6 при подключении к удаленному рабочему столу.
           bIPv6 (по умолчанию 1)

       o В окне удаленного рабочего увеличено количество поддерживаемых мониторов с 6 до 10 (кнопки 1-10).

       o Окно удаленного рабочего стола теперь не приходится перезапускать при смене разрешения, положения или смены состояния
         текущего монитора в удаленной системе.

       o При работе с удаленным рабочим столом добавлена поддержка нажатия Ctrl+Alt+Del (кнопка CAD) для Windows Vista и старше.
         Для реализации этой функции добавлен новый модуль: usas.
         (!) На время его выполнения модифицируется групповая политика для разрешения использования SAS.
         (!) Чтобы эта функция работала в Windows Server 2008 и Windows Vista,
         (!) необходимо скопировать библиотеку(и) sas.dll из Windows 7:
         (!) C:\Windows\System32\sas.dll и C:\Windows\SysWOW64\sas.dll (для Vista x64 нужны обе)
         (!) и поместить их в C:\Windows\System32 и C:\Windows\SysWOW64 соответственно.
         (!) Эти библиотеки из Windows 7 были добавлены в STORE (каталоги NT60 и NT60x64).

       o Улучшена функция получения доступа к защищенным от чтения файлам на NTFS разделах.
         Теперь файлы, которые полностью защищены от открытия на уровне ядра, т.е. те что ранее не читались uVS,
         можно проверять по хэшу, копировать в Zoo и проверять их ЭЦП (в том числе и драйвер Ф).
         Добавлена поддержка чтения мелких защищенных файлов и файловых потоков полностью помещающихся в записи MFT.
         (новая функция прямого доступа к диску портирована из badNTFS Pro v2.21)

       o Обновлено окно лога для более быстрого добавления в него строк из нескольких потоков одновременно.
         Отображение строки лога ограничено 512 символами, однако при копировании строки или всего лога в буфер обмена копируется
         строка исходной длины, теперь лимита на длину строки нет.

       o Снят лимит на длину строк в окне информации о файле.

       o Снят лимит на путь и длину командной строки в окне истории процессов и задач.

       o Максимальный размер cmd/vbs и т.д. текстовых файлов, хранящихся в описании файла в поле #FILE#, увеличен до 128kb.
         Восстановить файл из образа автозапуска можно поместив значение данного поля в буфер обмена и далее
         сохранив его в любом текстовом редакторе.

       o В лог добавлено состояние брандмауэра. (0 - выключен, 1 - включен).

       o В окно установленных программ добавлена кнопка "Сохранить", которая сохраняет список программ в текстовый файл.

       o Обновлены start и start_x64: улучшена четкость шрифта в новых системах.

       o Обновлена функция разбора ответа от сервиса VT.
         Дополнительно в лог добавлены результаты из раздела sigma_analysis.

       o Окно истории процессов и задач стало немодальным.
         Перейти в это окно теперь можно из окна информации через его контекстное меню при щелчке правой кнопкой мыши по
         строке содержащей pid.
         (!) История процессов доступна лишь при активном отслеживании процессов и задач. (твик #39)

       o Исправлена критическая ошибка в функции обновления окна списка.

       o Исправлена критическая ошибка в функции проверки одного файла по списку критериев.

       o Исправлена критическая ошибка в функции сканирования реестра: длинные значения ключей полностью игнорировались.
         Теперь при обнаружении значения длиной свыше 1024 байт в лог выводится предупреждение с указанием ключа, имени значения
         и содержимого значения. Если в значении будет выделен файл то файл становится подозрительным.
         Эта ошибка присутствовала с v1.0.

       o Исправлена ошибка при открытии окна удаленного рабочего стола, задержка обновления экрана была 50мс
         вне зависимости от текущих настроек до ее изменения вручную.

       o Обновлена функция определения файлов запускавшихся неявно для совместимости с новыми билдами Windows.

       o Исправлена ошибка из-за которой в очень редких случаях мог не отображаться удаленный рабочий стол.

       o Исправлена функция обработки двойного щелчка кнопкой мыши.

       o Исправлена ошибка из-за которой клиент мог долго завершать работу с выдачей ошибок
         при штатном завершении серверной части.

       o Исправлена ошибка [Error: 0x80004002 - Интерфейс не поддерживается] в твике(27) удаления политик Chrome
         при работе с удаленной системой и при выполнении команды "regt 27" из скрипта.

       o Для Windows 11 возвращен оригинальный стиль чекбоксов, начиная с некоторого обновления их наконец-то исправили.

       
    • PR55.RP55
      Как бы это выявлять и исправлять в uVS ? https://forum.kasperskyclub.ru/topic/464495-pojmal-virusa-pereimenovalis-sluzhby/
    • Ego Dekker
      Домашние антивирусы для macOS были обновлены до версии 7.5.74. Добавлена поддержка macOS Sequoia (версия 15).
    • PR55.RP55
      Можно сделать так чтобы объект в списке отображался не под своим именем, а под именем критерия. ( или по результату проверки на V.T ) - ( по настройке в settings.ini ) Для чего? Например в списке есть: oikgcnjambfooaigmdljblbaeelmeke odbmjgikedenicicookngdckhkjbebpd Но объект  может отображаться внятно: oikgcnjambfooaigmdljblbaeelmeke = T-Сashback1 — кэшбэк-сервис odbmjgikedenicicookngdckhkjbebpd = T-Сashback2 — кэшбэк-сервис  
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 17.2.8.
×