Universal Virus Sniffer v 4.1 + обновление

2»

Комментарии

  • отредактировано сентября 2018 PM
    +

    4.0.20
    o Исправлена критическая ошибка в функции поиска внедренных потоков, которая могла проявляться в некоторых версиях Windows.

    4.0.19
    o В окно информации о процессе добавлены проценты загрузки GPU с момента _создания_ процесса.
    Процесс со средней загрузкой >15% хотя бы одного видеоадаптера автоматически получает статус "подозрительный".
    Любой процесс использующий ресурсы GPU получает новый статус "GPU".

    Процессы НЕ использущие впрямую GPU не имеют строчек загрузки GPU в информации о файле.
    GPU нумеруются с 1-ки, нумерация произвольная и не имеет отношения к реальному порядку видеокарт на шине.
    Загрузка считается для каждого видеоадаптера отдельно.

    o Оптимизирована функция поиска внедренных потоков.

    o Теперь замороженные потоки в логе помечаются дополнительным индикатором состояния "[suspended]".

    Майнер в логе:
    (!) Процесс нагружает GPU 1: C:\TOOLS\ZCASH\ZECMINER64.EXE
    (!) Процесс нагружает GPU 2: C:\TOOLS\ZCASH\ZECMINER64.EXE
    (!) Процесс нагружает GPU 3: C:\TOOLS\ZCASH\ZECMINER64.EXE
    (!) Процесс нагружает GPU 4: C:\TOOLS\ZCASH\ZECMINER64.EXE
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • +

    4.0.21
    o Добавлена поддержка параметра WorkingDirectory для класса CommandLineEventConsumer.

    o Добавлена возможность удалять события WMI и задачи без удаления всех ссылок на файл/объект.
    Скриптовые команды: delwmi и deltsk

    o Исправлена ошибка чтения кэша задач, в некоторых случаях кэш мог не проверяться.

    o Процесс со средней загрузкой >50% на 1 ядро автоматически получает статус "подозрительный".
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано октября 2018 PM
    +

    4.0.22
    o Добавлен монитор активности процессов.
    Активность CPU/GPU сотображается за последние 10 секунд.
    Горячая клавиша: Alt+D
    Доступен просмотр информации о файле и немедленное завершение процесса. (кроме процессов с pid=4 и процессов принадлежащих uVS)
    (завершается только один процесс с соответствующим pid, очередь команд не используется, у команды мгновенное действие запросы/предупреждения не выдаются, ASA используется при необходимости)
    Функция доступна для активных и удаленных систем.

    o Команды удаления wmi event/task теперь доступны из любого раздела для соответствующих объектов.

    o Процесс со средней загрузкой >60% на 1 ядро автоматически получает статус "подозрительный".
    +

    4.0.23
    o Исправлена критическая ошибка сбоя синхронизации потоков.

    o Восстановлена работа кнопки "Скачать" в окне информации о файле.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • +
    Релиз.
    4.1
    o Исправлены интерфейсные недочеты в окне активности процессов.

    o Исправлены английский и китайский языковые файлы.

    o Оптимизирована функция проверки ЭЦП.

    o Исправлен парсер ответа VT.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • +

    4.1.1
    o Исправлена критическая ошибка при работе с удаленной системой возникающая при отдаче команды на удаление ссылок на все отсутствующие объекты,
    если установлен флаг bNetFastLoad и список автозапуска еще ни разу не загружался.

    o В окно информации о файле добавлено время последнего запуска некоторых файлов (в основном тех что запускал пользователь).
    Только для новых билдов Windows 10.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • +

    4.1.2
    o Скриптова команда OFFSGNSAVE теперь дополнительно отключает записи из пользовательской базы сигнатур на время работы скрипта.

    o Исправлена ошибка в фильтре добавления строк в скрипт.

    o Исправлена функция сбора информации о компьютере под Windows 10 (Alt+I).

    o Добавлена поддержка WMI классов на базе __TimerInstruction.

    o При использовании автоскрипта команды chklst и delvir автоматически добавляются только в случае если в скрипт добавилась хотя бы 1 сигнатура.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • +


    4.1.3
    o Исправлен модуль startf, он не мог правильно определять версию Windows 10.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • +

    4.1.4
    o В информацию об активном модуле(DLL) добавлен pid процесса, дополнительно для сервисных модулей добавлено имя соответствующего сервиса.

    o Исправлен английский языковой файл.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • +

    4.1.5
    o Добавлен новый ключ реестра в список проверки.

    o Для некоторых объектов добавлены поля "Изменен" отображающие дату и время создания/модификации связанных с ними ключей реестра.

    o В лог теперь выводится и "ReleaseId" версии Windows.
    Например: Windows 10 Pro 1809
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • +

    4.1.6
    o В меню запуск добавлены новые элементы:
    1) Dism /Online /Cleanup-Image /ScanHealth
    Скриптовая команда ScanHealth.
    Запуск проверки целостности системного хранилища компонентов.

    2) Dism /Online /Cleanup-Image /CheckHealth
    Скриптовая команда CheckHealth.
    Отображание результата проверки scanhealt или

    3) Dism /Online /Cleanup-Image /RestoreHealth
    Скриптовая команда RestoreHealth.
    Автоматическое исправление найденных ошибок.

    Вывод осуществляется в лог uVS.
    Функции доступны только для активных и удаленных систем, в будущем планируется добавить поддержку неактивных систем.

    o В связи с отменой аккаунтов в новой версии bitcoin клиента, планируется конвертация остатков балансов пользователей в количество обновлений,
    после чего ввод/вывод будет закрыт и пополнение станет доступным только после решения технических проблем связанных с переходом
    на альтернативную криптовалюту, процесс перехода на новую систему обновлений будет завершен 14-го июня.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 5 окт PM
    +++4.1.7+++
    o Функция разбора командной строки теперь распознает неявно заданный путь.
    Пример: cmd.exe /C start /D "C:\xxx\1" /B x1.cmd
    x1.cmd будет преобразовано в C:\xxx\1\x1.cmd и файл будет выделен в отдельный объект, если такой файл физически существует,
    в противном случае в списке создается объект под имененем x1.cmd без указания пути.

    o Добавлена проверка на наличие DnsPolicy. Данная политика может быть использована для блокировки разрешения произвольных сайтов/доменов dns-клиентом.
    В случае ее обнаружения в лог выводится предупреждение
    .
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • +

    4.1.8
    o Исправлена ошибка при работе с реестром из-за которой функции восстановления и виртуализации реестра отказывались заменять ветку SOFTWARE.

    o В меню запуск добавлен новый элемент:
    1) Dism /Online /Cleanup-Image /StartComponentCleanup
    Скриптовая команда ComponentCleanup.
    Запуск оптимизации хранилища компонентов.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • +++

    4.11
    o Исправлена ошибка из-за которой не обновлялся список сетевой активности.

    4.1.9
    o Исправлена ошибка в обработчике планировщика задач, ошибка могла приводить к зацикливанию.

    o Исправлена функция обработки 38-го твика при работе с образами и удаленными системами.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано октября 2020 PM
    +++

    4.11.2
    o Добавлена поддержка VT API v3.

    o Восстановлена поддержка сервиса runscanner.net

    o Исправлена функция переключения рабочих столов при работе с удаленной системой.

    o В лог теперь выводится информация о существующих оконных станциях и список рабочих столов для дефолтной оконной станции.

    o Добавлены горячие клавиши при работе с активной системой:
    Alt->left и Alt->right клавиши переключают доступные рабочие столы.

    4.11.1
    o Исправлена ошибка из-за которой клиентский процесс uVS иногда не завершался при окончании работы с удаленной системой.

    o Исправлена ошибка при передаче нажатий клавиш в удаленную систему.

    o Исправлена работа горячей клавиши RWIN при работе с удаленной системой.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • +++

    4.11.3
    o Исправлены функции массовой проверки файлов на VT.

    o Исправлена функция анализа внедренных потоков.
    4.11.4
    o Удаление lnk файлов убрано из функции удаления ссылок на отсутствующие объекты.

    o Работа с VT и кэшем VT восстановлена.
    (кэш работает только для массовых функций проверки)

    o Добавлены новые типы поисковых критериев:
    delwmi - автоскрипт добавляет в скрипт команду delwmi
    deltsk - автоскрипт добавляет в скрипт команду deltsk
    фильтр - объект списка получает статус "Фильтр" и попадает в категорию "отфильтрованы по критериям".
    Удаление из этой категории возможно при обновлении списка или смене статуса на проверенный или подозрительный.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 5 окт PM
    +++ 4.11.5 +++
    o Добавлена поддержка отслеживания процессов.
    Отслеживание процессов позволяет определять родителя любого процесса, даже если родительский процесс уже завершен, а также достоверно определять все файлы, которые запускались с момента старта системы. Если отслеживание включено то в категорию "Запускался неявно или вручную" попадают только те файлы, что запускались с момента запуска системы.
    Твик #39 включает отслеживание, твик #40 отключает.
    (!) После включения отслеживания процессов требуется перезагрузить систему,
    (!) только в этом случае вы получите полную информацию о процессах с момента перезагрузки системы.
    (!) Только для активных и удаленных систем начиная с Vista (NT6.0).

    o В информацию об исполняемом файле добавлена история запусков данного файла с указанием времени запуска и завершения процесса, pid, пользователь, родительский процесс. Двойным щелчком левой кнопкой мышки по имени файла родительского процесса можно открыть его информационное окно. Данные доступны с момента запуска системы, при включенном отслеживании процессов.

    o В контекстном меню критерия доступна команда для проверки всего списка по данному критерию.

    o Новая горячая клавиша:
    Ctrl+F7 - Отфильтровать список по пользовательской базе критериев.

    o В лог добавлена информация о времени старта Windows.

    P.S. - очень хорошее, и долгожданное обновление!
    +++
    4.11.6
    o Добавлена поддержка отслеживания задач.
    В окно информации исполняемого файла, который создавал, модифицировал или изменял задачи добавлены следующие разделы:
    "Создание задачи", "Удаление задачи", "Обновление задачи" в которых указано время операции, pid процесса, pid и имя запустившего процесс, а так же XML описание задачи при его наличии.
    Твики #39/#40 теперь включают/отключают отслеживание процессов и задач.
    (!) Только для Windows 10 билд 1903 и выше.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 3 авг PM

    4.11.7
    o Твики 39 и 40 обновлены и теперь включают ведение DNS лога.
    В uVS добавлен раздел "DNS лог", в нем находятся адреса, которые запрашивали процессы с момента загрузки системы,
    в окне информации для каждого адреса указан процесс, его pid, дата обращения к DNS и результат, если он был, промежуточные адреса
    в список не включены. Например при запросе IP адреса CXCS.MICROSOFT.NET будет получен адрес CXCS.MICROSOFT.NET.EDGEKEY.NET,
    который в свою очередь будет ссылаться например на E3230.B.AKAMAIEDGE.NET, в итоге в список попадет лишь исходный адрес CXCS.MICROSOFT.NET,
    промежуточные адреса будут отфильтрованы.
    Этот раздел поможет в выявлении зловредов/майнеров и руткитов подключающихся к определенным адресам.
    (!) После включения функции требуется перезагрузить систему,
    (!) только в этом случае вы получите полную информацию с момента загрузки системы.
    (!) Только для активных и удаленных систем начиная с Vista (NT6.0).
    (!) Включение ведения DNS лога требует дополнительно 512mb на системном диске, этого объема хватает на 30-50 минут,
    (!) поэтому рекомендуется проводить анализ или создание образа сразу после перезагрузки.
    +
    4.11.8
    o Управление DNS логом вынесено в отдельные твики, #41 и #42.
    DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
    Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
    в последнем случае необходимо перезагрузить систему после 42 твика.
    (Win7 и ниже не поддерживается).

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 1 окт PM
    + 4.11.9
    o Твик #39 теперь дополнительно включает отслеживание командных строк завершенных процессов, командные строки отображаются в окне информации.
    Только для Windows 8.1/Windows Server 2012 R2 и старше.

    o WLBSCTRL.DLL теперь автоматически получает статус подозрительного файла.

    o В окне информации сетевого адаптера (в разделе DNS) теперь отображается поле DHCP Domain при его наличии.
    + 4.11.10
    o Улучшена функция определения внедренного кода.
    Теперь при обнаружении модифицированного кода в процессе (hollowing/dopelganging и т.п.) выдается предупреждение в лог.

    o Исправлена ошибка обработки кэша задач, задачи с отсутствующим в реестре CLSID не отображались в списке.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 11 окт PM
    + 4.11.11 - удачный выбор версии с поддержкой Windows 11

    4.11.11
    o Добавлена поддержка Windows 11. 

    Майкрософт поленился сменить версию потому Windows 10 x64 2009 build 22000 = Windows 11.
    Добавлена база известных файлов (km110.x64), пополнена база проверенных, startf я не переписывал и скорее всего не буду, он корректно работает и с базой от 10-ки.
    +

    4.11.12
    o В обработчик BITS добавлен разбор командной строки нотификации. (BITS v1.5+)

    o Добавлено автоматическое определение NTFS линков.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.