Перейти к содержанию
AM_Bot

Исследование Flame продолжается

Recommended Posts

AM_Bot

1397138[1].jpg«Лаборатория Касперского» объявила о результатах нового исследования сложной вредоносной программы Flame, проведенного совместно с МСЭ-ИМПАКТ, CERT-Bund/BSI и компанией Symantec. В результате анализа нескольких командных серверов, которые использовались создателями Flame, эксперты обнаружили следы трех других вредоносных программ. Кроме того, они установили, что разработка платформы Flame началась еще в 2006 году.

подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Объявила-то объявила, только кому Flame все еще должен быть интересен и какие причины для этого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Username
Объявила-то объявила, только кому Flame все еще должен быть интересен и какие причины для этого.

100% еще не раз услышим об этой группе вирусоделов. Многие догадываются кто за этим стоит, но станет когда-нибудь известно кто конкретно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Объявила-то объявила, только кому Flame все еще должен быть интересен и какие причины для этого.

Суть не в Flame, а в IP, SP, SPE

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Статья интересная. А детали по командному серверу по каким-то соображениям специально не стали публиковать? Интересно где он находился и как вы получили к нему доступ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Porto

Александр, ответьте на несколько вопросов:

1) На каких основаниях хостинговые компании передают вам данные, пренадлежащие третьим лицам (образы управляющих серверов) ?

2) На каких основаниях DNS-регистраторы дают перенастраивать вам записи третьих лиц на ваши сервера ?

3) На каких основаниях вы начинаете контролировать ботнет и фактически получать данные с зараженных машин ?

Чем вы в этом смысле отличаетесь от злоумышленников ?

Это при усановке вашего антивируса пользователи добровольно соглашаются на отсылку данных в ваше облако, а тут вам никто такого права не делегировал

4) О чём думает ваш директор, вовлекая компанию и сотрудников в срыв проводящихся операций спец.служб государств ?

Он точно думает о бизнесе ?

Вы точно подумали о семье, о себе ?

Вы считаете, что срыв операций, готовившихся годами останется для вас и вашей компании безнаказанным ?

5) Зачем вы вообще занимаетесь конкретно данной темой ?

PR ?

Довести раскопки до реальных участников ?

6) По какой причине вы "запикали" никнеймы в исходных текстах ?

Почему не желаете их раскрыть ?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Porto

Что касется самой статьи...

Если бы вы поделились большей порцией материалов, то это существенно облегчило бы помощь в установлении участников мероприятия

Пользуясь предоставленными ограниченными данными можно было сделать несколько выводов:

Стилистика названий файлов, объектов и т.д. приводит к выводу: IBM + Java

Вам в прошлых статьях давали наводку на бывшее антивирусное подразделение данной компании

Поиск комментариев дал ОЧЕНЬ интересный результат:

==========

http://code.google.com/p/nessquik/source/b...anmenow.php?r=2

<?php

/**

* @author Joe Klemencic. Modified heavily by Tim Rupp

*/

==========

Знаете кто это ?

==========

Tim Rupp and Joe Klemencic, two of Fermilab's computer security

wizards, posed as the bad guys to offer a challenge in the Indiana

state-wide college cyber defense competition held at Indiana Tech.

With their role-playing, Klemencic and Rupp helped to educate the

tech-savvy students about what motivates the enemy.

Joe Klemencic is currently performing Data Security responsibilities at Fermi National Accelerator Laboratory in Batavia, Illinois.

==========

За Fermi следует DOE...

По упоминанию Nessus решил посмотреть ихний сайт

В частности

http://www.tenable.com/partners/strategic-partners

- Core Security Technologies (вспоминаем про останавливаемую службу)

- Digital Bond

Tenable and Digital Bond have been working together for six years primarily in the areas of security and compliance auditing for SCADA systems.

- Immunity, Inc.

Tenable and Immunity, Inc. (the makers of the Canvas penetration testing tool), have partnered with ImmunitySec and DSquare Security to offer the Nessus ProfessionalFeed, Canvas and DSquare Exploitation pack as a single commercial offering.

SCADA, эксплойты, министерство энергетики...

У Symantec'а чуть менее запикано вышло

Там вот R*** - это не Rupp случайно ?

Нельзя ли чуть больше сэмплов php-исходников ? ;)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

О, я гляжу у нас завелся свеженький онанимус. И он даже нравится Шабанову, так что за два поста словил плюс.

Ну ок, давай поговорим.

Александр, ответьте на несколько вопросов:

1) На каких основаниях хостинговые компании передают вам данные, пренадлежащие третьим лицам (образы управляющих серверов) ?

За наши (мои) красивые глаза и чувство юмора.

2) На каких основаниях DNS-регистраторы дают перенастраивать вам записи третьих лиц на ваши сервера ?

За наши (мои) красивые глаза и чувство юмора.

3) На каких основаниях вы начинаете контролировать ботнет и фактически получать данные с зараженных машин ?

На основании принципов работы сетевых протоколов. Кто сидит на втором конце кабеля - тот и получает.

Чем вы в этом смысле отличаетесь от злоумышленников ?

Тем что у них есть ключ для расшировки, а у нас нет. хнык, хнык :(

4) О чём думает ваш директор, вовлекая компанию и сотрудников в срыв проводящихся операций спец.служб государств ?

Он точно думает о бизнесе ?

Вы точно подумали о семье, о себе ?

Вы считаете, что срыв операций, готовившихся годами останется для вас и вашей компании безнаказанным ?

Я вот поражаюсь, как вообще например компании-производители бронежилетов ничего не боятся ? Они же столько операций и стольким сорвали, ужасть просто.

5) Зачем вы вообще занимаетесь конкретно данной темой ?

PR ?

Довести раскопки до реальных участников ?

Мы занимаемся обнаружением и уничтожением вредоносного кода. Работа у нас такая.

6) По какой причине вы "запикали" никнеймы в исходных текстах ?

Почему не желаете их раскрыть ?

Мне позвонил Барак Обама (кажется это был он) и попросил не делать этого.

Что касется самой статьи...

Если бы вы поделились большей порцией материалов, то это существенно облегчило бы помощь в установлении участников мероприятия

Нельзя ли чуть больше сэмплов php-исходников ? ;)

А ключи от квартиры где деньги лежат Вам не дать ? (с)

SCADA, эксплойты, министерство энергетики..

Я вам больше скажу. Весь Интернет - вот вообще ВЕСЬ... он знаете где и кем создан был ? Ооо!

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Porto
На основании принципов работы сетевых протоколов. Кто сидит на втором конце кабеля - тот и получает.

Я имел в виду юридические аспекты данного вопроса

Кто "жучок" поставил тот и слушает - это конечно хорошо с технической точки зрения...

Но что-то мне подсказывает, что вы пытаетесь подменить государственные службы, причём в частном порядке

Довольно вольно обращаетесь с чужой информацией

Тем что у них есть ключ для расшировки, а у нас нет. хнык, хнык

Если я правильно прочитал статью, то данные перепаковываются приватным ключем на сервере, а на него они приходят as is

Собственно безотносительно текущей цели исследования

Вы ведь и другие ботнеты перехыватывали

А данные там не факт что шифровались до степени неизвлекаемости, а вы начинали на непонятном обосновании получать к ним доступ

У вас индульгенция что ли на белость и пушистость ?

Попробуйте доходчиво мне объяснить, почему ваша эта (само)деятельность не подпадает под статью 272 УК РФ ?

Я вот поражаюсь, как вообще например компании-производители бронежилетов ничего не боятся ? Они же столько операций и стольким сорвали, ужасть просто.

Как вы понимаете, бронежилеты лишь затрудняют проведение операций по ликвидации назначенных целей

Если предполагается, что жертва будет использовать средства индивидуальной бронезащиты, то соответственно будет выбрано иное оружие и тактика

В случае всех этих Stuxnet'ов как я понимаю они просто не ставятся на машины, где есть ваш продукт

Что, кстати, меня тогда несколько удивляет: откуда тогда заявления, что вы получаете информацию о них из вашей KSN ?

Вы же не молча защищаете своих клиентов (которых, по идее среди жертв и не должно быть), а устраиваете шумную публичную PR-компанию,

начинаете требовать переключить на себя управляющие сервера, чем в итоге заставляете прекратить операцию

Если в случае центрифуг или там удаления данных цели были достигнуты, но мониторинг (Gauss) предполагал продолжение банкета, а вы его им закончили...

Мне позвонил Барак Обама (кажется это был он) и попросил не делать этого.

Ёрничаете и ладно

Просто это странно

То боремся и кричим, то язык втянули

Там оказался прямой или вычисляемый (типа моих измышлений) компромат на кого-то из индустрии ?

Я вам больше скажу. Весь Интернет - вот вообще ВЕСЬ... он знаете где и кем создан был ? Ооо!

Это вы первыми помянули Core Technologies

Использование 0day предполагает его получение. Не обязательно для этого иметь своих штатных специалистов. Ведь можно официально купить...

А там начнут выплывать всякие интересные игроки, типа Vupen и т.п.

А ключи от квартиры где деньги лежат Вам не дать ? (с)

Значит PR ?

Сами по себе фрагменты исходников ценности не представляют никакой

Нагребли доказательств "до приезда милиции" и теперь их дозированно выкладываете ?

В чём "деньги" ?

Отредактировал Porto
  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Пиара-то конечно море, но это так сказать креативный пиар, я имею в виду изменение стилистики главного сайта под исследуемую угрозу, красочные обложки в твиттере, предоставление дополнительных сервисов, etc. У Symantec какое-то все сухое, не говоря уже об остальных. Так что это только плюс.

Но по-моему это уже какой-то явный перебор с муссированием того же Stuxnet-а, сколько можно, несколько лет одно и то же...уже начинает складываться впечатление, что компания пиарит этот Stuxnet, хотя для обычных пользователей он ровным счетом ничего не значит [более того, появилась куча более актуальных областей для исследований]. Может пора заканчивать изголяться над этим вроде вымершим созданием, на котором уже отпиарились все кому не лень.

stuxp.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Сами по себе фрагменты исходников ценности не представляют никакой

Нагребли доказательств "до приезда милиции" и теперь их дозированно выкладываете ?

В чём "деньги" ?

Прямо скажем LOL, чтобы ответить на все эти вопросы парни из Kaspersky наверное уже весь свой штат мобилизовали :facepalm: , ничего себе исповедь O_O.

Сами откуда будете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
О, я гляжу у нас завелся свеженький онанимус. И он даже нравится Шабанову, так что за два поста словил плюс.

Ну во первых он выложил версию по авторам и задал на мой взгляд интересные вопросы, которые многим приходят в голову. От чего не плюсануть то ...

Так все же сервер где был? Хочется детали спецоперации. Это же самое интересное. Как детали ликвидации Усамы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Ну во первых он выложил версию по авторам и задал на мой взгляд интересные вопросы, которые многим приходят в голову. От чего не плюсануть то ...

какая версия по авторам ?

вот эти вот бредни с притянутыми за уши Core Security и непонятно как приклеенным ко всему этому какими-то сотрудниками каких-то даже не третьих, а четвертых компаний ?

Вот скажите мне КАК из этого абзаца у человека вырастают какие-то версии, от которых он уже и связи с SCADA и с лабораториями Ферми и зеродеями вывел ?

"Судя по всему, служба msyslog, которую поддерживает компания Core Security, может работать в операционных системах Linux, BSD, Irix, Solaris и AIX. Последняя на данный момент версия службы msyslog была выпущена 15 апреля 2003 года. Ни на одной из изученных нами систем не была установлена служба msyslog."

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Porto
какая версия по авторам ?

Версия по авторам проистекает из того, что специфический комментарий был нагуглен только в вашем описании и в исходнике за авторством весьма интересных личностей

Если я правильно понял, то эти товарищи - гуру безопасности и работают экспертами в этой самой лаборатории Ферми

Думаю, что это довольно сильно закрытое и специфичное учреждение

И люди такого ранга могут вполне себе привлекаться к атаке такого типа и уровня как Stuxnet

Все остальные размышления - чисто гипотетические и по цепочке

Дайте исходничек какой побольше на обозрение, чего жадничаете-то ?

Можно было бы стилистику сравнить. Это достаточно просто

Последняя на данный момент версия службы msyslog была выпущена 15 апреля 2003 года. Ни на одной из изученных нами систем не была установлена служба msyslog.

Всё верно

Тут два варианта:

1) Это копипаста откуда-то, т.е. человек взял какой-то шаблон скрипта тотальной зачистки, частично иодифицировал и запользовал

2) Использование данной службы специфично для корпоративной среды, где работал / работает автор скрипта.

Логичным предположением является то, что сама контора использует свои же службы

Человек по какой-то причине думал, что это - штатное положение дел и на сторонних хостингах, где они разместил сервер управления

Про фактически нелегальную деятельность некоторых компаний из области безопасности не хотите продолжить дискуссию ?

А то у вас прямо какой-то "комплекс супер-героя": мы делаем добро, поэтому нам много чего теперь можно

Microsoft вон хотя бы ордер ради приличия себе заказывает, чтобы домены прибрать к рукам...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Microsoft вон хотя бы ордер ради приличия себе заказывает, чтобы домены прибрать к рукам...

Если Microsoft заказывает ордер, то они прибирают к рукам весь сервер со всем железом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Porto
Так все же сервер где был? Хочется детали спецоперации. Это же самое интересное. Как детали ликвидации Усамы.

Ну раз им дамп выдали, значит на хостинге, который сливает образы клиентских виртуалок "за красивые глаза" :)

На domaintools можно посмотреть историю смен IP доменом, но кажется за деньги

А далее определить что был за хостер

Я бы вопрос несколько поменял:

Сервера были куплены или были взломаны чьи-то чужие ?

Судя по описанию насчёт маскировки под баннерную систему - склоняюсь к тому, что куплены

Тот же вопрос про домены

Судя по именам - там явная покупка, а не использование чужих

Ну и главное: а чем расплачивались при покупке и что за платёжные средства были исползьованы ?

То, что при покупке доменов использовались адреса отелей - это понятно всё, а вот оплачивались с ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Ну раз им дамп выдали, значит на хостинге, который сливает образы клиентских виртуалок "за красивые глаза" :)

Ну выдали и выдали, возможно обратились в правоохранительные органы, к чему вы тут такой кипиш-то подняли? Вы что хотите чтобы вам на форуме все детали этой спецоперации выложили что ли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Если я правильно понял, то эти товарищи - гуру безопасности и работают экспертами в этой самой лаборатории Ферми

Точняк, и поэтому они сидят и кодят на PHP гавноскрипты.

Бросьте уже искать черную кошку в черной комнате, тем более что ее там нет. Ничего такого особого в тех никнеймах нету.

Ну и главное: а чем расплачивались при покупке

Долларами или шекелями ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Porto
Точняк, и поэтому они сидят и кодят на PHP гавноскрипты.

Бросьте уже искать черную кошку в черной комнате, тем более что ее там нет. Ничего такого особого в тех никнеймах нету.

Долларами или шекелями ?

Так распикайте, раз ничего нет. Для вас

Ну скорее всего там доллары или евро, если хостинг европейский какой

Про израильский след в таком виде это смешно, хотя гугл подбрасывает занятных товарищей по именам файлов

http://code.google.com/p/non/source/browse...taContainer.php

которые и оттуда и IBM и IAF

Разумеется интересен метод платежа: карточка, Paypal, или хакерская Liberty Reserve

На кого зарегистрирован аккаунт

Оплата хостингов на долгий срок предполагает что это не краденное

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Так распикайте, раз ничего нет. Для вас

Я же сказал, что Обама попросил запикать.

Про израильский след в таком виде это смешно, хотя гугл подбрасывает занятных товарищей по именам файлов

http://code.google.com/p/non/source/browse...taContainer.php

которые и оттуда и IBM и IAF

Смешно - это ваши поиски по именам файлов, типа "StaticDataContainer.php". Рекомендую еще поискать по cp.php - получите столько вариантов для исследований, что до пенсии хватит.

Вы уж определитесь - то ли они секьюрити-гуру из закрытых лабораторий, то ли они в опен-сорсе на гугл коде все держат.

Самому не смешно ?

Разумеется интересен метод платежа: карточка, Paypal, или хакерская Liberty Reserve

На кого зарегистрирован аккаунт

Оплата хостингов на долгий срок предполагает что это не краденное

Хотите узнать каким образом спецслужбы оплачивают хостинги ?

Я знаю, но не скажу. Хотя вы все равно не поверите, даже если скажу :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
За наши (мои) красивые глаза и чувство юмора.

Каждый покупатель телематических услуг подписывает соглашение или правила использования. Если вы их читали, то знаете что ими запрещается использование услугами для незаконных дел. Нарушитель соответственно ставит себя вне закона, ту приходит алекс, весь такой с глазами и юмором, ему и дают посмотртеть -)))

А спецслужбы знаете в каждой стране свои если пытаться всем угодить....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Porto
Вы уж определитесь - то ли они секьюрити-гуру из закрытых лабораторий, то ли они в опен-сорсе на гугл коде все держат.

Самому не смешно ?

А чему смеяться, если этот самый гуру размещал свои опенсорсные исходники ?

Я же дал ссылку в самом начале дискуссии

Смешно - это ваши поиски по именам файлов, типа "StaticDataContainer.php"

У людей есть привычки и это является их слабостью

У вас как-то не складывается в голове, что один и тот же человек может как сейчас писать что-то закрытое, так и ранее публиковать какие-то свои исходные тексты, не ожидая, что будет сопоставление

Вон там у вас новости про Сабельникова

Как я понимаю, якобы был найден исходник на сервере и там ссылка на сайт товарища, якобы на нём тренировался отлаживать

Ну так это... если кто там нашел опубликовал бы кусок этого исходника, то можно было бы легко сравнить стилистику, т.к. Сабельников этот размещал небольшие куски своего кода

Мне вообще странна схема построения системы управления с выносом компонент на сторонние ресурсы, которые теоретически могут попасть в чужие руки

Это явная архитектурная недоработка со стороны авторов

Хотите узнать каким образом спецслужбы оплачивают хостинги ?

Я знаю, но не скажу. Хотя вы все равно не поверите, даже если скажу

Мне думается, то всё сильно зависит от целей использования хостинга

Для начала мне непонятно, зачем спецслужбе покупать сторонний хостинг

Свои ресурсы у них наверняка в своих сетях размещены

Какие-то подставные сайты организовывать ?

Согласитесь, что для операций типа обсуждаемой там всё будет несколько иначе

Если платежные системы вообще в своей же стране - так там и вопросов меньше

Никому просто не дадут распутывать цепочку откуда оказались деньги на каком-нибудь PayPal

Всё остальное, что предполагает указание личностей - наверняка с использованием поддельных или украденных документов

Израилитяне там недавно какого-то террориста в ОАЭ убили. Так там всё было левое, включая использование личностей граждан других стран

Ну так и стоимость операции наверное иная

Так что тут как бы вопрос - зачем хостинг. Исходня из него будет и ответ

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Porto
Каждый покупатель телематических услуг подписывает соглашение или правила использования. Если вы их читали, то знаете что ими запрещается использование услугами для незаконных дел. Нарушитель соответственно ставит себя вне закона, ту приходит алекс, весь такой с глазами и юмором, ему и дают посмотртеть -)))

Нарушение правил хостинга клиентом не даёт основания для получения хостером права собственности на размещённые клиентом у него данные

Там как минимум вообще могут быть данные третьих лиц

Сайт мешал другим пользователям ?

Приостановить работу

Не поступило вовремя объяснений от владельца - потереть согласно регламенту или позвонить в соответствующие органы, чтобы приехали и изъяли содержимое

Ваш этот Алекс провоцирует сотрудников компаний на нарушение закона своими просьбами

Тут собственно вся соль в том, что все эти Алексы уверены, что против них никогда не подадут иск

В последнее время случаи с вредоносами с государственным (Бундес-троян) или частным (Gamma) авторством и государственным в обоих случаях использованием происходили в европейской юрисдикции

Мне было бы интересно посмотреть, как бы каких-нибудь горе-реверсеров, предупрежденных наличием строчки в коде погоняли бы по DMCA

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

Человек нарушил правила ему приостановили услуги делегирования пришел кто то заделегровать такой же домен....

Вообще вопросы правильные. Я лично не знаю чем руководствуются провайдеры фильтруя ддосный трафик (который сторого говоря валидный), и т.д. Мне кажется это отголоски времен когда интернет был диким западом...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Можно сделать так чтобы объект в списке отображался не под своим именем, а под именем критерия. ( или по результату проверки на V.T ) - ( по настройке в settings.ini ) Для чего? Например в списке есть: oikgcnjambfooaigmdljblbaeelmeke odbmjgikedenicicookngdckhkjbebpd Но объект  может отображаться внятно: oikgcnjambfooaigmdljblbaeelmeke = T-Сashback1 — кэшбэк-сервис odbmjgikedenicicookngdckhkjbebpd = T-Сashback2 — кэшбэк-сервис  
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 17.2.8.
    • demkd
    • santy
      demkd, а где сохраняется информация о количестве используемых ядер? в settings.ini? Не увидел там новый параметр при изменения параметра производительности в доп. настройках.
    • demkd
      ---------------------------------------------------------
       4.99.1
      ---------------------------------------------------------
       o Это обновление добавляет поддержку многоядерных процессоров.

       o В меню Настройки->Дополнительные настройки добавлена возможность указать количество рабочих потоков
         для функций:
           o Создание файла сверки                                        (нельзя прервать)
           o Создание образа автозапуска                                  (нельзя прервать)
           o Загрузка производителя [F3]                                  (доступно прерывание функции по ESC)
           o Проверка по базе проверенных файлов [F4]                     (доступно прерывание функции по ESC)
           o Проверка ЭЦП [F6]                                            (доступно прерывание функции по ESC)
           o Проверка по базе критериев [Alt+F7]                          (доступно прерывание функции по ESC)
           o Фильтрация по базе критериев [Ctrl+F7]                       (доступно прерывание функции по ESC)
           o Проверка списка по выбранному критерию                       (доступно прерывание функции по ESC)
           o Проверить весь список на вирусы                              (доступно прерывание функции по ESC)
           o Добавить хэши всех проверенных файлов в базу проверенных     (доступно прерывание функции по ESC)
           o Добавить хэши исполняемых файлов каталога в базу проверенных (доступно прерывание функции по ESC)
         Значение 0 задает количество потоков равным количеству ядер процессора (включая виртуальные), виртуальные ядра
         могут ускорить процесс на лишние 30%.
         Как сказывается использование E-ядер неизвестно, но скорее всего ощутимой разницы с P ядрами не будет,
         поэтому на новых интелах + NVME SSD сокращение времени исполнения функций скорее всего будет огромным.
         При подключении к удаленной системе для серверной части uVS количество потоков всегда равно количеству ядер (включая виртуальные).
         Для клиентской части действует заданное в настройках значение.
         Для системного диска на базе SSD время выполнение функции уменьшается многократно (для 4-х ядерных процессоров вплоть до 4x на SATA SDD),
         для современных конфигов может иметь смысл задание большего числа потоков чем количество ядер у процессора (допустимый максимум - 128).
         Для HDD все гораздо хуже, время проверки немного сокращается (10-20%), однако когда часть файлов находится
         в кэше системы (т.е. в оперативной памяти) разница будет существенной и для HDD.
         Конечно все это верно лишь для процессоров с более чем 1 ядром.
         (!) Прерывание функции по клавише ESC недоступно для удаленных систем.

       o Другие функции, которые можно прервать по ESC:
         o Проверить все НЕПРОВЕРЕННЫЕ файлы на VirusTotal.com
         o Проверить все НЕПРОВЕРЕННЫЕ ИЗВЕСТНЫЕ файлы на VirusTotal.com
         o Проверить НЕПРОВЕРЕННЫЕ файлы в текущей категории на VirusTotal.com (c учетом фильтра)
         o Проверить все НЕПРОВЕРЕННЫЕ файлы на virusscan.Jotti.org
         o Проверить все НЕПРОВЕРЕННЫЕ ИЗВЕСТНЫЕ файлы на virusscan.Jotti.org
         o Проверить НЕПРОВЕРЕННЫЕ файлы в текущей категории на virusscan.Jotti.org (с учетом фильтра)
         o Проверить хэш файла по базе проверенных файлов
         o Добавить в список->Все исполняемые файлы в системных каталогах не старше указанной даты

       o Обновлен функционал окна "История процессов и задач".
         Добавлена информация о текущем состоянии задач зарегистрированных в системном планировщике заданий.
         Добавлена новая кнопка "С момента запуска системы", которая переключает режим отображения истории.
         Если кнопка нажата то история отображается только с момента запуска системы, все что было раньше не попадает в список.
         Если кнопка отжата то отображается вся доступная история процессов и задач,
         что может быть полезно для выявления зловредной активности непосредственно перед перезагрузкой системы.
         Для каждой задачи по двойному щелчку левой кнопки мыши можно просмотреть XML описание задачи.
         Теперь фильтрующий поиск работает на все колонки активного списка одновременно, поддерживается
         фильтрация и списка процессов и списка задач, в зависимости от того какой список активен.
         Фильтрующий поиск применяется на результат работы родительского фильтра.
         Горячая клавиша Backspace больше не влияет на родительский фильтр, для отката уровня родительского
         фильтра используйте клавиши ESC (если строковый фильтр пуст) или Alt+Up (откат со сбросом строкового фильтра).
         (см. подробнее в файле Doc\История процессов и задач.txt)
         (!) Только для Vista и старше.
         (!) Только для активных и удаленных систем.

       o Включение отслеживания процессов и задач теперь увеличивает системный журнал до 50mb,
         отключение возвращает размер по умолчанию.

       o Новая скриптовая команда: deltskname полное_имя_задачи
         Удалить задачу с указанным именем.
         Имя задачи должно начинаться с символа "\", например: \Task
         Допустимо указывать каталоги например: \Microsoft\Задача
         (!) Только для Vista и старше.

       o Возвращено отображение цифровых процентов в заголовке окна, поскольку в некоторых системах графическое отображение
         прогресса выглядит не очень наглядно.

       o В окно выбора каталога/файла добавлен фильтрующий поиск (по обоим спискам одновременно если это выбор файла).
         В окне изменились горячие клавиши:
          o \ - перейти к выбору диска
          o DEL - удалить каталог/файл (с подтверждением)
          o ESC - очистить фильтр, если фильтр пуст то закрыть окно.   
          o Backspace - удалить последний символ фильтра
          o Alt+Вверх - перейти в родительский каталог

       o Функция создания образа автозапуска теперь не использует базы проверенных файлов и все проверенные файлы ДО создания
         образа теряют статус "проверенный". Т.е. в образе статус проверенный имеют лишь файлы прошедшие проверку ЭЦП.

       o Поскольку AutoHotkey используется зловредами то теперь все его актуальные версии выявляются под любым именем по F3 или
         при создании образа автозапуска и получают статус подозрительного файла.
         Соответствующие имени файла скрипты автозапуска добавляются в список автоматически и тоже получают статус подозрительных файлов.
         Содержимое скрипта доступно в окне информации ahk файла.

       o Введены новы лимиты на количество элементов в списке автозапуска для x64 версий в списке может быть до 1 млн. файлов,
         для x86 до 150 тысяч файлов. (Обычно в образе менее 10 тысяч файлов)

       o Оптимизированы функции сортировки, фильтрации и вывода списка.

       o В категории HOSTS добавлен фильтрующий поиск по 2 первым колонкам одновременно.
         Сортировки в этой категории нет, записи представлены в порядке следования в оригинальных файлах.
         Первыми идут записи из HOSTS, что лежит по прописанному в реестре пути, если путь отличается от пути по умолчанию
         то дальше идут записи HOSTS из \Windows\System32\drivers\etc, далее записи из HOSTS.ICS.
         В этой категории теперь работает горячая клавиша DEL.

       o Найдена ошибка в Windows API из-за которой для некоторых файлов не отображался производитель и другая информация о версии файла.
         Сам Windows для таких файлов не отображает случайные параметры на вкладке "Подробно" в свойствах файла.
         Ошибку удалось обойти и теперь в окне информации о файле отображаются все значимые параметры для всех исполняемых файлов.

       o Улучшен альтернативный режим сканирования процессов. (ctrl+p)

       o В контекстное меню окна информации о файле добавлен поиск по имени подписавшего файл.

       o Удалена скриптовая команда EXEC32 за бесполезностью.

       o Из настроек основного списка удален обычный поиск за бесполезностью.

       o Добавлен вывод предупреждения в лог при обнаружении вируса в списке при загрузке производителя и сигнатур про F3.

       o Исправлена и улучшена функция вывода результата исполнения консольных приложений.
         Теперь вывод осуществляется в реальном времени с поддержкой отображения динамического текста в последней строке.
         Проблема с кодировкой для старых систем решена.
         Добавлено время выполнения приложения.

       o Результат выполнения команды gpudpate теперь отображается в логе.

       o Сообщение об отсутствии пользовательского реестра в каталоге "All users"/ProgramData больше не выводится.

       o Немного дополнена документация.

       o Исправлена ошибка из-за которой вместо обычной x64 версии для старых систем запускалась x64v версия.

       o Исправлено ошибочное сообщение в логе при исполнении 44 твика.

       o Исправлена ошибка при сохранении истории задач в образ и при передаче данных из удаленной системы.

       o Исправлена и оптимизирована функция проверки списка по выбранному критерию.

       o Исправлена ошибка с растущим временем отката операции по Ctrl+Z при работе с образом.

       o Исправлена ошибка при определении параметров *OperatingSystemVersion для 64-х битного исполняемого файла.

       o Исправлена ошибка с неправильным откатом операции по HOSTS при работе с образом.

       o Исправлена ошибка подписи образа автозапуска удаленной системы (появилась в v4.15.4)

       o Исправлена функция Добавить в список->Все исполняемые файлы в системных каталогах не старше указанной даты

       o Исправлены мелкие интерфейсные ошибки.
       
×