uVS - Тестирование

[santy 153]

Не увидел твое сообщение во время, а исправление до *.14 как раз было бы во время для решения проблемы с  dialersvc.

[demkd 630]

С большой вероятностью эта версия и станет v5.0
Все что было запланировано реализовано.

---------------------------------------------------------
 5.0.RC1
---------------------------------------------------------
 o В окно запуска добавлен пункт меню "Перезагрузить в интерфейс встроенного ПО [UEFI]"
   Доступно начиная с Win10.

 o В окно запуска добавлен выбор основного шрифта.

 o Пополнено окно дополнительных настроек.

 o В функцию удаления временных файлов добавлено 4 каталога с временным файлами Windows.
   o \Windows\Downloaded Program Files
   o \ProgramData\Microsoft\Windows\WER\ReportArchive   
   o \ProgramData\Microsoft\Windows\WER\ReportQueue
   o \ProgramData\Microsoft\Windows\WER\Temp
   Функция больше не выводит в лог пути до отсутствующих каталогов.

 o Исправлена критическая ошибка инициализации режима DDA,
   она могла проявляться на чипсетах AMD при подключении
   физического монитора к компьютеру, который был отключен или физически
   не подключен на этапе загрузки системы, при этом меняются логические
   номера дисплеев и 1-го дисплея обычно не существует, поэтому
   если вы подключились и 1-й дисплей показывает черный квадрат то
   стоит попробовать переключиться на 2-й и т.п.
   (!) В этом случае не работает программный способ вывода дисплея из сна,
   (!) поэтому в текущей версии движения мыши в любом случае передаются на
   (!) удаленный компьютер, что гарантировано пробуждает спящий дисплей
   (!) при переключении на него.

 o Исправлена ошибка создания загрузочного диска под Windows 11 24H2,
   по неизвестной причине в этой редакции Windows dism из пакета ADK
   не способен без ошибок сформировать загрузочный образ диска,
   поэтому все операции с образом диска теперь выполняет штатный dism из системного каталога.

 o Исправлена ошибка для определения пути до драйвера CDD.DLL при анализе
   ключей безопасного режима.

 

[demkd 630]

Это внеплановое обновление для разбора необычного случая с внедренными потоками, соответственно релиз задерживается.

---------------------------------------------------------
 5.0.RC2
---------------------------------------------------------
 o При обнаружении внедренного потока в процессе в лог печатается точное
   время создания потока и ТОП 10 наиболее вероятных виновников.
   (!) Только для потоков не имеющих привязки к DLL.
   (!) Функция требует активного отслеживания процессов. (Твик #39)

 o Изменен способ адресации мониторов при работе с удаленным рабочим столом.
   Теперь выбирается не логический номер монитора, а его порядковый номер,
   что позволяет избежать проблем при обновлении драйверов на видеокарту
   без закрытия окна удаленного рабочего стола.

 o В окно удаленного рабочего стола добавлена кнопка "Меню", она открывает
   на удаленном компьютере окно с кнопками быстрого доступа к часто используемым
   настройкам системы и системным утилитам.
   Утилиты из этого окна запускаются на удаленном компьютере под текущим пользователем.

 

[PR55.RP55 82]

При копировании известного файла файла

uVS v5.0.RC2.v x64 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

GATHERNETWORKINFO.VBS._628B6B4BF3CC7F77578CF3CCFCC587DBF9EC7E07

https://disk.yandex.ru/i/LpsxRQ6EMkF23w

 

 

[PR55.RP55 82]

Как вылетал uVS при попытке скопировать файл в Zoo  так и вылетает.

Есть системный дамп.

https://disk.yandex.ru/d/6R97oQE3_nzfiA

+

Такая ошибка: https://disk.yandex.ru/i/Dr2xnpoU0CFYdg

Тоже может быть использована.

[demkd 630]

В 03.07.2025 at 10:24 PM, PR55.RP55 сказал:

Есть системный дамп.

https://disk.yandex.ru/d/6R97oQE3_nzfiA

Да, с этим файлом проблема, починю.

[santy 153]

Привет.

По 5.0 RC3

Цитата

---------------------------------------------------------
 5.0.RC3
---------------------------------------------------------
o Процессы с измененным кодом теперь выделяются в отдельный объект для каждого pid, 
   "путь" до объекта получает префикс "FAKE:", объект получает статус "FAKE".
   В контекстное меню этих объектов добавлен пункт "Выгрузить все процессы с измененным кодом".
   Для выгрузки таких процессов через скрипт добавлена команда "delfake".

Это работает. (саму команду еще не проверил как работает).

И в цепочку процесс укладывается, хотя цепочка достаточно запутана, но к сожалению, отслеживание командной строки не включилось по какой-то причине.

Возможно потому что не был отключен антивирус MBAM.

Цитата

Полное имя                  FAKE:C:\WINDOWS\SYSTEM32\DWM.EXE [16064]
Имя файла                   DWM.EXE [16064]
Тек. статус                 АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ] FAKE 
                            
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ] FAKE 
Процесс                     64-х битный
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Имя/путь до файла           Возможно искажены или файл был защищен/перемещен/удален/переименован
                            
Доп. информация             на момент обновления списка
pid = 16064                 DESKTOP-867G3VL\nelid
  CmdLine                   C:\WINDOWS\System32\dwm.exe
  Процесс создан            20:58:24 [2025.07.15]
  С момента создания        00:00:56
  CPU                       19,36%
  CPU (1 core)              464,67%
  parentid = 8556           C:\WINDOWS\EXPLORER.EXE
  ESTABLISHED               192.168.0.147:49811 <-> 62.60.246.117:443
  CLOSE_WAIT                (2a00:ae40:18cf:8200:4051:f01e:fdc9:3b38):49810 <-> (2a06:98c1:3122:8000:0:0:0:0):443
                            
Образы                      EXE и DLL
DWM.EXE                     C:\WINDOWS\SYSTEM32

 o В окне истории процессов и задач в контекстное меню процесса добавлен новый пункт: 
   "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом"
   Это может быть полезно при поиске процесса модифицировавшего неявно запущенный им процесс.

Функция есть в истории процессов и задач, но работает видимо только из активной системы.                          

DESKTOP-867G3VL_2025-07-15_20-59-13_v5.0.RC3.v x64.7z

[demkd 630]

В 16.07.2025 at 10:11 AM, santy сказал:

Возможно потому что не был отключен антивирус MBAM.

Проблема оказалась в редакции windows, для home нужно дополнительно прописывать флаг в реестр, в RC4 теперь это делается автоматически.
 

В 16.07.2025 at 10:11 AM, santy сказал:

Функция есть в истории процессов и задач, но работает видимо только из активной системы. 

Добавил функцию для образов.

---------------------------------------------------------
 5.0.RC4
---------------------------------------------------------
o Добавлена поддержка включения отслеживания командной строки процессов для "Home" редакций Windows.
  Теперь при включении отслеживания в лог печатается статус этой опции.

o Функция "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом" теперь доступа и при работе с образом,
  если образ сделан при активном отслеживании процессов.

o Исправлена критическая ошибка при создании файла описания для скопированного в Zoo большого текстового файла (vbs/cmd и т.д.).

 

[demkd 630]

RC4 переименован в релиз v5.0 с небольшим дополнением, v5.0 доступна для скачивания с сайта и через обновление.
---------------------------------------------------------
 5.0
---------------------------------------------------------
 o Новый параметр в settings.ini
   [Settings]
   ; Задает количество выводимых в лог процессов, возможно причастных к внедрению подозрительного потока в процесс.
    TopCount (Допустимые значения 0-20, по умолчанию 5, 0 - отключено).
 

[demkd 630]

---------------------------------------------------------
 5.0.1
---------------------------------------------------------
 o Исправлена ошибка из-за которой могло неправильно отображаться имя родителя процесса в информации о файле.

 o В список для проверки добавлен ключ реестра используемый зловредами для неявного запуска программ с обходом UAC с помощью системных утилит.
   (для текущей версии Win11 24H2 проблема актуальна)
   В случае обнаружении исполняемого файла он будет добавлен в подозрительные.
   Автоматический сброс статуса этого файла по хэшу/эцп будет заблокирован.
   FRST пока эту дыру в безопасности не видит.

 o В список теперь может быть добавлено подозрительное значение ключа реестра.
   Это значение после его проверки можно удалить из реестра через контекстное меню с помощью пункта "Удаление всех ссылок на объект".
   (!) Если значение это пустая строка то такие значения рекомендуются всегда удалять.

 o Обновлен модуль rest до v1.21.