Бразильские банковские троянцы заново открывают старые методы обфускации URL-адресов
Автор
Danilka, в Общий форум по информационной безопасности
Объявления
-
Сообщения
-
От demkd · Опубликовано
В документации правильно, просто забыл убрать, после того как сменил тип интеграции. Удаление исключений работает только в режиме виртуализации, в принципе системная защита ядра легко преодолевается, но дефендер тогда сходит с ума и ведет себя неадекватно, поэтому только виртуализация, можно конечно допилить что бы удалялось через api, но это все равно не будет работать с неактивной системой, поэтому оставил так как есть. -
От santy · Опубликовано
Demkd, судя по тестам интеграция uVS и WinRE, запуск uVS из меню Winpe прошли нормально. (проверил на W10), Единственно, после завершения интеграции выходит сообщение, что при обновлении uVS интеграцию необходимо повторить. Так ли это? В документации указано, что если обновление выполнено в каталоге, который ранее был интегрирован с WinRe, то повторная интеграция не нужна. -
От santy · Опубликовано
RP55, это запись в реестре на исключение из проверки в Windefender. запись защищенная в Wndef, поэтому просто через delref в uVS ее не удалить из реестра. И это правильно. -
От PR55.RP55 · Опубликовано
Demkd Вот допустим в образе\системе есть запись: Полное имя C:\USERS\LUSYS\ONEDRIVE\ДОКУМЕНТЫ\GOODBYEDPI-0.2.3RC1
Имя файла GOODBYEDPI-0.2.3RC1
Тек. статус ПОДОЗРИТЕЛЬНЫЙ Исключение
Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ Исключение
Инф. о файле Не удается найти указанный файл.
Цифр. подпись проверка не производилась
Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Ссылки на объект
Ссылка HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\C:\Users\lusys\OneDrive\Документы\goodbyedpi-0.2.3rc1
C:\Users\lusys\OneDrive\Документы\goodbyedpi-0.2.3rc10
При применении команды: Alt+Del delref %SystemDrive%\USERS\LUSYS\ONEDRIVE\ДОКУМЕНТЫ\GOODBYEDPI-0.2.3RC1 т.е. вопрос, что будет при удалении ссылки и почему статус Исключение - и если он должен исключать - то почему не исключает? -
От PR55.RP55 · Опубликовано
Сейчас в ряде случаев готовые скрипты и образы приходиться размещать на сторонних ресурсах - типа Яндекс диска и т.д. А тем временем есть оф. сайт... т.е. Предлагаю добавить в меню uVS команды: Файл: Создать полный образ автозапуска и разместить образ\получить ссылку с оф. сайта: http://dsrt.dyndns.org:8888 * Соответственно Пользователь\Оператор получает ссылку типа: http://dsrt.dyndns.org:8888/MSI_2024-12-24_16-07-15_v4.14.6 ------------ В Меню Скрипт - команду: Сохранить автоматически созданный скрипт в файл и разместить\получить ссылку с оф. сайта: http://dsrt.dyndns.org:8888 * Соответственно Пользователь\Оператор получает ссылку типа: http://dsrt.dyndns.org:8888/Скрипт: 001 - & - MSI_2024-12-24_16-07-15_v4.14.6 ---------- 1) Добавить в меню команду: Выделить свободное место на диске ( Создать диск Х ) ; создать загрузочный диск и скопировать на диск WIM 2) Вариант: Добавить в меню команду: Выделить свободное место на диске ( Создать диск Х ) ; создать загрузочный диск и скопировать на диск прошедшие проверку системные файлы\файлы образа. Это всё можно сделать заранее - до заражения системы. Кроме того далеко не всегда проблемы в работе системы связанны с вирусами. А так флешка не нужна - всё всегда на месте.
-