uVS - Тестирование - Страница 40 - Universal Virus Sniffer (uVS) - развитие, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

PR55.RP55

По всей видимости uVS не всегда может получить доступ к: Hosts

Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts "

Вроде сейчас uVS  соответствующих записей не создаёт?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

А куда все разбежались? Зашел, а тут все спамом затянуто.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg

Ну, хоть что-то полезное на форуме появилось ) Почистил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx

Здравствуйте,

Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого:

C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet

Хотел бы уточнить у Вас,  если можете добавить его в uVS.

P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

Спасибо.

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

Приветствую, SQx

Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 24.07.2022 at 4:29 AM, SQx сказал:

Хотел бы уточнить у Вас,  если можете добавить его в uVS.

Добавлю в след. версии.
Последнее время был занят созданием фаервола, он практически готов и проходит тестирование, так что скоро можно будет вернуться к uVS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Фаервол полностью закончен и протестирован, выложил бесплатную версию, наконец-то удалил этот смешную поделку от Comodo, постоянно насиловавшую мой процессор, реестр и мозг, далее буду исправлять накопившиеся баги в uVS.
 o Исправлены критические ошибки в утилитах:
   o uvs_snd.exe (отправка образов для анализа)
   o cmpimg.exe (сравнение образов)
Утилиты уже доступны в обновлении uVS и на сайте.

  • Like 1
  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

По поводу задач из Tasks_Migrated, задачи оттуда не стартуют, поэтому нет смысла его добавлять.
Личные кабинеты на сайте теперь снова работают.

---------------------------------------------------------
 4.12.1
---------------------------------------------------------
 o Улучшена функция парсинга командной строки.

 o Исправлена ошибка в парсере файла hosts, ошибка позволяла некоторым зловредам скрывать записи в hosts.



 

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.12.2
---------------------------------------------------------
 o Теперь автоматически восстанавливаются пользовательские каталоги, необходимые для загрузки пользователя при их отсутствии.

 o Теперь программы использующие ключи для автозапуска в безопасном режиме получают статус "подозрительный".

 o В случае если парсинг кэша задачи не удался то в информации о такой задаче добавляется поле #BINOBJ#,
   содержащее в себе параметр Actions в шестнадцатеричном формате.
                                                  

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.12.3
---------------------------------------------------------
 o Добавлено несколько новых ключей автозапуска.

 o Добавлен новый флаг запуска "Проверять весь HKCR".
   Не всегда требуется загружать и проверять все CLSID (по умолчанию флаг установлен).
   Снятие флага значительно ускорит скорость построения образа автозапуска за счет существенного сокращения файлов в списке.
   Если флаг установлен:
    o Твик #37 не исправит все проблемные пути в реестре
    o Функция удаления ссылок на отсутствующие файлы не затронет незагруженную часть HKCR.

 o Улучшена функция парсинга командной строки.

 o Исправлена функция восстановления реестра для неактивной системы.
   Добавлено удаление старых логов реестра, они могли препятствовать загрузке хайвов после оффлайн восстановления реестра.
   Обновлен ABR до версии 1.10, в него внесены аналогичные с uVS изменения.
    o Автозагрузка службы ABR теперь работает в отложенном режиме для устранение возможного сбоя загрузки пользовательского хайва реестра.
    o Добавлен модуль defrag для дефрагментации и устранения ошибок в сохраненной копии реестра.

 o В окно информации о задаче добавлены даты создания и последнего запуска.

 o Теперь в лог добавляется предупреждение о слишком длинных строках в реестре (более 2к символов).

 o Исправлена ошибка в функции внесения данных из reg-файла в реестр неактивной системы.

 o Добавлена поддержка кэша задач версий 1(Win8 и 8.1) и 2(некоторые серверные версии). (ранее поддерживалась только 3-я версия Win10/Win11).

 o Исправлена ошибка которая могла привести к переполнению буфера.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Настройка vtCacheDays=

не работает. ( залез, а в папке сотни файлов  ) пробовал менять настройки\даты - не работает.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
22 часов назад, PR55.RP55 сказал:

Настройка vtCacheDays=

проверил, работает, но стоит помнить что кэш используется только при массовой проверке и только для файлов не получивших статус проверенного ранее.
для проверки отдельного файла кэш не используется по очевидным причинам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
В 24 ноября 2022 г. at 6:56 PM, PR55.RP55 сказал:

Настройка vtCacheDays=

не работает. ( залез, а в папке сотни файлов  ) пробовал менять настройки\даты - не работает.


 

так в папке они накапливаются, но автоматически uVS не чистятся. Так что может, там просто старые лежат.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Исправил модуль usvc, не работало подключение к удаленным системам, после последнего обновления.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.13
---------------------------------------------------------
 o Добавлена поддержка Windows 10 2004 ADK для создания загрузочных дисков.
   (!) Это последний пакет Windows PE x86, все что старше это x64, в котором запуск 32-х битных приложений невозможен.
   Для создания дисков требуются установить следующие пакеты:
   o Три компонента из Windows ADK для Windows 10 версии 2004
     o средства развертывания
     o средства миграции (USMT)
     o набор средств оценки производительности Windows
   o Windows надстройка PE для ADK версии 2004
   (Скачать оба пакета можно в окне создания загрузочной флешки/ISO)
   (!)Если не удается установить Windows ADK с ошибкой "Could not acquire privileges; GLE=0x514"
      то следует запустить adksetup из под системной учетки, что можно сделать с помощью uVS, запущенного под LocalSystem.

 o Исправлена ошибка, которая в очень редких случаях приводит к переполнению буфера при чтении строк из реестра.

 

  • Like 1
  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

В uVS  есть строка\меню: www.runscanner.net ( найти в браузере отчёт по имени файла )

Сайта похоже нет. Строку можно удалить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

uVS v4.12.3 [http://dsrt.dyndns.org:8888]: Windows 10 Home Single Language  [Windows 11] 2009 x64 (NT v11.0 SP0) build 22000  [C:\WINDOWS]

(!) Не удалось активировать 64-х битный модуль

-----------

Образ: https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=126155&action=download

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

В общем судя по всему активации 64-х бит. модуля мешал Windows Defender

По хорошему нужно логи\журналы защитника в образ автозапуска сохранять.

Тогда и по uVS меньше вопросов будет и "историю" заражений посмотреть.

Возможно чтобы антивирусы так не реагировали что-то придумать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Как оказалось всё гораздо хуже...

Есть 64-х битная система > активации 64-х бит. модуля не проходит ( действия антивируса\защитника )

значит работает 32-х битный модуль... на 64-х битной системе.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

uVS v4.13 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

(!) Невозможно открыть процесс: start.exe [2960]

Полное имя                  START.EXE
Имя файла                   START.EXE
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
 ---------------------                        

Самый обычный запуск и чистая система.

Открыл посмотрел образ > Запустил uVS в обычном режиме и вот результат...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.14
---------------------------------------------------------
 o Исправлена критическая ошибка при разборе параметров в файлах задач.
   Из-за ошибки uVS мог аварийно завершится без создания дампа.

 o Каталог по умолчанию теперь каталог Windows.
   (Для окон выбора каталога).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.14.1
---------------------------------------------------------
 o Добавлена возможность работать с файлами на разделах без присвоенной буквы диска.
   Например: \DEVICE\HARDDISKVOLUME1\EFI\MICROSOFT\BOOT\RECOVERY.EXE
   Файлы с аналогичным путем автоматически попадают в раздел подозрительных файлов.
   Доступна вся информация о таких файлах в списке автозапуска, кроме иконки.
   Доступны все операции с файлом.
   (Возможно функция не будет работать на устаревших версиях Windows)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Аркалык

Первый эксперимент: Программа C:\Program_1.exe запускает файл inject_x64.exe с EFI-раздела. Файл успешно инжектится в процесс winlogon.exe, но в логах нету следов о файле inject_x64.exe с EFI-раздела. Есть только запись о том:

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\WINLOGON.EXE [596], tid=5300

Образ автозапуска uVS прикрепил.  

PS: Не обращайте внимание на файлы с рабочего стола. Эти файлы для предварительной подготовки, они оттуда автоматический не запускаются.

DESKTOP-PVCT6QA_2023-06-21_09-10-40_v4.14.1.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Аркалык

Второй эксперимент: Образ автозапуска uVS со включенным твиком 39. Файл из раздела EFI попал в образ автозапуска и доступны функций удаления файла. В файле cmd.exe есть подробная информация как запускается файл:

C:\Windows\system32\cmd.exe /c %WINDIR%\System32\cmd.exe /C M:\EFI\Microsoft\Boot\inject_x64.exe 596

Есть запись о внедрении потока:

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\WINLOGON.EXE [596], tid=5272

---------------------------------------------

Попробовал удалить файл:

======= Начало исполнения скрипта =======
--------------------------------------------------------
v400c
--------------------------------------------------------
--------------------------------------------------------
OFFSGNSAVE
--------------------------------------------------------
--------------------------------------------------------
del \DEVICE\HARDDISKVOLUME1\EFI\MICROSOFT\BOOT\INJECT_X64.EXE
--------------------------------------------------------
--------------------------------------------------------
apply
--------------------------------------------------------
--------------------------------------------------------
Применение изменений...
--------------------------------------------------------
Удаление файлов...
--------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 0 из 0
Удалено файлов: 1 из 1
--------------------------------------------------------
--------------------------------------------------------
restart
--------------------------------------------------------

Файл успешно удален. Работает!

EXAMPLE_2_2023-06-21_09-10-40_v4.14.1.rar

  • Like 1
  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

\DEVICE\HARDDISKVOLUME1\EFI\MICROSOFT\BOOT\

------

Там не так много файлов. Можно в качестве превентивной меры добавлять в список все файлы раздела.

даже если по какой то причине uVS не увидит как запускается файл - файл всё равно будет в списке.

А если Оператор захочет понять что и как - то... твик 39 и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×