uVS - Тестирование

[PR55.RP55 82]

По всей видимости uVS не всегда может получить доступ к: Hosts

Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts "

Вроде сейчас uVS  соответствующих записей не создаёт?

[akoK 75]

А куда все разбежались? Зашел, а тут все спамом затянуто.

[Vvvyg 12]

Ну, хоть что-то полезное на форуме появилось ) Почистил.

[SQx 4]

Здравствуйте,

Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого:

C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet

Хотел бы уточнить у Вас,  если можете добавить его в uVS.

P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

Спасибо.

[santy 151]

Приветствую, SQx

Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?

[demkd 603]

В 24.07.2022 at 4:29 AM, SQx сказал:

Хотел бы уточнить у Вас,  если можете добавить его в uVS.

Добавлю в след. версии.
Последнее время был занят созданием фаервола, он практически готов и проходит тестирование, так что скоро можно будет вернуться к uVS.

[demkd 603]

Фаервол полностью закончен и протестирован, выложил бесплатную версию, наконец-то удалил этот смешную поделку от Comodo, постоянно насиловавшую мой процессор, реестр и мозг, далее буду исправлять накопившиеся баги в uVS.
 o Исправлены критические ошибки в утилитах:
   o uvs_snd.exe (отправка образов для анализа)
   o cmpimg.exe (сравнение образов)
Утилиты уже доступны в обновлении uVS и на сайте.

[demkd 603]

По поводу задач из Tasks_Migrated, задачи оттуда не стартуют, поэтому нет смысла его добавлять.
Личные кабинеты на сайте теперь снова работают.

---------------------------------------------------------
 4.12.1
---------------------------------------------------------
 o Улучшена функция парсинга командной строки.

 o Исправлена ошибка в парсере файла hosts, ошибка позволяла некоторым зловредам скрывать записи в hosts.

 

[demkd 603]

---------------------------------------------------------
 4.12.2
---------------------------------------------------------
 o Теперь автоматически восстанавливаются пользовательские каталоги, необходимые для загрузки пользователя при их отсутствии.

 o Теперь программы использующие ключи для автозапуска в безопасном режиме получают статус "подозрительный".

 o В случае если парсинг кэша задачи не удался то в информации о такой задаче добавляется поле #BINOBJ#,
   содержащее в себе параметр Actions в шестнадцатеричном формате.
                                                  

[demkd 603]

---------------------------------------------------------
 4.12.3
---------------------------------------------------------
 o Добавлено несколько новых ключей автозапуска.

 o Добавлен новый флаг запуска "Проверять весь HKCR".
   Не всегда требуется загружать и проверять все CLSID (по умолчанию флаг установлен).
   Снятие флага значительно ускорит скорость построения образа автозапуска за счет существенного сокращения файлов в списке.
   Если флаг установлен:
    o Твик #37 не исправит все проблемные пути в реестре
    o Функция удаления ссылок на отсутствующие файлы не затронет незагруженную часть HKCR.

 o Улучшена функция парсинга командной строки.

 o Исправлена функция восстановления реестра для неактивной системы.
   Добавлено удаление старых логов реестра, они могли препятствовать загрузке хайвов после оффлайн восстановления реестра.
   Обновлен ABR до версии 1.10, в него внесены аналогичные с uVS изменения.
    o Автозагрузка службы ABR теперь работает в отложенном режиме для устранение возможного сбоя загрузки пользовательского хайва реестра.
    o Добавлен модуль defrag для дефрагментации и устранения ошибок в сохраненной копии реестра.

 o В окно информации о задаче добавлены даты создания и последнего запуска.

 o Теперь в лог добавляется предупреждение о слишком длинных строках в реестре (более 2к символов).

 o Исправлена ошибка в функции внесения данных из reg-файла в реестр неактивной системы.

 o Добавлена поддержка кэша задач версий 1(Win8 и 8.1) и 2(некоторые серверные версии). (ранее поддерживалась только 3-я версия Win10/Win11).

 o Исправлена ошибка которая могла привести к переполнению буфера.

 

[PR55.RP55 82]

Настройка vtCacheDays=

не работает. ( залез, а в папке сотни файлов  ) пробовал менять настройки\даты - не работает.

 

[demkd 603]

22 часов назад, PR55.RP55 сказал:

Настройка vtCacheDays=

проверил, работает, но стоит помнить что кэш используется только при массовой проверке и только для файлов не получивших статус проверенного ранее.
для проверки отдельного файла кэш не используется по очевидным причинам.

[alamor 69]

В 24 ноября 2022 г. at 6:56 PM, PR55.RP55 сказал:

Настройка vtCacheDays=

не работает. ( залез, а в папке сотни файлов  ) пробовал менять настройки\даты - не работает.

 

так в папке они накапливаются, но автоматически uVS не чистятся. Так что может, там просто старые лежат.
 

[demkd 603]

Исправил модуль usvc, не работало подключение к удаленным системам, после последнего обновления.

[demkd 603]

---------------------------------------------------------
 4.13
---------------------------------------------------------
 o Добавлена поддержка Windows 10 2004 ADK для создания загрузочных дисков.
   (!) Это последний пакет Windows PE x86, все что старше это x64, в котором запуск 32-х битных приложений невозможен.
   Для создания дисков требуются установить следующие пакеты:
   o Три компонента из Windows ADK для Windows 10 версии 2004
     o средства развертывания
     o средства миграции (USMT)
     o набор средств оценки производительности Windows
   o Windows надстройка PE для ADK версии 2004
   (Скачать оба пакета можно в окне создания загрузочной флешки/ISO)
   (!)Если не удается установить Windows ADK с ошибкой "Could not acquire privileges; GLE=0x514"
      то следует запустить adksetup из под системной учетки, что можно сделать с помощью uVS, запущенного под LocalSystem.

 o Исправлена ошибка, которая в очень редких случаях приводит к переполнению буфера при чтении строк из реестра.

 

[PR55.RP55 82]

В uVS  есть строка\меню: www.runscanner.net ( найти в браузере отчёт по имени файла )

Сайта похоже нет. Строку можно удалить :)

[PR55.RP55 82]

uVS v4.12.3 [http://dsrt.dyndns.org:8888]: Windows 10 Home Single Language  [Windows 11] 2009 x64 (NT v11.0 SP0) build 22000  [C:\WINDOWS]

(!) Не удалось активировать 64-х битный модуль

-----------

Образ: https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=126155&action=download

[PR55.RP55 82]

В общем судя по всему активации 64-х бит. модуля мешал Windows Defender

По хорошему нужно логи\журналы защитника в образ автозапуска сохранять.

Тогда и по uVS меньше вопросов будет и "историю" заражений посмотреть.

Возможно чтобы антивирусы так не реагировали что-то придумать.

[PR55.RP55 82]

Как оказалось всё гораздо хуже...

Есть 64-х битная система > активации 64-х бит. модуля не проходит ( действия антивируса\защитника )

значит работает 32-х битный модуль... на 64-х битной системе.

 

 

[PR55.RP55 82]

uVS v4.13 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

(!) Невозможно открыть процесс: start.exe [2960]

Полное имя                  START.EXE
Имя файла                   START.EXE
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
 ---------------------                        

Самый обычный запуск и чистая система.

Открыл посмотрел образ > Запустил uVS в обычном режиме и вот результат...

 

[demkd 603]

---------------------------------------------------------
 4.14
---------------------------------------------------------
 o Исправлена критическая ошибка при разборе параметров в файлах задач.
   Из-за ошибки uVS мог аварийно завершится без создания дампа.

 o Каталог по умолчанию теперь каталог Windows.
   (Для окон выбора каталога).

[demkd 603]

---------------------------------------------------------
 4.14.1
---------------------------------------------------------
 o Добавлена возможность работать с файлами на разделах без присвоенной буквы диска.
   Например: \DEVICE\HARDDISKVOLUME1\EFI\MICROSOFT\BOOT\RECOVERY.EXE
   Файлы с аналогичным путем автоматически попадают в раздел подозрительных файлов.
   Доступна вся информация о таких файлах в списке автозапуска, кроме иконки.
   Доступны все операции с файлом.
   (Возможно функция не будет работать на устаревших версиях Windows)

[Аркалык 19]

Первый эксперимент: Программа C:\Program_1.exe запускает файл inject_x64.exe с EFI-раздела. Файл успешно инжектится в процесс winlogon.exe, но в логах нету следов о файле inject_x64.exe с EFI-раздела. Есть только запись о том:

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\WINLOGON.EXE [596], tid=5300

Образ автозапуска uVS прикрепил.  

PS: Не обращайте внимание на файлы с рабочего стола. Эти файлы для предварительной подготовки, они оттуда автоматический не запускаются.

DESKTOP-PVCT6QA_2023-06-21_09-10-40_v4.14.1.rar

[Аркалык 19]

Второй эксперимент: Образ автозапуска uVS со включенным твиком 39. Файл из раздела EFI попал в образ автозапуска и доступны функций удаления файла. В файле cmd.exe есть подробная информация как запускается файл:

C:\Windows\system32\cmd.exe /c %WINDIR%\System32\cmd.exe /C M:\EFI\Microsoft\Boot\inject_x64.exe 596

Есть запись о внедрении потока:

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\WINLOGON.EXE [596], tid=5272

---------------------------------------------

Попробовал удалить файл:

======= Начало исполнения скрипта =======
--------------------------------------------------------
v400c
--------------------------------------------------------
--------------------------------------------------------
OFFSGNSAVE
--------------------------------------------------------
--------------------------------------------------------
del \DEVICE\HARDDISKVOLUME1\EFI\MICROSOFT\BOOT\INJECT_X64.EXE
--------------------------------------------------------
--------------------------------------------------------
apply
--------------------------------------------------------
--------------------------------------------------------
Применение изменений...
--------------------------------------------------------
Удаление файлов...
--------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 0 из 0
Удалено файлов: 1 из 1
--------------------------------------------------------
--------------------------------------------------------
restart
--------------------------------------------------------

Файл успешно удален. Работает!

EXAMPLE_2_2023-06-21_09-10-40_v4.14.1.rar

[PR55.RP55 82]

\DEVICE\HARDDISKVOLUME1\EFI\MICROSOFT\BOOT\

------

Там не так много файлов. Можно в качестве превентивной меры добавлять в список все файлы раздела.

даже если по какой то причине uVS не увидит как запускается файл - файл всё равно будет в списке.

А если Оператор захочет понять что и как - то... твик 39 и т.д.