Перейти к содержанию

Recommended Posts

demkd
1 минуту назад, Dragokas сказал:

Это F8

а ну да,  вот только там скорее всего оно просто не будет работать даже если скомпилировать под x64, я посмотрю что можно сделать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dragokas

Ну, обычные x64-разрядные программы, там нормально запускаются, тот же FRST. Здесь ведь не нужно службы. Ваш x32 restore.exe отрабатывает нормально без ошибок под x32 Windows RE. Так что простого копирования, думаю, должно быть достаточно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

сделаю x64 версию restore проверю, а abr будет просто копировать в тот же каталог.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.0.10
---------------------------------------------------------
 o Исправлена критическая ошибка в функции чтения образа автозапуска.
   (ошибка могла проявляться при чтении больших образов в системе с недостатком свободной оперативной памяти)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

неправильно распарсило командную строку

Полное имя                  (X86)\EYELEO\ICON.ICO
Имя файла                   ICON.ICO
Тек. статус                 в автозапуске [Запускался неявно или вручную] 
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске [Запускался неявно или вручную] 
                            
Доп. информация             на момент обновления списка
CmdLine                     "C:\Program Files (x86)\EyeLeo\EyeLeo.exe" C:\Program Files (x86)\EyeLeo\icon.ico
                            
Ссылки на объект            
Ссылка                      C:\USERS\ЛАРЕТА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EYELEO.LNK
SHORTCUT                    C:\USERS\ЛАРЕТА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\EYELEO\EyeLeo.lnk
SHORTCUT                    C:\USERS\ЛАРЕТА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EyeLeo.lnk
                            

Следует обратить внимание на полное имя файла.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

"C:\Program Files (x86)\EyeLeo\EyeLeo.exe" C:\Program Files (x86)\EyeLeo\icon.ico
Распарсено как раз по всем правилам. Длинный путь должен быть в кавычках.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

Образ: http://www.tehnari.ru/f183/t255526/

В категории: Подозрительные.

более _ 300 файлов от \AUTODESK\

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

хотел предложить сделать обратную сортировку по выбранному полю, но  с учетом фильтрующего поиска видимо обратная сортировка неактуальна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
29 минут назад, mike 1 сказал:

UVS 4.10 падает. 

дамп надо, но обычно из-за галки выгружать dll

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

В системах есть штатный файл:  C:\Windows\PFRO.log

" Это файл содержит «информацию о предстоящих переименованиях ( и удалении ) файлов»

(pending file rename operations, PFRO).
То  есть список файлов которые нужно переименовать ( удалить ), или переместить  (например в ходе обновления систем), но сейчас это сделать нельзя (  загружен в память ...).  Файл будет переименован после перезагрузки. "

Получается, что при создании образа втозапуска ( в аналогичной ситуации )

Переименованный файл просто не попадёт в образ...

Значит нужно обрабатывать информацию из PFRO.log

И добавлять запись ( прогноз ) ( в Инфо. )

Типа:  Файл: \C:\Users\D36B~1\AppData\Local\Temp\nsqA278.tmp\xml.dll

Будет переименован...

( При необходимости ... для его удаления воспользуйтесь сигнатурой )

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Цитата

Злоумышленники выпустили обновление популярного мессенджера WhatsApp, которое на самом деле оказалось подделкой и в буквальном смысле завалило рекламой более миллиона пользователей.

Сообщается, что в интернет-магазине Google Play появилось так называемое обновление Update WhatsApp Messenger, которое было подписано компанией WhatsApp Inc. 

Однако в самом названии злоумышленники задали пробел другим кодом, который ввел в заблуждение робота Google, после чего приложение было успешно зарегистрировано в хранилище

В uVS  есть список известных - системных файлов\директорий.

Соответственно в одном каталоге может быть два файла с "одинаковым" названием.

Вся разница будет в пробеле\кодировке.

Думаю нужно проверить, как это будет обрабатываться.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Периодически вижу записи типа:

Полное имя                  \U:C:\PROGRAM FILES (X86)\PLEXTOOL\UNINSTALL\UNINSTALL.XML
Имя файла                   UNINSTALL.XML
Тек. статус                 [Запускался неявно или вручную]
                            
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
                            
Ссылки на объект            
SHORTCUT                    C:\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\PLEXTOOL\Uninstall Plextool.lnk

-----------

Может здесь не: \U:C:\

а

/U

?
                            

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Тема:  https://forum.esetnod32.ru/forum6/topic14339/

Дело в том, что задача не отображается в списке, как самостоятельный объект.

А  просто является частью записей Хрома.

Само собой, что это неправильно.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Или в этой теме:  http://www.tehnari.ru/f35/t257035/

FRST  по человечески отображает _отдельную задачу:

Task: C:\Windows\Tasks\Chromium forem.job => Wscript.exe  C:\ProgramData\{56EE938D-DCAC-194B-5A6A-8709C0280CC7}\mofo.txt <==== ATTENTION

----------

А в uVS это опять всё в Инфо. файла.

Что  смотреть Инфо.  сотен файлов ?

"C:\Windows\system32\wscript.exe"
"C:\ProgramData\{56EE938D-DCAC-194B-5A6A-8709C0280CC7}\mofo.txt"
"68747470733a2f2f6b6174756e61712e636f6d"
"433a5c50726f6772616d446174615c7b35364545393338442d444341432d313934422d354136412d3837303943303238304343377d5c63696c656461"
"433a5c50726f6772616d446174615c7b35364545393338442d444341432d313934422d354136412d3837303943303238304343377d5c6365646f6c6564"
"//B" "//E:jscript" "--IsErIk"

 

Что толку от информации - она, что есть, что её нет.

Как мы видим оператор просто не видит данных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

и здесь тот случай, когда предполагаемое вредоносное действие может быть задетектировано через критерии, но статус "проверенный" восстанавливается за счет чистого хэша легитимного файла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

По этой теме:  http://www.tehnari.ru/f35/t256998/

C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\WINHTTP.DLL

Файл не попал в список подозрительных - хотя имя файла соответствует системному:

C:\WINDOWS\SYSWOW64\WINHTTP.DLL
C:\WINDOWS\SYSTEM32\WINHTTP.DLL

+

Файл явно в автозапуске  - чего опять же не видно.

по всей видимости ситуация аналогична раннее исправленной ошибке с wsaudio.dll

-----------

+

Вчера запустил uVS > отфильтровал все отсутствующие и применил для них: все файлы в текущей категории ( с учётом фильтра проверены )  > и  применил Alt+Del

У меня на Mozilla Firefox снесло все расширения ( 3) два из которых были отключены.

причём сами файлы в каталоге: Application Data\Mozilla\Firefox\Profiles\********.default\extensions

присутствуют - но браузер их не видит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Разобрался в чём дело.

uVS  не видит настройки.

А именно:  Перенес кеша Google Chrome, Firefox или Opera и т.д.

т.е. не видит изменения в файле:  profiles.ini

%appdata%\Mozilla\Firefox\profiles.ini

uVS просто всё сносит по Alt+Del - все настройки, расширения, закладки.

Про перенос кеша браузеров:

https://sonikelf.ru/perenos-kesha-brauzerov-google-chrome-firefox-opera/

Я так понимаю, что он при изменении настроек много чего не видит ( думаю и ряд активных файлов\дополнений )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 16.12.2017 at 1:09 PM, PR55.RP55 сказал:

uVS просто всё сносит по Alt+Del - все настройки, расширения, закладки.

если оно лежит во временных файлах то так и должно быть

В 16.12.2017 at 11:48 AM, PR55.RP55 сказал:

Файл явно в автозапуске  - чего опять же не видно.

посмотрю

В 16.12.2017 at 10:43 AM, santy сказал:

статус "проверенный" восстанавливается за счет чистого хэша легитимного файла.

Тут или критерии в приоритете или проверка по хэшу, надо выбрать одно из двух.
 

В 14.12.2017 at 10:46 PM, PR55.RP55 сказал:

Дело в том, что задача не отображается в списке, как самостоятельный объект.

В uVS все завязано на конкретных объектах, в другом софте на ссылках, это абсолютно разные подходы, в одном случае проще удалить только один объект и исчезнет десяток ссылок на него, в другом случае требуется удалить лишь одну ссылку, поэтому разумно выбирать подходящий инструмент для конкретной задачи.

Я пока все так же занят другим проектом поэтому uVS пока спит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
1 час назад, demkd сказал:
В 16.12.2017 at 12:09 PM, PR55.RP55 сказал:

uVS просто всё сносит по Alt+Del - все настройки, расширения, закладки.

если оно лежит во временных файлах то так и должно быть

Что лежит во временных ...

Закладки и расширения браузера ?

Речь о переносе:  профиль+кеш браузера.

Выше я дал ссылку по настройке: https://sonikelf.ru/perenos-kesha-brauzerov-google-chrome-firefox-opera/

Последствия по Alt+Del однозначны.

----------

1 час назад, demkd сказал:

разумно выбирать подходящий инструмент для конкретной задачи.

Для какой ?

Как это определить ?

1 час назад, demkd сказал:

В uVS все завязано на конкретных объектах

Информация в образе автозапуска есть...

Но оператор её не видит...

Какой в этом смысл ?

Предлагаю создать новую категорию:  Информация.

В категории будет отображаться информация по выбору оператора.

Типы ссылок, файлы - что угодно.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

в теме: http://www.tehnari.ru/f35/t257191/

Это: DisallowedCertificates ( о чём я уже писал - ( что необходим твик по очистке ))

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
8 часов назад, demkd сказал:
В 16.12.2017 at 11:43 AM, santy сказал:

статус "проверенный" восстанавливается за счет чистого хэша легитимного файла.

Тут или критерии в приоритете или проверка по хэшу, надо выбрать одно из двух.

да, тут вилка. все таки фолсов много будет по текущим критериям.

если только вес какой-то максимальный задавать для конкретного критерия, именно на случаи, когда возможно выполнить вредоносное действие в системе с использованием легитимного или даже системного файла.

а таких случаев становится все больше: cmd.exe, rundll32.exe, wscript.exe, cscript.exe, wmic.exe, regsrv32.ru, mshta.exe, powershell.exe

понятно, что по таким критериям нельзя выполнять действия очистки объекта автозапуска, только вывести его в подозрительные, даже если хэш находится в белом списке.

типа, критерии с плавающей точностью :).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
7 часов назад, PR55.RP55 сказал:

в теме: http://www.tehnari.ru/f35/t257191/

Это: DisallowedCertificates ( о чём я уже писал - ( что необходим твик по очистке ))

похоже эти ключи используются:

Disallowed

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates

Disallowed

HKEY_CURRENT_USER\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates

-------

и здесь в списке могут быть и сертификаты, которые были отозваны в Microsoft.

неплохо бы запросить данные ключи у пострадавших юзеров.

-----------------

здесь детально описано:

CertLock Trojan Blocks Security Programs by Disallowing Their Certificates

https://www.bleepingcomputer.com/news/security/certlock-trojan-blocks-security-programs-by-disallowing-their-certificates/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
В 16.12.2017 at 9:43 AM, santy сказал:

здесь тот случай, когда предполагаемое вредоносное действие может быть задетектировано через критерии, но статус "проверенный" восстанавливается за счет чистого хэша легитимного файла.

 

10 часов назад, demkd сказал:

Тут или критерии в приоритете или проверка по хэшу, надо выбрать одно из двух.

 

2 часа назад, santy сказал:

в таких случаев становится все больше: cmd.exe, rundll32.exe, wscript.exe, cscript.exe, wmic.exe, regsrv32.ru, mshta.exe, powershell.exe

 

10 часов назад, demkd сказал:

В uVS все завязано на конкретных объектах, в другом софте на ссылках, это абсолютно разные подходы

А, что, если выборочно для группы объектов:  cmd.exe, rundll32.exe, wscript.exe, cscript.exe, wmic.exe, regsrv32.ru, mshta.exe, powershell.exe, APINIT.DLL и т.д.

Применить другой метод... метод основанный на ссылках.

И всю информацию по данным объектам выводить в отдельную категорию.

Или в категорию:  Подозрительные и Вирусы - но в том виде, как это реализовано в FRST

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

есть интересная идея, реализована она в YARA.  (для будущих версий uVS)

там вместе с правилом детектирования можно добавить tag, и в режиме проверки файлов с помощью консольной yara можно задавать параметр tag,

в итоге, скажем проверка списка идет не по всем правилам_критериям, а только по указанным тэгам.

В нашем случае, можно указать тэги в заголовке критерия, и затем при работ с образом, скажем в поисковой строке, или иным образом указывать по какому тэгу проверить список.

--------

иногда это бывает полезно для отладки критерия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×