Перейти к содержанию

Recommended Posts

santy

Прикрепленные файлы Прикрепленный файл 2016-01-14_13-48-23_log.txt 9.83К 3 скачиваний

остается проверить -возможно ли здесь удаление из под Winpe&uVS

(может быть там косяк какой то с правами в реестре за эти записи)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@santy, из под Winpe возможно все :)

@Vvvyg, теперь видно, наконец-то доперли и начали защищать не по полному пути в реестре, а по его существенной части и 5 лет не прошло :D

тут уже только с диска или нужна специальная утилита с доступом, хотя может оно и загрузку драйверов в рантайме блокирует, тогда только с диска.

Еще конечно можно подгрузить только сам проблемный ключ в случае отказа стандартного способа удаления и попробовать хотя бы снести с него все значения и подключи, но даже если эту дырку не закрыли то блокируется это все равно элементарно перехватом еще одной функции, можно сделать конечно, но работать будет лишь до выхода след. версии этой упорной гадости, если уже не закрыто, короче если дадите эти 2 файла и копии их ключей тогда попробую в вмварь ручками прикрутить может запустится, тогда можно будет и отладить новый смешной способ удаления ключей :D

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

 

а с файлами какие проблемы ?

Даже если программа не устанавливается, то она прекрасно распаковывается архиватором.

И можно брать файлы.

Всё нужное в файле: \MPC_2.0.7652.0923.exe\Source\  ( MPC.dat  )

А файл: MPCKpt.inf

\MPC_2.0.7652.0923.exe\Source\MPC.dat\Drivers\

 

Содержит сведения для установки драйверов:

 

 

   

[MiniFilter.Service]
DisplayName      = %ServiceName%
Description      = %ServiceDescription%
ServiceBinary    = %12%\%DriverName%.sys        ;%windir%\system32\drivers\
Dependencies     = "FltMgr"
ServiceType      = 2                            ;SERVICE_FILE_SYSTEM_DRIVER
StartType        = 1                            ;SERVICE_AUTO_START
ErrorControl     = 1                            ;SERVICE_ERROR_NORMAL
LoadOrderGroup   = "Base"
AddReg           = MiniFilter.AddRegistry

;
; Registry Modifications
;

[MiniFilter.AddRegistry]
HKR,,"DebugFlags",0x00010001 ,0x0
HKR,"Instances","DefaultInstance",0x00000000,%DefaultInstance%
HKR,"Instances\"%Instance1.Name%,"Altitude",0x00000000,%Instance1.Altitude%
HKR,"Instances\"%Instance1.Name%,"Flags",0x00010001,%Instance1.Flags%

;
; Copy Files
;

[MiniFilter.DriverFiles]
%DriverName%.sys

[sourceDisksFiles]
MPCKpt.sys = 1,,

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@PR55.RP55, драйвер поставился, сам клинер запускается, но все равно надо копию ключа Services\MPCProtectService иначе защита не работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Щас еще выложу .11 я там придумал еще более смешной способ удаления защищенных ключей, например бесплатному касперскому хватило даже без виртуализации - ключ с avp удален легко, скорее всего и mpc хватит не думаю что у него защита реестра на уровне авиры, вот ее ключи из юзермода не вынесешь.

Теперь защита ключей не то что по части пути не катит, по одному имени ключа уже не катит, кое-кому придется насмерть затыкать некотрые апишные функции из-за чего будет геморрой аля самозащита авиры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

 

если на чём и тестировать защиту так это на 360 Total security:

www.comss.ru/page.php?id=1952

Посмотрел - у него  движок Авира +  Bitdefender

 

защита железная - снести через uVS вообще не возможно ( он как только появился мы пытались )

и виртуализация не помогала. ( в том числе и в безопасном режиме )

 

Потом оказалось, что вполне нормальный антивирус. ( по мнению пользователей )

( просто его слишком агрессивно навязывали )

И он хорошо удаляется через штатный uninstall ( и мы его оставил в покое :)  )

-----

А ключ: Services\MPCProtectService  постараюсь добыть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

1) Надо бы в справке указать, что файл VT1 надо класть в папку \SHA рядом с MAIN, а то у некоторых возникают вопросы и в справке ответа нет.

2) Может стоит с релизными версиями и VT1 открыто выкладывать на сайте?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@alamor,

1) Базы проверенных файлов.txt - первая строчка.

2) Этой базы не будет в свободном доступе и в пакетах в будущем не будет, она только для тех кто подписан.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

с чем связано ограничение в uVS по списку используемых полей_атрибутов при создании условий критерия?

есть какое то правило которое устанавливает: какие поля_атрибуты можно использовать а какие нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@santy, Какое ограничение?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

когда не по всем атрибутам из инфо, которые используются для создания критерия действует детект

например, в качестве примера: атрибут сигнатура.

по нему создаю критерий сигнатура ~ sign_name

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@santy, посмотрю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

я предположил, что в критерии можно добавить только те (базовые) атрибуты, которые используются при создании образа автозапуска.

(точнее, добавить можно любые, но работают только базовые атрибуты)

на другие атрибуты в критериях, которые появляются в инфо после проверок uVS не реагирует.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

 

Всё таки потребовался критерий  с участием сигнатур ?

--------

Но, по хорошему нужно бы наоборот...

Сигнатура с участием критерия.

-------

Вот тогда, при такой _корректировке их срабатывания можно и команду DELALL много реже применять.

Всего то и надо, что сохранять не голую сигнатуру...

А сигнатуру с корректором.

Где в качестве Корректора\условия выступают полученные из Инфо. устойчивые данные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

santy

 

Всё таки потребовался критерий  с участием сигнатур ?

--------

атрибут "сигнатура" я привел как пример тех атрибутов (не базовых), которые появляются не в момент создания образа автозапуска (на стороне юзера), а после анализа образа на стороне хелпера.

Таких атрибутов может быть предостаточно.

цель же у меня другая.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

o Расширено контекстное меню в окне установленных программ.

@demkd, можно в следующих версиях ещё расширить это меню контекстное меню и добавить пункт для копирования в буфер ключа реестра в котором прописан деинсталятор программы?

К примеру для программы "Adobe AIR" копировать

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Adobe AIR

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Аркалык

@demkd, Можно сделать так, что бы можно было посмотреть пароль учетной записи, сейчас можно только сбрасывать (удалить)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

Аркалик,

не проще ли будет воспользоваться утилитами от Elcomsoft, чтобы из хэша пароля, который хранится в системе,  получить пароль?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@santy, там есть трудности с этими атрибутами, я буду подумать.

@alamor, а зачем оно? удалить так просто del нажать

@Аркалык, получить пароль невозможно, можно лишь расчитать подходящий, а это может занять до суток и более.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

alamor, а зачем оно? удалить так просто del нажать

Например, чтобы сделать экспорт ключа.

Да и при удаление иногда бывает, что в uVS удалишь этот ключ - программа в списке установленных в uVS не отображается, а в логе другой утилиты по прежнему видно (бывает и наоборот).

В общем эта информация порой требуется и приходится делать целиком экспорт ключа Uninstall, а добавить такой пункт контекстного меню надеюсь не сложно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@alamor, а это надо смотреть вполне возможно придется менять формат образа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

1) Если запустить исполняемый файл непосредственно из памяти Android  устройства то  uVS не видит _реального пути откуда был запущен файл.

 

Соответственен и не может его удалить.

 

2) Можно ли реализовать поддержку Android  устройств.

Как я понимаю опыт работы с телефонами есть ?

т.е. чтобы uVS определял устройство.

 

По типу программ: Nokia_Ovi_Suite ;  Samsung Kies

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
грум

Demkd в Windows 10  кракозябры какие-то. Почему так.

Снимок.PNG-2.PNG

post-11306-0-47577000-1454949810.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

@грум, кривые региональные настройки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

 

При просмотре образов.

Я периодически вижу в пути файла запись  \\

Ошибка - файл не найден...

----------

 

Пути длиной более 259 символов в Windows NT+

Для Пути, общей длиной более 259 символов, здесь необходимо добавить префикс \\?\

например: \\?\C:\

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      Добавлю в след. версии.
      Последнее время был занят созданием фаервола, он практически готов и проходит тестирование, так что скоро можно будет вернуться к uVS.
    • Ego Dekker
      ESET SysRescue Live был обновлён до версии 1.0.22.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.17.
    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
×