uVS - Тестирование - Страница 45 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

santy

Не увидел твое сообщение во время, а исправление до *.14 как раз было бы во время для решения проблемы с  dialersvc.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

С большой вероятностью эта версия и станет v5.0
Все что было запланировано реализовано.

---------------------------------------------------------
 5.0.RC1
---------------------------------------------------------
 o В окно запуска добавлен пункт меню "Перезагрузить в интерфейс встроенного ПО [UEFI]"
   Доступно начиная с Win10.

 o В окно запуска добавлен выбор основного шрифта.

 o Пополнено окно дополнительных настроек.

 o В функцию удаления временных файлов добавлено 4 каталога с временным файлами Windows.
   o \Windows\Downloaded Program Files
   o \ProgramData\Microsoft\Windows\WER\ReportArchive   
   o \ProgramData\Microsoft\Windows\WER\ReportQueue
   o \ProgramData\Microsoft\Windows\WER\Temp
   Функция больше не выводит в лог пути до отсутствующих каталогов.

 o Исправлена критическая ошибка инициализации режима DDA,
   она могла проявляться на чипсетах AMD при подключении
   физического монитора к компьютеру, который был отключен или физически
   не подключен на этапе загрузки системы, при этом меняются логические
   номера дисплеев и 1-го дисплея обычно не существует, поэтому
   если вы подключились и 1-й дисплей показывает черный квадрат то
   стоит попробовать переключиться на 2-й и т.п.
   (!) В этом случае не работает программный способ вывода дисплея из сна,
   (!) поэтому в текущей версии движения мыши в любом случае передаются на
   (!) удаленный компьютер, что гарантировано пробуждает спящий дисплей
   (!) при переключении на него.

 o Исправлена ошибка создания загрузочного диска под Windows 11 24H2,
   по неизвестной причине в этой редакции Windows dism из пакета ADK
   не способен без ошибок сформировать загрузочный образ диска,
   поэтому все операции с образом диска теперь выполняет штатный dism из системного каталога.

 o Исправлена ошибка для определения пути до драйвера CDD.DLL при анализе
   ключей безопасного режима.

 

  • Like 1
  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Это внеплановое обновление для разбора необычного случая с внедренными потоками, соответственно релиз задерживается.

---------------------------------------------------------
 5.0.RC2
---------------------------------------------------------
 o При обнаружении внедренного потока в процессе в лог печатается точное
   время создания потока и ТОП 10 наиболее вероятных виновников.

   (!) Только для потоков не имеющих привязки к DLL.
   (!) Функция требует активного отслеживания процессов. (Твик #39)

 o Изменен способ адресации мониторов при работе с удаленным рабочим столом.
   Теперь выбирается не логический номер монитора, а его порядковый номер,
   что позволяет избежать проблем при обновлении драйверов на видеокарту
   без закрытия окна удаленного рабочего стола.

 o В окно удаленного рабочего стола добавлена кнопка "Меню", она открывает
   на удаленном компьютере окно с кнопками быстрого доступа к часто используемым
   настройкам системы и системным утилитам.
   Утилиты из этого окна запускаются на удаленном компьютере под текущим пользователем.

 

  • Like 1
  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

При копировании известного файла файла

uVS v5.0.RC2.v x64 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

GATHERNETWORKINFO.VBS._628B6B4BF3CC7F77578CF3CCFCC587DBF9EC7E07

https://disk.yandex.ru/i/LpsxRQ6EMkF23w

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Как вылетал uVS при попытке скопировать файл в Zoo  так и вылетает.

Есть системный дамп.

https://disk.yandex.ru/d/6R97oQE3_nzfiA

+

Такая ошибка: https://disk.yandex.ru/i/Dr2xnpoU0CFYdg

Тоже может быть использована.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 03.07.2025 at 10:24 PM, PR55.RP55 сказал:

Есть системный дамп.

https://disk.yandex.ru/d/6R97oQE3_nzfiA

Да, с этим файлом проблема, починю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

Привет.

По 5.0 RC3

Цитата

---------------------------------------------------------
 5.0.RC3
---------------------------------------------------------
o Процессы с измененным кодом теперь выделяются в отдельный объект для каждого pid, 
   "путь" до объекта получает префикс "FAKE:", объект получает статус "FAKE".
   В контекстное меню этих объектов добавлен пункт "Выгрузить все процессы с измененным кодом".
   Для выгрузки таких процессов через скрипт добавлена команда "delfake".

Это работает. (саму команду еще не проверил как работает).

И в цепочку процесс укладывается, хотя цепочка достаточно запутана, но к сожалению, отслеживание командной строки не включилось по какой-то причине.

Возможно потому что не был отключен антивирус MBAM.

Цитата

Полное имя                  FAKE:C:\WINDOWS\SYSTEM32\DWM.EXE [16064]
Имя файла                   DWM.EXE [16064]
Тек. статус                 АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ] FAKE 
                            
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ] FAKE 
Процесс                     64-х битный
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Имя/путь до файла           Возможно искажены или файл был защищен/перемещен/удален/переименован
                            
Доп. информация             на момент обновления списка
pid = 16064                 DESKTOP-867G3VL\nelid
  CmdLine                   C:\WINDOWS\System32\dwm.exe
  Процесс создан            20:58:24 [2025.07.15]
  С момента создания        00:00:56
  CPU                       19,36%
  CPU (1 core)              464,67%
  parentid = 8556           C:\WINDOWS\EXPLORER.EXE
  ESTABLISHED               192.168.0.147:49811 <-> 62.60.246.117:443
  CLOSE_WAIT                (2a00:ae40:18cf:8200:4051:f01e:fdc9:3b38):49810 <-> (2a06:98c1:3122:8000:0:0:0:0):443
                            
Образы                      EXE и DLL
DWM.EXE                     C:\WINDOWS\SYSTEM32


 o В окне истории процессов и задач в контекстное меню процесса добавлен новый пункт: 
   "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом"
   Это может быть полезно при поиске процесса модифицировавшего неявно запущенный им процесс.

Функция есть в истории процессов и задач, но работает видимо только из активной системы.                          

DESKTOP-867G3VL_2025-07-15_20-59-13_v5.0.RC3.v x64.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 16.07.2025 at 10:11 AM, santy сказал:

Возможно потому что не был отключен антивирус MBAM.

Проблема оказалась в редакции windows, для home нужно дополнительно прописывать флаг в реестр, в RC4 теперь это делается автоматически.
 

В 16.07.2025 at 10:11 AM, santy сказал:

Функция есть в истории процессов и задач, но работает видимо только из активной системы. 

Добавил функцию для образов.

---------------------------------------------------------
 5.0.RC4
---------------------------------------------------------
o Добавлена поддержка включения отслеживания командной строки процессов для "Home" редакций Windows.
  Теперь при включении отслеживания в лог печатается статус этой опции.

o Функция "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом" теперь доступа и при работе с образом,
  если образ сделан при активном отслеживании процессов.


o Исправлена критическая ошибка при создании файла описания для скопированного в Zoo большого текстового файла (vbs/cmd и т.д.).

 

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      Проблема оказалась в редакции windows, для home нужно дополнительно прописывать флаг в реестр, в RC4 теперь это делается автоматически.
        Добавил функцию для образов.

      ---------------------------------------------------------
       5.0.RC4
      ---------------------------------------------------------
      o Добавлена поддержка включения отслеживания командной строки процессов для "Home" редакций Windows.
        Теперь при включении отслеживания в лог печатается статус этой опции.

      o Функция "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом" теперь доступа и при работе с образом,
        если образ сделан при активном отслеживании процессов.

      o Исправлена критическая ошибка при создании файла описания для скопированного в Zoo большого текстового файла (vbs/cmd и т.д.).

       
    • santy
      Привет. По 5.0 RC3 Это работает. (саму команду еще не проверил как работает). И в цепочку процесс укладывается, хотя цепочка достаточно запутана, но к сожалению, отслеживание командной строки не включилось по какой-то причине. Возможно потому что не был отключен антивирус MBAM.
       o В окне истории процессов и задач в контекстное меню процесса добавлен новый пункт: 
         "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом"
         Это может быть полезно при поиске процесса модифицировавшего неявно запущенный им процесс. Функция есть в истории процессов и задач, но работает видимо только из активной системы.                           DESKTOP-867G3VL_2025-07-15_20-59-13_v5.0.RC3.v x64.7z
    • demkd
      Да, с этим файлом проблема, починю.
    • PR55.RP55
      В настройках добавить: Отправлять лог применения\выполнения скрипта на сервер\адресату. Уникальный идентификатор прописывается в скрипт при его генерации. т.е. Оператор не запрашивает результат выполнения скрипта у пользователя.    
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.2.14.
×