Universal Virus Sniffer (uVS)

Universal Virus Sniffer (uVS) 4.1.8

---------------------------------------------------------
4.0.14
---------------------------------------------------------
o Добавлена экспериментальная функция обнаружения внедренных потоков в известные системные процессы (пока только для 32-х битных процессов).
В случае обнаржуения в лог выводится строка:
Injected thread detected in process полный_путь [PID], tid=TID
Функция дополняет старый функционал по обнаружению потоков на базе внедренных DLL.
(!) В WinXP x64 функция может работать неправильно.

o URL в параметрах запусках теперь автоматически получает статус подозрительного объекта.

o Новый параметр bFakeName
[Settings]
; Использовать случайное имя главного окна для обхода блокировки запуска по содержимому заголовка.
bFakeName (по умолчанию 0)
---------------------------------------------------------
4.0.13
---------------------------------------------------------
o Обновлена функция открытия отчета по хэшу файла на VT.

o Улучшена функция анализа командной строки.

o Добавлена поддерджка расширений новых версий Firefox x86/x64.
  • Like
Реакции: Guest и Sandor
Из-за блокировки Gmail карантинов в формате .zip, теперь они будут архивироваться в формате 7-zip
  • Like
Реакции: Sandor
---------------------------------------------------------
4.0.12
---------------------------------------------------------
o Добавлена поддержка защищенных системных процессов (для Vista+)
Добавлен новый статус "защищенный".

o Исправлена ошибка обработки имен файлов с ведущим пробелом.
  • Like
Реакции: Guest
o Восстановлена работа с сервисом whois на nic.ru

o Добавлен твик #38 - Очистить список DisallowedCertificates

o Исправлена функция парсинга параметра browser.startup.homepage в perfs.js (Firefox).
  • Like
Реакции: Guest
---------------------------------------------------------
4.0.9
---------------------------------------------------------
o При создании каталога под бэкап реестра не отключался системный редиректор.
(для x64 систем)

---------------------------------------------------------
4.0.8
---------------------------------------------------------
o Добавлена поддержка утилиты ABR (http://dsrt.dyndns.org/files/abr.zip)
Формат сохраняемого реестра унифицирован с ABR.

o В лог выводится текущий пользователь для неактивной системы.

---------------------------------------------------------
4.0.7
---------------------------------------------------------
o Добавлена функция автоматической загрузки реестров пользователей.
Это устраняет проблемы со входом в рабочую станцию и переключением пользователем на удаленном компьютере.

o Функции бэкапа и восстановления реестра теперь сохраняют хайвы "DRIVERS" и "COMPONENTS".
Как показала практика, восстановление относительно старой копии реестра без этих хайвов может привести к _неизлечимым_ проблемам в работе системы обновлений Windows.
Восстановление копии без этих хайвов (без риска потенциальных проблем) возможно лишь до установки обновления Windows.
(!) Если вы используете ERUNT или аналог в Windows Vista и старше то не используйте копию реестра если с момента ее создания было установлено одно и более обновлений Windows.
(!) В каталоге Windows\System32\config\RegBack (даже для Windows 10) не содержатся "DRIVERS" и "COMPONENTS", поэтому при восстановлении из этой копии возможны проблемы.

o Функции бэкапа и восстановления реестра теперь сохраняют реестры пользователей, включая системные.
Автоматическая перезагрузка при восстановлении реестра отключена.
В будущем функция бэкапа и восстановления будет выделена в отдельную утилиту.

o Функции бэкапа и восстановления реестра теперь сохраняют реестры пользователей, включая системные.

o Оптимизирована функция сбора информации о файле.

o Исправлена ошибка WMI при работе с удаленной системой.
(Getting IWbemLocator insatance failed в логе)

o Исправлена ошибка в окне установленных программ: клавиша Del не удаляла записи из реестра.

o Исправлена ошибка в функции эмуляции удаления каталога при работе с образом.

---------------------------------------------------------
4.0.6
---------------------------------------------------------
o Исправлена функция эмулятора WOW64 для командных строк и функция анализа параметров 32-х битных служб.

o В лог добавлено предупреждение при невозможности открыть процесс. (для обычного режима сканирования)

---------------------------------------------------------
4.0.5
---------------------------------------------------------
o Добавлен вывод ошибок инициализации com-интерфейса.

o Добавлен фильтр на расширения в функцию анализа параметров запуска.

o При сканировании списка по F3/F7 статус подозрительного файла получают все исполняемые файлы с нестандартными расширениями.
  • Like
Реакции: Guest и akok
---------------------------------------------------------
4.0.4
---------------------------------------------------------
o Исправлена ошибка в функции анализа расширений Firefox.

o Добавлена поддержка кириллицы в пути до расширения Firefox.
  • Like
Реакции: Guest
---------------------------------------------------------
4.0.3
---------------------------------------------------------
o Улучшена функция поиска обработчиков WMI, теперь просматриваются все неймспейсы.
---------------------------------------------------------
4.00.2
---------------------------------------------------------
o Улучшена функция разбора параметров командной строки.

o Для обработчиков событий WMI отключена работа с хэшам за бесполезностью.

o Для удобства анализа в окно ифнормации WMI обработчика добавлены значения описывающие объекты в MOF формате.
  • Like
Реакции: Guest и E100
---------------------------------------------------------
4.00.1
---------------------------------------------------------
o Добавлена новая категория "WMI: обработчики событий".

---------------------------------------------------------
4.00
---------------------------------------------------------
Основные изменения по сравнению с v3.87, на которые стоит обратить внимание в первую очередь:

o Добавлена очередь команд, вы можете отдавать команды без ожидания исполнения каждой команды в отдельности,
что может очень существенно уменьшить общее время исполнения команд.

o Теперь функции, а так же все соответствующие им скриптовые команды:
o Удаление ссылки на объект (delref)
o Удаление объекта вместе со всеми ссылками на него (delall)
o Выгрузка из памяти (unload)
o Удаление ссылок на отсутствующие файлы (delnfr)
НЕ исполняются немедленно, а помещаются в очередь команд, очередь не имеет ограничений на количество элементов.

o Для исполнения команд в очереди и применения изменений необходимо нажать новую кнопку "Принять изменения".
Все команды в очереди будут исполнены за один проход.
(!) Это верно для _всех_ режимов работы uVS.
(!) Порядок исполнения команд не определен и зависит от id процессов и порядка расположения соотв. записей в реестре,
(!) т.е. никак не зависит от очередности отдачи команд, однако соблюдается общий порядок: выгрузка процессов,
(!) затем удаление ссылок и лишь потом удаление файлов.
(!) Функция убить все найденные вирусы (delvir) кроме основной функции применяет все ранее сделанные изменения и очищает очередь.
(!) Начало выполнения скрипта очищает очередь БЕЗ применения изменений.
(!) В скрипте необязательно указывать команду "apply" она будет применена автоматически или в конце исполнения скрипта,
(!) однако если процесс требует блоков последовательных действий или вы используете виртуализацию, вам необходимо убедиться,
(!) что команда "apply" присутствует в конце блоков команд и перед командой актуализации реестра.

o Удалить отдельные команды вы можете в новом разделе "Очередь команд".

o Добавлена улучшенная функция эмуляции исполнения команд.
Функция теперь работает в любом режиме uVS, т.е. доступна не только при работе с образом.
Откат или удаление команды из очереди возвращает статус объекта на момент отдачи команды.
(!) При работе с реальной системой эмуляция действует до отмены/выполнения команды, обновление списка
(!) не оказывает влияние на статус объектов действия команд в очереди, т.е. в uVS вы видите результат еще не выполненных команд.
(!) При работе с образом эмуляция действует до отмены команды или отката по Ctrl+Z до точки предшествующей
(!) помещению команды в очередь. Кнопка "Применить" делает статус объекта постоянным, однако и в этом случае возможен откат по Ctrl+Z.
(!) Эмуляция для связанных объектов производится только после нажатия кнопки "Применить". (например имеющих статус "авторановый")

С остальными изменениями вы можете ознакомиться ниже.
  • Like
Реакции: E100 и Dragokas
Сверху Снизу