HiJackThis Fork

HiJackThis Fork и вопросы к разработчикам 2.9.0.26

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,325
Реакции
5,799
Баллы
718

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,495
Реакции
5,653
Баллы
753
Ошибка в Менеджере деинсталляции программ
 

Вложения

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,325
Реакции
5,799
Баллы
718
Пасибо, поправлю.

Есть предложения, какие еще политики нужны? Там блокировки того же файрвола, исключения, AppLocker?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,495
Реакции
5,653
Баллы
753
Есть предложения, какие еще политики нужны?
А может правда вот этот ключ рассматривать в HJT:

HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions а не в AVZ как предлагалось в одной ветке
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,325
Реакции
5,799
Баллы
718
Исходный код проекта HiJackThis Fork попал под программу Arctic Code Vault
и теперь будет храниться подо льдами Арктики :D


А мне на жабе выдали бедж "Arctic Code Vault Contributor" =)))
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,090
Реакции
13,214
Баллы
2,203
Поздравляю!!!
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,325
Реакции
5,799
Баллы
718
Я даже не знаю, как это воспринимать.
Оставил наследие для 1000-летних потомков =))))))
Будут лечить музейные ПК от вирусов :D
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,090
Реакции
13,214
Баллы
2,203
Они хентай смотреть будут в первую очередь )))))
 

NickM

Активный пользователь
Сообщения
114
Реакции
60
Баллы
68
даже не знаю, как...
Оставил наследие...
Уважаемые, подскажите пжлст., а нынче утилита научилась работать с защищенного на запись носителя?
Вот прям сейчас проверить конечно не могу, а ведь это большая проблема...!
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,325
Реакции
5,799
Баллы
718
нет :D Фича ещё лежит в TODO. Но я не забыл.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,325
Реакции
5,799
Баллы
718
Есть ли какие-нибудь пожелания в сторону улучшения читаемости лога, и отдельно, автоанализа?
Лично мне нравится, как сделано в FRST и в AutoRuns.
В FRST в конце строк указывается:
1. Размер, дата изменения
2. Производитель из свойств файла, затем Issuer ЭЦП"
3. (в AutoRuns), по желанию есть проверка через VT.

В HJT в данный момент есть:
1. Размер, хеш (выбирается опцией Calculate MD5, в дальнейшем - Calculate Checksum (sha1))
2. Проверка ЭЦП есть, но не всех файлов, и не выводится в лог (например, для O22, O23 сначала проверяется по базе на предмет - встречались ли такие строки у Microsoft, и только затем проверяется ЭЦП), чем мне тоже не совсем нравится, т.к. приходится периодически пополнять эти белые списки. В итоге новые задания/службы никак нельзя проверить на легитимность только по логу HJT.
3. Функционал проверки по VT в теории уже есть, но визуального отображения пока нет. Можно было бы добавить опцию, чтобы подсвечивалось в результатах проверки.

Что скажут хелперы? (лучше, в закрытом разделе)
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,623
Реакции
5,877
Баллы
1,008
ИМХО, тот кто пользуется CCleaner и подобными утилиты любят их за удобство, что сразу можно во многих местах чистить. То есть это не тупо почистить temp виндовс и пользовательский, но кеши разных браузеров, приложений которые у пользователя стоят, кеш иконок и ещё чего-то там. Помимо этого знаю, что к CCleaner есть какая-то утилита или плагин которая расширяет его функционал ещё на сотни программ и многие пользуются именно в таком сочетание. Прикручивать всё это к Джеку считаю и не целесообразно и просто у тебя времени не хватит всё это делать и поддерживать. А базовая чистка темпов... думаю очень малый процент юзеров которые пользуются такими программами это устроит, а тех кого устроит больше устроит системная очистка диска. Тем более там есть ещё важный полезный функционал очистка старых (заменённых) файлов обновлений.
 

akok

Команда форума
Администратор
Сообщения
19,090
Реакции
13,214
Баллы
2,203
ИМХО не стоит перегружать.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,510
Реакции
2,025
Баллы
643
Согласен, не нужно.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,325
Реакции
5,799
Баллы
718
Ночная сборка обновлена.
Если не будет замечаний, уйдёт в первый релиз "Мастер"-ветки.

Изменения:
2.9.0.25
Базы:
- Обновлены базы O22, O23 (также по возможности игнорируются MS Office, MS Visual Studio).
- O22 - Добавлена возможность анализа rundll32 заданий Microsoft.
- Обновлены названия редакций Windows.
- Пополнены списки хорошо известных DNS.
- Эталонные IE StartPage, SearchPage, Search & Custom Assistant заменены на msn.com либо убраны в связи с битыми ссылками.

Функционал:
- Добавлена проверка политик скриптов запуска-завершения работы Windows/пользователя.
- Добавлено O18 - Printer Port: определение подозрительных файловых портов для Spooler Shadow Jobs (спасибо Alex Ionescu за статью и NickM за помощь с фиксом).
- При запросе восстановления из бекапа ABR, автоматически создаётся новый бекап для возможности отката (в т.ч. из незагружаемого состояния).
- Добавлен рассчёт SHA1 файлов; можно переключиться между SHA1/MD5 в настройках.
- Новый ключ: /sha1 - вычислять SHA1 хэш файлов.
- Контекстное меню: добавлен пункт "Отключить / Включить" для служб и задач.

Исправления:
- O22 - добавлена совместимость с заданиями в кодировке UTF16.
- Uninstall Manager: Исправлена работа кнопки "Сохранить список" (спасибо Severnyj за извещение).
- Улучшены функции лечения ini-файлов, добавлена обработка формата Unicode.
- Улучшены функции бекапа реестра, поддержка QWord.
- Функция получения размера файла иногда возращала 0 для файлов из System32.
- Контекстное меню теперь не блокируется при ReScan.

Интерфейс:
- Шрифт для результатов сканирования изменен "10" => "9" (Жирный).
- Добавлены отступы по левому и правому краях в окнах меню "О программе...".
- "О программе" - "История версий": исправлена обрезка конца текста.
- Позиция скроллинга теперь не сбрасывается по окончанию сканирования.
- Исправлена прозрачность иконки программы.

Другое:
- Обновлена внутренняя справка по ключам.
- Все интернет-ссылки заменены на https.
- В критерии проверки добавлен протокол https.
- R4 - PendingFileRenameOperations отключена в режиме /startupscan в виду ложных срабатываний.

Вне программы:

GitHub:
- Обновлёны менеджер шаблонов Issue, главная страница Readme с лого в стиле Windows 10 и списки Contributors.
- HiJackThis Fork попал в проект Arctic Code Vault :)
- Исправлена орфография в шаблонах и wiki.

- сайт dragokas.com переключён на приоритет https.
- Перевод русского руководства на англ. язык заморожен :( Ищем нового переводчика.
 

NickM

Активный пользователь
Сообщения
114
Реакции
60
Баллы
68
Ночная сборка обновлена.
Если не будет замечаний
Хмм, что-то у Меня в системе приложение крашится при попытке запустить без повышения привелегий...
Это норма или... прикладывать дамп?

Код:
Имя сбойного приложения: HiJackThis.exe, версия: 2.9.0.25, метка времени: 0x5f26b9be
Имя сбойного модуля: USER32.DLL, версия: 10.0.19041.388, метка времени: 0xccb63ea1
Код исключения: 0xc000041d
Смещение ошибки: 0x0003508b
Идентификатор сбойного процесса: 0x1b84
Время запуска сбойного приложения: 0x01d668f54b15a5b8
Путь сбойного приложения: C:\Temp\HiJackThis.exe
Путь сбойного модуля: C:\WINDOWS\System32\USER32.DLL
Идентификатор отчета: 6cb29352-1589-4763-b6ed-fb614e3c81b3
Полное имя сбойного пакета:
Код приложения, связанного со сбойным пакетом:
Код:
Контейнер ошибки 1786617251330192261, тип 1
Имя события: APPCRASH
Отклик: Нет данных
Идентификатор CAB: 0

Сигнатура проблемы:
P1: HiJackThis.exe
P2: 2.9.0.25
P3: 5f26b9be
P4: USER32.DLL
P5: 10.0.19041.388
P6: ccb63ea1
P7: c000041d
P8: 0003508b
P9:
P10:

Вложенные файлы:
\\?\C:\ProgramData\Microsoft\Windows\WER\Temp\WER36AA.tmp.dmp
\\?\C:\ProgramData\Microsoft\Windows\WER\Temp\WER3C19.tmp.WERInternalMetadata.xml
\\?\C:\ProgramData\Microsoft\Windows\WER\Temp\WER3C2A.tmp.xml
\\?\C:\ProgramData\Microsoft\Windows\WER\Temp\WER3C38.tmp.csv
\\?\C:\ProgramData\Microsoft\Windows\WER\Temp\WER3C48.tmp.txt

Эти файлы можно найти здесь:
\\?\C:\ProgramData\Microsoft\Windows\WER\ReportArchive\AppCrash_HiJackThis.exe_368bf7e5da685c1f4f5fcecc6713195231f8c7_3da0cff8_0876759c-47e7-4531-b1aa-418d0dc02975

Символ анализа:
Повторный поиск решения: 0
Идентификатор отчета: 6cb29352-1589-4763-b6ed-fb614e3c81b3
Состояние отчета: 268435456
Хэшированный контейнер: a5c4476f0122f14f68cb56ec971ef385
Идентификатор GUID CAB: 0
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,325
Реакции
5,799
Баллы
718
Да, креш-дамп был бы очень полезен, только получать его желательно, предварительно включив максимально подробный режим - воспользуйся прикрепленным твиком. После применения следующий дамп WER будет создан в папке %SystemDrive%\CrashDumps

Проблему воспроизвести не удалось.
HJT не вполне совместим с таким режимом запуска, но и падать не должен.
Прошлая версия не падала?
 

Вложения

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,325
Реакции
5,799
Баллы
718
@NickM, поставил такой же релиз 2004 и все обновления, проблема не подтверждается на ограниченной учётке.
Нужно больше данных... используется ли какой антивирус?
 
Сверху Снизу