Check Browsers' LNK by Dragokas & regist

Check Browsers' LNK by Dragokas & regist 2.2.0.42

2.0.0.12 beta - MD5: FAF440AB8B7CDE8F94A37CA99CCE981C
[баг] Перенастроен модуль аварийного завершения программы (таймаут стоял 15 секунд. (sick!)
[баг] Исправлена ошибка интерпретации 64-битных путей из базы данных браузеров.
Смягчены правила для некоторых ярлыков, созданных пользователем.
Пополнены базы.
  • Like
Реакции: E100 и Кирилл
2.0.0.11 - MD5: 9F9CDDFF2C5A4623C6F5647F4056A2DC

Check Browsers' LNK поколение 2.

Честно говоря изменений так много, что я просто не стал обо всем писать, чтобы сэкономить Ваше время.

Главные изменения:

- Добавлена секция "Браузер по-умолчанию". Легитимные записи помечаются префиксом [OK]. База в стадии наполнения.
- Добавлено раскрытие ярлыков .WEBSITE, .APPREF-MS (ClickOnce), .PIF, некоторых вредоносных LNK с HTTP/FTP в цели.
- Проверка легитимности ЭЦП неопознанных браузеров и подозрительных объектов меню ПУСК.
- Увеличена среднестатистическая скорость сканировния. В следующих версиях скорость будет еще выше.
- Исправлено множество ошибок, в т.ч. тех, из-за которых могла зависнуть программа.
- К браузерным ярлыкам теперь также причисляются ярлыки с любым именем, чья цель ведет к браузеру (совпадение по базе).

Второстепенные:
- добавлены ключи -sign, -timeout X, -debug, -nodebug, scanfolder "путь" (подробности в FAQ)
- Из секции "Цель не существует" выведена отдельно секция "Цель на съемном / сетевом устройстве".
- Обрезанных логов больше быть не должно - программа аварийно завершится при превышении таймаута
(с учетом времени, проведенного в песочнице антивируса) и допишет в отчет расширенную отладочную информацию.
- Контрольная сумма отчета всегда будет = FFFFFFFF.
- Все файловые функции переведены на юникод.
- Удалена зависимость от библиотеки scrrun.dll
- Если программа "упадет", полиморфная версия сборщика отчетов Autologger умеет создавать дампы, которые очень помогут в анализе
(не забудьте запросить их на файлообменник). Подробности в FAQ Autologger-а.

FAQ, ключи и описание программы обновлены.

Хочу поблагодарить за личную помощь и советы:
regist, riuson, Кривоус Анатолий, Казакевич Олег, Зайцев Олег.

За ценные образцы исходников и теорию:
AD13, wj32 (Process Hacker team), Anarchriz/DREAD.

Для любителей экстрима (знать всё :)), прочие изменения - под спойлером:
// 2.0.0.0 - 2.0.0.11
// 1.1.0.39 - 1.1.0.47
Исправлена проблема с распознаванием запуска из архива.
Добавлено время, проведенное программой в песочнице антивируса. В отчете - поле "AV Sanbox". Работает только при запуске из-под AutoLogger-a.
Ключ -sign - проверка легитимности ЭЦП браузеров, которые попадутся в ярлыках. Ошибка отмечается префиксом [sign].
Ключ -debug - выводить в лог расширенную отладочную информацию.
Пополнены/почищены базы, убраны ложные срабатывания.
[баг] Часть ярлыков не проверялась по базе белых URL и не использовалась в эвристическом анализе.
[баг] Ярлыки размером 0 байт не всегда попадали в лог ошибок и отображались как "Цель неизвестна".
[отчет] Подсекция "Облачные хранилища" перенесена в секцию "Прочие ярлыки".
[оптимизация] Добавлено кеширование проверок ЭЦП, формата PE EXE, проверки существует ли файл.
[баг] Исправлена ошибка, когда пустой параметр к пути профиля мог привести к проверке целиком всего диска.
[отчет] Улучшена процедура проверки запуска программы с повышенными привилегиями. Будет указано в поле "Elevated" (спасибо Зайцеву Олегу).
[отчет] Добавлена информация о принадлежности пользователя к одной из групп (Administrator, Power User, Limited User или Guest).
[отчет] Язык системы, диалогов... теперь отображается в отчете не сокращенным названием, а полным.
Удален код с низкоуровневыми функциями, которые иногда приводили к подвисанию программы во время антивирусной проверки.
Создана отладочная версия программы (теперь интегрирована в обычную и может управляеться ключами -debug, -nodebug)
[баг] Исправлена ошибка в раскрытии некоторых ярлыков программ облачных хранилищ, которая могла привести к зависанию сканера.
При запуске из архива программа спросит разрешения, чтобы скопировать себя на рабочий стол и перезапуститься.
[оптимизация] Скорость анализа увеличена за счет замены "Scripting.Dictionary/scrrun.dll" на класс хеш-таблиц от Анатолия Кривоуса.
  • Like
Реакции: -SEM-, tzrb и Кирилл
1.1.0.39 - MD5: 0F2910236877E2BBF334A4E2A3994D50
[баг] Был потерян флаг "Цель существует" для части системных ярлыков, которые раскрывались через компенсацию Wow64 (спасибо за помощь Lawrence Abrams).
[баг] Неверно возобновлялась 64-битная файловая переадресация, что потенциально могло приводить к "падению" программы.
[баг] В списке ярлыков со снятым RO не отображались безопасные из числа созданных MS Installer-ом.
[баг] Вхождение имен файлов в диапазон ASCII теперь определяется правильно (влияет на необходимость вывести альтернативное имя в формате 8.3).
[анализ] Добавлено детектирование недокументированного ключа, используемого Adware (для Internet Explorer).
Добавлено детектирование повреждения DropHandler (механизма Drag & Drop) EXE-файлов. Выводится в секцию "Ошибки".
Добавлен браузер Comodo Chromodo, пополнены белые списки.
[отчет] Вывод ОС Build.
[отчет] Секция "Профили" переименована в "Проверены" (проверенные каталоги).
[отчет] В секцию "Проверенные каталоги" добавлено отображение, является ли папка профилем пользователя, а также альтернативный путь в формате 8.3, если имя состоит из знаков за пределами ASCII.
Добавлена проверка политик создания коротких имен файлов 8.3 (работают не так, как указано в MSDN. Спасибо Liviu за подтверждение бага).
Функции чтения реестра, раскрытия переменных окружения, получения размера файлов, заменены на юникодные аналоги.
1.1.0.38
[анализ] Добавлена обработка URL-адресов с обратными слешами.
  • Like
Реакции: E100 и shestale
1.1.0.37
[баг] Исправлена ошибка в логике анализатора модификаций ярлыков (спасибо Sandor).
  • Like
Реакции: E100 и machito
1.1.0.36
[интерфейс] Добавлена французская локализация (спасибо Fr33tux (fr33tux.org)).
[интерфейс] Добавлены ключи командной строки -Lang XX для форсированного переключения языка интерфейса, где XX - это язык RU, EN или FR.
Альтернативно, можно переименовать файл программы в "Check Browsers LNK_EN.exe", _RU или _FR.
[анализ] Ярлыки легального софта, который создает их похожими на модифицированные, снова выводятся в лог.
[анализ] Исправлено ложное срабатывание на модифицированные ярлыки (другой случай с Wow64).
[баг] Исправлен конфликт атрибутов "Скрытый/системный" и метки "Для лечения" при проверке по черному списку ярлыков.
[отчет] Удалены приписки "(системный), (скрытый атрибут)", как утратившие смысловую нагрузку.
1.1.0.35
[баг] Устранено дублирование записей, когда у пути отсутствовала буква диска.
[баг] Устранено дублирование префиксов [hidden]
[баг] Часть записей со скрытыми атрибутами по ошибке помечались также префиксом [RO].
[баг] Исправлено ложное срабатывание на ярлыки легального софта, который их создает похожими на модифицированные.
[отчет] Из секции об атрибутах теперь фильтруются записи, которые уже присутствуют в других секциях.
[отчет] Префикс [hidden] заменен на [h] и [ s ] для атрибутов hidden и system соответственно.
[анализ] Легитимные браузерные ярлыки с атрибутом "Скрытый" ("Системный") будут предлагаться "Для лечения" с целью снятия атрибутов сокрытия.
1.1.0.34
[баг] Исправлено ложное срабатывание на модифицированные ярлыки (спасибо Phoenix за образцы и тестирование).
[анализ] Добавлено сканирование профилей пользователей, о которых нет записей в реестре.
[база] Пополнены базы безопасных URL, скриптов.
[база] Добавлен белый список системных ярлыков Windows 8 и 10.
[отчет] Код языка теперь выводится в шапке лога (формат 16-ричный). Сокращенные имена (RU, EN, UA, BG) теперь выводятся полностью (ru-RU, en-US, uk-UA, bg-BG).
  • Like
Реакции: Кирилл и E100
1.1.0.33
[функционал] Добавлена подсекция "Скрытые ярлыки". Сюда попадают ярлыки с атрибутами скрытый либо системный (только для .LNK).
[отчет] Секция "Другие файлы" переименована в "Другие файлы и атрибуты".
  • Like
Реакции: E100
1.1.0.32
[база] Добавлен браузер Chromium
Назад
Сверху Снизу