Перейти к содержанию

Recommended Posts

demkd

---------------------------------------------------------
 4.11.9
---------------------------------------------------------
 o Твик #39 теперь дополнительно включает отслеживание командных строк завершенных процессов, командные строки отображаются в окне информации.
   Только для Windows 8.1/Windows Server 2012 R2 и старше.

 o WLBSCTRL.DLL теперь автоматически получает статус подозрительного файла.

 o В окне информации сетевого адаптера (в разделе DNS) теперь отображается поле DHCP Domain при его наличии.

 

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx

 Спасибо,  как раз появился новый случай.
 

    DhcpDomain    REG_SZ    domain.name
    DhcpNameServer    REG_SZ    192.168.1.1

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.11.10
---------------------------------------------------------
 o Улучшена функция определения внедренного кода.
   Теперь при обнаружении модифицированного кода в процессе (hollowing/dopelganging и т.п.) выдается предупреждение в лог.

 o Исправлена ошибка обработки кэша задач, задачи с отсутствующим в реестре CLSID не отображались в списке.

 

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.11.11
---------------------------------------------------------
 o Добавлена поддержка Windows 11.

Майкрософт поленился сменить версию потому Windows 10 x64 2009 build 22000 = Windows 11.
Добавлена база известных файлов (km110.x64), пополнена база проверенных, startf я не переписывал и скорее всего не буду, он корректно работает и с базой от 10-ки.

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
20 часов назад, demkd сказал:

4.11.11
---------------------------------------------------------
 o Добавлена поддержка Windows 11.

удачный выбор версии uVS с поддержкой Windows 11 :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.11.12
---------------------------------------------------------
 o В обработчик BITS добавлен разбор командной строки нотификации. (BITS v1.5+)

 o Добавлено автоматическое определение NTFS линков.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Полное имя                  Z:\WINDOWS\PROCEXP64.EXE
Имя файла                   PROCEXP64.EXE
Тек. статус                 АКТИВНЫЙ ПРОВЕРЕННЫЙ в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПРОВЕРЕННЫЙ в автозапуске
Процесс                     64-х битный
File_Id                     611B18E1197000
Linker                      14.29
Размер                      1509768 байт
Создан                      23.10.2021 в 19:53:18
Изменен                     18.08.2021 в 17:30:20
                            
TimeStamp                   17.08.2021 в 02:03:13
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Corporation
                            
Оригинальное имя            Procexp.exe
Версия файла                16.43
Описание                    Sysinternals Process Explorer
Производитель               Sysinternals - www.sysinternals.com
                            
Доп. информация             на момент обновления списка
pid = 5152                  DESKTOP-CTVF6Q6\UserName
CmdLine                     "Z:\WINDOWS\PROCEXP64.EXE" "Z:\WINDOWS\SYSTEM32\TASKMGR.EXE"
Процесс создан              16:27:45 [2021.10.24]
С момента создания          00:00:24
CPU                         11,14%
CPU (1 core)                44,55%
parentid = 4856             Z:\WINDOWS\EXPLORER.EXE
SHA1                        D3DC46078A137F17C50887FF6F17BE40DAB20626
MD5                         29DA4E6B4B4325651FD4E1A87D333B22
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\Debugger
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\Debugger
Prefetcher                  Z:\WINDOWS\Prefetch\Layout.ini
                            
и т.д

-------

И где информация в лог ?

Где изменение статуса на подозрительный...

Загрузка процессора под 56%

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
6 часов назад, PR55.RP55 сказал:

И где информация в лог ?

Где изменение статуса на подозрительный...

Загрузка процессора под 56%

ссылка на образ где?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
7 часов назад, PR55.RP55 сказал:

И где информация в лог ?

В логе и есть, пролистай его посмотри. А статус сбрасывается на проверенный по очевидным причинам :)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Лог смотрел вчера, смотрел сегодня, искал по поиску.

Не вижу...

* Нужно отдельную колонку добавить - по всем активным процессам.

Тогда всё будет видно.

А просто 50 или 150 обьектов кидать в Подозрительные и потом рыться и искать в Инфо.

это не дело.

Образ: https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=120561&action=download

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

у меня данный процесс со статусом ?ВИРУС?

procexpl64.thumb.jpg.e36dfc788743ea799207d6010a0d184e.jpg

за счет действия критерия.

(ССЫЛКА ~ \IMAGE FILE EXECUTION OPTIONS\)(1)   OR   (ССЫЛКА ~ .EXE\DEBUGGER)(1) [auto (0)]

АКТИВНЫЙ ?ВИРУС? ПРОВЕРЕННЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске

+

образ лучше переделать актуальной версией uVS (4.11.12), тем более, в 4.11.11 добавлена поддержка для Windows 11

uVS v4.11.10 [http://dsrt.dyndns.org:8888]: Windows 10 Pro 2009 x64 (NT v10.0 SP0) build 22000  [Z:\WINDOWS]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

кстати вопрос: будут ли разделяться файлы в STORE для windows10 и windows11?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
56 минут назад, PR55.RP55 сказал:

Лог смотрел вчера, смотрел сегодня, искал по поиску.

Не вижу...

А нет все правильно, сейчас допустимая нагрузка 60% в пересчете на одно ядра, все что ниже приводит к массе ложных предупреждений.
CPU (1 core)                44,55%

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Одно ясно - если нет соответствующего критерия оператор информацию не найдёт...

Наряду со: Статусом; Производителем - добавить колонки: gpu ; cpu и всё будет видно.

Можно в отдельную категорию.

А так в Подозрительных и Вирусах - всё подряд... И то, что uVS туда добавил, и всё по критериям.

кто там будет по всем: Инфо. искать ?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

Я фото - не вижу.

Но я говорю о работе с Образом ...  :)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

один экран уже есть по Alt+D из активного режима.

330582812__.jpg.3a9caf6b90be8d54d7ca428c15f4b278.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
4 часа назад, santy сказал:

кстати вопрос: будут ли разделяться файлы в STORE для windows10 и windows11?

будет, хотя конечно толку от store уже нет, windows и сам справляется с проблемой отсутствующих или поврежденных файлов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Невозможно добавить файлы каталога в Zoo ( при работе с образом ) если файл отсутствует.

Пример:

Полное имя                  C:\WINDOWS\REGPOLICY\ATICONTO.EXE
Имя файла                   ATICONTO.EXE
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\aticonto
aticonto                    C:\Windows\RegPolicy\aticonto.exe
-------

т.е. в каталоге есть файлы;  нужно получить их копию.

но из контекстного меню невозможно отдать команду:  dirzoo %SystemRoot%\REGPOLICY

т.е. отдать то можно - но сама команда в скрипт не прописывается...

https://forum.esetnod32.ru/forum3/topic16634/

----------

+

Стоит автоматически добавлять все исполняемые файлы: C:\WINDOWS\REGPOLICY\

в список.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Релиз.

---------------------------------------------------------
 4.12
---------------------------------------------------------
 o Исправлена ошибка с курсором мыши при проверке списка по базе проверенных.

 o Добавлена поддержка STORE для Windows 11.

 o В STORE добавлены файлы для Windows 11.

 

  • Like 1
  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

В последнее время количество зловредов, использующих внедрение потоков в системные файлы или модификацию их кода при запуске заметно выросло, потому фаервол стал просто необходим.
Но тут есть проблема, которая лично меня заставила написать отдельную утилиту.
Писатели фаеров обычно мало уделяют времени эргономике их продуктов и почти всегда плюют на безопасность и просто выпускают системные приложения типа svchost по умолчанию в сеть.
А попытка контролировать все соединения svchost довольно тяжела для нервов пользователя из-за большого количества ip адресов к которым он цепляется, причем адреса меняются достаточно часто.
И вот мои нервы не выдержали и я сделал DNSLog, скачать можно у меня на сайте, в readme подробности.
А делает оно простую вещь логирует обращение к DNS и управляет разрешениями Comodo Firewall превращая его в что-то более-менее эргономичное, где доступ в сеть для приложений регулируется автоматически на базе доменных имен, а не IP адресов, все довольно просто и работает пока идеально.
Работает оно не так как в uVS т.е. логи системные включать не нужно, ну и управление comodо... впрочем понятно что такого в принципе быть не должно с продуктом отвечающим за безопасность, но оно есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

demkd

Возможно интересный лог.

(!) Не удалось получить доступ к ***

Установлен: RAV Antivirus

Доступ буквально ко всему блокирует... ( Чудо антивирус )

https://www.tehnari.ru/f35/t272788/

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg

С антивирусом бодаться себе дороже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg

demkd А утилита сравнения, похоже не работает на образах 4.12.

CmpImg v1.02 Copyright(c) 2011-17 D.Kuznetzoff [demkd@mail.ru]
http://dsrt.dyndns.org

Loading OLD image: LAPTOP-4M6E9OJH_2022-03-30_17-52-29_v4.12.TXT
Loading NEW image: LAPTOP-4M6E9OJH_2022-04-01_13-28-42_v4.12.TXT

И всё (

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.11.
    • PR55.RP55
    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
×