Check Browsers' LNK by Dragokas & regist

Check Browsers' LNK by Dragokas & regist 2.2.0.42

2.2.0.23
Изменён способ построения дерева папок при поиске ярлыков (более требователен к ЦП, менее - к ЖД).
Улучшена функция чтения файлов.
Улучшено получение переменных окружения.
Изменены некоторые правила анализа.
Исправлены некоторые ошибки.
  • Like
Реакции: E100 и Guest
2.2.0.16
Улучшен движок поиска файлов (менее конфликтный к защитному ПО).
Добавлен резервный движок регулярных выражений.
Отменена замена служебных символов лога на \xDD
Ужесточение правил к обфусцированным батникам.
Пополнены белые списки скриптов и браузеров.
Исправлены случаи креша при освобождении ресурсов.
Улучшено определение версии ОС.
Улучшено распознавание кодировки URL-адресов.
Исправлена работа ключа /allDrives
Добавлены ASLR, DEP
Исправлены ошибки с "Цель не найдена" в системных папках на Windows Server x64.
  • Like
Реакции: E100, Sandor и Guest
2.2.0.13
Пополнены базы браузеров.
Служебные символы в логе будут заменяться на \xDD
  • Like
Реакции: E100, Guest и Кирилл
2.2.0.12
Пополнены базы браузеров.
Некоторые правки в правилах анализа.

2.2.0.11
Исправлена ошибка с определением кодировки URL-адресов.

2.2.0.10
/Favorites/.../Интернет.lnk добавлен в чёрный список.
Расширено сканирование .appref-ms до папки всех профилей пользователей.
Исправлена ошибка с перекодировкой цели .appref-ms.
Исправлено несколько ошибок в правилах анализа.
Исправлена ошибка, когда по завершению проверки не открывалась папка с логом на некоторых ОС.
  • Like
Реакции: E100
2.2.0.9
Устранён баг с порчей данных юникодных путей при проверке массива.
Устранён баг, когда не работал MFT-поиск на системах без MS Office.
Устранён баг, приводивший к падению программы, при проверке уровня целостности.
Устранён баг, связанный с определением кодировки файла.
Информация об ОС: для Windows 10 добавлен вывод ReleaseId.
  • Like
Реакции: E100
2.2.0.8 - SHA256: 3d880299bdc1cadf63ad10ad9d4dad8c4111421aa6a467e9ac68cbed1f4e232f
Добавлена совместимость с Windows 2000 и редакциями Widows Server с особенностями Terminal Services.
Движок поиска файлов заменен на MFT-версию (только NTFS). На медленных дисках, и дисках с большим кол-вом файлов скорость поиска теперь значительно подрастёт.
Добавлен ключ /allDrives - проверить все диски компьютера.
Добавлен перевод на немецкий язык. Можно принудительно переключиться с помощью ключа /Lang DE или переименованием программы в "Check Browsers LNK_DE.exe"
Добавлено определение папки с профилями, если она была перенесена на этапе установки ОС через sysprep или методом симлинков.
Исправлены ложные пометки "НЕ профиль".
Исправлен баг, когда смонтированный диск распознавался как отключённый. Добавлено раскрытие цели ассоциированного сетевого ресурса.
[LNK] Исправлен баг с парсингом юникодного имени папки для FTP-LNK.
[LNK] Улучшен парсер ярлыков с 64-разрядными переменными окружения.
[LNK] В подсекцию "Цель не существует" добавлена расшифровка "(неверный префикс протокола)" для MSITStore ярлыков с недописанными префиксами вида http:/, http:\
[PIF] Исправлен баг с парсингом PIF-ярлыков с буквами кириллицы.
[PIF] Исправлен баг с разбивкой цели на цель и аргумент для PIF-ярлыков.
[PIF] Добавлены пометки и контрольная сумма, если .PIF-файл является PE EXE.
[ URL ] Исправлен парсер URL-ярлыков с форматом адреса UTF-8.
[ URL ] Максимальная длина цели URL ярлыков для вывода в лог увеличена с 254 до 1000 символов. Для более длинных будет указана пометка с реальным размером.
[ URL ] Изменён порядок вывода путей к ярлыкам в секции "Интернет ярлыки". Сперва в строке будет полный путь, затем - 8.3. (для юникодных путей).
Обновлена справка по ключам командной строки /?, а также в FAQ на оф. ресурсе.
Правки множества мелких ошибок.
Правки ложных срабатываний.
Пополнены базы.
  • Like
Реакции: E100 и akok
2.1.0.7
Добавлено отображение кодировки скрипта для тестовых целей (автоопределение средствами Windows).
Исправлен баг с конвертацией кодировки скриптов.

2.1.0.6
Секции "Цель не существует" рекомендованы для лечения.
Улучшен парсер командной строки CMD.
Лог почищен от дублирования записей в секциях "С атрибутом "Только для чтения"" и "Отладка".
Добавлена поддержка сворачивания блоков секций отчета при открытии в Notepad++ с подсветкой "INI".
Добавлено раскрытие скриптов с кодировкой UTF-8.
Добавлено раскрытие Escape-последовательностей в адресах URL.
  • Like
Реакции: E100 и SNS-amigo
2.1.0.5
Добавлены подсекции "Игры Microsoft" и "Другие протоколы".
Завершен реверсинг формата FTP Shell item; внедрено в парсер LNK.
Убран баг с определением размера ярлыка в 0 байт, если он поврежден.
  • Like
Реакции: E100
2.1.0.3 - 2.1.0.4 MD5: DB154028E12647FDBA643001CB3D6F20
Заменен парсер URL.
[баг] Устранены 2 варианта ложного срабатывания на признак модификации ярлыков (спасибо shestale и regist).
[баг] Исправлена ошибка при сравнении на соответствие заголовку LNK (для систем с подмененной кодовой страницей) (Спасибо regist и Melave за тесты)
Слегка почищен / уменьшен лог, отладка.
Дополнены случаи, когда отсутствует ассоциация браузера по-умолчанию.
Добавлено опознавание для ассоциаций браузеров, установленных в директорию не по-умолчанию.
Дополнен эвристический анализатор, исправлены ошибки.
Улучшен парсер командной строки.
[баг] Убрана зависимость рассчета MD5 от локали и в 2 раза увеличена ее скорость.
В шапку лога добавлены сведения о кодовых страницах OEM/ANSI, проверке их целостности.
Убрана зависимость от библиотеки cryptdll.dll.
[баг] Исправлен белый список атрибутов "Только для чтения" системных ярлыков.
[баг] Ускорен скан ярлыков на Windows XP.
Секция "Избранное" дополнена ярлыками от Microsoft Edge.
Дополнены вредоносные сигнатуры скриптов.
Пополнена и обновлена база браузеров.
Добавлена юникодная поддержка Базы Данных.
  • Like
Реакции: E100
Новое обновление направлено на улучшение читаемости лога.

Изменения: 2.0.0.13 beta - 2.1.0.2 - MD5: 7C81C23BF3EBC9260896A335DC70C4AD

Основные:

[очистка] Удалена проверка ЭЦП, ключ -sign, отображение информации об авторе PE EXE.
[очистка] Отключено сбрасывание атрибута ReadOnly у ярлыков.
[новое] В секцию "Другие файлы и атрибуты" введена подсекция "С атрибутом "Только для чтения"".
[новое] Введена подсекция "Избранное" в секцию "Интернет-ярлыки".
[новое] Добавлено определение портативных браузеров.
[новое] Раскрытие содержимого скриптов меню "Пуск".
[новое] Авто-урезание множественных пробелов аргумента ярлыка.
[новое] Существенно улучшен вывод отладочной информации в файлы креш-дампов. Если программа "упадет", Autologger автоматически создает креш-дамп (в Windows Vista и выше). А для систем Windows XP такой дамп можно получить вручную (читайте инструкцию в разделе FAQ).
[ошибки] Исправлен баг с падением программы при раскрытии ярлыков облачных сервисов.
[ошибки] Исправлен баг с опознаванием безопасных браузеров по-умолчанию в x64 ОС.
[очистка] Безопасные браузерные ассоциации для .htm/.html/.url/http/https/ftp не будут выводится в лог.
[новое] Добавлена пометка "Программа не сопоставлена" на случай, когда для .URL/http не установлено ассоциации.
Ускорен поиск ярлыков на Windows XP.
[ошибки] Исправлен баг с ложными детектами на признак модификации ярлыков в x64 ОС.
Разные правки алгоритмов детекта и перераспределения между секциями отчета, в т.ч.:
- Ярлыки ClickOnce перенесены в секцию "Интернет-ярлыки". Улучшен парсер.
- Ярлыки со сторонними протоколами (gamenet:// и т.п.) переброшены в секцию "Интернет-ярлыки".
- Ярлыки облачных хранилищ перенесены в единую секцию.

Второстепенные:
[новое] Добавлена поддержка двойного раскрытия содержимого скриптов bat/cmd.
В логе не будет указываться альтернативный путь в формате 8.3, если он также раскрылся в виде юникодных символов.
[очистка] pif-версии AutoLogger, Check Browser's LNK и AVZ убраны из белых списков признаков, которые можно подделать.
[ошибки] Добавлена защита от обработки путей, превышающих безопасную длинну для ANSI-функций. Ранее приводило к блокировке парсера URL.
[новое] Добавлен ключ -showAssoc - для интернет-протоколов форсировать показ ассоциаций, опознанных как безопасные.
Усовершенствовано регулярное выражение для копий браузерных ярлыков Windows 10 и англоязычных систем.
[базы] Дополнены сигнатуры вредоносных скриптов / пополнены "белые" базы.
  • Like
Реакции: E100
Назад
Сверху Снизу