uVS - Тестирование

[demkd 617]

В 23.01.2025 at 4:23 AM, PR55.RP55 сказал:

Если причина действительно в Групповых политиках.

причина сбоев в том что пользователь включает опасные флаги при запуске, в частности заморозку потоков или выгрузку DLL.

В 23.01.2025 at 11:29 AM, santy сказал:

Так как записи с указанием исключений для Defender имеют определенный статус,  то имеет смысл исключить их автоматическое попадание по признаку "файл не найден" при формировании автоскрипта. 

да

В 23.01.2025 at 9:02 PM, PR55.RP55 сказал:

Есть образ втозапуска созданный в\на англицкой версии uVS

Работать с образом нужно в той локализации, с которой был сделан образ, иначе будут проблемы.

[demkd 617]

---------------------------------------------------------
 4.99.7
---------------------------------------------------------
 o В окно истории процессов добавлен новый фильтр.
   Активировать его можно в контекстном меню процесса с помощью пункта "Отобразить цепочку запуска процесса".
   В результате в списке останется лишь текущий процесс и все его предки вплоть до SYSTEM.
   Фильтр имеет средний приоритет, т.е. фильтр на родительский процесс имеет высший приоритет, затем идет
   этот фильтр, затем фильтр по строке происка. Отмена фильтров по ESC происходит в обратном порядке
   в соответствии с их приоритетом.
   (!) В истории процессов 64-х битных систем рекомендуется обращать внимание на запуск 32-х битного cmd.exe
   (!) часто это является признаком зловредной активности.

 o В лог добавлено предупреждение при обнаружении отладчика/блокировки запуска/монитора завершения приложения.
   В лог выводится исходное значение параметров Debugger и MonitorProcess.
   Таким образом сразу будет видно если известные файлы были использованы для блокировки запуска процессов
   или неявного запуска несистемных процессов.

 o Твики #35 обновлен, теперь он называется: "Очистить ключи IFEO и SilentProcessExit".
   Теперь в лог выводятся все удаленные параметры или имя ключа с ошибкой удаления параметра.

 o Изменено название статуса "Исключение" на "Defender_Исключение".

 o Изменен префикс названия объекта "WD_Exclusion:" на "WDE:".

 o Исключения дефендера теперь могут быть удалены лишь в ручном режиме.

 o Исправлена ошибка в парсере json.

 o Исправлена ошибка "...не найден в списке" при удалении некоторых исключений Defender-а скриптовой командой.
 

[santy 153]

Есть цепочка запуска:

54 минут назад, demkd сказал:

o В окно истории процессов добавлен новый фильтр.
   Активировать его можно в контекстном меню процесса с помощью пункта "Отобразить цепочку запуска процесса".
   В результате в списке останется лишь текущий процесс и все его предки вплоть до SYSTEM.

Есть цепочка запуска по образу, полученному с отслеживанием версией 4.99.6

https://imgur.com/xSA79Bm

 

 

[demkd 617]

Еще одна ошибка нашлась.

---------------------------------------------------------
 4.99.8
---------------------------------------------------------
 o Обновлена функция сброса пароля, теперь поддерживается новый формат учетных записей,
   для которых ранее функция сброса пароля была недоступна.
   (!) Перед сбросом пароля рекомендуется выполнить бэкап SAM.

 o В меню "Запустить" добавлены пункты:
   o Просмотр событий
   o Панель управления
   o Сетевые подключения
   o Диспетчер устройств
   o Настройки Брандмауэра
   o Управление компьютером

 o Исправлена ошибка в парсере json ответа сервиса VT.

 

[PR55.RP55 82]

13 минут назад, demkd сказал:

o В меню "Запустить" добавлены пункты:

1) В Windows 7  Выбрал: Запустить под текущим пользователем -  и меню было неактивно.

Потом запустил под: LocalSystem  и меню и там  и тут появилось...

2) Ещё на прошлой версии заметил, что при работе на встроенной графике - периодически на секунду - другую при запуске появляется каркас программы - графическая оболочка без надписей.

3) При первых запусках программа на 3-4 секунды запускается медленнее чем раньше.

4) " (!) Перед сбросом пароля рекомендуется выполнить бэкап SAM. "

Я бы в ряде случаев сделал автоматический бэкап ( с уведомлением ) - ( что проектируется многими программами )

[PR55.RP55 82]

+

То активно - то нет меню запустить под: LocalSystem  ( см. фото )

https://disk.yandex.ru/i/jtIHur2jBYHtew

+

Сразу после запуска под LocalSystem была ошибка и система не загрузилась. ( после перезагрузки ) - ( "не увидела откуда ей загружаться\диск" )

+ ( это графика на прошлой версии )

https://disk.yandex.ru/i/MwgiOFyZrFCJeA

[PR55.RP55 82]

+

Если сразу выбрать Загрузить образ - то всё нормально загружается.

А вот если войти в меню из: Файл > Открыть образ... то, там тоже что-то с графикой. ( на пару секунд подвисание )

И кроме того: Получается, что у нас две команды для одного и того же: Загрузить образ < > Открыть образ

 

[PR55.RP55 82]

+

Полное имя                  C:\USERS\USER\DESKTOP\АРХИВ\UVS 4.1.1 ДРОВА\AFNCWS !\\-1\0000
Имя файла                   0000
Статус                      сервис в автозапуске
Инф. о файле                Синтаксическая ошибка в имени файла, имени папки или метке тома.
Цифр. подпись               проверка не производилась
                            
                            
Ссылки на объект            
Ссылка                      HKLM\SYSTEM\ControlSet001\Services\ovmyvvoe\ImagePath
ImagePath                   C:\Users\User\Desktop\Архив\uVS 4.1.1 Дрова\afncws !\\-1\0000
DisplayName                 ovmyvvoe
ovmyvvoe                    тип запуска: Вручную (3)
Изменен                     26.01.2025 в 19:36:49
                           

https://disk.yandex.ru/i/kLMY23lQszHUXw

 

[demkd 617]

3 часа назад, PR55.RP55 сказал:

То активно - то нет меню запустить под: LocalSystem  ( см. фото )

запуск под LS в системах новее XP невозможен если заблокирован менеджер служб, а то что он заблокирован проверяется однократно при запуске start.exe, так что если что-то в фоне постоянно блокирует менеджера то так и будет, но это не нормальная ситуация, надо искать виновника.
 

3 часа назад, PR55.RP55 сказал:

разу после запуска под LocalSystem была ошибка и система не загрузилась. ( после перезагрузки ) - ( "не увидела откуда ей загружаться\диск" )

А это что угодно от полуживого железа, до неправильных действий с системой.
 

1 час назад, PR55.RP55 сказал:

C:\USERS\USER\DESKTOP\АРХИВ\UVS 4.1.1 ДРОВА\AFNCWS !\\-1\0000

это последствия запуска под LS, что под ним запустить нужно установить службу, после запуска служба удаляется если опять же не заблокирован менеджер служб, а если заблокирован в этот момент то оно так и будет висеть пока ручками не удалишь.
 

3 часа назад, PR55.RP55 сказал:

вот если войти в меню из: Файл > Открыть образ... то, там тоже что-то с графикой. ( на пару секунд подвисание ) 

пора делать апгрейд.
 

3 часа назад, PR55.RP55 сказал:

И кроме того: Получается, что у нас две команды для одного и того же: Загрузить образ < > Открыть образ 

Раз их две, то кто-то сильно хотел этого и это был не я

[PR55.RP55 82]

Причина в антивирусе __ на новых версиях uVS__  видимо не проходит команда: Removing service...

( но у меня древняя версия антивируса - возможно с новыми  антивирусными программами такого и не будет )

Запуск под LocalSystem

Проверил на версии: uvs_v4.15.1

Там всё прекрасно работает - при многократном запуске и перезагрузке...

На актуальной же версии и после многократной перезагрузки - сколько раз запускалась программа столько и будет висеть служб. ( при активном антивирусе )
---
Заметил разницу при появлении окна командной строки.
В новой версии три строки.
Installing service...   Ok
Starting service...     Ok
Removing service...
В Removing service... не появляется Ok

В старой две первых строки
Третий строки нет. Но "отключенных" служб после перезагрузки нет.
+

Ещё проверил на старой версии Live Win 10 - HBCD_PE_x64 ( сборка 2018 года )

Выбрать каталог Windows ( выбрана активная система ) и создать образ автозауска.

Образ создается, но весит в архиве 4kb...

Проверил на версии: uvs_v4.15.1 образ нормально создан...
-------
[Ошибка] со службами как минимум начиная с uvs_v 4.99.6
-------

[demkd 617]

11 часов назад, PR55.RP55 сказал:

В Removing service... не появляется Ok

Ошибки нет, но добавлю дополнительное время ожидания, по идее на очень древних компах времени может и не хватить.
 

11 часов назад, PR55.RP55 сказал:

Ещё проверил на старой версии Live Win 10 - HBCD_PE_x64 ( сборка 2018 года )

В левых сборках может быть что угодно, может просто не хватать места на ram-диске, пользоваться надо тем что создает сам uVS, а не вот этим вот, да и с появлением интеграции стоит использовать именно ее, а не загрузку с диска.
Да, действительно есть глюк, образ неактивной системы сохранялся неправильно.

[PR55.RP55 82]

6 часов назад, demkd сказал:

Ошибки нет, но добавлю дополнительное время ожидания, по идее на очень древних компах времени может и не хватить.

 

16 часов назад, PR55.RP55 сказал:

Причина в антивирусе __ на новых версиях uVS__  видимо не проходит команда: Removing service...

( но у меня древняя версия антивируса - возможно с новыми  антивирусными программами такого и не будет )

т.е. Я проверял - если отключить защиту в режиме реального времени в антивирусе - то проблем с завершением служб нет.   ( а на "старых" версиях uVS и без отключения антивируса всё прекрасно работает )

А железо: Intel(R) Core(TM) i5-2500 CPU @ 3.30GHz, 3701 МГц, ядер: 4х4 ( встроенная графика )

Оперативная Память: DDR3- 8Гб -1600МГц

Системный диск: SSD - Samsung 850  - 120Гб

По поводу "тормозов" uVS - здесь... подразумевается сравнение в работе  со старыми версиями.

+ Как я и сказал в новой версии периодически окно программы на пару секунд превращается в рентгеновский снимок.

----------

+ В меню - при работе с образами есть возможность: Извлечь хост из образа и сохранить его в файл.

А почему собственно только при работе с образом - а так раз... и файл сохранили ( например скопировать в карантин )

 

[demkd 617]

14 часов назад, PR55.RP55 сказал:

т.е. Я проверял - если отключить защиту в режиме реального времени в антивирусе - то проблем с завершением служб нет.   ( а на "старых" версиях uVS и без отключения антивируса всё прекрасно работает )

Значит антивирус не ровно дышит к новым версиям или просто жрет ресурсы по поводу и без, что типично для антивирусов.

14 часов назад, PR55.RP55 сказал:

+ Как я и сказал в новой версии периодически окно программы на пару секунд превращается в рентгеновский снимок.

я такого не наблюдаю даже на очень старом тестовом 2-х ядерном процессоре, даже на нем 4.99.x значительно быстрее старых версий

14 часов назад, PR55.RP55 сказал:

А почему собственно только при работе с образом - а так раз... и файл сохранили ( например скопировать в карантин )

Может и имеет смысл, хотя лично мне ни разу это не понадобилось, там нет ничего достойного сохранения.

[demkd 617]

В последний месяц некогда было заниматься uVS, поэтому лишь небольшое исправление.

---------------------------------------------------------
  4.99.9
---------------------------------------------------------
 o Исправлена ошибка в функции сохранения образа неактивной системы.

 o Исправлена критическая ошибка в функции разбора расширений Chrome-based браузеров.

 

[santy 153]

в 4.99.8 чаще всего возникали проблемы с обработкой расширений  Chrome-based браузеров,

Ошибка компиляции json

+

почему то не удаляются некоторые типы задач:

вот пример:

Цитата

C:\WINDOWS\SYSTEM32\TASKS\cOYEjVaQRadMnjq2 [Error: 0x2 - Не удается найти указанный файл. ]
C:\WINDOWS\SYSTEM32\TASKS\BAuCnRsHDxHTv2 [Error: 0x2 - Не удается найти указанный файл. ]
C:\WINDOWS\SYSTEM32\TASKS\CNAUFsegUUhgaN [Error: 0x2 - Не удается найти указанный файл. ]
C:\WINDOWS\SYSTEM32\TASKS\wJQxgqfjXvzCP2 [Error: 0x2 - Не удается найти указанный файл. ]
C:\WINDOWS\SYSTEM32\TASKS\ZylrDynBRmUMSW [Error: 0x2 - Не удается найти указанный файл. ]
C:\WINDOWS\SYSTEM32\TASKS\siMMZcdEwyYfX2 [Error: 0x2 - Не удается найти указанный файл. ]
C:\WINDOWS\SYSTEM32\TASKS\anTaNyaIcbVwpyeHRXI2 [Error: 0x2 - Не удается найти указанный файл. ]
C:\WINDOWS\SYSTEM32\TASKS\xTHjutjaVkxkjg [Error: 0x2 - Не удается найти указанный файл. ]
C:\WINDOWS\SYSTEM32\TASKS\bxlPrIWVwBVEnWF2 [Error: 0x2 - Не удается найти указанный файл. ]
C:\WINDOWS\SYSTEM32\TASKS\wQdrKmlFYQatPnAGC2 [Error: 0x2 - Не удается найти указанный файл. ]
C:\WINDOWS\SYSTEM32\TASKS\qBKRmjEdrKPZdVlnV2 [Error: 0x2 - Не удается найти указанный файл. ]
C:\WINDOWS\SYSTEM32\TASKS\HyQoUlZtCGKsyLyNcYk2 [Error: 0x2 - Не удается найти указанный файл. ]
C:\WINDOWS\SYSTEM32\TASKS\engage-difference [Error: 0x2 - Не удается найти указанный файл. ]
C:\WINDOWS\SYSTEM32\TASKS\qBnxSJGSgPeGiILvp2 [Error: 0x2 - Не удается найти указанный файл. ]
C:\WINDOWS\SYSTEM32\TASKS\hRMOPxTkaFhjpVF2 [Error: 0x2 - Не удается найти указанный файл. ]
C:\WINDOWS\SYSTEM32\TASKS\tig-helper-S-1-5-21-2587547077-1502163477-1852889106-1001 [Error: 0x2 - Не удается найти указанный файл. ]
C:\WINDOWS\SYSTEM32\TASKS\JguAUYTGXGYaxQAXfHO2 [Error: 0x2 - Не удается найти указанный файл. ]
C:\WINDOWS\SYSTEM32\TASKS\MfkIOpRPbFiGq2 [Error: 0x2 - Не удается найти указанный файл. ]

 

[demkd 617]

8 часов назад, santy сказал:

Ошибка компиляции json

+

тут только присылать мне файлы указанные в логе, буду разбираться что там не так.

8 часов назад, santy сказал:

почему то не удаляются некоторые типы задач:

они именно не удаляются или это сообщения в логе при построении списка?

[demkd 617]

---------------------------------------------------------
 4.99.10
---------------------------------------------------------
 o При активации небезопасных параметров запуска добавлено предупреждение с перечислением этих параметров.

 o Параметры запуска "Заморозить потоки внедренные в uVS" и "Выгружать DLL" объединены в один параметр
   "Выгружать DLL и уничтожать потоки внедренные в uVS".

 o Исправлена ошибка в функции выгрузки DLL из uVS.

 o Исправлена ошибка разбора параметров для исполняемых файлов с именем содержащим 2 точки.
   (например file.txt.exe)

 o Исправлена ошибка в функции удалении задачи по имени отсутствующего XML-файла задачи.

 o Исправлена ошибка в парсере json.
   Теперь в лог выводится участок json вызвавший ошибку разбора.
 

[Dragokas 2]

Приветствую!

Можно реализовать поиск (или фильтр) среди найденных объектов (вот как Ctrl + F в текстовых редакторах), или такое уже есть?

Например, выбираешь категорию "Все файлы", и тебя интересует увидеть все строки, в средине которых есть определённое слово.

[PR55.RP55 82]

Dragokas

По работе с программой: https://forum.esetnod32.ru/forum8/topic15785/

В программе есть возможность поиска.
Вместо категории: Подозрительные и вирусы выберите категорию.
Выберите поиск по имени, или пути файла.
Для нормальной работы курсор должен быть на одной из строк. ( Имя ; Каталог ; Статус ; Производитель )

Так:

[demkd 617]

---------------------------------------------------------
 4.99.11
---------------------------------------------------------
 o Добавлена защита начального уровня от загрузки неизвестных DLL в адресное пространство uVS.
   Защита эффективна против большинства способов внедрения DLL,
   в т.ч. и с использованием глобальных хуков и ключей реестра.
   (кроме способов внедрения включающих в себя использование специального драйвера)
   Защита включается автоматически при активации опции "Выгружать DLL и уничтожать потоки внедренные в uVS".
   В лог выводится список таких DLL и количество попыток внедрения.
   Защита существенно повышает стабильность uVS и совместимость с различным софтом внедряющим свои DLL во
   все доступные процессы. (например: продукты Comodo, punto switcher (при отключенном UAC) и т.д.).
   (!) Функция доступна начиная с Windows Vista.

 o Обновлены базы известных файлов для корректной работы функции защиты от загрузки неизвестных DLL.

 o Улучшена функция антисплайсинга, теперь эта функция активируется на раннем этапе загрузки uVS.
   Расширен список контролируемых функций.
   (!) ЕСЛИ активна опция "Выгружать DLL и уничтожать потоки внедренные в uVS" то антисплайсинг
   (!) активируется автоматически.

 o Добавлено предупреждение в лог если параметр MinimumStackCommitInBytes в ветке реестра IFEO превышает 16Mb.
   Твик #35 теперь удаляет такие значения.

 o Добавлено предупреждение в лог если параметр CfgOptions в ветке реестра IFEO превышает допустимое значение.
   Твик #35 теперь удаляет такие значения.

 o Добавлено предупреждение в лог если значение параметра MitigationOptions в ветке реестра IFEO МОЖЕТ вызвать
   блокировку запуска приложения. (ошибка при запуске STATUS_DLL_INIT_FAILED [0xC0000142])
   Твик #35 НЕ удаляет такие значения, поскольку это значение используется некоторыми программами для запуска
   специализированных процессов.

 o Добавлена обработка параметров UseFilter и FilterFullPath в IFEO.

 o Добавлена функция проверки ключа реестра планировщика задач, которая выполняется в отдельном потоке
   при обновлении списка, в результате в лог выводится путь в реестре до скрытых и поврежденных задач с их именами.
   Поврежденной задачей считается задача препятствующая нормальной работе интерфейса планировщика задач.
   (ошибки при открытии планировщика: "Внутренняя ошибка" и "Выбранная задача "имя_задачи" больше не существует")

 o Добавлен твик #35 Удаление поврежденных задач.
   Твик не удаляет скрытые задачи, если они не являются "поврежденными".

 o В случае аварийного завершения uVS лог автоматически сохраняется в текстовый файл с именем "crash.log".
   report_crush теперь отправляет этот файл вместе с дампом.
 

[santy 153]

19 часов назад, demkd сказал:

o Добавлено предупреждение в лог если параметр MinimumStackCommitInBytes в ветке реестра IFEO превышает 16Mb.
   Твик #35 теперь удаляет такие значения.

Все получилось.

Неудаляемые из нормального режима записи с блокировкой запуска антивируса получилось удалить твиком 35 после интеграции uVS в меню дополнительных параметров загрузки.

(Обошлось без загрузочного диска.)

[PR55.RP55 82]

Посмотрел тему:

https://forum.kasperskyclub.ru/topic/466078-privetstvuju-slovil-majner-po-nazvaniem-toolbtcmine2782/

Возможно имеет смысл  - выполнение  Твика #35  с виртуализацией реестра ?

т.е. именно отдельный твик с виртуализацией? ( для обхода защит\ы )

-------

А как средствами uVS  удалить запись типа:

Запись из Лога:

Обнаружена поврежденная задача: : Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\1EOSv3 Scheduler onLogOn

Собственно это единственная запись\информация. Другой информации в uVS нет.

т.е.  если нет записей = иной информации, то и применить к ней команды из интерфейса невозможно.

т.е. нужно или отдельно задействовать cmd и\или открывать  taskschd

как-то это...

 

[demkd 617]

В 30.03.2025 at 1:49 AM, PR55.RP55 сказал:

Возможно имеет смысл  - выполнение  Твика #35  с виртуализацией реестра ?

С виртуализацией можно удалять все, защиты от нее практически нет.

В 30.03.2025 at 1:49 AM, PR55.RP55 сказал:

А как средствами uVS  удалить запись типа:

Запись из Лога:

Обнаружена поврежденная задача: : Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\1EOSv3 Scheduler onLogOn 

Выполнить 45-й твик.

---------------------------------------------------------
 4.99.12
---------------------------------------------------------
o При удалении исключений Defender-а теперь не_используется powershell из-за неадекватного
   поведения антивируса Kaspersky Free. Теперь удаление производится через сам Defender без
   посредников.
   (!) Если Defender отключен ИЛИ неисправен ИЛИ у вас установлен и АКТИВЕН другой антивирус
   (!) то удаление исключений возможно лишь при использовании виртуализации реестра
   (!) ИЛИ при приостановке защиты этого антивируса.
   (!) Я рекомендую отключать антивирус перед запуском, он все равно бесполезен
   (!) и лишь существенно замедляет и усложняет процесс лечения.

 o Теперь в лог выводится информация о зарегистрированных в системе антивирусах/фаерволах и их состоянии.
   (Доступно для Windows Vista+)

 o Улучшена функция поиска неизвестных DLL в адресном пространстве uVS, теперь она более устойчива
   к мерам противодействия поиску.

 o Удалено ошибочное сообщение в логе для Windows Vista о блокировке kernelbase.dll,
   которой в этой системе нет.

 o Антисплайсинг: расширен список контролируемых функций.