uVS - Тестирование

[santy 153]

Не увидел твое сообщение во время, а исправление до *.14 как раз было бы во время для решения проблемы с  dialersvc.

[demkd 638]

С большой вероятностью эта версия и станет v5.0
Все что было запланировано реализовано.

---------------------------------------------------------
 5.0.RC1
---------------------------------------------------------
 o В окно запуска добавлен пункт меню "Перезагрузить в интерфейс встроенного ПО [UEFI]"
   Доступно начиная с Win10.

 o В окно запуска добавлен выбор основного шрифта.

 o Пополнено окно дополнительных настроек.

 o В функцию удаления временных файлов добавлено 4 каталога с временным файлами Windows.
   o \Windows\Downloaded Program Files
   o \ProgramData\Microsoft\Windows\WER\ReportArchive   
   o \ProgramData\Microsoft\Windows\WER\ReportQueue
   o \ProgramData\Microsoft\Windows\WER\Temp
   Функция больше не выводит в лог пути до отсутствующих каталогов.

 o Исправлена критическая ошибка инициализации режима DDA,
   она могла проявляться на чипсетах AMD при подключении
   физического монитора к компьютеру, который был отключен или физически
   не подключен на этапе загрузки системы, при этом меняются логические
   номера дисплеев и 1-го дисплея обычно не существует, поэтому
   если вы подключились и 1-й дисплей показывает черный квадрат то
   стоит попробовать переключиться на 2-й и т.п.
   (!) В этом случае не работает программный способ вывода дисплея из сна,
   (!) поэтому в текущей версии движения мыши в любом случае передаются на
   (!) удаленный компьютер, что гарантировано пробуждает спящий дисплей
   (!) при переключении на него.

 o Исправлена ошибка создания загрузочного диска под Windows 11 24H2,
   по неизвестной причине в этой редакции Windows dism из пакета ADK
   не способен без ошибок сформировать загрузочный образ диска,
   поэтому все операции с образом диска теперь выполняет штатный dism из системного каталога.

 o Исправлена ошибка для определения пути до драйвера CDD.DLL при анализе
   ключей безопасного режима.

 

[demkd 638]

Это внеплановое обновление для разбора необычного случая с внедренными потоками, соответственно релиз задерживается.

---------------------------------------------------------
 5.0.RC2
---------------------------------------------------------
 o При обнаружении внедренного потока в процессе в лог печатается точное
   время создания потока и ТОП 10 наиболее вероятных виновников.
   (!) Только для потоков не имеющих привязки к DLL.
   (!) Функция требует активного отслеживания процессов. (Твик #39)

 o Изменен способ адресации мониторов при работе с удаленным рабочим столом.
   Теперь выбирается не логический номер монитора, а его порядковый номер,
   что позволяет избежать проблем при обновлении драйверов на видеокарту
   без закрытия окна удаленного рабочего стола.

 o В окно удаленного рабочего стола добавлена кнопка "Меню", она открывает
   на удаленном компьютере окно с кнопками быстрого доступа к часто используемым
   настройкам системы и системным утилитам.
   Утилиты из этого окна запускаются на удаленном компьютере под текущим пользователем.

 

[PR55.RP55 83]

При копировании известного файла файла

uVS v5.0.RC2.v x64 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

GATHERNETWORKINFO.VBS._628B6B4BF3CC7F77578CF3CCFCC587DBF9EC7E07

https://disk.yandex.ru/i/LpsxRQ6EMkF23w

 

 

[PR55.RP55 83]

Как вылетал uVS при попытке скопировать файл в Zoo  так и вылетает.

Есть системный дамп.

https://disk.yandex.ru/d/6R97oQE3_nzfiA

+

Такая ошибка: https://disk.yandex.ru/i/Dr2xnpoU0CFYdg

Тоже может быть использована.

[demkd 638]

В 03.07.2025 at 10:24 PM, PR55.RP55 сказал:

Есть системный дамп.

https://disk.yandex.ru/d/6R97oQE3_nzfiA

Да, с этим файлом проблема, починю.

[santy 153]

Привет.

По 5.0 RC3

Цитата

---------------------------------------------------------
 5.0.RC3
---------------------------------------------------------
o Процессы с измененным кодом теперь выделяются в отдельный объект для каждого pid, 
   "путь" до объекта получает префикс "FAKE:", объект получает статус "FAKE".
   В контекстное меню этих объектов добавлен пункт "Выгрузить все процессы с измененным кодом".
   Для выгрузки таких процессов через скрипт добавлена команда "delfake".

Это работает. (саму команду еще не проверил как работает).

И в цепочку процесс укладывается, хотя цепочка достаточно запутана, но к сожалению, отслеживание командной строки не включилось по какой-то причине.

Возможно потому что не был отключен антивирус MBAM.

Цитата

Полное имя                  FAKE:C:\WINDOWS\SYSTEM32\DWM.EXE [16064]
Имя файла                   DWM.EXE [16064]
Тек. статус                 АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ] FAKE 
                            
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ] FAKE 
Процесс                     64-х битный
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Имя/путь до файла           Возможно искажены или файл был защищен/перемещен/удален/переименован
                            
Доп. информация             на момент обновления списка
pid = 16064                 DESKTOP-867G3VL\nelid
  CmdLine                   C:\WINDOWS\System32\dwm.exe
  Процесс создан            20:58:24 [2025.07.15]
  С момента создания        00:00:56
  CPU                       19,36%
  CPU (1 core)              464,67%
  parentid = 8556           C:\WINDOWS\EXPLORER.EXE
  ESTABLISHED               192.168.0.147:49811 <-> 62.60.246.117:443
  CLOSE_WAIT                (2a00:ae40:18cf:8200:4051:f01e:fdc9:3b38):49810 <-> (2a06:98c1:3122:8000:0:0:0:0):443
                            
Образы                      EXE и DLL
DWM.EXE                     C:\WINDOWS\SYSTEM32

 o В окне истории процессов и задач в контекстное меню процесса добавлен новый пункт: 
   "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом"
   Это может быть полезно при поиске процесса модифицировавшего неявно запущенный им процесс.

Функция есть в истории процессов и задач, но работает видимо только из активной системы.                          

DESKTOP-867G3VL_2025-07-15_20-59-13_v5.0.RC3.v x64.7z

[demkd 638]

В 16.07.2025 at 10:11 AM, santy сказал:

Возможно потому что не был отключен антивирус MBAM.

Проблема оказалась в редакции windows, для home нужно дополнительно прописывать флаг в реестр, в RC4 теперь это делается автоматически.
 

В 16.07.2025 at 10:11 AM, santy сказал:

Функция есть в истории процессов и задач, но работает видимо только из активной системы. 

Добавил функцию для образов.

---------------------------------------------------------
 5.0.RC4
---------------------------------------------------------
o Добавлена поддержка включения отслеживания командной строки процессов для "Home" редакций Windows.
  Теперь при включении отслеживания в лог печатается статус этой опции.

o Функция "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом" теперь доступа и при работе с образом,
  если образ сделан при активном отслеживании процессов.

o Исправлена критическая ошибка при создании файла описания для скопированного в Zoo большого текстового файла (vbs/cmd и т.д.).

 

[demkd 638]

RC4 переименован в релиз v5.0 с небольшим дополнением, v5.0 доступна для скачивания с сайта и через обновление.
---------------------------------------------------------
 5.0
---------------------------------------------------------
 o Новый параметр в settings.ini
   [Settings]
   ; Задает количество выводимых в лог процессов, возможно причастных к внедрению подозрительного потока в процесс.
    TopCount (Допустимые значения 0-20, по умолчанию 5, 0 - отключено).
 

[demkd 638]

---------------------------------------------------------
 5.0.1
---------------------------------------------------------
 o Исправлена ошибка из-за которой могло неправильно отображаться имя родителя процесса в информации о файле.

 o В список для проверки добавлен ключ реестра используемый зловредами для неявного запуска программ с обходом UAC с помощью системных утилит.
   (для текущей версии Win11 24H2 проблема актуальна)
   В случае обнаружении исполняемого файла он будет добавлен в подозрительные.
   Автоматический сброс статуса этого файла по хэшу/эцп будет заблокирован.
   FRST пока эту дыру в безопасности не видит.

 o В список теперь может быть добавлено подозрительное значение ключа реестра.
   Это значение после его проверки можно удалить из реестра через контекстное меню с помощью пункта "Удаление всех ссылок на объект".
   (!) Если значение это пустая строка то такие значения рекомендуются всегда удалять.

 o Обновлен модуль rest до v1.21.
 

[demkd 638]

Появился очередной случай неадекватного поведения антивируса, в это раз отличился касперский, при попытке восстановить реестр процесс был прерван антивирусом, что привело к проблемам с загрузкой системы.
ВСЕГДА выключайте антивирус перед запуском uVS и восстановлением реестра из бэкапа.
Пожалуй это надо вынести в заголовок стартового окна большими буквами.

[PR55.RP55 83]

Инструмент EDR-Freeze позволяет отключать антивирусы через систему отчетов Windows

https://www.comss.ru/page.php?id=17831

[demkd 638]

В 24.09.2025 at 2:51 AM, PR55.RP55 сказал:

Инструмент EDR-Freeze позволяет отключать антивирусы через систему отчетов Windows

да, эта дыра существует еще с висты, странно что до сих пор ее не закрыли.

[demkd 638]

---------------------------------------------------------
 5.0.2
---------------------------------------------------------
 o Обновлен формат образа автозапуска до v5.
 
 o Утилита cmpimg обновлена до версии 1.05 для поддержки нового формата образов автозапуска.
   
 o Утилита uvs_snd обновлена до версии 1.06 для поддержки нового формата образов автозапуска.

 o В окне монитора активности процессов теперь отображается:
    o Точная информация о занятой процессом памяти и загрузке GPU для актуальных версий Win10/11. 
      (старые версии uVS и стандартный диспетчер задач Windows в некоторых случаях отображают очень далекие от реальности цифры).
    o Занятая процессом видеопамять (VRAM).
      (!) Для получения данных uVS не использует счетчик производительности, поэтому значение может немного отличаться от того что показывает Диспетчер задач.
      (!) Доступно только для дискретных видеокарт.
    o Суммарная загрузка процессами RAM/VRAM(сумма НЕ равна всей занятой физической памяти, учитывается только то что занято процессами)/cpu/gpu
      при выбранной сортировке по соответствующему столбцу с данными.

 o Исправлена критическая ошибка в работе серверной части uVS при установленном флаге bReUseRemote.
   При отключении клиента могло произойти аварийное завершение серверной части uVS из-за сбоя синхронизации потоков, что в свою очередь могло
   привести к подвисанию процесса клиентской части uVS на несколько минут.

 o Предупреждение о внедренном потоке в процесс с измененным кодом перенесено из информации базового файла в информацию
   о фейковом процессе с соответствующим pid.

 o В функцию очистки диска от временных файлов добавлен каталог C:\Windows\SystemTemp

 

[demkd 638]

---------------------------------------------------------
 5.0.3
---------------------------------------------------------
 o Добавлен новый статус процесса: Критический.
   В старых версиях uVS выгрузка такого процесса приводила к BSOD с кодом: CRITICAL PROCESS DIED.
   Начиная с v5.0.3 такие процессы выгружаются без последствий (если этот процесс не является системным).
   При обнаружении неизвестного процесса с критическим статусом в лог выводится предупреждение и
   файл получается статус "подозрительный".

 o Добавлен новый режим захвата экрана DDAw, который является упрощенным режимом DDAL.
   Отличие от DDAL в том, что передается и отображается лишь содержимое активного окна и
   участки окон высшего уровня перекрывающие это окно (если они есть).
   Данный режим позволяет снизить нагрузку на процессор и канал передачи данных.
   Визуально это выглядит как интеграция окна удаленного приложения в клиентскую систему.
   Для переключения между окнами доступны все горячие клавиши.
   При нажатии Alt+Tab на время удержания клавиши Alt передается весь экран для возможности
   визуального выбора другого окна.
   (!) В этом режиме монитор и рабочий стол выбираются автоматически по расположению активного окна. 
   (!) В этом режиме недоступна эмуляция нажатия Ctrl+Alt+Del.
   (!) В этом режиме недоступно отображение запроса UAC.
   (!) Если нет активного окна то картинка не передается.
   (!) Режим доступен начиная с Windows 8.

 o В окно настройки однократного доступа к удаленному рабочему столу
   добавлен новый флаг "Только для выбранного приложения".
   Если флаг установлен то удаленному пользователю передается лишь содержимое активного  
   окна разрешенного приложения, все остальное он не видит и не может просматривать/управлять 
   окнами других приложений.
   Разрешенным может являться лишь одно приложение. Для выбора приложения необходимо
   активировать любое его окно и нажать горячую клавишу (по умолчанию Alt+Shift+W) указанную в логе uVS.
   Выбор доступен лишь тому кто предоставляет доступ к своему рабочему столу.
   Если удаленному пользователю разрешено управление и он любым способом сменит фокус ввода
   на другое приложение (например нажмет Alt+Tab или закроет приложение) то он немедленно потеряет возможность
   управлять удаленным компьютером до возврата фокуса ввода в окно разрешенного приложения или
   замены разрешенного приложения.

 o Функция запоминания размеров окон для разных мониторов удалена.
   Теперь действуют единые парметры масштабирования.
   Масштабирование стало автоматическим.

 o При подключении к удаленному рабочему столу автоматически определяется активный дисплей
   по окну на переднем плане.

 o В системное меню окна удаленного рабочего стола добавлены пункты:
   o Скрыть/показать элементы управления.
   o Эмулировать нажатие кнопок Ctrl+Alt+Del (кнопка CAD удалена из окна).
 

[demkd 638]

---------------------------------------------------------
 5.0.4
---------------------------------------------------------
 o Переменные окружения всех пользователей с некорректным содержимым теперь добавляются
   в список как подозрительные объекты со статусом "ПЕРЕМЕННАЯ".
   Удаление такого объекта приведет к удалению переменной пользователя или 
   к восстановлению значения по умолчанию если это системная переменная.  
   Поскольку уже запущенные процессы используют копии переменных потребуется перезагрузка системы.

 o Для процессов с внедренными потоками теперь печатается родитель этого процесса.

 o В лог выводится состояние SecureBoot.

 o В лог выводится версия драйвера Ф.

 o Добавлена интеграция с Ф:
   o История процессов загружается из Ф, а не из журнала Windows.
     Работает и при выключенной опции отслеживания процессов и задач, но если эта опция выключена
     то будет доступна лишь история процессов, но не задач.
     Это может быть полезно в случае когда зловред удаляет свою активность из журнала Windows.
   o Если установлен Ф v2.20 и старше, то в лог выводится список процессов (в т.ч. и уже завершенных)
     внедрявших потоки в чужие процессы, такие процессы получают статус "ПОДОЗРИТЕЛЬНЫЙ" и новый статус "ИНЖЕКТОР".

 o В меню запуска добавлена опция "Установить драйвер Ф".
   Версия драйвера: v2.20 mini - это урезанный драйвер бесплатной версии Ф.
   В отличии от драйвера в Ф эта версия не имеет региональных ограничений. 
   Драйвер ведет историю запуска процессов и внедрения потоков в чужие процессы.
   Дополнительно осуществляется защита ключа драйвера в реестре и самого файла драйвера.
   Остальной функционал удален.
   Драйвер устанавливается под случайным именем.
   Удалить драйвер можно будет в том же меню запуска, после установки/удаления требуется перезагрузка системы.
   (!) Для установки драйвера Ф потребуется выключить SecureBoot в BIOS-е.
   (!) Установка драйвера возможна лишь в 64-х битных системах начиная с Win7.
   (!) После установки драйвера система перейдет в тестовый режим из-за включения опции Testsigning.
   (!) При удалении драйвера запрашивается разрешение на отключение опции Testsigning.
   (!) Если эта опция изначально была включена и пользователь использует самоподписанные драйвера
   (!) то это опцию НЕ следует выключать, иначе система может уже и не загрузиться.

 o В меню "Запуск" и в меню удаленной системы добавлен пункт "Свойства системы".

 o Исправлена ошибка из-за которой в логе не появлялось сообщение о завершении сеанса при обратном подключении
   к удаленному рабочему столу.

 

[PR55.RP55 83]

Demkd

По поводу: 5.0.4

На: "uVS v5.0.4v x64 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] "

История процессов и задач... Отобразить цепочку запуска процесса

uVS начинает жрать память и... Out of memory.

Сжирает все 8гб+файл подкачки и... На компьютере недостаточно памяти

( и да, твик: 39\40 ) на происходящее не влияет )

-----

Второе, при первых запусках после установки драйвера Ф и перезагрузки PC  - uVS не видел процессов запущенного  Firefox ( все файлы в базе проверенных ( если это имеет значение )

Третье: При проверке системы с Live CD

Видим следующее:

Загружено реестров пользователей: 6
Анализ автозапуска...
(!) Переменная окружения TEMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
\REGISTRY\MACHINE\rcvscxggb\Environment\TEMP
--------------------------------------------------------------------------------------------------
(!) Переменная окружения TMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
\REGISTRY\MACHINE\rcvscxggb\Environment\TMP
--------------------------------------------------------------------------------------------------
(!) Переменная окружения TEMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
\REGISTRY\MACHINE\fnfozvsrt\Environment\TEMP
--------------------------------------------------------------------------------------------------
(!) Переменная окружения TMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
\REGISTRY\MACHINE\fnfozvsrt\Environment\TMP
--------------------------------------------------------------------------------------------------
(!) Переменная окружения TEMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
\REGISTRY\MACHINE\rpnrvystm\Environment\TEMP
--------------------------------------------------------------------------------------------------
(!) Переменная окружения TMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
\REGISTRY\MACHINE\rpnrvystm\Environment\TMP
--------------------------------------------------------------------------------------------------
(!) Переменная окружения TEMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
\REGISTRY\MACHINE\evikeffmz\Environment\TEMP
--------------------------------------------------------------------------------------------------
(!) Переменная окружения TMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
\REGISTRY\MACHINE\evikeffmz\Environment\TMP
--------------------------------------------------------------------------------------------------
(!) Переменная окружения TEMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
\REGISTRY\MACHINE\uvs_default\Environment\TEMP
--------------------------------------------------------------------------------------------------
(!) Переменная окружения TMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
\REGISTRY\MACHINE\uvs_default\Environment\TMP

-------------

Так это в списке Live CD:

;uVS v5.0.4v x64 [http://dsrt.dyndns.org:8888] [Windows 10.0.14393 SP0 ]
; Все

ПОДОЗРИТ.  | <%TEMP%>
ПОДОЗРИТ.  | <%TMP%>
автозапуск | MMDRV.DLL
автозапуск | MSCORSEC.DLL
ПОДОЗРИТ.  | E:\USERS\DEFAULT\<%TEMP%>
ПОДОЗРИТ.  | E:\USERS\DEFAULT\<%TMP%>
ПОДОЗРИТ.  | E:\USERS\USER\<%TEMP%>
ПОДОЗРИТ.  | E:\USERS\USER\<%TMP%>
 \DESKTOP\ЗАГРУЗКИ\PASSIST_STANDARD ( РАЗДЕЛЫ ДИСКА )_20251230.1.EXE
ПОДОЗРИТ.  | E:\WINDOWS\SERVICEPROFILES\LOCALSERVICE\<%TEMP%>
ПОДОЗРИТ.  | E:\WINDOWS\SERVICEPROFILES\LOCALSERVICE\<%TMP%>
ПОДОЗРИТ.  | E:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\<%TEMP%>
ПОДОЗРИТ.  | E:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\<%TMP%>

------

Четвёртое, по поводу запуска файлов

В старых версиях uVS брал информацию: AppData\Roaming\Microsoft\Windows\Recent

судя по всему сейчас этого нет.

 

[PR55.RP55 83]

+

Уточнение по: " при первых запусках после установки драйвера Ф и перезагрузки PC  - uVS не видел процессов запущенного  Firefox ( все файлы в базе проверенных ( если это имеет значение ) "

Я говорю о том, что процессов не было в "История процессов и задач..."

[santy 153]

В 01.03.2026 at 1:59 PM, PR55.RP55 сказал:

История процессов и задач... Отобразить цепочку запуска процесса

uVS начинает жрать память и... Out of memory. 

В каком режиме ходишь в Историю процессов и задач? при работе с активной системой или с образом?

[PR55.RP55 83]

santy

При работе с активной системой.

Не думаю, что при работе с образом что-то такое вообще может быть.

[PR55.RP55 83]

https://disk.yandex.ru/i/JPJDtV0H4P6Hjg