Перейти к содержанию

Recommended Posts

грум

demkd здравствуй. У меня вопрос появился такого плана.После добавления сигнатуры, в прежних версия которые ниже 4.0, нажимаем проверить список и сразу видели легальные файлы которые попали под сигнатуру. И тогда меняли длину сигнатуры.В новых версиях как это сразу посмотреть? Что-то никак не разберусь.  

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

в 4 версии так же.
добавил сигнатуры, затем надо нажать кнопку проверить список.
и будет видно какие файлы попали под сигнатуры.

если исключаешь ложно срабатывание, или удаляешь сигнатуру, еще раз нажимаем проверить список.
чтобы увидеть изменение.
--------------
отличие в том, что добавленные сигнатуры в базу сигнатуры автоматически не добавляются в скрипт.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
грум

santy спасибо. Я так понимаю что бы все эти нововведения работали у пользователя должна быть версия не ниже 4 версии. Если в старых версиях  сделан образ все это не работает.Верно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

По поводу: .scf

https://www.anti-malware.ru/news/2017-05-18/22985

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
49 минут назад, грум сказал:

santy спасибо. Я так понимаю что бы все эти нововведения работали у пользователя должна быть версия не ниже 4 версии. Если в старых версиях  сделан образ все это не работает.Верно?

грум,

вы можете новой 4 версией открыть образ, сделанный в 3-ей версии, и создать скрипт  с учетом нововведений. Но выполнить данный скрипт юзер должен уже новой, 4ой версией.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

Как на это реагировать ?

Полное имя                  ZQJTWNW6EUQJOWDUC:\WINDOWS\EXPLORER.EXE
Имя файла                   EXPLORER.EXE
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
                            
Доп. информация             на момент обновления списка
CmdLine                     "C:\Program Files (x86)\Opera\45.0.2552.812\opera.exe" --ran-launcher --opener-id="zQJtWnw6EuQJOWdUC:\Windows\explorer.exe"
CmdLine                     "C:\Program Files (x86)\Opera\45.0.2552.812\opera_crashreporter.exe" --ran-launcher --opener-id="zQJtWnw6EuQJOWdUC:\Windows\explorer.exe" --crash-reporter-parent-id=2540
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd
uVS не может отличить один тип исполняемого файла от другого.
Так например, если взять msdtcvtr.bat  и переименовать его в msdtcvtr.dll и поместить в автозапуск
то со стороны uVS реакции не будет ( даже статус не меняется ) см. фото пример.
т.е. в данном случае не определяет, что это скрипт...
1) Добавлять подобного типа файлы в подозрительные.
2) в случае если это файлы: .bat; vbs и т.д. показывать в инфо. код данного файла.

--------
+
Косяк при обновлении списка.
Пример.
У нас есть легальный файл с ЭЦП
( Проверяем подпись - uVS говорит: Подпись действительна. )
Далее: "вирус" динамически производит подмену файла на файл без ЭЦП > Оператор обновляет список и вновь проверяет ЭЦП...
В итоге хрень. см фото пример.

 

555550.jpg

55555666666.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
14 часов назад, PR55.RP55 сказал:

uVS не может отличить один тип исполняемого файла от другого.

По фото видно что как раз отличает и файл попадет в категорию скриптов и т.п. не вижу никакой необходимости что-то куда-то добавлять.
 

14 часов назад, PR55.RP55 сказал:

Косяк при обновлении списка.

Это не косяк, а фича,я не думаю, что обновление списка по 10 минут положительно будет влиять на нервы оператора.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

посмотри, здесь похоже сам вредоносный скрипт вычистили из созданного класса.
 

Цитата

 

Полное имя                  WMI_.[FUCKYOUMM2_FILTER]
Имя файла                   WMI_.[FUCKYOUMM2_FILTER]
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Namespace                   \\.\root\subscription
Filter_Name                 fuckyoumm2_filter
Filter_Class                __EventFilter
Filter_Query                select * from __timerevent where timerid="fuckyoumm2_itimer"
#MOF_Bind#                  
instance of __FilterToConsumerBinding
{
    Consumer = "\\\\.\\root\\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\"";
    Filter = "\\\\.\\root\\subscription:__EventFilter.Name=\"fuckyoumm2_filter\"";
};

#MOF_Event#                 
instance of __EventFilter
{
    Name = "fuckyoumm2_filter";
    Query = "select * from __timerevent where timerid=\"fuckyoumm2_itimer\"";
    QueryLanguage = "wql";
};

                            

 

 

BLACKMESERSSD_2017-06-03_03-48-57.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

да, похоже что так, fuckyoumm2_consumer нет в базе, какой-то софт криво удаляет, оставляет обломки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

Есть такой: Stantinko ( геморрой )

-------

Полное имя                  C:\WINDOWS\SYSWOW64\WSAUDIO.DLL
Имя файла                   WSAUDIO.DLL
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
File_Id                     54F72D6A8D000
Linker                      10.0
Размер                      367104 байт
Создан                      18.04.2016 в 22:15:05
Изменен                     18.04.2016 в 22:15:05
                            
TimeStamp                   04.03.2015 в 16:06:02
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя            LIBMP3LAME.DLL
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Доп. информация             на момент обновления списка
SHA1                        A80CEF032C913DF5558D876D91A38759D4A7A2D1
MD5                         A33D65923CF73505333C945FA43C7DF9
                            
Ссылки на объект            
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini
                            
-----------------
Полное имя                  C:\WINDOWS\SYSWOW64\IHCTRL32.DLL
Имя файла                   IHCTRL32.DLL
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
File_Id                     552D0DF13D000
Linker                      10.0
Размер                      214016 байт
Создан                      18.04.2016 в 22:15:05
Изменен                     18.04.2016 в 22:15:05
                            
TimeStamp                   14.04.2015 в 12:54:09
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя            IHCTRL32.DLL
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Доп. информация             на момент обновления списка
SHA1                        80C4A4FD10409742C10B4399AD7C31AFEA726A8D
MD5                         4D97530B17A6EF7F25ADC44E433EE5E6
                            
Ссылки на объект            
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini

-----------

Как видно он вообще не в автозапуске.

и найти его среди тысяч файлов задача не тривиальная.

Запускается со стартом браузера.

Нужны новые методы обнаружения.

Если запуск идёт через _легальное ( модифицированное ) расширение браузера.

значит нужен анализ установленных расширений.

и автоматически искать в этих расширениях записи коих быть не должно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

 Microsoft Windows Server 2003 R2 x86 (NT v5.2 SP2) build 3790 Service Pack 2 [C:\WINDOWS]

по поводу записей в WMI

то, что там вирус - это понятно.

Но вот общее число записей... ( 54\55 штук )

Оно там вообще нужно ?

или стоит какой нибудь твик для автоочистки  в программу добавить ?

Образ: https://yadi.sk/d/8PzI8dmW3JyJxh

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Оператору нужен скрипт такого содержания:


;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
sreg

delref %Sys32%\DRIVERS\AKSDF.SYS
delref %Sys32%\DRIVERS\AKSFRIDGE.SYS
delref %Sys32%\DRIVERS\HARDLOCK.SYS
delref %Sys32%\HASPLMS.EXE

areg

А по факту  ( с учётом apply )

получается такое:

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
sreg

areg

;---------command-block---------
delref %Sys32%\DRIVERS\AKSDF.SYS
delref %Sys32%\DRIVERS\AKSFRIDGE.SYS
delref %Sys32%\DRIVERS\HARDLOCK.SYS
delref %Sys32%\HASPLMS.EXE
apply

Прямо  скажем вещь сомнительная...

Если кода немного, то можно и руками отредактировать.

А когда скрипт в сотню строк...

 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

areg выполняется всегда в конце вне зависимости от его положения в скрипте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

https://www.anti-malware.ru/news/2017-06-21/23211

думаю, стоит посмотреть.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

https://forum.esetnod32.ru/forum6/topic14097/

Если сравнить записи в uVS и FRST

то я не вижу в uVS записи:

BootExecute: autocheck autochk * sh4native 7099sdnclean64.exe

Запуск приложений через ключ реестра BootExecute

http://hex.pp.ua/bootexecute.php

Я так думаю, что можно исхитриться и чего нибудь да запустить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Error: (06/25/2017 05:44:21 PM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3011) (User: NT AUTHORITY)
Description: При выгрузке строк счетчиков производительности для службы WmiApRpl (WmiApRpl) произошел сбой. Первое двойное слово (DWORD) в секции данных содержит код ошибки.

Возможно что-то новое для WMI придумали.
Во сяком случае это: KERNCAP.VBS в секции WMI

---------

Полное имя                  KERNCAP.VBS
Имя файла                   KERNCAP.VBS

Сохраненная информация      на момент создания образа
Статус                      в автозапуске

----------------

Образ: http://zalil.su/5444829
                            

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

И в uVS  явный косяк с анализом автозапуска.

C:\WINDOWS\SYSWOW64\IHCTRL32.DLL

C:\WINDOWS\SYSTEM32\IHCTRL32.DLL

_________________________________________________

Полное имя                  C:\WINDOWS\SYSWOW64\IHCTRL32.DLL
Имя файла                   IHCTRL32.DLL

 Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
File_Id                     556EBE5498000
Linker                      7.0
Размер                      603648 байт
Создан                      12.04.2017 в 20:44:02
Изменен                     08.03.2017 в 07:22:45
                            
TimeStamp                   03.06.2015 в 08:44:04
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя            DDDDDDDD.DLL
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Доп. информация             на момент обновления списка
SHA1                        2428AE627F382A886C0C48F4748C0DB3FD943796
MD5                         79283E53B76D96C869EF64241D5D2794
                            
Ссылки на объект            
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini

_________________________________________

Полное имя                  C:\WINDOWS\SYSTEM32\IHCTRL32.DLL
Имя файла                   IHCTRL32.DLL
Тек. статус                 сервисная_DLL в автозапуске [SVCHOST]
                            
Сохраненная информация      на момент создания образа
Статус                      сервисная_DLL в автозапуске [SVCHOST]
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                            
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\ihctrl32\Parameters\ServiceDLL
ServiceDLL                  %SystemRoot%\System32\ihctrl32.dll

____________________________________________

Полное имя                  C:\WINDOWS\SYSTEM32\WSAUDIO.DLL
Имя файла                   WSAUDIO.DLL
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SVCHOST]
                            
                         
Сохраненная информация      на момент создания образа
Статус                      сервисная_DLL в автозапуске [SVCHOST]
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                            
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\wsaudio\Parameters\ServiceDLL
ServiceDLL                  %SystemRoot%\System32\wsaudio.dll
________________________________________________

А из лога FRST  видно, что...

S2 wsaudio; C:\Windows\SysWOW64\wsaudio.dll [251392 2017-05-12] () [File not signed] 2017-06-25 15:31 - 2017-05-12 21:03 - 00251392 _____ C:\Windows\SysWOW64\wsaudio.dll            

------------

И какой вывод ?

1) Файл а втозапуске - но как бы и нет...

SYSWOW64

SYSTEM32

2) Файл есть но uVS  его не видит...    

Образ:    http://zalil.su/2930698

Тема: https://forum.esetnod32.ru/forum6/topic14098/

и таких тем ( по wsaudio.dll  уже за сотню )

В 23.05.2017 at 9:06 PM, PR55.RP55 сказал:

 

Я уже об этом в  писал выше - а сейчас пишу подробно.                           

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
В 06.06.2017 at 10:28 PM, PR55.RP55 сказал:

Demkd

Есть такой: Stantinko ( геморрой )

-------

Полное имя                  C:\WINDOWS\SYSWOW64\WSAUDIO.DLL
Имя файла                   WSAUDIO.DLL
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
File_Id                     54F72D6A8D000
Linker                      10.0
Размер                      367104 байт
Создан                      18.04.2016 в 22:15:05
Изменен                     18.04.2016 в 22:15:05
                            
TimeStamp                   04.03.2015 в 16:06:02
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя            LIBMP3LAME.DLL
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Доп. информация             на момент обновления списка
SHA1                        A80CEF032C913DF5558D876D91A38759D4A7A2D1
MD5                         A33D65923CF73505333C945FA43C7DF9
                            
Ссылки на объект            
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini
                            
-----------------
Полное имя                  C:\WINDOWS\SYSWOW64\IHCTRL32.DLL
Имя файла                   IHCTRL32.DLL
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
File_Id                     552D0DF13D000
Linker                      10.0
Размер                      214016 байт
Создан                      18.04.2016 в 22:15:05
Изменен                     18.04.2016 в 22:15:05
                            
TimeStamp                   14.04.2015 в 12:54:09
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя            IHCTRL32.DLL
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Доп. информация             на момент обновления списка
SHA1                        80C4A4FD10409742C10B4399AD7C31AFEA726A8D
MD5                         4D97530B17A6EF7F25ADC44E433EE5E6
                            
Ссылки на объект            
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini

-----------

Как видно он вообще не в автозапуске.

и найти его среди тысяч файлов задача не тривиальная.

Запускается со стартом браузера.

Нужны новые методы обнаружения.

Если запуск идёт через _легальное ( модифицированное ) расширение браузера.

значит нужен анализ установленных расширений.

и автоматически искать в этих расширениях записи коих быть не должно.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

да, 32-х битными службами есть косяк, это я исправлю как время появится, а wsaudio как раз стартует через сервис на базе svchost и там аналогичный косяк.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Исправил косяк, анализ svchost пока отложен, может быть на следующей неделе будет время заняться.
---------------------------------------------------------
 4.0.6
---------------------------------------------------------
 o Исправлена функция эмулятора WOW64 для командных строк и функция анализа параметров 32-х битных служб.

 o В лог добавлено предупреждение при невозможности открыть процесс. (для обычного режима сканирования)

 

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

@demkd, а это пожелание значит отклонено?
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
3 часа назад, alamor сказал:

а это пожелание значит отклонено?

нет, пока нет времени на что-то новое, пока только исправление критических ошибок.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

ошибка по сервисным dll, похоже, ушла.

это из образа, созданного в 4.0.5

Цитата

Полное имя                  C:\WINDOWS\SYSTEM32\IHCTRL32.DLL
Имя файла                   IHCTRL32.DLL
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SVCHOST]
                            
Удовлетворяет критериям     
SERV_DLL.FALSE              (ССЫЛКА ~ \PARAMETERS\SERVICEDLL)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      сервисная_DLL в автозапуске [SVCHOST]
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                            
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\ihctrl32\Parameters\ServiceDLL
ServiceDLL                  %SystemRoot%\System32\ihctrl32.dll

а это на той же системе, только образ сделан в 4.0.6

Цитата

Полное имя                  C:\WINDOWS\SYSWOW64\IHCTRL32.DLL
Имя файла                   IHCTRL32.DLL
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SVCHOST]
                            
Удовлетворяет критериям     
SERV_DLL.FALSE              (ССЫЛКА ~ \PARAMETERS\SERVICEDLL)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      сервисная_DLL в автозапуске [SVCHOST]
File_Id                     556EBE5498000
Linker                      7.0
Размер                      603648 байт
Создан                      17.04.2013 в 04:58:28
Изменен                     30.11.2012 в 15:53:59
                            
TimeStamp                   03.06.2015 в 08:44:04
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя            DDDDDDDD.DLL
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Доп. информация             на момент обновления списка
SHA1                        2428AE627F382A886C0C48F4748C0DB3FD943796
MD5                         79283E53B76D96C869EF64241D5D2794
                            
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\ihctrl32\Parameters\ServiceDLL
ServiceDLL                  %SystemRoot%\System32\ihctrl32.dll
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini

                            

                          

 

UNKNOWN-ПК_2017-06-28_13-55-47.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

Какая то ерунда с проверкой ЭЦП.

Тема\образ: http://www.tehnari.ru/f35/t254502/

Пример:

Полное имя                  C:\PROGRAM FILES\GIMP 2\BIN\LIBGIMPWIDGETS-2.0-0.DLL
Имя файла                   LIBGIMPWIDGETS-2.0-0.DLL
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ [Запускался неявно или вручную]
File_Id                     340A33A3126000
Linker                      2.24
Размер                      1218424 байт
Создан                      18.11.2015 в 22:49:22
Изменен                     26.08.2014 в 23:32:18
                            
TimeStamp                   01.09.1997 в 03:16:51
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя            LIBGIMPWIDGETS-2.0-0.DLL
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Jernej Simoncic
                            
Доп. информация             на момент обновления списка
SHA1                        BA780DEFB8128E33672D0D192B6BA4F9A4733F69
MD5                         40C10C2ACD259C99D14851CAC8A29025
                            
Ссылки на объект            
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini

____________________________________________

Полное имя                  C:\PROGRAM FILES\GIMP 2\BIN\LIBTIFF-5.DLL
Имя файла                   LIBTIFF-5.DLL
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
File_Id                     3AF13AE96C000
Linker                      2.24
Размер                      420397 байт
Создан                      18.11.2015 в 22:50:58
Изменен                     25.08.2014 в 20:01:16
                            
TimeStamp                   03.05.2001 в 11:03:05
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя            LIBTIFF-5.DLL
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               проверка не производилась
                            
Доп. информация             на момент обновления списка
SHA1                        3FF3D86B92CF4D02D646D1C7B12A205F63D424BD
MD5                         8875BDD42977AE4562C13EFB13F4ABF4
                            
Ссылки на объект            
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini

__________________

И так: У части файлов ЭЦП проверена у части нет.

Как это так ?
                            

                            

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×