uVS - Тестирование

[santy 153]

Не увидел твое сообщение во время, а исправление до *.14 как раз было бы во время для решения проблемы с  dialersvc.

[demkd 636]

С большой вероятностью эта версия и станет v5.0
Все что было запланировано реализовано.

---------------------------------------------------------
 5.0.RC1
---------------------------------------------------------
 o В окно запуска добавлен пункт меню "Перезагрузить в интерфейс встроенного ПО [UEFI]"
   Доступно начиная с Win10.

 o В окно запуска добавлен выбор основного шрифта.

 o Пополнено окно дополнительных настроек.

 o В функцию удаления временных файлов добавлено 4 каталога с временным файлами Windows.
   o \Windows\Downloaded Program Files
   o \ProgramData\Microsoft\Windows\WER\ReportArchive   
   o \ProgramData\Microsoft\Windows\WER\ReportQueue
   o \ProgramData\Microsoft\Windows\WER\Temp
   Функция больше не выводит в лог пути до отсутствующих каталогов.

 o Исправлена критическая ошибка инициализации режима DDA,
   она могла проявляться на чипсетах AMD при подключении
   физического монитора к компьютеру, который был отключен или физически
   не подключен на этапе загрузки системы, при этом меняются логические
   номера дисплеев и 1-го дисплея обычно не существует, поэтому
   если вы подключились и 1-й дисплей показывает черный квадрат то
   стоит попробовать переключиться на 2-й и т.п.
   (!) В этом случае не работает программный способ вывода дисплея из сна,
   (!) поэтому в текущей версии движения мыши в любом случае передаются на
   (!) удаленный компьютер, что гарантировано пробуждает спящий дисплей
   (!) при переключении на него.

 o Исправлена ошибка создания загрузочного диска под Windows 11 24H2,
   по неизвестной причине в этой редакции Windows dism из пакета ADK
   не способен без ошибок сформировать загрузочный образ диска,
   поэтому все операции с образом диска теперь выполняет штатный dism из системного каталога.

 o Исправлена ошибка для определения пути до драйвера CDD.DLL при анализе
   ключей безопасного режима.

 

[demkd 636]

Это внеплановое обновление для разбора необычного случая с внедренными потоками, соответственно релиз задерживается.

---------------------------------------------------------
 5.0.RC2
---------------------------------------------------------
 o При обнаружении внедренного потока в процессе в лог печатается точное
   время создания потока и ТОП 10 наиболее вероятных виновников.
   (!) Только для потоков не имеющих привязки к DLL.
   (!) Функция требует активного отслеживания процессов. (Твик #39)

 o Изменен способ адресации мониторов при работе с удаленным рабочим столом.
   Теперь выбирается не логический номер монитора, а его порядковый номер,
   что позволяет избежать проблем при обновлении драйверов на видеокарту
   без закрытия окна удаленного рабочего стола.

 o В окно удаленного рабочего стола добавлена кнопка "Меню", она открывает
   на удаленном компьютере окно с кнопками быстрого доступа к часто используемым
   настройкам системы и системным утилитам.
   Утилиты из этого окна запускаются на удаленном компьютере под текущим пользователем.

 

[PR55.RP55 83]

При копировании известного файла файла

uVS v5.0.RC2.v x64 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

GATHERNETWORKINFO.VBS._628B6B4BF3CC7F77578CF3CCFCC587DBF9EC7E07

https://disk.yandex.ru/i/LpsxRQ6EMkF23w

 

 

[PR55.RP55 83]

Как вылетал uVS при попытке скопировать файл в Zoo  так и вылетает.

Есть системный дамп.

https://disk.yandex.ru/d/6R97oQE3_nzfiA

+

Такая ошибка: https://disk.yandex.ru/i/Dr2xnpoU0CFYdg

Тоже может быть использована.

[demkd 636]

В 03.07.2025 at 10:24 PM, PR55.RP55 сказал:

Есть системный дамп.

https://disk.yandex.ru/d/6R97oQE3_nzfiA

Да, с этим файлом проблема, починю.

[santy 153]

Привет.

По 5.0 RC3

Цитата

---------------------------------------------------------
 5.0.RC3
---------------------------------------------------------
o Процессы с измененным кодом теперь выделяются в отдельный объект для каждого pid, 
   "путь" до объекта получает префикс "FAKE:", объект получает статус "FAKE".
   В контекстное меню этих объектов добавлен пункт "Выгрузить все процессы с измененным кодом".
   Для выгрузки таких процессов через скрипт добавлена команда "delfake".

Это работает. (саму команду еще не проверил как работает).

И в цепочку процесс укладывается, хотя цепочка достаточно запутана, но к сожалению, отслеживание командной строки не включилось по какой-то причине.

Возможно потому что не был отключен антивирус MBAM.

Цитата

Полное имя                  FAKE:C:\WINDOWS\SYSTEM32\DWM.EXE [16064]
Имя файла                   DWM.EXE [16064]
Тек. статус                 АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ] FAKE 
                            
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ] FAKE 
Процесс                     64-х битный
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Имя/путь до файла           Возможно искажены или файл был защищен/перемещен/удален/переименован
                            
Доп. информация             на момент обновления списка
pid = 16064                 DESKTOP-867G3VL\nelid
  CmdLine                   C:\WINDOWS\System32\dwm.exe
  Процесс создан            20:58:24 [2025.07.15]
  С момента создания        00:00:56
  CPU                       19,36%
  CPU (1 core)              464,67%
  parentid = 8556           C:\WINDOWS\EXPLORER.EXE
  ESTABLISHED               192.168.0.147:49811 <-> 62.60.246.117:443
  CLOSE_WAIT                (2a00:ae40:18cf:8200:4051:f01e:fdc9:3b38):49810 <-> (2a06:98c1:3122:8000:0:0:0:0):443
                            
Образы                      EXE и DLL
DWM.EXE                     C:\WINDOWS\SYSTEM32

 o В окне истории процессов и задач в контекстное меню процесса добавлен новый пункт: 
   "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом"
   Это может быть полезно при поиске процесса модифицировавшего неявно запущенный им процесс.

Функция есть в истории процессов и задач, но работает видимо только из активной системы.                          

DESKTOP-867G3VL_2025-07-15_20-59-13_v5.0.RC3.v x64.7z

[demkd 636]

В 16.07.2025 at 10:11 AM, santy сказал:

Возможно потому что не был отключен антивирус MBAM.

Проблема оказалась в редакции windows, для home нужно дополнительно прописывать флаг в реестр, в RC4 теперь это делается автоматически.
 

В 16.07.2025 at 10:11 AM, santy сказал:

Функция есть в истории процессов и задач, но работает видимо только из активной системы. 

Добавил функцию для образов.

---------------------------------------------------------
 5.0.RC4
---------------------------------------------------------
o Добавлена поддержка включения отслеживания командной строки процессов для "Home" редакций Windows.
  Теперь при включении отслеживания в лог печатается статус этой опции.

o Функция "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом" теперь доступа и при работе с образом,
  если образ сделан при активном отслеживании процессов.

o Исправлена критическая ошибка при создании файла описания для скопированного в Zoo большого текстового файла (vbs/cmd и т.д.).

 

[demkd 636]

RC4 переименован в релиз v5.0 с небольшим дополнением, v5.0 доступна для скачивания с сайта и через обновление.
---------------------------------------------------------
 5.0
---------------------------------------------------------
 o Новый параметр в settings.ini
   [Settings]
   ; Задает количество выводимых в лог процессов, возможно причастных к внедрению подозрительного потока в процесс.
    TopCount (Допустимые значения 0-20, по умолчанию 5, 0 - отключено).
 

[demkd 636]

---------------------------------------------------------
 5.0.1
---------------------------------------------------------
 o Исправлена ошибка из-за которой могло неправильно отображаться имя родителя процесса в информации о файле.

 o В список для проверки добавлен ключ реестра используемый зловредами для неявного запуска программ с обходом UAC с помощью системных утилит.
   (для текущей версии Win11 24H2 проблема актуальна)
   В случае обнаружении исполняемого файла он будет добавлен в подозрительные.
   Автоматический сброс статуса этого файла по хэшу/эцп будет заблокирован.
   FRST пока эту дыру в безопасности не видит.

 o В список теперь может быть добавлено подозрительное значение ключа реестра.
   Это значение после его проверки можно удалить из реестра через контекстное меню с помощью пункта "Удаление всех ссылок на объект".
   (!) Если значение это пустая строка то такие значения рекомендуются всегда удалять.

 o Обновлен модуль rest до v1.21.
 

[demkd 636]

Появился очередной случай неадекватного поведения антивируса, в это раз отличился касперский, при попытке восстановить реестр процесс был прерван антивирусом, что привело к проблемам с загрузкой системы.
ВСЕГДА выключайте антивирус перед запуском uVS и восстановлением реестра из бэкапа.
Пожалуй это надо вынести в заголовок стартового окна большими буквами.

[PR55.RP55 83]

Инструмент EDR-Freeze позволяет отключать антивирусы через систему отчетов Windows

https://www.comss.ru/page.php?id=17831

[demkd 636]

В 24.09.2025 at 2:51 AM, PR55.RP55 сказал:

Инструмент EDR-Freeze позволяет отключать антивирусы через систему отчетов Windows

да, эта дыра существует еще с висты, странно что до сих пор ее не закрыли.

[demkd 636]

---------------------------------------------------------
 5.0.2
---------------------------------------------------------
 o Обновлен формат образа автозапуска до v5.
 
 o Утилита cmpimg обновлена до версии 1.05 для поддержки нового формата образов автозапуска.
   
 o Утилита uvs_snd обновлена до версии 1.06 для поддержки нового формата образов автозапуска.

 o В окне монитора активности процессов теперь отображается:
    o Точная информация о занятой процессом памяти и загрузке GPU для актуальных версий Win10/11. 
      (старые версии uVS и стандартный диспетчер задач Windows в некоторых случаях отображают очень далекие от реальности цифры).
    o Занятая процессом видеопамять (VRAM).
      (!) Для получения данных uVS не использует счетчик производительности, поэтому значение может немного отличаться от того что показывает Диспетчер задач.
      (!) Доступно только для дискретных видеокарт.
    o Суммарная загрузка процессами RAM/VRAM(сумма НЕ равна всей занятой физической памяти, учитывается только то что занято процессами)/cpu/gpu
      при выбранной сортировке по соответствующему столбцу с данными.

 o Исправлена критическая ошибка в работе серверной части uVS при установленном флаге bReUseRemote.
   При отключении клиента могло произойти аварийное завершение серверной части uVS из-за сбоя синхронизации потоков, что в свою очередь могло
   привести к подвисанию процесса клиентской части uVS на несколько минут.

 o Предупреждение о внедренном потоке в процесс с измененным кодом перенесено из информации базового файла в информацию
   о фейковом процессе с соответствующим pid.

 o В функцию очистки диска от временных файлов добавлен каталог C:\Windows\SystemTemp

 

[demkd 636]

---------------------------------------------------------
 5.0.3
---------------------------------------------------------
 o Добавлен новый статус процесса: Критический.
   В старых версиях uVS выгрузка такого процесса приводила к BSOD с кодом: CRITICAL PROCESS DIED.
   Начиная с v5.0.3 такие процессы выгружаются без последствий (если этот процесс не является системным).
   При обнаружении неизвестного процесса с критическим статусом в лог выводится предупреждение и
   файл получается статус "подозрительный".

 o Добавлен новый режим захвата экрана DDAw, который является упрощенным режимом DDAL.
   Отличие от DDAL в том, что передается и отображается лишь содержимое активного окна и
   участки окон высшего уровня перекрывающие это окно (если они есть).
   Данный режим позволяет снизить нагрузку на процессор и канал передачи данных.
   Визуально это выглядит как интеграция окна удаленного приложения в клиентскую систему.
   Для переключения между окнами доступны все горячие клавиши.
   При нажатии Alt+Tab на время удержания клавиши Alt передается весь экран для возможности
   визуального выбора другого окна.
   (!) В этом режиме монитор и рабочий стол выбираются автоматически по расположению активного окна. 
   (!) В этом режиме недоступна эмуляция нажатия Ctrl+Alt+Del.
   (!) В этом режиме недоступно отображение запроса UAC.
   (!) Если нет активного окна то картинка не передается.
   (!) Режим доступен начиная с Windows 8.

 o В окно настройки однократного доступа к удаленному рабочему столу
   добавлен новый флаг "Только для выбранного приложения".
   Если флаг установлен то удаленному пользователю передается лишь содержимое активного  
   окна разрешенного приложения, все остальное он не видит и не может просматривать/управлять 
   окнами других приложений.
   Разрешенным может являться лишь одно приложение. Для выбора приложения необходимо
   активировать любое его окно и нажать горячую клавишу (по умолчанию Alt+Shift+W) указанную в логе uVS.
   Выбор доступен лишь тому кто предоставляет доступ к своему рабочему столу.
   Если удаленному пользователю разрешено управление и он любым способом сменит фокус ввода
   на другое приложение (например нажмет Alt+Tab или закроет приложение) то он немедленно потеряет возможность
   управлять удаленным компьютером до возврата фокуса ввода в окно разрешенного приложения или
   замены разрешенного приложения.

 o Функция запоминания размеров окон для разных мониторов удалена.
   Теперь действуют единые парметры масштабирования.
   Масштабирование стало автоматическим.

 o При подключении к удаленному рабочему столу автоматически определяется активный дисплей
   по окну на переднем плане.

 o В системное меню окна удаленного рабочего стола добавлены пункты:
   o Скрыть/показать элементы управления.
   o Эмулировать нажатие кнопок Ctrl+Alt+Del (кнопка CAD удалена из окна).