Перейти к содержанию

Recommended Posts

demkd

---------------------------------------------------------
 4.11.9
---------------------------------------------------------
 o Твик #39 теперь дополнительно включает отслеживание командных строк завершенных процессов, командные строки отображаются в окне информации.
   Только для Windows 8.1/Windows Server 2012 R2 и старше.

 o WLBSCTRL.DLL теперь автоматически получает статус подозрительного файла.

 o В окне информации сетевого адаптера (в разделе DNS) теперь отображается поле DHCP Domain при его наличии.

 

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.11.10
---------------------------------------------------------
 o Улучшена функция определения внедренного кода.
   Теперь при обнаружении модифицированного кода в процессе (hollowing/dopelganging и т.п.) выдается предупреждение в лог.

 o Исправлена ошибка обработки кэша задач, задачи с отсутствующим в реестре CLSID не отображались в списке.

 

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.11.11
---------------------------------------------------------
 o Добавлена поддержка Windows 11.

Майкрософт поленился сменить версию потому Windows 10 x64 2009 build 22000 = Windows 11.
Добавлена база известных файлов (km110.x64), пополнена база проверенных, startf я не переписывал и скорее всего не буду, он корректно работает и с базой от 10-ки.

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
20 часов назад, demkd сказал:

4.11.11
---------------------------------------------------------
 o Добавлена поддержка Windows 11.

удачный выбор версии uVS с поддержкой Windows 11 :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.11.12
---------------------------------------------------------
 o В обработчик BITS добавлен разбор командной строки нотификации. (BITS v1.5+)

 o Добавлено автоматическое определение NTFS линков.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Полное имя                  Z:\WINDOWS\PROCEXP64.EXE
Имя файла                   PROCEXP64.EXE
Тек. статус                 АКТИВНЫЙ ПРОВЕРЕННЫЙ в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПРОВЕРЕННЫЙ в автозапуске
Процесс                     64-х битный
File_Id                     611B18E1197000
Linker                      14.29
Размер                      1509768 байт
Создан                      23.10.2021 в 19:53:18
Изменен                     18.08.2021 в 17:30:20
                            
TimeStamp                   17.08.2021 в 02:03:13
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Corporation
                            
Оригинальное имя            Procexp.exe
Версия файла                16.43
Описание                    Sysinternals Process Explorer
Производитель               Sysinternals - www.sysinternals.com
                            
Доп. информация             на момент обновления списка
pid = 5152                  DESKTOP-CTVF6Q6\UserName
CmdLine                     "Z:\WINDOWS\PROCEXP64.EXE" "Z:\WINDOWS\SYSTEM32\TASKMGR.EXE"
Процесс создан              16:27:45 [2021.10.24]
С момента создания          00:00:24
CPU                         11,14%
CPU (1 core)                44,55%
parentid = 4856             Z:\WINDOWS\EXPLORER.EXE
SHA1                        D3DC46078A137F17C50887FF6F17BE40DAB20626
MD5                         29DA4E6B4B4325651FD4E1A87D333B22
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\Debugger
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\Debugger
Prefetcher                  Z:\WINDOWS\Prefetch\Layout.ini
                            
и т.д

-------

И где информация в лог ?

Где изменение статуса на подозрительный...

Загрузка процессора под 56%

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
6 часов назад, PR55.RP55 сказал:

И где информация в лог ?

Где изменение статуса на подозрительный...

Загрузка процессора под 56%

ссылка на образ где?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
7 часов назад, PR55.RP55 сказал:

И где информация в лог ?

В логе и есть, пролистай его посмотри. А статус сбрасывается на проверенный по очевидным причинам :)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Лог смотрел вчера, смотрел сегодня, искал по поиску.

Не вижу...

* Нужно отдельную колонку добавить - по всем активным процессам.

Тогда всё будет видно.

А просто 50 или 150 обьектов кидать в Подозрительные и потом рыться и искать в Инфо.

это не дело.

Образ: https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=120561&action=download

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

у меня данный процесс со статусом ?ВИРУС?

procexpl64.thumb.jpg.e36dfc788743ea799207d6010a0d184e.jpg

за счет действия критерия.

(ССЫЛКА ~ \IMAGE FILE EXECUTION OPTIONS\)(1)   OR   (ССЫЛКА ~ .EXE\DEBUGGER)(1) [auto (0)]

АКТИВНЫЙ ?ВИРУС? ПРОВЕРЕННЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске

+

образ лучше переделать актуальной версией uVS (4.11.12), тем более, в 4.11.11 добавлена поддержка для Windows 11

uVS v4.11.10 [http://dsrt.dyndns.org:8888]: Windows 10 Pro 2009 x64 (NT v10.0 SP0) build 22000  [Z:\WINDOWS]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

кстати вопрос: будут ли разделяться файлы в STORE для windows10 и windows11?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
56 минут назад, PR55.RP55 сказал:

Лог смотрел вчера, смотрел сегодня, искал по поиску.

Не вижу...

А нет все правильно, сейчас допустимая нагрузка 60% в пересчете на одно ядра, все что ниже приводит к массе ложных предупреждений.
CPU (1 core)                44,55%

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Одно ясно - если нет соответствующего критерия оператор информацию не найдёт...

Наряду со: Статусом; Производителем - добавить колонки: gpu ; cpu и всё будет видно.

Можно в отдельную категорию.

А так в Подозрительных и Вирусах - всё подряд... И то, что uVS туда добавил, и всё по критериям.

кто там будет по всем: Инфо. искать ?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

santy

Я фото - не вижу.

Но я говорю о работе с Образом ...  :)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

один экран уже есть по Alt+D из активного режима.

330582812__.jpg.3a9caf6b90be8d54d7ca428c15f4b278.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
4 часа назад, santy сказал:

кстати вопрос: будут ли разделяться файлы в STORE для windows10 и windows11?

будет, хотя конечно толку от store уже нет, windows и сам справляется с проблемой отсутствующих или поврежденных файлов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Manuelusema
      Есть нелегальная, но очень доходная работа.
      Если интересно, пишите в telegram @karabeitm
    • MashikTibly
      Нужна работа? Высокий доход! Пиши сюда https://vk.cc/c8cIoF или в телеграм @karabeitm
    • DavdidDuh
      Довольно привлекательные девахи на видео - Порно - большие попки
    • PR55.RP55
      Newbie Перенести тему невозможно ( точнее говоря в этом нет смысла - все темы кроме ESET и uVS - закрыты ) Несколько лет назад создали алгоритм идентификации по набору текста. Каждый человек набирая текст имеет свой почерк ( это заметили ещё в первую мировую войну - когда человек работал на ключе - радиопередатчике ) Сейчас работают машинные алгоритмы. Думаю и с курсором та же история.  ( всё сводиться к накоплению статистических данных - чем больше их обьём тем надёжнее идентификация ) Во всех странах есть своё  законодательство. И считывание чужой информации - равносильно её краже... Если _специалисты этим и занимаются - то только в рамках борьбы с орг. преступностью. т.е. в рамках расследования инцидентов и слежки за подозреваемыми. + читаем лицензионное соглашение к программе. И ? Яндекс - зарабатывает на рекламе. Он может и должен интересоваться местоположением потенциального клиента. Чем он интересуется - какие рядом находятся места отдыха - аэропорты - магазины и т.д. и пользователю выдаётся контекстная реклама. Моторика человека индивидуальна ... Но речь не о 100% результате, а % совпадении\схожести. Но нужен образец для сравнения. Такая технология разрабатывалась. Приминяется ли она на практике - не интересовался. ----------- Вообще форум мёрт. Рекомендую найти другой форум.
    • Newbie
      Хотел бы обсудить вопросы глобальной слежки и противодействия ей   Приведу некоторые возможные примеры: 1. Яндекс может считывать местоположение курсора на начальной странице и возможно узнавать человека по характеру движения курсора 2. Приложение Сбербанка может анализировать сообщения различных мессенджеров на смартфоне на наличие ключевых слов или фраз и отправлять алерты нужным людям 3. Приложения Яндекс карты могут отправлять и анализировать поисковые запросы и то, какие части карты просматривает определенный человек 4. Уличные камеры могут распознавать людей даже не по лицу, а по походке Могу привести множество других гипотетических примеров, хотелось бы более детально обсудить эту тему и то, насколько это всё может иметь место быть Не могу постить в соответствующем разделе, просьба перенести тему.
×