uVS - Тестирование - Страница 16 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

грум

demkd здравствуй. У меня вопрос появился такого плана.После добавления сигнатуры, в прежних версия которые ниже 4.0, нажимаем проверить список и сразу видели легальные файлы которые попали под сигнатуру. И тогда меняли длину сигнатуры.В новых версиях как это сразу посмотреть? Что-то никак не разберусь.  

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

в 4 версии так же.
добавил сигнатуры, затем надо нажать кнопку проверить список.
и будет видно какие файлы попали под сигнатуры.

если исключаешь ложно срабатывание, или удаляешь сигнатуру, еще раз нажимаем проверить список.
чтобы увидеть изменение.
--------------
отличие в том, что добавленные сигнатуры в базу сигнатуры автоматически не добавляются в скрипт.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
грум

santy спасибо. Я так понимаю что бы все эти нововведения работали у пользователя должна быть версия не ниже 4 версии. Если в старых версиях  сделан образ все это не работает.Верно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

По поводу: .scf

https://www.anti-malware.ru/news/2017-05-18/22985

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
49 минут назад, грум сказал:

santy спасибо. Я так понимаю что бы все эти нововведения работали у пользователя должна быть версия не ниже 4 версии. Если в старых версиях  сделан образ все это не работает.Верно?

грум,

вы можете новой 4 версией открыть образ, сделанный в 3-ей версии, и создать скрипт  с учетом нововведений. Но выполнить данный скрипт юзер должен уже новой, 4ой версией.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Как на это реагировать ?

Полное имя                  ZQJTWNW6EUQJOWDUC:\WINDOWS\EXPLORER.EXE
Имя файла                   EXPLORER.EXE
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
                            
Доп. информация             на момент обновления списка
CmdLine                     "C:\Program Files (x86)\Opera\45.0.2552.812\opera.exe" --ran-launcher --opener-id="zQJtWnw6EuQJOWdUC:\Windows\explorer.exe"
CmdLine                     "C:\Program Files (x86)\Opera\45.0.2552.812\opera_crashreporter.exe" --ran-launcher --opener-id="zQJtWnw6EuQJOWdUC:\Windows\explorer.exe" --crash-reporter-parent-id=2540
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd
uVS не может отличить один тип исполняемого файла от другого.
Так например, если взять msdtcvtr.bat  и переименовать его в msdtcvtr.dll и поместить в автозапуск
то со стороны uVS реакции не будет ( даже статус не меняется ) см. фото пример.
т.е. в данном случае не определяет, что это скрипт...
1) Добавлять подобного типа файлы в подозрительные.
2) в случае если это файлы: .bat; vbs и т.д. показывать в инфо. код данного файла.

--------
+
Косяк при обновлении списка.
Пример.
У нас есть легальный файл с ЭЦП
( Проверяем подпись - uVS говорит: Подпись действительна. )
Далее: "вирус" динамически производит подмену файла на файл без ЭЦП > Оператор обновляет список и вновь проверяет ЭЦП...
В итоге хрень. см фото пример.

 

555550.jpg

55555666666.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
14 часов назад, PR55.RP55 сказал:

uVS не может отличить один тип исполняемого файла от другого.

По фото видно что как раз отличает и файл попадет в категорию скриптов и т.п. не вижу никакой необходимости что-то куда-то добавлять.
 

14 часов назад, PR55.RP55 сказал:

Косяк при обновлении списка.

Это не косяк, а фича,я не думаю, что обновление списка по 10 минут положительно будет влиять на нервы оператора.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

посмотри, здесь похоже сам вредоносный скрипт вычистили из созданного класса.
 

Цитата

 

Полное имя                  WMI_.[FUCKYOUMM2_FILTER]
Имя файла                   WMI_.[FUCKYOUMM2_FILTER]
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Namespace                   \\.\root\subscription
Filter_Name                 fuckyoumm2_filter
Filter_Class                __EventFilter
Filter_Query                select * from __timerevent where timerid="fuckyoumm2_itimer"
#MOF_Bind#                  
instance of __FilterToConsumerBinding
{
    Consumer = "\\\\.\\root\\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\"";
    Filter = "\\\\.\\root\\subscription:__EventFilter.Name=\"fuckyoumm2_filter\"";
};

#MOF_Event#                 
instance of __EventFilter
{
    Name = "fuckyoumm2_filter";
    Query = "select * from __timerevent where timerid=\"fuckyoumm2_itimer\"";
    QueryLanguage = "wql";
};

                            

 

 

BLACKMESERSSD_2017-06-03_03-48-57.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

да, похоже что так, fuckyoumm2_consumer нет в базе, какой-то софт криво удаляет, оставляет обломки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

Есть такой: Stantinko ( геморрой )

-------

Полное имя                  C:\WINDOWS\SYSWOW64\WSAUDIO.DLL
Имя файла                   WSAUDIO.DLL
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
File_Id                     54F72D6A8D000
Linker                      10.0
Размер                      367104 байт
Создан                      18.04.2016 в 22:15:05
Изменен                     18.04.2016 в 22:15:05
                            
TimeStamp                   04.03.2015 в 16:06:02
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя            LIBMP3LAME.DLL
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Доп. информация             на момент обновления списка
SHA1                        A80CEF032C913DF5558D876D91A38759D4A7A2D1
MD5                         A33D65923CF73505333C945FA43C7DF9
                            
Ссылки на объект            
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini
                            
-----------------
Полное имя                  C:\WINDOWS\SYSWOW64\IHCTRL32.DLL
Имя файла                   IHCTRL32.DLL
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
File_Id                     552D0DF13D000
Linker                      10.0
Размер                      214016 байт
Создан                      18.04.2016 в 22:15:05
Изменен                     18.04.2016 в 22:15:05
                            
TimeStamp                   14.04.2015 в 12:54:09
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя            IHCTRL32.DLL
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Доп. информация             на момент обновления списка
SHA1                        80C4A4FD10409742C10B4399AD7C31AFEA726A8D
MD5                         4D97530B17A6EF7F25ADC44E433EE5E6
                            
Ссылки на объект            
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini

-----------

Как видно он вообще не в автозапуске.

и найти его среди тысяч файлов задача не тривиальная.

Запускается со стартом браузера.

Нужны новые методы обнаружения.

Если запуск идёт через _легальное ( модифицированное ) расширение браузера.

значит нужен анализ установленных расширений.

и автоматически искать в этих расширениях записи коих быть не должно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

 Microsoft Windows Server 2003 R2 x86 (NT v5.2 SP2) build 3790 Service Pack 2 [C:\WINDOWS]

по поводу записей в WMI

то, что там вирус - это понятно.

Но вот общее число записей... ( 54\55 штук )

Оно там вообще нужно ?

или стоит какой нибудь твик для автоочистки  в программу добавить ?

Образ: https://yadi.sk/d/8PzI8dmW3JyJxh

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Оператору нужен скрипт такого содержания:


;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
sreg

delref %Sys32%\DRIVERS\AKSDF.SYS
delref %Sys32%\DRIVERS\AKSFRIDGE.SYS
delref %Sys32%\DRIVERS\HARDLOCK.SYS
delref %Sys32%\HASPLMS.EXE

areg

А по факту  ( с учётом apply )

получается такое:

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
sreg

areg

;---------command-block---------
delref %Sys32%\DRIVERS\AKSDF.SYS
delref %Sys32%\DRIVERS\AKSFRIDGE.SYS
delref %Sys32%\DRIVERS\HARDLOCK.SYS
delref %Sys32%\HASPLMS.EXE
apply

Прямо  скажем вещь сомнительная...

Если кода немного, то можно и руками отредактировать.

А когда скрипт в сотню строк...

 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

areg выполняется всегда в конце вне зависимости от его положения в скрипте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

https://www.anti-malware.ru/news/2017-06-21/23211

думаю, стоит посмотреть.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

https://forum.esetnod32.ru/forum6/topic14097/

Если сравнить записи в uVS и FRST

то я не вижу в uVS записи:

BootExecute: autocheck autochk * sh4native 7099sdnclean64.exe

Запуск приложений через ключ реестра BootExecute

http://hex.pp.ua/bootexecute.php

Я так думаю, что можно исхитриться и чего нибудь да запустить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Error: (06/25/2017 05:44:21 PM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3011) (User: NT AUTHORITY)
Description: При выгрузке строк счетчиков производительности для службы WmiApRpl (WmiApRpl) произошел сбой. Первое двойное слово (DWORD) в секции данных содержит код ошибки.

Возможно что-то новое для WMI придумали.
Во сяком случае это: KERNCAP.VBS в секции WMI

---------

Полное имя                  KERNCAP.VBS
Имя файла                   KERNCAP.VBS

Сохраненная информация      на момент создания образа
Статус                      в автозапуске

----------------

Образ: http://zalil.su/5444829
                            

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

И в uVS  явный косяк с анализом автозапуска.

C:\WINDOWS\SYSWOW64\IHCTRL32.DLL

C:\WINDOWS\SYSTEM32\IHCTRL32.DLL

_________________________________________________

Полное имя                  C:\WINDOWS\SYSWOW64\IHCTRL32.DLL
Имя файла                   IHCTRL32.DLL

 Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
File_Id                     556EBE5498000
Linker                      7.0
Размер                      603648 байт
Создан                      12.04.2017 в 20:44:02
Изменен                     08.03.2017 в 07:22:45
                            
TimeStamp                   03.06.2015 в 08:44:04
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя            DDDDDDDD.DLL
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Доп. информация             на момент обновления списка
SHA1                        2428AE627F382A886C0C48F4748C0DB3FD943796
MD5                         79283E53B76D96C869EF64241D5D2794
                            
Ссылки на объект            
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini

_________________________________________

Полное имя                  C:\WINDOWS\SYSTEM32\IHCTRL32.DLL
Имя файла                   IHCTRL32.DLL
Тек. статус                 сервисная_DLL в автозапуске [SVCHOST]
                            
Сохраненная информация      на момент создания образа
Статус                      сервисная_DLL в автозапуске [SVCHOST]
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                            
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\ihctrl32\Parameters\ServiceDLL
ServiceDLL                  %SystemRoot%\System32\ihctrl32.dll

____________________________________________

Полное имя                  C:\WINDOWS\SYSTEM32\WSAUDIO.DLL
Имя файла                   WSAUDIO.DLL
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SVCHOST]
                            
                         
Сохраненная информация      на момент создания образа
Статус                      сервисная_DLL в автозапуске [SVCHOST]
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                            
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\wsaudio\Parameters\ServiceDLL
ServiceDLL                  %SystemRoot%\System32\wsaudio.dll
________________________________________________

А из лога FRST  видно, что...

S2 wsaudio; C:\Windows\SysWOW64\wsaudio.dll [251392 2017-05-12] () [File not signed] 2017-06-25 15:31 - 2017-05-12 21:03 - 00251392 _____ C:\Windows\SysWOW64\wsaudio.dll            

------------

И какой вывод ?

1) Файл а втозапуске - но как бы и нет...

SYSWOW64

SYSTEM32

2) Файл есть но uVS  его не видит...    

Образ:    http://zalil.su/2930698

Тема: https://forum.esetnod32.ru/forum6/topic14098/

и таких тем ( по wsaudio.dll  уже за сотню )

В 23.05.2017 at 9:06 PM, PR55.RP55 сказал:

 

Я уже об этом в  писал выше - а сейчас пишу подробно.                           

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
В 06.06.2017 at 10:28 PM, PR55.RP55 сказал:

Demkd

Есть такой: Stantinko ( геморрой )

-------

Полное имя                  C:\WINDOWS\SYSWOW64\WSAUDIO.DLL
Имя файла                   WSAUDIO.DLL
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
File_Id                     54F72D6A8D000
Linker                      10.0
Размер                      367104 байт
Создан                      18.04.2016 в 22:15:05
Изменен                     18.04.2016 в 22:15:05
                            
TimeStamp                   04.03.2015 в 16:06:02
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя            LIBMP3LAME.DLL
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Доп. информация             на момент обновления списка
SHA1                        A80CEF032C913DF5558D876D91A38759D4A7A2D1
MD5                         A33D65923CF73505333C945FA43C7DF9
                            
Ссылки на объект            
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini
                            
-----------------
Полное имя                  C:\WINDOWS\SYSWOW64\IHCTRL32.DLL
Имя файла                   IHCTRL32.DLL
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
File_Id                     552D0DF13D000
Linker                      10.0
Размер                      214016 байт
Создан                      18.04.2016 в 22:15:05
Изменен                     18.04.2016 в 22:15:05
                            
TimeStamp                   14.04.2015 в 12:54:09
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя            IHCTRL32.DLL
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Доп. информация             на момент обновления списка
SHA1                        80C4A4FD10409742C10B4399AD7C31AFEA726A8D
MD5                         4D97530B17A6EF7F25ADC44E433EE5E6
                            
Ссылки на объект            
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini

-----------

Как видно он вообще не в автозапуске.

и найти его среди тысяч файлов задача не тривиальная.

Запускается со стартом браузера.

Нужны новые методы обнаружения.

Если запуск идёт через _легальное ( модифицированное ) расширение браузера.

значит нужен анализ установленных расширений.

и автоматически искать в этих расширениях записи коих быть не должно.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

да, 32-х битными службами есть косяк, это я исправлю как время появится, а wsaudio как раз стартует через сервис на базе svchost и там аналогичный косяк.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Исправил косяк, анализ svchost пока отложен, может быть на следующей неделе будет время заняться.
---------------------------------------------------------
 4.0.6
---------------------------------------------------------
 o Исправлена функция эмулятора WOW64 для командных строк и функция анализа параметров 32-х битных служб.

 o В лог добавлено предупреждение при невозможности открыть процесс. (для обычного режима сканирования)

 

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

@demkd, а это пожелание значит отклонено?
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
3 часа назад, alamor сказал:

а это пожелание значит отклонено?

нет, пока нет времени на что-то новое, пока только исправление критических ошибок.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

ошибка по сервисным dll, похоже, ушла.

это из образа, созданного в 4.0.5

Цитата

Полное имя                  C:\WINDOWS\SYSTEM32\IHCTRL32.DLL
Имя файла                   IHCTRL32.DLL
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SVCHOST]
                            
Удовлетворяет критериям     
SERV_DLL.FALSE              (ССЫЛКА ~ \PARAMETERS\SERVICEDLL)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      сервисная_DLL в автозапуске [SVCHOST]
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                            
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\ihctrl32\Parameters\ServiceDLL
ServiceDLL                  %SystemRoot%\System32\ihctrl32.dll

а это на той же системе, только образ сделан в 4.0.6

Цитата

Полное имя                  C:\WINDOWS\SYSWOW64\IHCTRL32.DLL
Имя файла                   IHCTRL32.DLL
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SVCHOST]
                            
Удовлетворяет критериям     
SERV_DLL.FALSE              (ССЫЛКА ~ \PARAMETERS\SERVICEDLL)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      сервисная_DLL в автозапуске [SVCHOST]
File_Id                     556EBE5498000
Linker                      7.0
Размер                      603648 байт
Создан                      17.04.2013 в 04:58:28
Изменен                     30.11.2012 в 15:53:59
                            
TimeStamp                   03.06.2015 в 08:44:04
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя            DDDDDDDD.DLL
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Доп. информация             на момент обновления списка
SHA1                        2428AE627F382A886C0C48F4748C0DB3FD943796
MD5                         79283E53B76D96C869EF64241D5D2794
                            
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\ihctrl32\Parameters\ServiceDLL
ServiceDLL                  %SystemRoot%\System32\ihctrl32.dll
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini

                            

                          

 

UNKNOWN-ПК_2017-06-28_13-55-47.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

Какая то ерунда с проверкой ЭЦП.

Тема\образ: http://www.tehnari.ru/f35/t254502/

Пример:

Полное имя                  C:\PROGRAM FILES\GIMP 2\BIN\LIBGIMPWIDGETS-2.0-0.DLL
Имя файла                   LIBGIMPWIDGETS-2.0-0.DLL
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ [Запускался неявно или вручную]
File_Id                     340A33A3126000
Linker                      2.24
Размер                      1218424 байт
Создан                      18.11.2015 в 22:49:22
Изменен                     26.08.2014 в 23:32:18
                            
TimeStamp                   01.09.1997 в 03:16:51
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя            LIBGIMPWIDGETS-2.0-0.DLL
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Jernej Simoncic
                            
Доп. информация             на момент обновления списка
SHA1                        BA780DEFB8128E33672D0D192B6BA4F9A4733F69
MD5                         40C10C2ACD259C99D14851CAC8A29025
                            
Ссылки на объект            
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini

____________________________________________

Полное имя                  C:\PROGRAM FILES\GIMP 2\BIN\LIBTIFF-5.DLL
Имя файла                   LIBTIFF-5.DLL
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
File_Id                     3AF13AE96C000
Linker                      2.24
Размер                      420397 байт
Создан                      18.11.2015 в 22:50:58
Изменен                     25.08.2014 в 20:01:16
                            
TimeStamp                   03.05.2001 в 11:03:05
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя            LIBTIFF-5.DLL
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               проверка не производилась
                            
Доп. информация             на момент обновления списка
SHA1                        3FF3D86B92CF4D02D646D1C7B12A205F63D424BD
MD5                         8875BDD42977AE4562C13EFB13F4ABF4
                            
Ссылки на объект            
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini

__________________

И так: У части файлов ЭЦП проверена у части нет.

Как это так ?
                            

                            

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×