4.0.20
o Исправлена критическая ошибка в функции поиска внедренных потоков, которая могла проявляться в некоторых версиях Windows.
4.0.19
o В окно информации о процессе добавлены проценты загрузки GPU с момента _создания_ процесса. Процесс со средней загрузкой >15% хотя бы одного видеоадаптера автоматически получает статус "подозрительный".
Любой процесс использующий ресурсы GPU получает новый статус "GPU".
Процессы НЕ использущие впрямую GPU не имеют строчек загрузки GPU в информации о файле.
GPU нумеруются с 1-ки, нумерация произвольная и не имеет отношения к реальному порядку видеокарт на шине.
Загрузка считается для каждого видеоадаптера отдельно.
o Оптимизирована функция поиска внедренных потоков.
o Теперь замороженные потоки в логе помечаются дополнительным индикатором состояния "[suspended]".
Майнер в логе:
(!) Процесс нагружает GPU 1: C:\TOOLS\ZCASH\ZECMINER64.EXE
(!) Процесс нагружает GPU 2: C:\TOOLS\ZCASH\ZECMINER64.EXE
(!) Процесс нагружает GPU 3: C:\TOOLS\ZCASH\ZECMINER64.EXE
(!) Процесс нагружает GPU 4: C:\TOOLS\ZCASH\ZECMINER64.EXE
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
4.0.22
o Добавлен монитор активности процессов.
Активность CPU/GPU сотображается за последние 10 секунд.
Горячая клавиша: Alt+D
Доступен просмотр информации о файле и немедленное завершение процесса. (кроме процессов с pid=4 и процессов принадлежащих uVS)
(завершается только один процесс с соответствующим pid, очередь команд не используется, у команды мгновенное действие запросы/предупреждения не выдаются, ASA используется при необходимости)
Функция доступна для активных и удаленных систем.
o Команды удаления wmi event/task теперь доступны из любого раздела для соответствующих объектов.
o Процесс со средней загрузкой >60% на 1 ядро автоматически получает статус "подозрительный".
+
4.0.23
o Исправлена критическая ошибка сбоя синхронизации потоков.
o Восстановлена работа кнопки "Скачать" в окне информации о файле.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
4.1.1
o Исправлена критическая ошибка при работе с удаленной системой возникающая при отдаче команды на удаление ссылок на все отсутствующие объекты,
если установлен флаг bNetFastLoad и список автозапуска еще ни разу не загружался.
o В окно информации о файле добавлено время последнего запуска некоторых файлов (в основном тех что запускал пользователь).
Только для новых билдов Windows 10.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Вывод осуществляется в лог uVS.
Функции доступны только для активных и удаленных систем, в будущем планируется добавить поддержку неактивных систем.
o В связи с отменой аккаунтов в новой версии bitcoin клиента, планируется конвертация остатков балансов пользователей в количество обновлений,
после чего ввод/вывод будет закрыт и пополнение станет доступным только после решения технических проблем связанных с переходом
на альтернативную криптовалюту, процесс перехода на новую систему обновлений будет завершен 14-го июня.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
4.1.7
o Функция разбора командной строки теперь распознает неявно заданный путь.
Пример: cmd.exe /C start /D "C:\xxx\1" /B x1.cmd
x1.cmd будет преобразовано в C:\xxx\1\x1.cmd и файл будет выделен в отдельный объект, если такой файл физически существует,
в противном случае в списке создается объект под имененем x1.cmd без указания пути.
o Добавлена проверка на наличие DnsPolicy. Данная политика может быть использована для блокировки разрешения произвольных сайтов/доменов dns-клиентом.
В случае ее обнаружения в лог выводится предупреждение.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
4.1.8
o Исправлена ошибка при работе с реестром из-за которой функции восстановления и виртуализации реестра отказывались заменять ветку SOFTWARE.
o В меню запуск добавлен новый элемент:
1) Dism /Online /Cleanup-Image /StartComponentCleanup
Скриптовая команда ComponentCleanup.
Запуск оптимизации хранилища компонентов.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
4.11
o Исправлена ошибка из-за которой не обновлялся список сетевой активности.
4.1.9
o Исправлена ошибка в обработчике планировщика задач, ошибка могла приводить к зацикливанию.
o Исправлена функция обработки 38-го твика при работе с образами и удаленными системами.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
o Исправлена функция переключения рабочих столов при работе с удаленной системой.
o В лог теперь выводится информация о существующих оконных станциях и список рабочих столов для дефолтной оконной станции.
o Добавлены горячие клавиши при работе с активной системой:
Alt->left и Alt->right клавиши переключают доступные рабочие столы.
4.11.1
o Исправлена ошибка из-за которой клиентский процесс uVS иногда не завершался при окончании работы с удаленной системой.
o Исправлена ошибка при передаче нажатий клавиш в удаленную систему.
o Исправлена работа горячей клавиши RWIN при работе с удаленной системой.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
4.11.3
o Исправлены функции массовой проверки файлов на VT.
o Исправлена функция анализа внедренных потоков.
4.11.4
o Удаление lnk файлов убрано из функции удаления ссылок на отсутствующие объекты.
o Работа с VT и кэшем VT восстановлена.
(кэш работает только для массовых функций проверки)
o Добавлены новые типы поисковых критериев:
delwmi - автоскрипт добавляет в скрипт команду delwmi
deltsk - автоскрипт добавляет в скрипт команду deltsk
фильтр - объект списка получает статус "Фильтр" и попадает в категорию "отфильтрованы по критериям".
Удаление из этой категории возможно при обновлении списка или смене статуса на проверенный или подозрительный.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
+++
4.11.5
o Добавлена поддержка отслеживания процессов.
Отслеживание процессов позволяет определять родителя любого процесса, даже если родительский процесс уже завершен, а также
достоверно определять все файлы, которые запускались с момента старта системы.
Если отслеживание включено то в категорию "Запускался неявно или вручную" попадают только те файлы, что запускались с
момента запуска системы.
Твик #39 включает отслеживание, твик #40 отключает.
(!) После включения отслеживания процессов требуется перезагрузить систему,
(!) только в этом случае вы получите полную информацию о процессах с момента перезагрузки системы.
(!) Только дла активных и удаленных систем начиная с Vista (NT6.0).
o В информацию об исполняемом файле добавлена история запусков данного файла с указанием времени запуска и завершения процесса,
pid, пользователь, родительский процесс. Двойным щелчком левой кнопкой мышки по имени файла родительского процесса
можно открыть его информационное окно.
Данные доступны с момента запуска системы, при включенном отслеживании процессов.
o В контекстном меню критерия доступна команда для проверки всего списка по данному критерию.
o Новая горячая клавиша:
Ctrl+F7 - Отфильтровать список по пользовательской базе критериев.
o В лог добавлена информация о времени старта Windows.
P.S. - очень хорошее, и долгожданное обновление!
+++
4.11.6
o Добавлена поддержка отслеживания задач.
В окно информации исполняемого файла, который создавал, модифицировал или изменял задачи добавлены следующие разделы:
"Создание задачи", "Удаление задачи", "Обновление задачи" в которых указано время операции, pid процесса,
pid и имя запустившего процесс, а так же XML описание задачи при его наличии.
Твики #39/#40 теперь включают/отключают отслеживание процессов и задач.
(!) Только для Windows 10 билд 1903 и выше.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
o Твики 39 и 40 обновлены и теперь включают ведение DNS лога. В uVS добавлен раздел "DNS лог", в нем находятся адреса, которые запрашивали процессы с момента загрузки системы,
в окне информации для каждого адреса указан процесс, его pid, дата обращения к DNS и результат, если он был, промежуточные адреса
в список не включены. Например при запросе IP адреса CXCS.MICROSOFT.NET будет получен адрес CXCS.MICROSOFT.NET.EDGEKEY.NET,
который в свою очередь будет ссылаться например на E3230.B.AKAMAIEDGE.NET, в итоге в список попадет лишь исходный адрес CXCS.MICROSOFT.NET,
промежуточные адреса будут отфильтрованы.
Этот раздел поможет в выявлении зловредов/майнеров и руткитов подключающихся к определенным адресам.
(!) После включения функции требуется перезагрузить систему,
(!) только в этом случае вы получите полную информацию с момента загрузки системы.
(!) Только для активных и удаленных систем начиная с Vista (NT6.0).
(!) Включение ведения DNS лога требует дополнительно 512mb на системном диске, этого объема хватает на 30-50 минут,
(!) поэтому рекомендуется проводить анализ или создание образа сразу после перезагрузки.
+
4.11.8
o Управление DNS логом вынесено в отдельные твики, #41 и #42.
DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
в последнем случае необходимо перезагрузить систему после 42 твика.
(Win7 и ниже не поддерживается).
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Комментарии
4.11.5
o Добавлена поддержка отслеживания процессов.
Отслеживание процессов позволяет определять родителя любого процесса, даже если родительский процесс уже завершен, а также
достоверно определять все файлы, которые запускались с момента старта системы.
Если отслеживание включено то в категорию "Запускался неявно или вручную" попадают только те файлы, что запускались с
момента запуска системы.
Твик #39 включает отслеживание, твик #40 отключает.
(!) После включения отслеживания процессов требуется перезагрузить систему,
(!) только в этом случае вы получите полную информацию о процессах с момента перезагрузки системы.
(!) Только дла активных и удаленных систем начиная с Vista (NT6.0).
o В информацию об исполняемом файле добавлена история запусков данного файла с указанием времени запуска и завершения процесса,
pid, пользователь, родительский процесс. Двойным щелчком левой кнопкой мышки по имени файла родительского процесса
можно открыть его информационное окно.
Данные доступны с момента запуска системы, при включенном отслеживании процессов.
o В контекстном меню критерия доступна команда для проверки всего списка по данному критерию.
o Новая горячая клавиша:
Ctrl+F7 - Отфильтровать список по пользовательской базе критериев.
o В лог добавлена информация о времени старта Windows.
P.S. - очень хорошее, и долгожданное обновление!
+++
4.11.6
o Добавлена поддержка отслеживания задач.
В окно информации исполняемого файла, который создавал, модифицировал или изменял задачи добавлены следующие разделы:
"Создание задачи", "Удаление задачи", "Обновление задачи" в которых указано время операции, pid процесса,
pid и имя запустившего процесс, а так же XML описание задачи при его наличии.
Твики #39/#40 теперь включают/отключают отслеживание процессов и задач.
(!) Только для Windows 10 билд 1903 и выше.
4.11.7
+
4.11.8