Перейти к содержанию

Recommended Posts

PR55.RP55

По всей видимости uVS не всегда может получить доступ к: Hosts

Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts "

Вроде сейчас uVS  соответствующих записей не создаёт?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

А куда все разбежались? Зашел, а тут все спамом затянуто.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg

Ну, хоть что-то полезное на форуме появилось ) Почистил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx

Здравствуйте,

Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого:

C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet

Хотел бы уточнить у Вас,  если можете добавить его в uVS.

P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

Спасибо.

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

Приветствую, SQx

Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 24.07.2022 at 4:29 AM, SQx сказал:

Хотел бы уточнить у Вас,  если можете добавить его в uVS.

Добавлю в след. версии.
Последнее время был занят созданием фаервола, он практически готов и проходит тестирование, так что скоро можно будет вернуться к uVS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Фаервол полностью закончен и протестирован, выложил бесплатную версию, наконец-то удалил этот смешную поделку от Comodo, постоянно насиловавшую мой процессор, реестр и мозг, далее буду исправлять накопившиеся баги в uVS.
 o Исправлены критические ошибки в утилитах:
   o uvs_snd.exe (отправка образов для анализа)
   o cmpimg.exe (сравнение образов)
Утилиты уже доступны в обновлении uVS и на сайте.

  • Like 1
  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

По поводу задач из Tasks_Migrated, задачи оттуда не стартуют, поэтому нет смысла его добавлять.
Личные кабинеты на сайте теперь снова работают.

---------------------------------------------------------
 4.12.1
---------------------------------------------------------
 o Улучшена функция парсинга командной строки.

 o Исправлена ошибка в парсере файла hosts, ошибка позволяла некоторым зловредам скрывать записи в hosts.



 

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.12.2
---------------------------------------------------------
 o Теперь автоматически восстанавливаются пользовательские каталоги, необходимые для загрузки пользователя при их отсутствии.

 o Теперь программы использующие ключи для автозапуска в безопасном режиме получают статус "подозрительный".

 o В случае если парсинг кэша задачи не удался то в информации о такой задаче добавляется поле #BINOBJ#,
   содержащее в себе параметр Actions в шестнадцатеричном формате.
                                                  

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.12.3
---------------------------------------------------------
 o Добавлено несколько новых ключей автозапуска.

 o Добавлен новый флаг запуска "Проверять весь HKCR".
   Не всегда требуется загружать и проверять все CLSID (по умолчанию флаг установлен).
   Снятие флага значительно ускорит скорость построения образа автозапуска за счет существенного сокращения файлов в списке.
   Если флаг установлен:
    o Твик #37 не исправит все проблемные пути в реестре
    o Функция удаления ссылок на отсутствующие файлы не затронет незагруженную часть HKCR.

 o Улучшена функция парсинга командной строки.

 o Исправлена функция восстановления реестра для неактивной системы.
   Добавлено удаление старых логов реестра, они могли препятствовать загрузке хайвов после оффлайн восстановления реестра.
   Обновлен ABR до версии 1.10, в него внесены аналогичные с uVS изменения.
    o Автозагрузка службы ABR теперь работает в отложенном режиме для устранение возможного сбоя загрузки пользовательского хайва реестра.
    o Добавлен модуль defrag для дефрагментации и устранения ошибок в сохраненной копии реестра.

 o В окно информации о задаче добавлены даты создания и последнего запуска.

 o Теперь в лог добавляется предупреждение о слишком длинных строках в реестре (более 2к символов).

 o Исправлена ошибка в функции внесения данных из reg-файла в реестр неактивной системы.

 o Добавлена поддержка кэша задач версий 1(Win8 и 8.1) и 2(некоторые серверные версии). (ранее поддерживалась только 3-я версия Win10/Win11).

 o Исправлена ошибка которая могла привести к переполнению буфера.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Настройка vtCacheDays=

не работает. ( залез, а в папке сотни файлов  ) пробовал менять настройки\даты - не работает.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
22 часов назад, PR55.RP55 сказал:

Настройка vtCacheDays=

проверил, работает, но стоит помнить что кэш используется только при массовой проверке и только для файлов не получивших статус проверенного ранее.
для проверки отдельного файла кэш не используется по очевидным причинам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
В 24 ноября 2022 г. at 6:56 PM, PR55.RP55 сказал:

Настройка vtCacheDays=

не работает. ( залез, а в папке сотни файлов  ) пробовал менять настройки\даты - не работает.


 

так в папке они накапливаются, но автоматически uVS не чистятся. Так что может, там просто старые лежат.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Исправил модуль usvc, не работало подключение к удаленным системам, после последнего обновления.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.13
---------------------------------------------------------
 o Добавлена поддержка Windows 10 2004 ADK для создания загрузочных дисков.
   (!) Это последний пакет Windows PE x86, все что старше это x64, в котором запуск 32-х битных приложений невозможен.
   Для создания дисков требуются установить следующие пакеты:
   o Три компонента из Windows ADK для Windows 10 версии 2004
     o средства развертывания
     o средства миграции (USMT)
     o набор средств оценки производительности Windows
   o Windows надстройка PE для ADK версии 2004
   (Скачать оба пакета можно в окне создания загрузочной флешки/ISO)
   (!)Если не удается установить Windows ADK с ошибкой "Could not acquire privileges; GLE=0x514"
      то следует запустить adksetup из под системной учетки, что можно сделать с помощью uVS, запущенного под LocalSystem.

 o Исправлена ошибка, которая в очень редких случаях приводит к переполнению буфера при чтении строк из реестра.

 

  • Like 1
  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

В uVS  есть строка\меню: www.runscanner.net ( найти в браузере отчёт по имени файла )

Сайта похоже нет. Строку можно удалить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

uVS v4.12.3 [http://dsrt.dyndns.org:8888]: Windows 10 Home Single Language  [Windows 11] 2009 x64 (NT v11.0 SP0) build 22000  [C:\WINDOWS]

(!) Не удалось активировать 64-х битный модуль

-----------

Образ: https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=126155&action=download

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

В общем судя по всему активации 64-х бит. модуля мешал Windows Defender

По хорошему нужно логи\журналы защитника в образ автозапуска сохранять.

Тогда и по uVS меньше вопросов будет и "историю" заражений посмотреть.

Возможно чтобы антивирусы так не реагировали что-то придумать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Как оказалось всё гораздо хуже...

Есть 64-х битная система > активации 64-х бит. модуля не проходит ( действия антивируса\защитника )

значит работает 32-х битный модуль... на 64-х битной системе.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

uVS v4.13 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

(!) Невозможно открыть процесс: start.exe [2960]

Полное имя                  START.EXE
Имя файла                   START.EXE
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
 ---------------------                        

Самый обычный запуск и чистая система.

Открыл посмотрел образ > Запустил uVS в обычном режиме и вот результат...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.14
---------------------------------------------------------
 o Исправлена критическая ошибка при разборе параметров в файлах задач.
   Из-за ошибки uVS мог аварийно завершится без создания дампа.

 o Каталог по умолчанию теперь каталог Windows.
   (Для окон выбора каталога).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.14.1
---------------------------------------------------------
 o Добавлена возможность работать с файлами на разделах без присвоенной буквы диска.
   Например: \DEVICE\HARDDISKVOLUME1\EFI\MICROSOFT\BOOT\RECOVERY.EXE
   Файлы с аналогичным путем автоматически попадают в раздел подозрительных файлов.
   Доступна вся информация о таких файлах в списке автозапуска, кроме иконки.
   Доступны все операции с файлом.
   (Возможно функция не будет работать на устаревших версиях Windows)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Аркалык

Первый эксперимент: Программа C:\Program_1.exe запускает файл inject_x64.exe с EFI-раздела. Файл успешно инжектится в процесс winlogon.exe, но в логах нету следов о файле inject_x64.exe с EFI-раздела. Есть только запись о том:

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\WINLOGON.EXE [596], tid=5300

Образ автозапуска uVS прикрепил.  

PS: Не обращайте внимание на файлы с рабочего стола. Эти файлы для предварительной подготовки, они оттуда автоматический не запускаются.

DESKTOP-PVCT6QA_2023-06-21_09-10-40_v4.14.1.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Аркалык

Второй эксперимент: Образ автозапуска uVS со включенным твиком 39. Файл из раздела EFI попал в образ автозапуска и доступны функций удаления файла. В файле cmd.exe есть подробная информация как запускается файл:

C:\Windows\system32\cmd.exe /c %WINDIR%\System32\cmd.exe /C M:\EFI\Microsoft\Boot\inject_x64.exe 596

Есть запись о внедрении потока:

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\WINLOGON.EXE [596], tid=5272

---------------------------------------------

Попробовал удалить файл:

======= Начало исполнения скрипта =======
--------------------------------------------------------
v400c
--------------------------------------------------------
--------------------------------------------------------
OFFSGNSAVE
--------------------------------------------------------
--------------------------------------------------------
del \DEVICE\HARDDISKVOLUME1\EFI\MICROSOFT\BOOT\INJECT_X64.EXE
--------------------------------------------------------
--------------------------------------------------------
apply
--------------------------------------------------------
--------------------------------------------------------
Применение изменений...
--------------------------------------------------------
Удаление файлов...
--------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 0 из 0
Удалено файлов: 1 из 1
--------------------------------------------------------
--------------------------------------------------------
restart
--------------------------------------------------------

Файл успешно удален. Работает!

EXAMPLE_2_2023-06-21_09-10-40_v4.14.1.rar

  • Like 1
  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

\DEVICE\HARDDISKVOLUME1\EFI\MICROSOFT\BOOT\

------

Там не так много файлов. Можно в качестве превентивной меры добавлять в список все файлы раздела.

даже если по какой то причине uVS не увидит как запускается файл - файл всё равно будет в списке.

А если Оператор захочет понять что и как - то... твик 39 и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×