Войдите для возможности подписаться
Подписчики
0
Выставка: Infosecurity Russia 2007
Автор
AM_Bot, в Общий форум по информационной безопасности
Объявления
-
Сообщения
-
От demkd · Опубликовано
Если пишет что файлов нет то так оно и есть, по пути в принципе видно, что их там точно быть не может.
Проблема же в том что при запуске под SYSTEM, API windows не способен правильно разбирать некоторые ярлыки, где не указан абсолютный путь, такие ярлыки меняют цель в зависимости от того под каким пользователем работает конкретный процесс, зачем это сделал microsoft для меня загадка.
Единственное решение - это написать api для разбора любых ярлыков с нуля и добавить еще нехилую надстройку для анализа относительных путей в них, но это довольно сложная задача и на данный момент реализована лишь в малой части и скорее всего никогда не будет реализована на 100%.
Потому если хочется удалить ссылки на отсутствующие объекты имеющие ярлыки то нужно запускаться под текущим пользователем, проблем будет меньше... если пользователь один Все системные файлы имеют внешнюю эцп и вполне определенные имена. -
От PR55.RP55 · Опубликовано
uVS в Windows 7 при запуске в режиме: Запустить под LocalSystem ( максимальные права, без доступа к сети ) Не видит пути к реально существующим объектам типа: Полное имя C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\CALIBRE-PORTABLE\CALIBRE PORTABLE\CALIBRE-PORTABLE.EXE
Имя файла CALIBRE-PORTABLE.EXE
Статус ПОДОЗРИТЕЛЬНЫЙ
Инф. о файле Системе не удается найти указанный путь.
Цифр. подпись проверка не производилась
Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов
Ссылки на объект
SHORTCUT C:\USERS\USER\DESKTOP\calibre-portable.exe - Ярлык.lnk
--------------------- Полное имя C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\АРХИВ\UVS 4.1.1 ДРОВА\START.EXE
Имя файла START.EXE
Статус ПОДОЗРИТЕЛЬНЫЙ
Инф. о файле Системе не удается найти указанный путь.
Цифр. подпись проверка не производилась
Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов
Ссылки на объект
SHORTCUT C:\USER\USER\DESKTOP\start.exe - Ярлык.lnk
--------- Как результат удаление всех этих ярлыков. + Глюки если программа была на панели задач. Пусть uVS пишет в ИНФО. откуда _реально получена подпись. -
От demkd · Опубликовано
подпись userinit в catroot и VT естественно такие подписи проверить никак не сможет. -
От PR55.RP55 · Опубликовано
C:\WINDOWS\SYSTEM32\USERINIT.EXE Действительна, подписано Microsoft Windows ------- https://www.virustotal.com/gui/file/0c079dadf24e4078d3505aaab094b710da244ce4faf25f21566488106beaeba0/details Signature verification File is not signed --------- Хотелось бы _сразу видеть в Инфо. результат проверки на V.T. ( при выборочной проверке - отдельно взятого файла ) Если V.T. такого функционала не предоставляет... То открывать\скачивать страницу ( текст ) и писать результат в Инфо. Образ: https://forum.esetnod32.ru/messages/forum3/topic17900/message117128/#message117128 -
От PR55.RP55 · Опубликовано
Предлагаю добавлять в лог - информацию по пользователям типа: Account: (Hidden) User 'John' is invisible on logon screen Account: (RDP Group) User 'John' is a member of Remote desktop group и т.д.
-