HiJackThis Fork

HiJackThis Fork и вопросы к разработчикам 2.9.0.18

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,132
Реакции
5,907
Баллы
648
Добавляю новый модуль от Беллекома:

StartupList 2

Вот так будет выглядеть сама программа:
(пароль к архиву: 1)

startuplist.png
 

Вложения

Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,132
Реакции
5,907
Баллы
648
Положи рядом с программой этот файл:
 

Вложения

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,132
Реакции
5,907
Баллы
648
2.6.3.0 (test)
O14 - iereset.inf Fix портил файл. Исправлено.
R3 - добавлены ключи для HKLM, HKU\.Default
*New: добавлена функция сворачивания программы в значок в область уведомления (см. настройку в меню Misc Tools -> Main).
Меню 'Unlock Registry Key' переименовано в 'Registry Key Unlocker'
Кнопка 'Generate StartupList Log' переименована в 'StartupList Scan'
Параметры командной строки теперь не зависят от регистра символов.
Режим /silentautolog теперь показывает окно с прогрессбаром в процессе сканирования.
Добавлен ключ командной строки /noGUI - не отображать окно программы в процессе сканирования.
Добавлен ключ командной строки /md5 - подсчитывать MD5 хеш файлов.
Добавлен ключ командной строки /StartupList - запускает сканирование StartupList
Добавлен ключ командной строки /SysTray - запускает программу свёрнутой в область уведомления.
*New: StartupList заменен на версию 2.10. Все ключи командной строки заменены:
/showempty - Показывать пустые секции
/showcmts - Показывать комментарии в .bat файлах
/noshowclsids - Скрыть идентификаторы классов
/noshowprivate - Скрыть имена пользователей и имя компьютера
/noshowusers - Скрыть записи других пользователей
/noshowhardware - Скрыть записи прочих конфигураций оборудования
/showlargehosts - Показывать файл hosts даже, если в нём более 1000 строк
/showlargezones - Показывать Интернет зоны даже, если в них более 1000 доменов
/autosave - Запустить StartupList в скрытом режиме, автоматически сохранить отчет и выйти из программы
/autosavepath: - Указать путь к для сохранения отчёта при использовании ключа /autosave. Используйте обрамляющие кавычки для путей со знаками пробела.
StartupList: библиотека istrusted.dll заменена на внутренние функции проверки ЭЦП.
StartupList: библиотека MSComCtl.dll помещена в ресурсы. Её больше не требуется скачивать отдельно.
StartupList: теперь показывает полный список процессов.
StartupList: устранен крэш программы при проверке LSP, доработано получение путей к провайдерам.

http://dragokas.com/tools/HiJackThis_test.zip
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,132
Реакции
5,907
Баллы
648
В версии 3.0 по тестовой ссылке программа StartupList внутри HJT - это частично дроппер.
Ни у кого не было срабатывания антивируса по поведенческому анализу? - вроде параноидальных Нортонов и пр.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,132
Реакции
5,907
Баллы
648
Спасибо, thyrex. F2, F3 по ошибке попадали в IgnoreList.
Alpha 3.1. (test + release)
F2, F3 не отображались в логе. Исправлено.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
17,786
Реакции
13,524
Баллы
2,203
А каков механизм отсеивания служб Windows? Если он есть конечно.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,132
Реакции
5,907
Баллы
648
2.6.4.3 (test)
[R3] Исправлен баг при проверке URLSearchHook.
Улучшена поддержка юникодных путей.
Исправлена ошибка при фиксе O4 - \..\StartupApproved\StartupFolder
[O2] Добавлен запрос принудительного завершения процесса IExplore.exe
Добавлена процедура 'мягкого' завершения процесса.
[O4] Правка бага получения даты.
[O22] Правка в выводе состояния службы для повреждённых заданий.
[O22] Повреждённые задания или задания, для которых отсутствует запускаемый файл, будут помечены меткой <==== ATTENTION
Улучшена процедура заморозки процесса.
[O22] Завершение процесса заменено на заморозку.
[O22] Фикс переведён в silent-режим (ошибки не отображаются).
[O22] Пополнена база для Windows 10.

2.6.4.0 (test)
ADSspy заменён на версию 1.12
Process Manager теперь работает в отдельном окне.
Исправлена ошибка при проверке O4 - BootVerificationProgram
Расширено описание программы при нажатии кнопки меню Help -> About и Info... в окне сканирования. Теперь разбито на вкладки "Секции", "Ключи", "О программе", "Автора", "История".
O17 - Fix: Добавлен сброс кеша DNS.
Через внешние языковые файлы теперь можно изменить практически любой текст.
Поправлен перевод на русский язык.
Добавлена коррекция CRC лога.
Правки ошибок при переходе между меню, и других визуальных проблем.
O12 Fix - убрано предупреждение закрыть Internet Explorer, если нет ни одного процесса iexplore.
O4 - добавлен вывод аргументов цели ярлыка.

http://dragokas.com/tools/HiJackThis_test.zip
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,132
Реакции
5,907
Баллы
648
По O23 сперва отсеиваются все службы драйверов и отключённые службы,
затем выполняется специфическая проверка на соответствие цифровой подписи Майкрософт.
Если основной файл запускает ещё какой-то, выполняется проверка ЭЦП всей цепочки.
Если хоть одна проверка провалилась, запись считается небезопасной.
Это только в форке (v.2.6.1.4+). А в официальном HJT v.2.0.6 там очень примитивная проверка, которую легко обойти.

Add. Более актуальная инфа будет обновляться в этом посте: Дополнение в руководство по HiJackThis (Fork)
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,132
Реакции
5,907
Баллы
648
2.6.4.4
[O22] Секция "задания" дополнена проверкой ЭЦП.
[O22] Исправлена ошибка с белым списком заданий.
Процессы Microsoft помечаются после успешной проверки ЭЦП.
[O4] Строки с не-системными SID дополняются расшифровками реального имени пользователя.
[O4] Добавлены пометки "file missing".
[O4] Исправлен баг с проверкой пустых массивов.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,132
Реакции
5,907
Баллы
648
2.6.4.5.
Исправлены ошибки в модуле проверки ЭЦП. Программа могла зависать (в основном на XP).
Убраны пометки <-- Attention у заданий с отсутствующим объектом.
Более детализированный прогрессбар.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,132
Реакции
5,907
Баллы
648
2.6.4.6 (test)
O18 - исправлено получение пути к файлу.
O23 - не всегда раскрывалось отображаемое имя службы при чтении из ресурса dll.

2.6.4.7 (test)
ЭЦП: пополнен список центров сертификации Microsoft (спасибо Akok).
ЭЦП: В O22 - ScheduledTask добавлен вывод имени, кому выдана ЭЦП, если она легитимна.
ЭЦП: К спискам процессов дописывается подтверждённое имя получателя ЭЦП.
FS: Полная ревизия файловых редиректоров. Некоторые функции не могли получить доступ к Windows\System32; часть утечек могли влиять на отказ проверки ЭЦП.
FS: Минимизировано кол-во вызовов файлового редиректора.
Добавлено раскрытие цели LNK для O4 - MSConfig\startupfolder
Изменён формат вывода O23 - Отображаемое имя службы - HKLM\..\имя ключа - путь к файлу (имя, кому выдана ЭЦП, если она легитимна) (file missing, если файл отсутствует на диске)
Изменён способ проверки присутствия файла на диске. "File missing" не будет отображаться для файлов, к которым заблокирован доступ.
Добавлено кеширование проверки присутствия файла на диске.
Исправлен порядок поиска исполняемых файлов.
Добавлен режим записи трассировки выполнения функций в лог - запускается переименованием файла в HiJackThis_debug.exe или ключем /debug
Инфо об ОС: для win10 добавлен вывод ReleaseID.
Во внутренню справку "Help -> About program -> Section" добавлен вывод подробного описания каждой секции.
ADS Spy: добавлена частичная поддержка юникодных имён
ADS Spy: исправлена циклическая проверка на симлинках
ADS Spy: добавлена поддержка х64 битных ОС
ADS Spy: добавлен вывод содержимого потока по двойному клику
ADS Spy: исправлена ошибка с открытием файла для просмотра потока
ADS Spy: пополнен белый список
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,132
Реакции
5,907
Баллы
648
2.6.4.9
O22 - изменён формат лога: убран префикс; имя файла задания объединёно с путём.
O23 - изменён формат лога: убран префикс и название службы.
O23 - добавлена проверка ServiceDll.
O23 и процессы: для файлов, не имеющих ЭЦП или чья ЭЦП не проходит проверку, выводится пометка "not signed".
Поправлены размеры всех меню с учётом перевода на Русский.
Теперь состояние 4 дополнительных настроек на вкладке "интрументы" будет сохраняться (это: вкл. в отчёт переменных окружения, рассчёт MD5, игнор. белых списков и файлов MS).
О программе: вкладки "Назначение" и "Авторы" объединены.
Проект HiJackThis переименован, убраны все упоминания о Trend Micro, кроме заметки в разделе "Авторские права".
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,132
Реакции
5,907
Баллы
648
Теперь (с v.2.6.4.9) к цепочке проверки O23 добавлена ещё и ServiceDll, которую запускает svchost.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,132
Реакции
5,907
Баллы
648
У меня плохие новости:

По информации, предоставленной куратором проекта Fernando Mercês, TrendMicro отказалась от какой-либо дальнейшей поддержки развития open-source проекта HiJackThis.
Программа убрана из секции "Free tools" официального сайта.
GitHub репозиторий кода закрыт. Напомню, что в этот репозиторий была внесена моя версия 2.6.4.1 Fork.
Руководство больше не заинтересовано в каком-либо продвижении этой программы.
SourceForge репозиторий кода под спойлером "read more" теперь содержит ссылку на мой форк.
Но эта ссылка в любой момент может быть убрана без предупреждений (как это уже один раз случалось с моими правами доступа к официальному репозиторию на GitHub).

Из хороших новостей:

С моей стороны, развитие форка проекта HiJackThis продолжается.
Но он уже никогда не будет выпущен от имени TrendMicro.
Проект теперь носит новое имя - "HiJackThis Fork" без префикса TM, но с сохранением всех авторских прав и лицензии (это можно увидеть в меню Help -> About).
Также, о первом официальном релизе форка будут оповещены все подписчики оригинальной версии TrendMicro HiJackThis.
За эту возможность поблагодарим нашего куратора проекта.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,132
Реакции
5,907
Баллы
648
2.6.4.11
O22, O23 - Убраны названия ЭЦП из лога.

2.6.4.10
O22, O23 - возвращены префиксы.
O23 - вернул вывод в лог описания службы (когда оно не совпадает с её названием)
Процессы - убрана проверка ЭЦП.
O8, O12 - строки с "no file" не выводились в лог; также добавлено "file missing".
Для всех секций добавлен принудительный перевод формата пути/имени файла 8.3 в полный.
Hosts File Editor: починена кнопка "Open in editor"
 
Сверху Снизу