2.2.0.12
Пополнены базы браузеров.
Некоторые правки в правилах анализа.

2.2.0.11
Исправлена ошибка с определением кодировки URL-адресов.

2.2.0.10
/Favorites/.../Интернет.lnk добавлен в чёрный список.
Расширено сканирование .appref-ms до папки всех профилей пользователей.
Исправлена ошибка с перекодировкой цели .appref-ms.
Исправлено несколько ошибок в правилах анализа.
Исправлена ошибка, когда по завершению проверки не открывалась папка с логом на некоторых ОС.
  • Like
Реакции: E100
2.2.0.9
Устранён баг с порчей данных юникодных путей при проверке массива.
Устранён баг, когда не работал MFT-поиск на системах без MS Office.
Устранён баг, приводивший к падению программы, при проверке уровня целостности.
Устранён баг, связанный с определением кодировки файла.
Информация об ОС: для Windows 10 добавлен вывод ReleaseId.
  • Like
Реакции: E100
2.2.0.8 - SHA256: 3d880299bdc1cadf63ad10ad9d4dad8c4111421aa6a467e9ac68cbed1f4e232f
Добавлена совместимость с Windows 2000 и редакциями Widows Server с особенностями Terminal Services.
Движок поиска файлов заменен на MFT-версию (только NTFS). На медленных дисках, и дисках с большим кол-вом файлов скорость поиска теперь значительно подрастёт.
Добавлен ключ /allDrives - проверить все диски компьютера.
Добавлен перевод на немецкий язык. Можно принудительно переключиться с помощью ключа /Lang DE или переименованием программы в "Check Browsers LNK_DE.exe"
Добавлено определение папки с профилями, если она была перенесена на этапе установки ОС через sysprep или методом симлинков.
Исправлены ложные пометки "НЕ профиль".
Исправлен баг, когда смонтированный диск распознавался как отключённый. Добавлено раскрытие цели ассоциированного сетевого ресурса.
[LNK] Исправлен баг с парсингом юникодного имени папки для FTP-LNK.
[LNK] Улучшен парсер ярлыков с 64-разрядными переменными окружения.
[LNK] В подсекцию "Цель не существует" добавлена расшифровка "(неверный префикс протокола)" для MSITStore ярлыков с недописанными префиксами вида http:/, http:\
[PIF] Исправлен баг с парсингом PIF-ярлыков с буквами кириллицы.
[PIF] Исправлен баг с разбивкой цели на цель и аргумент для PIF-ярлыков.
[PIF] Добавлены пометки и контрольная сумма, если .PIF-файл является PE EXE.
[ URL ] Исправлен парсер URL-ярлыков с форматом адреса UTF-8.
[ URL ] Максимальная длина цели URL ярлыков для вывода в лог увеличена с 254 до 1000 символов. Для более длинных будет указана пометка с реальным размером.
[ URL ] Изменён порядок вывода путей к ярлыкам в секции "Интернет ярлыки". Сперва в строке будет полный путь, затем - 8.3. (для юникодных путей).
Обновлена справка по ключам командной строки /?, а также в FAQ на оф. ресурсе.
Правки множества мелких ошибок.
Правки ложных срабатываний.
Пополнены базы.
  • Like
Реакции: E100 и akok
2.1.0.7
Добавлено отображение кодировки скрипта для тестовых целей (автоопределение средствами Windows).
Исправлен баг с конвертацией кодировки скриптов.

2.1.0.6
Секции "Цель не существует" рекомендованы для лечения.
Улучшен парсер командной строки CMD.
Лог почищен от дублирования записей в секциях "С атрибутом "Только для чтения"" и "Отладка".
Добавлена поддержка сворачивания блоков секций отчета при открытии в Notepad++ с подсветкой "INI".
Добавлено раскрытие скриптов с кодировкой UTF-8.
Добавлено раскрытие Escape-последовательностей в адресах URL.
  • Like
Реакции: E100 и SNS-amigo
2.1.0.5
Добавлены подсекции "Игры Microsoft" и "Другие протоколы".
Завершен реверсинг формата FTP Shell item; внедрено в парсер LNK.
Убран баг с определением размера ярлыка в 0 байт, если он поврежден.
  • Like
Реакции: E100
2.1.0.3 - 2.1.0.4 MD5: DB154028E12647FDBA643001CB3D6F20
Заменен парсер URL.
[баг] Устранены 2 варианта ложного срабатывания на признак модификации ярлыков (спасибо shestale и regist).
[баг] Исправлена ошибка при сравнении на соответствие заголовку LNK (для систем с подмененной кодовой страницей) (Спасибо regist и Melave за тесты)
Слегка почищен / уменьшен лог, отладка.
Дополнены случаи, когда отсутствует ассоциация браузера по-умолчанию.
Добавлено опознавание для ассоциаций браузеров, установленных в директорию не по-умолчанию.
Дополнен эвристический анализатор, исправлены ошибки.
Улучшен парсер командной строки.
[баг] Убрана зависимость рассчета MD5 от локали и в 2 раза увеличена ее скорость.
В шапку лога добавлены сведения о кодовых страницах OEM/ANSI, проверке их целостности.
Убрана зависимость от библиотеки cryptdll.dll.
[баг] Исправлен белый список атрибутов "Только для чтения" системных ярлыков.
[баг] Ускорен скан ярлыков на Windows XP.
Секция "Избранное" дополнена ярлыками от Microsoft Edge.
Дополнены вредоносные сигнатуры скриптов.
Пополнена и обновлена база браузеров.
Добавлена юникодная поддержка Базы Данных.
  • Like
Реакции: E100
Новое обновление направлено на улучшение читаемости лога.

Изменения: 2.0.0.13 beta - 2.1.0.2 - MD5: 7C81C23BF3EBC9260896A335DC70C4AD

Основные:

[очистка] Удалена проверка ЭЦП, ключ -sign, отображение информации об авторе PE EXE.
[очистка] Отключено сбрасывание атрибута ReadOnly у ярлыков.
[новое] В секцию "Другие файлы и атрибуты" введена подсекция "С атрибутом "Только для чтения"".
[новое] Введена подсекция "Избранное" в секцию "Интернет-ярлыки".
[новое] Добавлено определение портативных браузеров.
[новое] Раскрытие содержимого скриптов меню "Пуск".
[новое] Авто-урезание множественных пробелов аргумента ярлыка.
[новое] Существенно улучшен вывод отладочной информации в файлы креш-дампов. Если программа "упадет", Autologger автоматически создает креш-дамп (в Windows Vista и выше). А для систем Windows XP такой дамп можно получить вручную (читайте инструкцию в разделе FAQ).
[ошибки] Исправлен баг с падением программы при раскрытии ярлыков облачных сервисов.
[ошибки] Исправлен баг с опознаванием безопасных браузеров по-умолчанию в x64 ОС.
[очистка] Безопасные браузерные ассоциации для .htm/.html/.url/http/https/ftp не будут выводится в лог.
[новое] Добавлена пометка "Программа не сопоставлена" на случай, когда для .URL/http не установлено ассоциации.
Ускорен поиск ярлыков на Windows XP.
[ошибки] Исправлен баг с ложными детектами на признак модификации ярлыков в x64 ОС.
Разные правки алгоритмов детекта и перераспределения между секциями отчета, в т.ч.:
- Ярлыки ClickOnce перенесены в секцию "Интернет-ярлыки". Улучшен парсер.
- Ярлыки со сторонними протоколами (gamenet:// и т.п.) переброшены в секцию "Интернет-ярлыки".
- Ярлыки облачных хранилищ перенесены в единую секцию.

Второстепенные:
[новое] Добавлена поддержка двойного раскрытия содержимого скриптов bat/cmd.
В логе не будет указываться альтернативный путь в формате 8.3, если он также раскрылся в виде юникодных символов.
[очистка] pif-версии AutoLogger, Check Browser's LNK и AVZ убраны из белых списков признаков, которые можно подделать.
[ошибки] Добавлена защита от обработки путей, превышающих безопасную длинну для ANSI-функций. Ранее приводило к блокировке парсера URL.
[новое] Добавлен ключ -showAssoc - для интернет-протоколов форсировать показ ассоциаций, опознанных как безопасные.
Усовершенствовано регулярное выражение для копий браузерных ярлыков Windows 10 и англоязычных систем.
[базы] Дополнены сигнатуры вредоносных скриптов / пополнены "белые" базы.
  • Like
Реакции: E100
2.0.0.12 beta - MD5: FAF440AB8B7CDE8F94A37CA99CCE981C
[баг] Перенастроен модуль аварийного завершения программы (таймаут стоял 15 секунд. (sick!)
[баг] Исправлена ошибка интерпретации 64-битных путей из базы данных браузеров.
Смягчены правила для некоторых ярлыков, созданных пользователем.
Пополнены базы.
  • Like
Реакции: E100 и Кирилл
2.0.0.11 - MD5: 9F9CDDFF2C5A4623C6F5647F4056A2DC

Check Browsers' LNK поколение 2.

Честно говоря изменений так много, что я просто не стал обо всем писать, чтобы сэкономить Ваше время.

Главные изменения:

- Добавлена секция "Браузер по-умолчанию". Легитимные записи помечаются префиксом [OK]. База в стадии наполнения.
- Добавлено раскрытие ярлыков .WEBSITE, .APPREF-MS (ClickOnce), .PIF, некоторых вредоносных LNK с HTTP/FTP в цели.
- Проверка легитимности ЭЦП неопознанных браузеров и подозрительных объектов меню ПУСК.
- Увеличена среднестатистическая скорость сканировния. В следующих версиях скорость будет еще выше.
- Исправлено множество ошибок, в т.ч. тех, из-за которых могла зависнуть программа.
- К браузерным ярлыкам теперь также причисляются ярлыки с любым именем, чья цель ведет к браузеру (совпадение по базе).

Второстепенные:
- добавлены ключи -sign, -timeout X, -debug, -nodebug, scanfolder "путь" (подробности в FAQ)
- Из секции "Цель не существует" выведена отдельно секция "Цель на съемном / сетевом устройстве".
- Обрезанных логов больше быть не должно - программа аварийно завершится при превышении таймаута
(с учетом времени, проведенного в песочнице антивируса) и допишет в отчет расширенную отладочную информацию.
- Контрольная сумма отчета всегда будет = FFFFFFFF.
- Все файловые функции переведены на юникод.
- Удалена зависимость от библиотеки scrrun.dll
- Если программа "упадет", полиморфная версия сборщика отчетов Autologger умеет создавать дампы, которые очень помогут в анализе
(не забудьте запросить их на файлообменник). Подробности в FAQ Autologger-а.

FAQ, ключи и описание программы обновлены.

Хочу поблагодарить за личную помощь и советы:
regist, riuson, Кривоус Анатолий, Казакевич Олег, Зайцев Олег.

За ценные образцы исходников и теорию:
AD13, wj32 (Process Hacker team), Anarchriz/DREAD.

Для любителей экстрима (знать всё :)), прочие изменения - под спойлером:
// 2.0.0.0 - 2.0.0.11
// 1.1.0.39 - 1.1.0.47
Исправлена проблема с распознаванием запуска из архива.
Добавлено время, проведенное программой в песочнице антивируса. В отчете - поле "AV Sanbox". Работает только при запуске из-под AutoLogger-a.
Ключ -sign - проверка легитимности ЭЦП браузеров, которые попадутся в ярлыках. Ошибка отмечается префиксом [sign].
Ключ -debug - выводить в лог расширенную отладочную информацию.
Пополнены/почищены базы, убраны ложные срабатывания.
[баг] Часть ярлыков не проверялась по базе белых URL и не использовалась в эвристическом анализе.
[баг] Ярлыки размером 0 байт не всегда попадали в лог ошибок и отображались как "Цель неизвестна".
[отчет] Подсекция "Облачные хранилища" перенесена в секцию "Прочие ярлыки".
[оптимизация] Добавлено кеширование проверок ЭЦП, формата PE EXE, проверки существует ли файл.
[баг] Исправлена ошибка, когда пустой параметр к пути профиля мог привести к проверке целиком всего диска.
[отчет] Улучшена процедура проверки запуска программы с повышенными привилегиями. Будет указано в поле "Elevated" (спасибо Зайцеву Олегу).
[отчет] Добавлена информация о принадлежности пользователя к одной из групп (Administrator, Power User, Limited User или Guest).
[отчет] Язык системы, диалогов... теперь отображается в отчете не сокращенным названием, а полным.
Удален код с низкоуровневыми функциями, которые иногда приводили к подвисанию программы во время антивирусной проверки.
Создана отладочная версия программы (теперь интегрирована в обычную и может управляеться ключами -debug, -nodebug)
[баг] Исправлена ошибка в раскрытии некоторых ярлыков программ облачных хранилищ, которая могла привести к зависанию сканера.
При запуске из архива программа спросит разрешения, чтобы скопировать себя на рабочий стол и перезапуститься.
[оптимизация] Скорость анализа увеличена за счет замены "Scripting.Dictionary/scrrun.dll" на класс хеш-таблиц от Анатолия Кривоуса.
  • Like
Реакции: -SEM-, tzrb и Кирилл
1.1.0.39 - MD5: 0F2910236877E2BBF334A4E2A3994D50
[баг] Был потерян флаг "Цель существует" для части системных ярлыков, которые раскрывались через компенсацию Wow64 (спасибо за помощь Lawrence Abrams).
[баг] Неверно возобновлялась 64-битная файловая переадресация, что потенциально могло приводить к "падению" программы.
[баг] В списке ярлыков со снятым RO не отображались безопасные из числа созданных MS Installer-ом.
[баг] Вхождение имен файлов в диапазон ASCII теперь определяется правильно (влияет на необходимость вывести альтернативное имя в формате 8.3).
[анализ] Добавлено детектирование недокументированного ключа, используемого Adware (для Internet Explorer).
Добавлено детектирование повреждения DropHandler (механизма Drag & Drop) EXE-файлов. Выводится в секцию "Ошибки".
Добавлен браузер Comodo Chromodo, пополнены белые списки.
[отчет] Вывод ОС Build.
[отчет] Секция "Профили" переименована в "Проверены" (проверенные каталоги).
[отчет] В секцию "Проверенные каталоги" добавлено отображение, является ли папка профилем пользователя, а также альтернативный путь в формате 8.3, если имя состоит из знаков за пределами ASCII.
Добавлена проверка политик создания коротких имен файлов 8.3 (работают не так, как указано в MSDN. Спасибо Liviu за подтверждение бага).
Функции чтения реестра, раскрытия переменных окружения, получения размера файлов, заменены на юникодные аналоги.
Сверху Снизу