Войдите для возможности подписаться
Подписчики
0
Американское подразделение Kaspersky Lab раскрыло конфиденциальную информацию
Автор
Кирилл Керценбаум, в Выбор сетевого экрана (фаерволы, firewall)
Объявления
-
Сообщения
-
От santy · Опубликовано
В каком режиме ходишь в Историю процессов и задач? при работе с активной системой или с образом? -
От PR55.RP55 · Опубликовано
+ Уточнение по: " при первых запусках после установки драйвера Ф и перезагрузки PC - uVS не видел процессов запущенного Firefox ( все файлы в базе проверенных ( если это имеет значение ) " Я говорю о том, что процессов не было в "История процессов и задач..." -
От PR55.RP55 · Опубликовано
Demkd По поводу: 5.0.4 На: "uVS v5.0.4v x64 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] " История процессов и задач... Отобразить цепочку запуска процесса uVS начинает жрать память и... Out of memory. Сжирает все 8гб+файл подкачки и... На компьютере недостаточно памяти ( и да, твик: 39\40 ) на происходящее не влияет ) ----- Второе, при первых запусках после установки драйвера Ф и перезагрузки PC - uVS не видел процессов запущенного Firefox ( все файлы в базе проверенных ( если это имеет значение ) Третье: При проверке системы с Live CD Видим следующее: Загружено реестров пользователей: 6
Анализ автозапуска...
(!) Переменная окружения TEMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
\REGISTRY\MACHINE\rcvscxggb\Environment\TEMP
--------------------------------------------------------------------------------------------------
(!) Переменная окружения TMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
\REGISTRY\MACHINE\rcvscxggb\Environment\TMP
--------------------------------------------------------------------------------------------------
(!) Переменная окружения TEMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
\REGISTRY\MACHINE\fnfozvsrt\Environment\TEMP
--------------------------------------------------------------------------------------------------
(!) Переменная окружения TMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
\REGISTRY\MACHINE\fnfozvsrt\Environment\TMP
--------------------------------------------------------------------------------------------------
(!) Переменная окружения TEMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
\REGISTRY\MACHINE\rpnrvystm\Environment\TEMP
--------------------------------------------------------------------------------------------------
(!) Переменная окружения TMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
\REGISTRY\MACHINE\rpnrvystm\Environment\TMP
--------------------------------------------------------------------------------------------------
(!) Переменная окружения TEMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
\REGISTRY\MACHINE\evikeffmz\Environment\TEMP
--------------------------------------------------------------------------------------------------
(!) Переменная окружения TMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
\REGISTRY\MACHINE\evikeffmz\Environment\TMP
--------------------------------------------------------------------------------------------------
(!) Переменная окружения TEMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
\REGISTRY\MACHINE\uvs_default\Environment\TEMP
--------------------------------------------------------------------------------------------------
(!) Переменная окружения TMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
\REGISTRY\MACHINE\uvs_default\Environment\TMP ------------- Так это в списке Live CD: ;uVS v5.0.4v x64 [http://dsrt.dyndns.org:8888] [Windows 10.0.14393 SP0 ]
; Все ПОДОЗРИТ. | <%TEMP%>
ПОДОЗРИТ. | <%TMP%>
автозапуск | MMDRV.DLL
автозапуск | MSCORSEC.DLL
ПОДОЗРИТ. | E:\USERS\DEFAULT\<%TEMP%>
ПОДОЗРИТ. | E:\USERS\DEFAULT\<%TMP%>
ПОДОЗРИТ. | E:\USERS\USER\<%TEMP%>
ПОДОЗРИТ. | E:\USERS\USER\<%TMP%>
\DESKTOP\ЗАГРУЗКИ\PASSIST_STANDARD ( РАЗДЕЛЫ ДИСКА )_20251230.1.EXE
ПОДОЗРИТ. | E:\WINDOWS\SERVICEPROFILES\LOCALSERVICE\<%TEMP%>
ПОДОЗРИТ. | E:\WINDOWS\SERVICEPROFILES\LOCALSERVICE\<%TMP%>
ПОДОЗРИТ. | E:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\<%TEMP%>
ПОДОЗРИТ. | E:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\<%TMP%> ------ Четвёртое, по поводу запуска файлов В старых версиях uVS брал информацию: AppData\Roaming\Microsoft\Windows\Recent судя по всему сейчас этого нет. -
От demkd · Опубликовано
---------------------------------------------------------
5.0.4
---------------------------------------------------------
o Переменные окружения всех пользователей с некорректным содержимым теперь добавляются
в список как подозрительные объекты со статусом "ПЕРЕМЕННАЯ".
Удаление такого объекта приведет к удалению переменной пользователя или
к восстановлению значения по умолчанию если это системная переменная.
Поскольку уже запущенные процессы используют копии переменных потребуется перезагрузка системы.
o Для процессов с внедренными потоками теперь печатается родитель этого процесса.
o В лог выводится состояние SecureBoot.
o В лог выводится версия драйвера Ф.
o Добавлена интеграция с Ф:
o История процессов загружается из Ф, а не из журнала Windows.
Работает и при выключенной опции отслеживания процессов и задач, но если эта опция выключена
то будет доступна лишь история процессов, но не задач.
Это может быть полезно в случае когда зловред удаляет свою активность из журнала Windows.
o Если установлен Ф v2.20 и старше, то в лог выводится список процессов (в т.ч. и уже завершенных)
внедрявших потоки в чужие процессы, такие процессы получают статус "ПОДОЗРИТЕЛЬНЫЙ" и новый статус "ИНЖЕКТОР".
o В меню запуска добавлена опция "Установить драйвер Ф".
Версия драйвера: v2.20 mini - это урезанный драйвер бесплатной версии Ф.
В отличии от драйвера в Ф эта версия не имеет региональных ограничений.
Драйвер ведет историю запуска процессов и внедрения потоков в чужие процессы.
Дополнительно осуществляется защита ключа драйвера в реестре и самого файла драйвера.
Остальной функционал удален.
Драйвер устанавливается под случайным именем.
Удалить драйвер можно будет в том же меню запуска, после установки/удаления требуется перезагрузка системы.
(!) Для установки драйвера Ф потребуется выключить SecureBoot в BIOS-е.
(!) Установка драйвера возможна лишь в 64-х битных системах начиная с Win7.
(!) После установки драйвера система перейдет в тестовый режим из-за включения опции Testsigning.
(!) При удалении драйвера запрашивается разрешение на отключение опции Testsigning.
(!) Если эта опция изначально была включена и пользователь использует самоподписанные драйвера
(!) то это опцию НЕ следует выключать, иначе система может уже и не загрузиться.
o В меню "Запуск" и в меню удаленной системы добавлен пункт "Свойства системы".
o Исправлена ошибка из-за которой в логе не появлялось сообщение о завершении сеанса при обратном подключении
к удаленному рабочему столу.
-
От PR55.RP55 · Опубликовано
Возможно, что-то в открытом коде будет полезного и для uVS https://www.comss.ru/page.php?id=19320
-