4.0.20
o Исправлена критическая ошибка в функции поиска внедренных потоков, которая могла проявляться в некоторых версиях Windows.
4.0.19
o В окно информации о процессе добавлены проценты загрузки GPU с момента _создания_ процесса. Процесс со средней загрузкой >15% хотя бы одного видеоадаптера автоматически получает статус "подозрительный".
Любой процесс использующий ресурсы GPU получает новый статус "GPU".
Процессы НЕ использущие впрямую GPU не имеют строчек загрузки GPU в информации о файле.
GPU нумеруются с 1-ки, нумерация произвольная и не имеет отношения к реальному порядку видеокарт на шине.
Загрузка считается для каждого видеоадаптера отдельно.
o Оптимизирована функция поиска внедренных потоков.
o Теперь замороженные потоки в логе помечаются дополнительным индикатором состояния "[suspended]".
Майнер в логе:
(!) Процесс нагружает GPU 1: C:\TOOLS\ZCASH\ZECMINER64.EXE
(!) Процесс нагружает GPU 2: C:\TOOLS\ZCASH\ZECMINER64.EXE
(!) Процесс нагружает GPU 3: C:\TOOLS\ZCASH\ZECMINER64.EXE
(!) Процесс нагружает GPU 4: C:\TOOLS\ZCASH\ZECMINER64.EXE
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
4.0.22
o Добавлен монитор активности процессов.
Активность CPU/GPU сотображается за последние 10 секунд.
Горячая клавиша: Alt+D
Доступен просмотр информации о файле и немедленное завершение процесса. (кроме процессов с pid=4 и процессов принадлежащих uVS)
(завершается только один процесс с соответствующим pid, очередь команд не используется, у команды мгновенное действие запросы/предупреждения не выдаются, ASA используется при необходимости)
Функция доступна для активных и удаленных систем.
o Команды удаления wmi event/task теперь доступны из любого раздела для соответствующих объектов.
o Процесс со средней загрузкой >60% на 1 ядро автоматически получает статус "подозрительный".
+
4.0.23
o Исправлена критическая ошибка сбоя синхронизации потоков.
o Восстановлена работа кнопки "Скачать" в окне информации о файле.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
4.1.1
o Исправлена критическая ошибка при работе с удаленной системой возникающая при отдаче команды на удаление ссылок на все отсутствующие объекты,
если установлен флаг bNetFastLoad и список автозапуска еще ни разу не загружался.
o В окно информации о файле добавлено время последнего запуска некоторых файлов (в основном тех что запускал пользователь).
Только для новых билдов Windows 10.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Вывод осуществляется в лог uVS.
Функции доступны только для активных и удаленных систем, в будущем планируется добавить поддержку неактивных систем.
o В связи с отменой аккаунтов в новой версии bitcoin клиента, планируется конвертация остатков балансов пользователей в количество обновлений,
после чего ввод/вывод будет закрыт и пополнение станет доступным только после решения технических проблем связанных с переходом
на альтернативную криптовалюту, процесс перехода на новую систему обновлений будет завершен 14-го июня.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
o Функция разбора командной строки теперь распознает неявно заданный путь.
Пример: cmd.exe /C start /D "C:\xxx\1" /B x1.cmd
x1.cmd будет преобразовано в C:\xxx\1\x1.cmd и файл будет выделен в отдельный объект, если такой файл физически существует,
в противном случае в списке создается объект под имененем x1.cmd без указания пути.
o Добавлена проверка на наличие DnsPolicy. Данная политика может быть использована для блокировки разрешения произвольных сайтов/доменов dns-клиентом.
В случае ее обнаружения в лог выводится предупреждение.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
4.1.8
o Исправлена ошибка при работе с реестром из-за которой функции восстановления и виртуализации реестра отказывались заменять ветку SOFTWARE.
o В меню запуск добавлен новый элемент:
1) Dism /Online /Cleanup-Image /StartComponentCleanup
Скриптовая команда ComponentCleanup.
Запуск оптимизации хранилища компонентов.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
4.11
o Исправлена ошибка из-за которой не обновлялся список сетевой активности.
4.1.9
o Исправлена ошибка в обработчике планировщика задач, ошибка могла приводить к зацикливанию.
o Исправлена функция обработки 38-го твика при работе с образами и удаленными системами.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
o Исправлена функция переключения рабочих столов при работе с удаленной системой.
o В лог теперь выводится информация о существующих оконных станциях и список рабочих столов для дефолтной оконной станции.
o Добавлены горячие клавиши при работе с активной системой:
Alt->left и Alt->right клавиши переключают доступные рабочие столы.
4.11.1
o Исправлена ошибка из-за которой клиентский процесс uVS иногда не завершался при окончании работы с удаленной системой.
o Исправлена ошибка при передаче нажатий клавиш в удаленную систему.
o Исправлена работа горячей клавиши RWIN при работе с удаленной системой.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
4.11.3
o Исправлены функции массовой проверки файлов на VT.
o Исправлена функция анализа внедренных потоков.
4.11.4
o Удаление lnk файлов убрано из функции удаления ссылок на отсутствующие объекты.
o Работа с VT и кэшем VT восстановлена.
(кэш работает только для массовых функций проверки)
o Добавлены новые типы поисковых критериев:
delwmi - автоскрипт добавляет в скрипт команду delwmi
deltsk - автоскрипт добавляет в скрипт команду deltsk
фильтр - объект списка получает статус "Фильтр" и попадает в категорию "отфильтрованы по критериям".
Удаление из этой категории возможно при обновлении списка или смене статуса на проверенный или подозрительный.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
o Добавлена поддержка отслеживания процессов.
Отслеживание процессов позволяет определять родителя любого процесса, даже если родительский процесс уже завершен, а также достоверно определять все файлы, которые запускались с момента старта системы. Если отслеживание включено то в категорию "Запускался неявно или вручную" попадают только те файлы, что запускались с момента запуска системы.
Твик #39 включает отслеживание, твик #40 отключает.
(!) После включения отслеживания процессов требуется перезагрузить систему,
(!) только в этом случае вы получите полную информацию о процессах с момента перезагрузки системы.
(!) Только для активных и удаленных систем начиная с Vista (NT6.0).
o В информацию об исполняемом файле добавлена история запусков данного файла с указанием времени запуска и завершения процесса, pid, пользователь, родительский процесс. Двойным щелчком левой кнопкой мышки по имени файла родительского процесса можно открыть его информационное окно. Данные доступны с момента запуска системы, при включенном отслеживании процессов.
o В контекстном меню критерия доступна команда для проверки всего списка по данному критерию.
o Новая горячая клавиша:
Ctrl+F7 - Отфильтровать список по пользовательской базе критериев.
o В лог добавлена информация о времени старта Windows.
P.S. - очень хорошее, и долгожданное обновление!
+++
4.11.6
o Добавлена поддержка отслеживания задач.
В окно информации исполняемого файла, который создавал, модифицировал или изменял задачи добавлены следующие разделы:
"Создание задачи", "Удаление задачи", "Обновление задачи" в которых указано время операции, pid процесса, pid и имя запустившего процесс, а так же XML описание задачи при его наличии.
Твики #39/#40 теперь включают/отключают отслеживание процессов и задач.
(!) Только для Windows 10 билд 1903 и выше.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
o Твики 39 и 40 обновлены и теперь включают ведение DNS лога. В uVS добавлен раздел "DNS лог", в нем находятся адреса, которые запрашивали процессы с момента загрузки системы,
в окне информации для каждого адреса указан процесс, его pid, дата обращения к DNS и результат, если он был, промежуточные адреса
в список не включены. Например при запросе IP адреса CXCS.MICROSOFT.NET будет получен адрес CXCS.MICROSOFT.NET.EDGEKEY.NET,
который в свою очередь будет ссылаться например на E3230.B.AKAMAIEDGE.NET, в итоге в список попадет лишь исходный адрес CXCS.MICROSOFT.NET,
промежуточные адреса будут отфильтрованы.
Этот раздел поможет в выявлении зловредов/майнеров и руткитов подключающихся к определенным адресам.
(!) После включения функции требуется перезагрузить систему,
(!) только в этом случае вы получите полную информацию с момента загрузки системы.
(!) Только для активных и удаленных систем начиная с Vista (NT6.0).
(!) Включение ведения DNS лога требует дополнительно 512mb на системном диске, этого объема хватает на 30-50 минут,
(!) поэтому рекомендуется проводить анализ или создание образа сразу после перезагрузки.
+
4.11.8
o Управление DNS логом вынесено в отдельные твики, #41 и #42.
DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
в последнем случае необходимо перезагрузить систему после 42 твика.
(Win7 и ниже не поддерживается).
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
o Твик #39 теперь дополнительно включает отслеживание командных строк завершенных процессов, командные строки отображаются в окне информации.
Только для Windows 8.1/Windows Server 2012 R2 и старше.
o WLBSCTRL.DLL теперь автоматически получает статус подозрительного файла.
o В окне информации сетевого адаптера (в разделе DNS) теперь отображается поле DHCP Domain при его наличии.
+ 4.11.10
o Улучшена функция определения внедренного кода.
Теперь при обнаружении модифицированного кода в процессе (hollowing/dopelganging и т.п.) выдается предупреждение в лог.
o Исправлена ошибка обработки кэша задач, задачи с отсутствующим в реестре CLSID не отображались в списке.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
+ 4.11.11 - удачный выбор версии с поддержкой Windows 11
4.11.11
o Добавлена поддержка Windows 11.
Майкрософт поленился сменить версию потому Windows 10 x64 2009 build 22000 = Windows 11.
Добавлена база известных файлов (km110.x64), пополнена база проверенных, startf я не переписывал и скорее всего не буду, он корректно работает и с базой от 10-ки.
+
4.11.12
o В обработчик BITS добавлен разбор командной строки нотификации. (BITS v1.5+)
o Добавлено автоматическое определение NTFS линков.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
4.12.2
o Теперь автоматически восстанавливаются пользовательские каталоги, необходимые для загрузки пользователя при их отсутствии.
o Теперь программы использующие ключи для автозапуска в безопасном режиме получают статус "подозрительный".
o В случае если парсинг кэша задачи не удался то в информации о такой задаче добавляется поле #BINOBJ#,
содержащее в себе параметр Actions в шестнадцатеричном формате.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
o Добавлено несколько новых ключей автозапуска.
o Добавлен новый флаг запуска "Проверять весь HKCR".
Не всегда требуется загружать и проверять все CLSID (по умолчанию флаг установлен).
Снятие флага значительно ускорит скорость построения образа автозапуска за счет существенного сокращения файлов в списке.
Если флаг установлен:
o Твик #37 не исправит все проблемные пути в реестре
o Функция удаления ссылок на отсутствующие файлы не затронет незагруженную часть HKCR.
o Улучшена функция парсинга командной строки.
o Исправлена функция восстановления реестра для неактивной системы.
Обновлен ABR до версии 1.10, в него внесены аналогичные с uVS изменения.
o В окно информации о задаче добавлены даты создания и последнего запуска.
o Теперь в лог добавляется предупреждение о слишком длинных строках в реестре (более 2к символов).
o Исправлена ошибка в функции внесения данных из reg-файла в реестр неактивной системы.
o Добавлена поддержка кэша задач версий 1(Win8 и 8.1) и 2(некоторые серверные версии). (ранее поддерживалась только 3-я версия Win10/Win11).
o Исправлена ошибка которая могла привести к переполнению буфера.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
o Добавлена поддержка Windows 10 2004 ADK для создания загрузочных дисков.
(!) Это последний пакет Windows PE x86, все что старше это x64, в котором запуск 32-х битных приложений невозможен.
Для создания дисков требуются установить следующие пакеты:
o Три компонента из Windows ADK для Windows 10 версии 2004
o средства развертывания
o средства миграции (USMT)
o набор средств оценки производительности Windows
o Windows надстройка PE для ADK версии 2004
(Скачать оба пакета можно в окне создания загрузочной флешки/ISO)
(!)Если не удается установить Windows ADK с ошибкой "Could not acquire privileges; GLE=0x514"
то следует запустить adksetup из под системной учетки, что можно сделать с помощью uVS, запущенного под LocalSystem.
o Исправлена ошибка, которая в очень редких случаях приводит к переполнению буфера при чтении строк из реестра.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Комментарии
P.S. - очень хорошее, и долгожданное обновление!
+++
4.11.6
o Добавлена поддержка отслеживания задач.
В окно информации исполняемого файла, который создавал, модифицировал или изменял задачи добавлены следующие разделы:
"Создание задачи", "Удаление задачи", "Обновление задачи" в которых указано время операции, pid процесса, pid и имя запустившего процесс, а так же XML описание задачи при его наличии.
Твики #39/#40 теперь включают/отключают отслеживание процессов и задач.
(!) Только для Windows 10 билд 1903 и выше.
4.11.7
+
4.11.8
+ 4.11.10
+
4.12.2
o Теперь автоматически восстанавливаются пользовательские каталоги, необходимые для загрузки пользователя при их отсутствии.
o Теперь программы использующие ключи для автозапуска в безопасном режиме получают статус "подозрительный".
o В случае если парсинг кэша задачи не удался то в информации о такой задаче добавляется поле #BINOBJ#,
содержащее в себе параметр Actions в шестнадцатеричном формате.
uVS v4.12.3 [23.11.2022]