Перейти к содержанию
Anmawe

Технологии защиты от шифровальщиков. Какой антивирус лучше защитит личные файлы?

Recommended Posts

Threat#47

Образец нашёл. А теперь подробности, не маловажные. 

@priv8v

Вы дали скрин фаера, судя по нему, репутационного рейтинга не было не у дроппера, а у распаковавшегося элемента. SONAR не смог обнаружить. Да, я даже рад, уж слишком много видит. 

Но репутация то.....Ws.Rep.1 - детект. Так что, защиту не сломали. 

678964301e2b.jpg
1adcfbec687c.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Что вы не выполнили рекомендацию продукта, который выдал алерт "Не стоит запускать всякую неизвестную бяку") ;) Можно образец пока его не убили сигнатурой?

При запуске алерта не было. Я эмулировал тупого юзера - взял аттач из письма, разархивировал и запустил. Никакого алерта от продукта не было.

Образец - хеш я дал ведь.

 

Этим я хотел показать, что на словах все Д'артаньяны и у всех супер-пупер технологии защиты от всего чего угодно, а на деле все работает по вполне понятным и примитивным законам/паттернам/логике, что вполне понимается и при желании обходится. Подобный скрин (аналогичный в смысле) могу если надо будет привести практически для любого семейства малвари для любого антивируса.

 

 

рейтинга не было не у дроппера, а у распаковавшегося элемента

 

Насколько я помню - это был не распаковавшийся элемент, а просто селфкопия.

 

 

PS: как я и предполагал, доказывание про Симантек будет продолжаться до бесконечности - никакие технологии в последнее время на форуме как-то нельзя отвлеченно обсуждать, туда придет какой-нибудь товарищ с характерными одинаковыми подписями (около трех новичков в последний месяц вижу) в подписи и начнет рассказывать про то как что сделано у Симантека, а у остальных не очень. Даже и здесь - заговорили про технологию от шифровальщиков, а скатывается все к тому, что репутацию давайте обсудим и т.д

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

 

 

 

 

Про откат у КИС http://eugene.kaspersky.ru/2011/09/15/fichi-nevidimogo-fronta/

 

Может производить откат изменений даже после довольно длительной активности зловреда - сохраняет историю изменений.

Я знаю про наличие отката у SW. SW очень хороший HIPS, но тот факт, что он не имеет Sandbox считаю большим минусом и практически именно из-за крипторов, которые детектируются им уже после шифровки файлов, при этом откат файлов плох и лишь 30% будут восстановлены. А ещё...папка Temp не резиновая.

 

Но имеет эмулятор ... Давайте разберемся - чем эмулятор отличается от Sandbox. Оба эмулирует ОС - оба делают это не на 100%

 

Согласен с вами. Но я пока не добился ни от кого ответа чего функционально они отличаются. Я предполагаю, что эмулятор банальнее и проще учитывая разные данные о применением эмуляторов. Эмулятор относится к эвристику и только к нему. Вы, похоже, решили, что он может автоHIPSу принадлежать.

 

Статья Е.К. о эмуляторе: http://eugene.kaspersky.ru/2012/03/07/emulator/

 

Цитата:

 

Эмулятор запускает анализируемый файл в искусственной среде, которая эмулирует настоящую операционную систему. У этой среды есть своя память, диск, реестр, сеть, процессы, всевозможные подсистемы – в общем всё, чтобы заставить файл думать, что его запустил обычный пользователь на обычном компьютере. Но, в отличие от последнего сценария: а) все действия файла отслеживаются, протоколируются и направляются на анализ эвристику, б) ни один вызов не выходит за пределы среды и т.о. неизвестная вредоносная программа не сможет навредить компьютеру. Ага, получается, что эмулятор «на лету» создаёт что-то вроде защищённой виртуальной машины, в которой и изучает файлы. Этакий сейфбокс для подозрительных предметов – даже если рванёт, то никого не накроет.

 

Статья для "зелёных", он не уделяет внимания тонкостям. Там статья про офигенный эвристик, если не ошибаюсь. А ещё о том, что его надо к облаку припилить и это к в будущем. Если память не изменила. 

 

Что вы не выполнили рекомендацию продукта, который выдал алерт "Не стоит запускать всякую неизвестную бяку") ;) Можно образец пока его не убили сигнатурой?

При запуске алерта не было. Я эмулировал тупого юзера - взял аттач из письма, разархивировал и запустил. Никакого алерта от продукта не было.

Образец - хеш я дал ведь.

 

Этим я хотел показать, что на словах все Д'артаньяны и у всех супер-пупер технологии защиты от всего чего угодно, а на деле все работает по вполне понятным и примитивным законам/паттернам/логике, что вполне понимается и при желании обходится. Подобный скрин (аналогичный в смысле) могу если надо будет привести практически для любого семейства малвари для любого антивируса.

 

Ну так зря писали. Странно, что вы вообще стали давать этот скрин. Тут наверное все вкурсе про то, что киберприступность всегда по определению впереди. Есть вопросы, на которые до сих не получены ответы, вы знаете на них ответы? По поводу реакции антивируса я вам написал и я вам, увы, не верю. Репутацию показал, реакция должна быть, так работает продукт. У вас не сработала, увы, не знаю почему. Я знаю как должно быть. 

716afd0e7c7b.png

Вот так и должно было быть, вот реакция на образец, что у вас - не знаю. DI срабатывает либо автоматически, либо при запуске. Так что не получилось обмануть репутацию, ибо это единственная тёмная лошадка, логику которой нельзя отследить хотя бы из-за постоянной изменчивости. 

 

Что вы не выполнили рекомендацию продукта, который выдал алерт "Не стоит запускать всякую неизвестную бяку") ;) Можно образец пока его не убили сигнатурой?

При запуске алерта не было. Я эмулировал тупого юзера - взял аттач из письма, разархивировал и запустил. Никакого алерта от продукта не было.

Образец - хеш я дал ведь.

 

Этим я хотел показать, что на словах все Д'артаньяны и у всех супер-пупер технологии защиты от всего чего угодно, а на деле все работает по вполне понятным и примитивным законам/паттернам/логике, что вполне понимается и при желании обходится. Подобный скрин (аналогичный в смысле) могу если надо будет привести практически для любого семейства малвари для любого антивируса.

 

 

рейтинга не было не у дроппера, а у распаковавшегося элемента

 

Насколько я помню - это был не распаковавшийся элемент, а просто селфкопия.

 

 

PS: как я и предполагал, доказывание про Симантек будет продолжаться до бесконечности

 

До бесконечности вы не собирётесь ни в чём разбираться. Мне проверить ваше знание продукта Norton? Тестируете то, чего не знаете? Или я реакцию на скриншотах на фотошопил? Чего вы выёживаетесь? Факт есть детекта? Есть, ну так чего ещё надо? Напишите по - человечески. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Обсуждаем одно, но все равно все сведется к обсуждению других модулей, в случае с Симантеком (судя по всем ресурсам) все всегда сводится к репутации - что новый неизвестный файл Симантек заалертит, причем независимо от того, что обсуждали до этого. Конкретно в этой теме вами было многократно сказано, что сонар в песочнице задетектирует поведение и в свете этого и шли многобуквенные разговоры о том какой Симантек в этом отношении продвинутый. В итоге - пшик и съезжание на тему "ну и лан, зато он бы его репутацией словил бы".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

а у остальных не очень.

Скриншоты будьте добры. 

Обсуждаем одно, но все равно все сведется к обсуждению других модулей, в случае с Симантеком (судя по всем ресурсам) все всегда сводится к репутации - что новый неизвестный файл Симантек заалертит, причем независимо от того, что обсуждали до этого. Конкретно в этой теме вами было многократно сказано, что сонар в песочнице задетектирует поведение и в свете этого и шли многобуквенные разговоры о том какой Симантек в этом отношении продвинутый. В итоге - пшик и съезжание на тему "ну и лан, зато он бы его репутацией словил бы".

Странные вещи пишите. Т.е. вы считаете, что репутация не уровень защиты? А не расскажите про "логику" её работы? Вы там наверное досканально знаете то, чего мало кто знает. Только без аля "файл неизвестен"=плохая репутация, чушь, это всего лишь один из критериев. 

Пользователь спасён? Спасён. Что ещё требуется? Вы говорите так, будто на 100% знаете что такое Ws.Rep.1. В чём я сильно сомневаюсь, ибо и я и любой не сможет доказать точное знание этого детекта, ибо он облачный и очень сложно уловить чётко его реакцию, ежу ясно, что система признаков (+независимые репутационные признаки) - не один признак и обойти это куда сложнее. Это как раз и доказал ваш семпл. SONAR смог обойти, репутацию нет, хотя и её можно, но это куда сложнее. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS_fan

 

Статья для "зелёных", он не уделяет внимания тонкостям. Там статья про офигенный эвристик, если не ошибаюсь. А ещё о том, что его надо к облаку припилить и это к в будущем. Если память не изменила. 

Чем отличается от статей для "желтых" - где тоже все на честном слове ? Статья 2012 года...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

 

 

Статья для "зелёных", он не уделяет внимания тонкостям. Там статья про офигенный эвристик, если не ошибаюсь. А ещё о том, что его надо к облаку припилить и это к в будущем. Если память не изменила. 

Чем отличается от статей для "желтых" - где тоже все на честном слове ? Статья 2012 года...

 

. "зелёный"=не опытный, не разбирающийся.  :lol: Кто о чём. Вы что сейчас хотите? Вы почему-то мне это сейчас написали, но я не понял почему. ЭМУЛЯТОР=ЭВРИСТИК, ВСЁ! Вас ещё что-то беспокоит? Сколько раз можно повторять. Ну не связен он с HIPSом, НИКАК! (ну, может межпрограммным интерфейсом, который в KIS есть, это вообще другая история). 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS_fan

 

 

 

Статья для "зелёных", он не уделяет внимания тонкостям. Там статья про офигенный эвристик, если не ошибаюсь. А ещё о том, что его надо к облаку припилить и это к в будущем. Если память не изменила. 

Чем отличается от статей для "желтых" - где тоже все на честном слове ? Статья 2012 года...

 

. "зелёный"=не опытный, не разбирающийся.  :lol: Кто о чём. Вы что сейчас хотите? Вы почему-то мне это сейчас написали, но я не понял почему. ЭМУЛЯТОР=ЭВРИСТИК, ВСЁ! Вас ещё что-то беспокоит? Сколько раз можно повторять. Ну не связен он с HIPSом, НИКАК! (ну, может межпрограммным интерфейсом, который в KIS есть, это вообще другая история). 

 

Я не говорил что эмулятор у HIPS. Имелось ввиду эмулятор файлового антивируса - через который проходят все файлы. Защита то комплексная.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Скриншоты будьте добры.

Буду добр:

(заскринил из ваших комментов в этой теме)

c1e9203d7a57.png

 

 

 

SONAR смог обойти, репутацию нет, хотя и её можно, но это куда сложнее.

Странные вещи пишете - обсуждаем одно, а юзеры Симантека все сводят к репутации. Мы вроде обсуждали встроенные в хипсы защиту от шифровальщиков, а тут - на тебе, репутация. Тогда сюда можно и сигнатурный детект приплести - это ведь тоже один из элементов защиты. Но мы конкретно вроде на протяжении трех страниц обсуждаем хипсы.

 

Мы же не комплексную защиту обсуждаем и не репутацию? Или когда прижмет обсуждаем что угодно лишь бы про Симантек хорошо было сказано?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

 

 

Я не говорил что эмулятор у HIPS. Имелось ввиду эмулятор файлового антивируса - через который проходят все файлы. Защита то комплексная.

 

Так, это понятно, само собой. McAfee вон вообще пытается только эмулятором и обходится, как и ESET, кстати. 

 

Скриншоты будьте добры.

Буду добр:(1)

(заскринил из ваших комментов в этой теме)

c1e9203d7a57.png

 

 

 

 

SONAR смог обойти, репутацию нет, хотя и её можно, но это куда сложнее.

Странные вещи пишете - обсуждаем одно, а юзеры Симантека все сводят к репутации. Мы вроде обсуждали встроенные в хипсы защиту от шифровальщиков(2), а тут - на тебе, репутация. Тогда сюда можно и сигнатурный детект приплести - это ведь тоже один из элементов защиты. Но мы конкретно вроде на протяжении трех страниц обсуждаем хипсы.

 

(1) Пффф, так это факты, увы, техническая проблема. А что поделать? У Symc их нет? Думаю, что самая напрашивающаяся - ложняки репутации. Довольны? Я просто описал то, что волнует меня и хотел по реакции убедится, что нет реальных причин не делать песок для SW. Я Касперского тоже использую. 

(2) Если с позиции SONAR, то тем более зачем скрины? Это и так понятно. HIPS работает по профилям, даже если он имеет логику для контроля действий, которые не свойственны опред. семействам зловредов - можно найти к нему подход и даже контекстные данные репутационные могут не помочь. Это и так мне известно. 

 

Кстати, а тест был на виртуалке? А можете провести на реальной машине? Если нет, то я попробую. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

(1) Пффф, так это факты, увы, техническая проблема. А что поделать?

А я и не говорил что вы лжете. Вы высказываете свое мнение и свою точку зрения. Так что это вполне укладывается в то, что я об этом написал: "рассказывать про то как что сделано у Симантека, а у остальных не очень".

 

(2) Если с позиции SONAR, то тем более зачем скрины?

Потому, что я не съезжаю с темы. Обсуждаем хипсы и их способность поведенчески детектировать шифровальщики (в песочнице, в эмуле, на реальной машине с откатом и т.д - как раз это и обсуждали), вот в тему я и дал скрин. После чего уже вы начали просто прекращать это обсуждение и вести речь о репутации снова и снова, скриншоты+скриншоты и снова.

 

Какое-то бесполезное обсуждение выходит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

 

(1) Пффф, так это факты, увы, техническая проблема. А что поделать?

А я и не говорил что вы лжете. Вы высказываете свое мнение и свою точку зрения. Так что это вполне укладывается в то, что я об этом написал: "рассказывать про то как что сделано у Симантека, а у остальных не очень". (1)

 

(2) Если с позиции SONAR, то тем более зачем скрины?

Потому, что я не съезжаю с темы. Обсуждаем хипсы и их способность поведенчески детектировать шифровальщики (в песочнице, в эмуле, на реальной машине с откатом и т.д - как раз это и обсуждали), вот в тему я и дал скрин. После чего уже вы начали просто прекращать это обсуждение и вести речь о репутации снова и снова, скриншоты+скриншоты и снова.

 

Какое-то бесполезное обсуждение выходит. (2)

 

(1) Не укладывается, потому что вообще не делался упор, что у Symc хорошо (я там ещё Aegis указывал, и AVC). Выходит, и у TrendMicro круто, и у BitDefender - вы не правы. 

(2) Для начала вы не полноценно поняли суть обсуждения, обсуждался механизм отката у Касперского ( не способность детектировать, а способность откатывать при обнаружении без повреждения данных) и отсутствие песочницы (плавно начали обсуждать разницу между эмулятором и песком, ведь обе технологии копируют ОС). Очень хотелось узнать, почему в ЛК не стали реализовывать песок. - Вот что обсуждалось. А кто-то опять подумал о чём-то своём и прочитал свою реакцию на посты, но не сами посты. 

Если вы хотите опровергнуть, что SONAR не хорошо спасает от повреждения данных, найдите зловред, который будет обнаружен SONAR-ом после шифровки данных. Правда и здесь я не говорю, что какой-то зловред-криптор не увидит песочницы SONAR, всё возможно. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Не укладывается, потому что вообще не делался упор, что у Symc хорошо

 

Окей, это ваша точка зрения изнутри вашей черепной коробки, свою я озвучил выше. Тут спорить сложно, т.к это вопросы восприятия, возможно, что мне это только кажется, что у вас слишком много упоминаний симантека практически в каждом сообщении в хорошем ракурсе, а других наоборот.

 

Для начала в не полноценно поняли суть обсуждения, обсуждался механизм отката у Касперского ( не способность детектировать, а способность откатывать при обнаружении без повреждения данных) и отсутствия песочницы (плавно начали обсуждать разницу между эмулятором и песком, ведь обе технологии копируют ОС). Очень хотелось узнать, почему в ЛК не стали реализовывать песок. - Вот что обсуждалось

Это я и написал другими словами. Хорошо, что вы поняли и сами это написали, что обсуждались откаты действий, песок/эмуль/хипсы, а не комплексная защита от зловредов в принципе и не репутация, так что мой скрин был как раз в тему, а дальнейшие сообщения про репутацию - нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Про репутацию многое зависит от настроек, на дефолте WS.Reputation.1 не всегда будет срабатывать, а при определённых ситуациях раз.

 

В данном случае неважно где тестить, результат будет одинаковым, что на виртуалке что на реальной системе, важно конечно тестить уже не на хрюше, а как минимум на 7-ке, ибо защита на этих двух системах может отличатся (Например в хрюше какие-то модули могут не работать)...

 

А так непонятно, почему считаете что на виртуалке тестить нельзя, что АВ использует какие-то там совсем-уж низкоуровневые механизмы, которые выходят за пределы винды и виртуалка их ломает, или что ?

 

По крайне мере, я сколько не тестил все системы работали, визуально точно, никаких ошибок в драйверах и т.д. не было ! ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

 

Не укладывается, потому что вообще не делался упор, что у Symc хорошо

 

Окей, это ваша точка зрения изнутри вашей черепной коробки, свою я озвучил выше. Тут спорить сложно, т.к это вопросы восприятия, возможно, что мне это только кажется, что у вас слишком много упоминаний симантека практически в каждом сообщении в хорошем ракурсе, а других наоборот.

 

Для начала в не полноценно поняли суть обсуждения, обсуждался механизм отката у Касперского ( не способность детектировать, а способность откатывать при обнаружении без повреждения данных) и отсутствия песочницы (плавно начали обсуждать разницу между эмулятором и песком, ведь обе технологии копируют ОС). Очень хотелось узнать, почему в ЛК не стали реализовывать песок. - Вот что обсуждалось

Это я и написал другими словами. Хорош, что вы поняли и сами это написали, что обсуждались откаты действий, песок/эмуль/хипсы, а не комплексная защита от зловредов в принципе и не репутация, так что мой скрин был как раз в тему, а дальнейшие сообщения про репутацию - нет.

 

Само собой, конечно. Просто мне показалось, что это начали обсуждать вы, вот я и напомнил, что как бы сработка есть. На то защита и комплексная. 

Мне банально интересно, ЛК имеет силы на перепись SW и создания в нём среды для анализа, но продолжает работать над технологией отката данных (которая предварительно пытается успеть записать в Temp задеваемые криптором данные, интересно как это можно сделать, когда HDD итак занят криптором, например)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Просто мне показалось, что это начали обсуждать вы

Окей, принято. Перечитайте тему и убедитесь, что вам показалось. Предлагаю к обсуждению репутации симантека тут не возвращаться. Сильно если охота - можно создать отдельную тему.

Про репутацию многое зависит от настроек, на дефолте WS.Reputation.1 не всегда будет срабатывать, а при определённых ситуациях раз.

См. мое предложение выше.

 

Мне банально интересно, ЛК имеет силы на перепись SW и создания в нём среды для анализа, но продолжает работать над технологией отката данных

Над совершенствованием детекта шифрования в эмуле они также работают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Про репутацию многое зависит от настроек, на дефолте WS.Reputation.1 не всегда будет срабатывать, а при определённых ситуациях раз. (1)

 

В данном случае неважно где тестить, результат будет одинаковым, что на виртуалке что на реальной системе, важно конечно тестить уже не на хрюше, а как минимум на 7-ке, ибо защита на этих двух системах может отличатся (Например в хрюше какие-то модули могут не работать)...

 

А так непонятно, почему считаете что на виртуалке тестить нельзя, что АВ использует какие-то там совсем-уж низкоуровневые механизмы, которые выходят за пределы винды и виртуалка их ломает, или что ? (2)

 

По крайне мере, я сколько не тестил все системы работали, визуально точно, никаких ошибок в драйверах и т.д. не было ! ;)

(1) Это вы про SEP - он имеет настройки. А Norton не имеет таковых.

(2) По разным данным известно, что если антивирус не имеет документированной поддержки виртуальной системы, могут быть косяки с самозащитой и проактивной защитой, в том числе HIPS-защитой (сам осознал это в 2011 году, увидел разницу). Знаю, что SEP имеет поддержку виртуалки VmWare, но Norton таковой не имеет. Вот для чистоты эксперимента и хочу, чтобы на реальной тачке проходил тест. 

 

 

Мне банально интересно, ЛК имеет силы на перепись SW и создания в нём среды для анализа, но продолжает работать над технологией отката данных

Над совершенствованием детекта шифрования в эмуле они также работают.

 

Само собой. Но тут мы опять упираемся в тему "есть ли преимущества у Sandbox HIPSа перед эмулятором. "

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Обсуждение WS.Reputation.1 выделил в отдельную тему. Просьба придерживаться темы "Защита от шифровальщиков"  :flood: 

 

http://www.anti-malware.ru/forum/index.php?showtopic=30120

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ничего нового ---------------------------------------------------------
       4.99.5
      ---------------------------------------------------------
       o Добавлен новый режим запуска для работы с неактивной системой без необходимости загрузки с флешки или диска.
         Начиная с Windows 8 доступна интеграция uVS в меню дополнительных параметров загрузки для
         запуска uVS из штатной среды восстановления Windows (WinRE) для работы с _неактивной_ системой.

         Интеграция осуществляется нажатием кнопки "Интегрировать uVS в меню дополнительных параметров загрузки".
         Загрузиться в меню можно с помощью кнопки "Перезагрузить систему в меню дополнительных параметров загрузки",
         после появления меню выберите:
         Поиск и устранение неисправностей/Диагностика/Troubleshoot(зависит от версии и региона Windows) --> uVS

         В отличии от dclone, uVS уже не получится разместить в образе WinRE, просто не хватит места на диске,
         поэтому запуск uVS происходит из каталога запуска процесса интеграции, т.е. при обновлении версии uVS
         не нужно повторно выполнять интеграцию, достаточно обновить uVS в каталоге из которого была произведена интеграция.
         В пути до uVS допустимо использовать кириллицу, даже если WinRE не имеет поддержки русского языка.
         При запуске из меню дополнительно производится инициализация сети в WinRE, т.е. будет доступна сеть
         для проверки файлов на VT, проверки сертификатов или для предоставления доступа удаленному пользователю к "рабочему столу".

       o Разовый доступ к рабочему столу доступен в WinRE/WinPЕ если в нем была инициализирована сеть,
         если образ сделан в uVS или загрузка была через интегрированный пункт в меню то сеть инициализируется при старте системы
         автоматически, однако поддержки uPNP в WinRE по умолчанию нет, поэтому для подключения к "рабочему столу" WinPE
         следует использовать обратное подключение к клиенту с белым адресом. (если подключение будет через интернет).
         (!) В WinRE/PE доступен только один режим захвата экрана - GDI, передача экрана нормально работает в WinRE/PE на базе
         (!) Win8/Win8.1/Win11, в Win11 и WinPE на его базе необходим включенный режим BLT, в противном случае консольные окна не отображаются.
         (!) Как минимум часть версий WinPE на базе Win10 дефектные (все x86), при работе с ним не отображаются консольные окна и есть проблемы
         (!) с отрисовкой окон и без удаленного доступа.
         (!) Аналогичная проблема наблюдается в WinRE для устаревших билдов Win10, для новых билдов Win10 проблемы нет.
         (!) В некоторых случаях окно uVS может оказаться за меню загрузки, в этом случае используйте Alt+Tab для переключения окон.

       o Добавлены новые модули:
         o файл rein/rein.x64 отвечает за запуск uVS из меню.
         o файл usvc.x64 отвечает за запуск uVS под LocalSystem.
         o встроенный ресурс getcpb отвечает за получение файлов из пользовательского буфера обмена при запуске под LocalSystem.

       o В окно лога подключения к удаленному рабочему столу добавлены кнопки для быстрого доступа к настройкам системы,
         запуску uVS и файлового менеджера.

       o Добавлена поддержка создания загрузочных образов дисков на базе WinPE+ADK v10.1.26100.2454 (декабрь 2024).
         (!) для создания 32-х битного WinPE или WinPE с поддержкой старого железа этот ADK не годится.
         (!) для создания 32-х битных образов используйте ADK для Windows 10 2004. (см. подробнее в FAQ.txt)

       o Улучшена функция создания загрузочных дисков.
         ISO стал мультизагрузочным с поддержкой UEFI, ISO теперь создается в UDF формате,
         т.е. загрузка с диска будет работать и на старом компьютере без UEFI и на новом с UEFI.
         Образ диска теперь занимает немного меньше места за счет дополнительно оптимизации содержимого UDF ISO.
         Добавлена проверка на разметку флешки, допустимая разметка MBR, GPT не поддерживается.
         (!) Загрузочная флешка всегда форматируется в FAT32, вся информация на флешке будет удалена,
         (!) флешки теперь мультизагрузочные.

       o Если недоступен режим захвата экрана DDA то серверная часть теперь автоматически устанавливает режим захвата GDI.

       o Теперь пока открыто окно удаленного рабочего стола удаленная система не будет засыпать.

       o Теперь окно лога передачи файла можно свернуть вместе с основным окном.

       o При ручном вводе одноразового кода доступа к удаленному рабочему столу тире теперь расставляются автоматически.

       o Исполняемый файл при выборе режима разового доступа к рабочему столу теперь
         всегда имеет фиксированное имя "uvsrdp".
         Т.е. теперь можно из одного каталога последовательно запустить удаленный рабочий стол и затем uVS в обычном режиме.

       o Оптимизирована вспомогательная функция копирования незащищенных файлов, теперь она работает немного быстрее
         системной функции CopyFile если копирование файла происходит на другой диск и значительно быстрее если
         при этом исходный файл хотя бы частично попал в файловый кэш.

       o Уменьшены требования к доступной памяти при запуске в системе без файла подкачки.
         Уменьшено максимально возможное число файлов в списке для x86 систем до 100000.

       o uVS теперь совместим со штатной средой восстановления Windows 8.

       o Перехват клавиатуры выделен в отдельный поток, что снизило инпут лаг нажатий клавиш и устранило проблему
         задержки ввода с клавиатуры на клиентской машине при передаче файлов по узкому каналу (менее 10Mbit).

       o Исправлена ошибка из-за которой не восстанавливался размер окна удаленного рабочего стола при повторном нажатии Alt+V.

       o Исправлена ошибка из-за которой был доступен просмотр экрана удаленного компьютера в режиме "только передача файлов"
         если был выбран режим захвата экрана GDI или DDA1.

       o Исправлена ошибка из-за которой в окне удаленного доступа при выборе настройки из списка передавались нажатия и движения мыши
         в удаленную систему.

       o Исправлена ошибка из-за которой назначение основного дисплея влияло на номер дисплея в DDA режиме, что приводило
         к неправильному расчету координат мыши на виртуальном дисплее удаленной системы.

       o Исправлена ошибка из-за которой не сохранялся каталог дополнительных файлов при создании загрузочной флешки.

       o Передаваемый по сети файл теперь блокируется не полностью на время передачи, а остается доступным для чтения.

       o Исправлена ошибка из-за которой не передавались на удаленный компьютер файлы с длинным путем (ошибка "путь не найден").

       o Исправлена ошибка из-за которой в редких случаях не восстанавливались права доступа и владелец ключей реестра после их модификации.

       
    • PR55.RP55
      Добавить в меню команды: Блокировать запуск файла по: [MinimumStackCommitInBytes] Снять блокировку [MinimumStackCommitInBytes] установленную uVS - [1077777777] Полностью снять блокировку [MinimumStackCommitInBytes] -  [?ХХХХХХХХ?] ---------- Пример: Блокировать запуск файла по: [MinimumStackCommitInBytes] IFEO\mediaget.exe: [MinimumStackCommitInBytes] 1077777777 IFEO\PowwerTool.exe: [MinimumStackCommitInBytes] 1077777777 -------- Команда: Проверить реестр и доступные копии реестра ( с возможностью указать копию ) на IFEO -  [MinimumStackCommitInBytes] Команда: Проверить реестр и доступные копии реестра ( а тут можно подумать, на что ещё можно проверить копию )
    • PR55.RP55
      В том году была статья : по поводу MinimumStackCommitInBytes https://www.trendmicro.com/en_in/research/23/e/attack-on-security-titans-earth-longzhi-returns-with-new-tricks.html Похоже и у нас начали активно это применять. https://forum.kasperskyclub.ru/topic/465310-slovil-majner-kogda-skachival-obhod-blokirovki-diskorda/ https://www.cyberforum.ru/viruses/thread3189071.html?ysclid=m4x30zzs6v421256067  
    • demkd
      И не должен работать, такое удалять разрешено только вручную.
    • PR55.RP55
      Ошибка получения XML описания задачи: \Microsoft\Windows\SoftwareProtectionPlatform\SvcRestartTask  [Error: 0x80041321 - Образ задачи поврежден или изменен. ] Соответственно на такие случаи команда: (Alt+Delete) не работает. https://vms.drweb.ru/virus/?i=27169926
×