Перейти к содержанию

Recommended Posts

PR55.RP55

По всей видимости uVS не всегда может получить доступ к: Hosts

Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts "

Вроде сейчас uVS  соответствующих записей не создаёт?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

А куда все разбежались? Зашел, а тут все спамом затянуто.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vvvyg

Ну, хоть что-то полезное на форуме появилось ) Почистил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SQx

Здравствуйте,

Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого:

C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet

Хотел бы уточнить у Вас,  если можете добавить его в uVS.

P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

Спасибо.

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

Приветствую, SQx

Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
В 24.07.2022 at 4:29 AM, SQx сказал:

Хотел бы уточнить у Вас,  если можете добавить его в uVS.

Добавлю в след. версии.
Последнее время был занят созданием фаервола, он практически готов и проходит тестирование, так что скоро можно будет вернуться к uVS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Фаервол полностью закончен и протестирован, выложил бесплатную версию, наконец-то удалил этот смешную поделку от Comodo, постоянно насиловавшую мой процессор, реестр и мозг, далее буду исправлять накопившиеся баги в uVS.
 o Исправлены критические ошибки в утилитах:
   o uvs_snd.exe (отправка образов для анализа)
   o cmpimg.exe (сравнение образов)
Утилиты уже доступны в обновлении uVS и на сайте.

  • Like 1
  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

По поводу задач из Tasks_Migrated, задачи оттуда не стартуют, поэтому нет смысла его добавлять.
Личные кабинеты на сайте теперь снова работают.

---------------------------------------------------------
 4.12.1
---------------------------------------------------------
 o Улучшена функция парсинга командной строки.

 o Исправлена ошибка в парсере файла hosts, ошибка позволяла некоторым зловредам скрывать записи в hosts.



 

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.12.2
---------------------------------------------------------
 o Теперь автоматически восстанавливаются пользовательские каталоги, необходимые для загрузки пользователя при их отсутствии.

 o Теперь программы использующие ключи для автозапуска в безопасном режиме получают статус "подозрительный".

 o В случае если парсинг кэша задачи не удался то в информации о такой задаче добавляется поле #BINOBJ#,
   содержащее в себе параметр Actions в шестнадцатеричном формате.
                                                  

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.12.3
---------------------------------------------------------
 o Добавлено несколько новых ключей автозапуска.

 o Добавлен новый флаг запуска "Проверять весь HKCR".
   Не всегда требуется загружать и проверять все CLSID (по умолчанию флаг установлен).
   Снятие флага значительно ускорит скорость построения образа автозапуска за счет существенного сокращения файлов в списке.
   Если флаг установлен:
    o Твик #37 не исправит все проблемные пути в реестре
    o Функция удаления ссылок на отсутствующие файлы не затронет незагруженную часть HKCR.

 o Улучшена функция парсинга командной строки.

 o Исправлена функция восстановления реестра для неактивной системы.
   Добавлено удаление старых логов реестра, они могли препятствовать загрузке хайвов после оффлайн восстановления реестра.
   Обновлен ABR до версии 1.10, в него внесены аналогичные с uVS изменения.
    o Автозагрузка службы ABR теперь работает в отложенном режиме для устранение возможного сбоя загрузки пользовательского хайва реестра.
    o Добавлен модуль defrag для дефрагментации и устранения ошибок в сохраненной копии реестра.

 o В окно информации о задаче добавлены даты создания и последнего запуска.

 o Теперь в лог добавляется предупреждение о слишком длинных строках в реестре (более 2к символов).

 o Исправлена ошибка в функции внесения данных из reg-файла в реестр неактивной системы.

 o Добавлена поддержка кэша задач версий 1(Win8 и 8.1) и 2(некоторые серверные версии). (ранее поддерживалась только 3-я версия Win10/Win11).

 o Исправлена ошибка которая могла привести к переполнению буфера.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Настройка vtCacheDays=

не работает. ( залез, а в папке сотни файлов  ) пробовал менять настройки\даты - не работает.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
22 часов назад, PR55.RP55 сказал:

Настройка vtCacheDays=

проверил, работает, но стоит помнить что кэш используется только при массовой проверке и только для файлов не получивших статус проверенного ранее.
для проверки отдельного файла кэш не используется по очевидным причинам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
В 24 ноября 2022 г. at 6:56 PM, PR55.RP55 сказал:

Настройка vtCacheDays=

не работает. ( залез, а в папке сотни файлов  ) пробовал менять настройки\даты - не работает.


 

так в папке они накапливаются, но автоматически uVS не чистятся. Так что может, там просто старые лежат.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Исправил модуль usvc, не работало подключение к удаленным системам, после последнего обновления.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.13
---------------------------------------------------------
 o Добавлена поддержка Windows 10 2004 ADK для создания загрузочных дисков.
   (!) Это последний пакет Windows PE x86, все что старше это x64, в котором запуск 32-х битных приложений невозможен.
   Для создания дисков требуются установить следующие пакеты:
   o Три компонента из Windows ADK для Windows 10 версии 2004
     o средства развертывания
     o средства миграции (USMT)
     o набор средств оценки производительности Windows
   o Windows надстройка PE для ADK версии 2004
   (Скачать оба пакета можно в окне создания загрузочной флешки/ISO)
   (!)Если не удается установить Windows ADK с ошибкой "Could not acquire privileges; GLE=0x514"
      то следует запустить adksetup из под системной учетки, что можно сделать с помощью uVS, запущенного под LocalSystem.

 o Исправлена ошибка, которая в очень редких случаях приводит к переполнению буфера при чтении строк из реестра.

 

  • Like 1
  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

В uVS  есть строка\меню: www.runscanner.net ( найти в браузере отчёт по имени файла )

Сайта похоже нет. Строку можно удалить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

uVS v4.12.3 [http://dsrt.dyndns.org:8888]: Windows 10 Home Single Language  [Windows 11] 2009 x64 (NT v11.0 SP0) build 22000  [C:\WINDOWS]

(!) Не удалось активировать 64-х битный модуль

-----------

Образ: https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=126155&action=download

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

В общем судя по всему активации 64-х бит. модуля мешал Windows Defender

По хорошему нужно логи\журналы защитника в образ автозапуска сохранять.

Тогда и по uVS меньше вопросов будет и "историю" заражений посмотреть.

Возможно чтобы антивирусы так не реагировали что-то придумать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Как оказалось всё гораздо хуже...

Есть 64-х битная система > активации 64-х бит. модуля не проходит ( действия антивируса\защитника )

значит работает 32-х битный модуль... на 64-х битной системе.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

uVS v4.13 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

(!) Невозможно открыть процесс: start.exe [2960]

Полное имя                  START.EXE
Имя файла                   START.EXE
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
 ---------------------                        

Самый обычный запуск и чистая система.

Открыл посмотрел образ > Запустил uVS в обычном режиме и вот результат...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.14
---------------------------------------------------------
 o Исправлена критическая ошибка при разборе параметров в файлах задач.
   Из-за ошибки uVS мог аварийно завершится без создания дампа.

 o Каталог по умолчанию теперь каталог Windows.
   (Для окон выбора каталога).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

---------------------------------------------------------
 4.14.1
---------------------------------------------------------
 o Добавлена возможность работать с файлами на разделах без присвоенной буквы диска.
   Например: \DEVICE\HARDDISKVOLUME1\EFI\MICROSOFT\BOOT\RECOVERY.EXE
   Файлы с аналогичным путем автоматически попадают в раздел подозрительных файлов.
   Доступна вся информация о таких файлах в списке автозапуска, кроме иконки.
   Доступны все операции с файлом.
   (Возможно функция не будет работать на устаревших версиях Windows)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Аркалык

Первый эксперимент: Программа C:\Program_1.exe запускает файл inject_x64.exe с EFI-раздела. Файл успешно инжектится в процесс winlogon.exe, но в логах нету следов о файле inject_x64.exe с EFI-раздела. Есть только запись о том:

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\WINLOGON.EXE [596], tid=5300

Образ автозапуска uVS прикрепил.  

PS: Не обращайте внимание на файлы с рабочего стола. Эти файлы для предварительной подготовки, они оттуда автоматический не запускаются.

DESKTOP-PVCT6QA_2023-06-21_09-10-40_v4.14.1.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Аркалык

Второй эксперимент: Образ автозапуска uVS со включенным твиком 39. Файл из раздела EFI попал в образ автозапуска и доступны функций удаления файла. В файле cmd.exe есть подробная информация как запускается файл:

C:\Windows\system32\cmd.exe /c %WINDIR%\System32\cmd.exe /C M:\EFI\Microsoft\Boot\inject_x64.exe 596

Есть запись о внедрении потока:

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\WINLOGON.EXE [596], tid=5272

---------------------------------------------

Попробовал удалить файл:

======= Начало исполнения скрипта =======
--------------------------------------------------------
v400c
--------------------------------------------------------
--------------------------------------------------------
OFFSGNSAVE
--------------------------------------------------------
--------------------------------------------------------
del \DEVICE\HARDDISKVOLUME1\EFI\MICROSOFT\BOOT\INJECT_X64.EXE
--------------------------------------------------------
--------------------------------------------------------
apply
--------------------------------------------------------
--------------------------------------------------------
Применение изменений...
--------------------------------------------------------
Удаление файлов...
--------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 0 из 0
Удалено файлов: 1 из 1
--------------------------------------------------------
--------------------------------------------------------
restart
--------------------------------------------------------

Файл успешно удален. Работает!

EXAMPLE_2_2023-06-21_09-10-40_v4.14.1.rar

  • Like 1
  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

\DEVICE\HARDDISKVOLUME1\EFI\MICROSOFT\BOOT\

------

Там не так много файлов. Можно в качестве превентивной меры добавлять в список все файлы раздела.

даже если по какой то причине uVS не увидит как запускается файл - файл всё равно будет в списке.

А если Оператор захочет понять что и как - то... твик 39 и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • YuriiGabform
      Приветствуем вас! Давайте вместе достигнем новых высот. Готовы обсудить детали?


      Это сообщение попало к вам, а что, если такие же предложения о вашем бизнесе увидят тысячи? Воспользуйтесь нашими рассылками и дайте вашему бизнесу шанс на успех!


      Благодарим за интерес к нашему предложению. Мы уверены, что наше сотрудничество станет успешным для обеих сторон. Приглашаем вас посетить наш сайт и передать нашу информацию вашему руководителю. Удачи в бизнесе и успехов!

      Контактируйте: Сайт: http://formsait.tilda.ws Почта: marketing.trafik@mail.ru

      Расширьте базу клиентов без лишних затрат! Попробуйте нашу рассылку уже сегодня.
    • demkd
      ---------------------------------------------------------
       4.15.6
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой автоматически не замораживались потоки внедренные в uVS,
         если их код НЕ принадлежал одной из загруженных DLL.

       o Добавлена поддержка английского интерфейса при запуске под Win2k.

       
    • demkd
      Иногда спрашивают, как загрузиться в командную строку без диска, я постоянно забывают дополнить Общий FAQ.
      И вот наконец-то я про это вспомнил:
      Q: Как запустить uVS с командной строки Windows без использования загрузочного диска/флешки для работы с НЕактивной системой.
         (!) Для текущей версии uVS работа с командной строки доступна только для 32-х битных систем. (что бы работало в x64 системах, нужно делать uVS x64 и это запланировано).
         1. Если у вас Windows 8 и старше, то запустите start.exe и нажмите кнопку "Перезагрузить систему в меню дополнительных параметров загрузки".
         2. Далее в меню "Поиск и устранение неисправностей->Дополнительные параметры->Командная строка"
         3. Выберите админскую учетную запись и введите для нее пароль.
         4. Запустите start.exe из каталога uVS с командной строки.
            (!) Обычно система расположена на диске D.
                Например: uVS лежит в каталоге С:\uvs (в командной строке это будет D:\uvs)
                Для запуска uVS необходимо последовательно набрать 3 команды, завершая каждую нажатием клавиши Enter.
                1. d:
                2. cd d:\uvs
                3. start.exe
         5. Выбрать каталог Windows (обычно D:\Windows).
         Если у вас Windows 7 и младше, то в меню вы можете попасть только нажав F8 при перезагрузке системы
         (!) Использовать msconfig для этого не рекомендуется, система может не загрузиться после его использования.
         Для младших систем доступен только безопасный режим с поддержкой командной строки, т.е. система будет активна.
       
    • demkd
      ---------------------------------------------------------
       4.15.5
      ---------------------------------------------------------
       o Обновлена функция трансляции переменных окружения USERPROFILE, HOMEPATH, LOCALAPPDATA, APPDATA.
         Значения этих переменных теперь зависят от того где физически находится lnk файл.
         Теперь с разбором lnk файлов будет меньше проблем, но я все же рекомендую удалять ссылки
         на отсутствующие объекты только под текущем пользователем.

       o Исправлена функция разбора путей не содержащих букву диска.

       o Исправлена функция разбора аргументов rundll32.

       o Обновлен start.exe.
         o Обновлен интерфейс.
         o Изменена кнопка по умолчанию, теперь это "запуск под текущим пользователем".
         o Исправлена ошибка: при определенных параметрах повторный запуск uVS в режиме "до запуска эксплорера" был невозможен.
         
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 17.1.13.
×