Перейти к содержанию

Recommended Posts

alamor
Спойлер

--------------------------------------------------------
Проверка файлов по хэшу...
--------------------------------------------------------
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V4.0.30319_64\SYSTEM.WEB\E0F1AA5AE849A43EE123D95E457EFC03\SYSTEM.WEB.NI.DLL
Error:  [Ошибка номер 12002]
--------------------------------------------------------
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V4.0.30319_64\SYSTEM.CORE\D1DA4B8A843EC63BB8BE25F8202BEDC1\SYSTEM.CORE.NI.DLL
Error:  [Ошибка номер 12002]
--------------------------------------------------------
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V4.0.30319_64\SYSTEM\60B77585C8AA9CFD1B30A64092C81041\SYSTEM.NI.DLL
Error:  [Ошибка номер 12002]
--------------------------------------------------------
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V4.0.30319_64\MICROSOFT.E4121BBB9#\6209169BB65E8C748CD0CC7904835A65\MICROSOFT.EXCHANGE.UM.UCMAPLATFORM.NI.DLL
Хэш НЕ найден на сервере.
--------------------------------------------------------
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V4.0.30319_64\SYSTEM.SECURITY\E629AF2F8417209404342BF320B481BF\SYSTEM.SECURITY.NI.DLL
Дата: 2017-10-18 [n/a]
Детектов: 0 из 11
Файл был чист на момент проверки.
--------------------------------------------------------
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V4.0.30319_64\MSCORLIB\F89061884B75DAB0E3967D7221E5290D\MSCORLIB.NI.DLL
Дата: 2017-10-18 [n/a]
Детектов: 0 из 11
Файл был чист на момент проверки.

 

Error:  [Ошибка номер 12002] - что означает? ЧТо слишком долго ждало ответа от сервера и не дождался?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
43 минут назад, alamor сказал:

Error:  [Ошибка номер 12002] - что означает? ЧТо слишком долго ждало ответа от сервера и не дождался?

Да, это таймаут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
грум

Здравствуй demkd. Перестала запускаться uVS.

Выдает ошибку.

Снимок.PNG

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
3 часа назад, грум сказал:

Перестала запускаться uVS.

проверить не запущен ли uVS и снять задачу или закрыть окно с ним

или если нужно запускать несколько uVS одновременно снять флажок bFixedName

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
грум
22 минут назад, demkd сказал:

проверить не запущен ли uVS

Нет не запущен. Компьютер перезагружал. Такая же ошибка.

Скачал заново, все работает. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
10 минут назад, грум сказал:

Скачал заново, все работает. 

значит uvsz по каким-то причинам не читался или был поврежден.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
грум
2 минуты назад, demkd сказал:

значит uvsz по каким-то причинам не читался или был поврежден.

Вроде разобрался в чем дело. uVS перестал запускаться с рабочего стола. А из корня нормально. Буду разбираться почему так стало. Ничего вроде не делал. Только запускал uVS на виртуалке. После этого и началось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd, приветствую.

вопрос: есть ли риск при сетевом подключении к удаленному компутеру с помощью uVS  передачи парольного хэша, скажем активному специализированному трояну, типа mimikatz, поторый мониторит подключения на противоположной стороне?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
4 часа назад, santy сказал:

вопрос: есть ли риск при сетевом подключении к удаленному компутеру с помощью uVS  передачи парольного хэша, скажем активному специализированному трояну, типа mimikatz, поторый мониторит подключения на противоположной стороне?

uVS сам не занимается передачей пароля по сети или его хэша ни в каком виде, а вызывает функцию api для подключения, т.е. если троян (на машине что осуществляет подключение) перехватывает вызов этой функции то он получает не то что хеш а сам пароль, а на удаленной машине uVS не получает ни хэш ни пароль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
7 часов назад, demkd сказал:

uVS сам не занимается передачей пароля по сети или его хэша ни в каком виде, а вызывает функцию api для подключения, т.е. если троян (на машине что осуществляет подключение) перехватывает вызов этой функции то он получает не то что хеш а сам пароль, а на удаленной машине uVS не получает ни хэш ни пароль.

demkd,

имею ввиду, что троян находится на удаленной машине, к которой  юзер с чистой машины подключается с привилегиями администратора на удаленной машине.

при интерактивном входе на рабочий стол, на исследуемой машине остается профиль учетной записи исследователя, с которой было подключение, и здесь утилиты типа mimikatz, если они запущены (на исследуемой по сети машине), могут получить и парольный хэш, и сам пароль в чистом виде,

http://blog.gentilkiwi.com/mimikatz

в случае подключения uVS я не обращал внимание, остается на удаленной машине профиль учетной записи, с которой было подключение, или нет. Возможно, при сетевом входе на удаленную машину, он не создается на удаленной машине.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

за счет чего uVS здесь обнаружил руткитный драйвер, загружающий в систему майнер?

https://www.virustotal.com/#/file/f5d95d2e62eba634fe2c2393b1da26aaad9ea0f4dade0fc40a113919411e9963/detection

в этой теме

https://forum.drweb.com/index.php?showtopic=329197

антисплайсинг? или просто драйвер не прикрыл свою запись в реестре, хотя и защитил себя частично от обнаружения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
12 часов назад, santy сказал:

антисплайсинг? или просто драйвер не прикрыл свою запись в реестре, хотя и защитил себя частично от обнаружения?

драйверу не нужно заниматься такой ерундой как сплайсинг, просто запись в реестре не была скрыта, не доделали руткит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Разобрал логи почтовой рассылки, почтовики на базе icloud и rambler почту отпинывают, так что кому нужна рассылка пинайте ихних админов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

есть такая возможность восстановить файл образа автозапуска, после того как он открыт в uVS (и uVS еще не закрыт), но с диска файл образа удален?

(причем открыт неупакованный в архив файл образа TXT)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
24 минут назад, santy сказал:

есть такая возможность восстановить файл образа автозапуска, после того как он открыт в uVS (и uVS еще не закрыт), но с диска файл образа удален?

такой функции нет, файл то попробовать восстановить

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

ок, восстановил с помощью R-studio. Причем еще старой версией 5.4 :). GetDATABack 4.33 не увидел удаленный файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

http://forum.esetnod32.ru/forum6/topic15174/

А можно на базе uVS создать программу которая бы автоматически блокировала заданный объект ?

Оператор указывает объект для блокировки по выбору: ЭЦП; SHA1; ИМЯ файла; полный путь; все новые исполняемые объекты  на общих сетевых ресурсах.  т.е. задаёт критерий поиска\обнаружения.

С Возможностью  задействовать сигнатуры  где оператор сможет задать каталоги\Исключение: Windows;  Program Files и т.д. ( или для определённого перечня каталогов задавать исключение по умолчанию )

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • LightParticle
      https://www.anti-malware.ru/compare/free-antivirus-2017  Судя по этой статьей больше всех Плюсов у Avast Free Antivirus. Проблема в том, что там функционал рассматривается, а не его качество.
    • Quincy
      Недавно узнал от близкой подруги, что некогда моя бывшая девушка будет рожать от своего нынешнего мужа. И она призналась моей подруге, что хочет назвать своего сына в честь одного из её бывших парней. В честь меня - Сергей , потом у неё был Стас, тоже из нашей компании, потом ещё какой-то Олег. Мужу, само собой, она об этом не говорит, что в честь кого-то из нас. Как вы считаете, будет это предательством по отношению к мужу?
    • kristina
      Привет! Интересует вопрос подсчета реального траффика для сайта - кто может порекоммендовать хороший и недорогой инструмент? Нужно посчитать реальный трафик сайта казино https://www.lovevulkan.ru/
    • 6Gleb6
      Да, не на большой и не большую сумму денег. Хотя, есть варианты с беспроцентным займом, как вот здесь https://zaymon.com.ua/ много компаний предлагают. Сам правда не брал, но скорее всего все должно быть честно. Суммы там небольшие, а конкуренция сейчас между МФО огромная. Вот и дают первый займ под 0% чтобы завлечь клиентов.
    • demkd
      Пришлось таки выпустить новую версию, заодно пополнил main. ---------------------------------------------------------  4.1.3
      ---------------------------------------------------------
       o Исправлен модуль startf, он не мог правильно определять версию Windows 10.  
×