- Сообщения
- 8,030
- Решения
- 14
- Реакции
- 6,805
Dragokas обновил(а) ресурс HiJackThis Fork новой записью:
Обновления
Узнать больше об этом обновлении...
Обновления
Узнать больше об этом обновлении...
- Автор темы Dragokas
- Дата начала
- Сообщения
- 759
- Решения
- 5
- Реакции
- 312
Сегодня повторилось, прилагаю...
UPD: Уточню, что программа запускается от ограниченного пользователя через контекстное меню "Открыть", при этом запрос на повышение прав не возникает, а программа оседает дампом.
Последнее редактирование:
- Сообщения
- 8,030
- Решения
- 14
- Реакции
- 6,805
Спасибо. Краш-дамп очень помог. На первый взгляд похоже на бесконечную рекурсию, когда нет доступа к ключам HKLM в процессе обновления крипто-алгоритма Джека. Но тогда странно, что падает не всегда. Стек рвется в странном месте. И дизассемблер как раз с виновной функцией не справляется, а по опкодам пока не могу 100% соотнести с исходником. Постараюсь на выходных накатать исправление. Главное, что это похоже затрагивает только ограниченного в правах юзера, а в большинстве кейсов скан от админа.
- Сообщения
- 8,030
- Решения
- 14
- Реакции
- 6,805
@NickM & @all,
Хочу обсудить концепцию работы программы в режимах:
- Read Only (носитель, защищённый от записи)
- Portable (не будет писать данные в реестр)
- User с ограниченными правами
Режим запуска выбирается так:
1) Read Only - проверка доступности на запись каталога с программой.
2) Portable - ключ /portable, дописка к имени утилиты _portable.exe, либо ещё можно через галочку в настройках программы (последнее, думаю, лишнее?)
3) Limited User - и так понятно.
Данные режимы ограничивают такой функционал (и с этим нужно что-то делать):
1) Read Only
- создание папки Backup
- распаковка dll (требуется для StartupList2)
- сохранение лога
2) Portable
- создание записей в реестре (настройки программы)
3) Limited User
- полный доступ к своим настройкам в ветке HKLM
- способность фиксить элементы, к которым нет доступа
- создание полного бекапа (ABR)
- доступность инструментов Hosts, Delete service, Delete on reboot, Reg Keys Unlocker (для себя - также проверить ярлыки)
- установка в автозапуск
Указанные ограничения предлагаю разрешить таким способом:
1) папку Backup (для Read Only носителей) создавать в каталоге %LOCALAPPDATA%\HiJackThis
2) работу инструмента StartupList2 блокировать (для Read Only носителей)
3) Все логи сохранять на рабочем столе (для Read Only носителей)
* либо альтернативно, всегда запрашивать место сохранения... (?)
4) Настройки программы сохранять в файл HiJackThis.ini рядом с программой (для Portable режима)
5) Limited User - останется как есть, т.е. не сможет кое-что фиксить (и возможно, будет выдавать ошибки),
будут заблокированы некоторые инструменты. С этим ничего не поделать.
6) В связи с недоступностью HKLM для записи у Limited User, создавать настройки в ветке HKCU (а при наличии настроек в HKLM, при первом запуске склонировать их в HKCU).
7) установка в автозапуск (для Limited User) - предоставить возможность поставить только для тек. пользователя;
при этом установка осуществляется в папку %LOCALAPPDATA%\HiJackThis вместо Program Files.
Всё сказанное касается только спец. режимов.
X) Дополнительно, доработать деинсталлятор для очистки новых мест (кроме логов).
Замечания / предложения ?
Хочу обсудить концепцию работы программы в режимах:
- Read Only (носитель, защищённый от записи)
- Portable (не будет писать данные в реестр)
- User с ограниченными правами
Режим запуска выбирается так:
1) Read Only - проверка доступности на запись каталога с программой.
2) Portable - ключ /portable, дописка к имени утилиты _portable.exe, либо ещё можно через галочку в настройках программы (последнее, думаю, лишнее?)
3) Limited User - и так понятно.
Данные режимы ограничивают такой функционал (и с этим нужно что-то делать):
1) Read Only
- создание папки Backup
- распаковка dll (требуется для StartupList2)
- сохранение лога
2) Portable
- создание записей в реестре (настройки программы)
3) Limited User
- полный доступ к своим настройкам в ветке HKLM
- способность фиксить элементы, к которым нет доступа
- создание полного бекапа (ABR)
- доступность инструментов Hosts, Delete service, Delete on reboot, Reg Keys Unlocker (для себя - также проверить ярлыки)
- установка в автозапуск
Указанные ограничения предлагаю разрешить таким способом:
1) папку Backup (для Read Only носителей) создавать в каталоге %LOCALAPPDATA%\HiJackThis
2) работу инструмента StartupList2 блокировать (для Read Only носителей)
3) Все логи сохранять на рабочем столе (для Read Only носителей)
* либо альтернативно, всегда запрашивать место сохранения... (?)
4) Настройки программы сохранять в файл HiJackThis.ini рядом с программой (для Portable режима)
5) Limited User - останется как есть, т.е. не сможет кое-что фиксить (и возможно, будет выдавать ошибки),
будут заблокированы некоторые инструменты. С этим ничего не поделать.
6) В связи с недоступностью HKLM для записи у Limited User, создавать настройки в ветке HKCU (а при наличии настроек в HKLM, при первом запуске склонировать их в HKCU).
7) установка в автозапуск (для Limited User) - предоставить возможность поставить только для тек. пользователя;
при этом установка осуществляется в папку %LOCALAPPDATA%\HiJackThis вместо Program Files.
Всё сказанное касается только спец. режимов.
X) Дополнительно, доработать деинсталлятор для очистки новых мест (кроме логов).
Замечания / предложения ?
Последнее редактирование:
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
>>Portable - ... через галочку в настройках программы (последнее, думаю, лишнее?)
Конечно лишнее. Если поставить галочку, то где это должно отражаться? В реестре? Так тогда не портабл. В файле рядом который надо не забыть с собой таскать (и надо ещё приделывать тогда постоянную проверку нету ли рядом такого файла, а так файл будет искать только если запущено в этом режиме)? Так проще сам файл переименовать.
По остальному.
1) При фиксе выдавать предупреждения, что работа утилиты ограничена и спросить, где хочет создать бекап. По умолчанию можно предлагать указанную папку.
2) Да, просто аналогично выдать предупреждение, что работа утилиты ограничена. Думаю такие случаи будут очень редкие (что с RO и нужна именно эта утилита).
3) Считаю в обязательно порядке спрашивать, по умолчанию можно и рабочий стол предложить.
5) Аналогично, если пытается сделать недоступное, то просто предупреждение, что работа утилиты ограничена. Можно ещё и при запуске вывести, что работа утилиты ограничена, настройки загрузить не удалось, просьба перезапустить с правами админа.
6) Думаю не стоит.
Конечно лишнее. Если поставить галочку, то где это должно отражаться? В реестре? Так тогда не портабл. В файле рядом который надо не забыть с собой таскать (и надо ещё приделывать тогда постоянную проверку нету ли рядом такого файла, а так файл будет искать только если запущено в этом режиме)? Так проще сам файл переименовать.
По остальному.
1) При фиксе выдавать предупреждения, что работа утилиты ограничена и спросить, где хочет создать бекап. По умолчанию можно предлагать указанную папку.
2) Да, просто аналогично выдать предупреждение, что работа утилиты ограничена. Думаю такие случаи будут очень редкие (что с RO и нужна именно эта утилита).
3) Считаю в обязательно порядке спрашивать, по умолчанию можно и рабочий стол предложить.
5) Аналогично, если пытается сделать недоступное, то просто предупреждение, что работа утилиты ограничена. Можно ещё и при запуске вывести, что работа утилиты ограничена, настройки загрузить не удалось, просьба перезапустить с правами админа.
6) Думаю не стоит.
Последнее редактирование:
- Сообщения
- 8,030
- Решения
- 14
- Реакции
- 6,805
Ок, принимается. Не будем усложнять.
Остальное в принципе тоже резонно.
Тупо не загружать и не сохранять настройки - идея конечно интересная.
Но с учётом наличия такого кол-ва проблем, есть ли тогда вообще какой-то смысл разрешать утилите работать от Limited User, или проще тогда тупо заблокировать ее запуск в манифесте и дело с концом...
- Сообщения
- 8,030
- Решения
- 14
- Реакции
- 6,805
На официальной странице репозитория Trend Micro, статус проекта HiJackThis переведен из "inactive" (не активный) в "Abandoned" (т.е. "заброшен").
А для запросов на лечение ПК иностранцев теперь в приоритетном порядке предлагается наша страница на GitHub, со ссылкой на правила ассоциации.
sourceforge.net
Также, на нашу страницу GiHub добавлено зеркало с обзором HJT от COMSS One,
и упоминание форума Dr.Web, где вы можете также получить помочь с анализом лога нашего форка, подав заявку на лечение ПК.
А для запросов на лечение ПК иностранцев теперь в приоритетном порядке предлагается наша страница на GitHub, со ссылкой на правила ассоциации.
HiJackThis / Support Requests
sourceforge.net
Также, на нашу страницу GiHub добавлено зеркало с обзором HJT от COMSS One,
и упоминание форума Dr.Web, где вы можете также получить помочь с анализом лога нашего форка, подав заявку на лечение ПК.
Последнее редактирование:
- Сообщения
- 8,030
- Решения
- 14
- Реакции
- 6,805
Ночной билд обновлён.
[2.9.0.28] (Nightly) - 01.09.2020
- [*New*] Добавлена подсекция O26 - Tools:
* подмены различных инструментов, запускаемых пользовалем вручную, будут обитать там.
- [*New*] Добавлено определение Backdoor-а загрузочного экрана (Accessibility tools) - O26.
- [*New*] Добавлено определение подмены инструментов в свойствах "Мой Компьютер" (Дефрагментатор, Чистильщик, Бекап) - O26.
- [Fix] Исправлена критическая ошибка в работе белого списка для служб в 32-битных ОС (спасибо Sandor за извещение).
- [Fix] RegJumper не хотел прыгать к родительскому ключу, если цель не существовала.
- Registry Key Unlocker: добавлена кнопка "Открыть в Regedit".
- Размер и положение окон каждого инструмента, включая главное окно, теперь сохраняются при выходе из программы.
- [Limited user] Исправлено падение программы при обновлении HJT из-под ограниченной учетной записи.
- [Limited user] Некоторые функции и инструменты HJT заблокированы для ограниченного пользователя. Запускайте утилиту от имени Админа!
- [Limited user] Общее улучшение, предотвращающее ложные срабатывания в результатах проверки из-за отказов в доступе.
[2.9.0.28] (Nightly) - 01.09.2020
- [*New*] Добавлена подсекция O26 - Tools:
* подмены различных инструментов, запускаемых пользовалем вручную, будут обитать там.
- [*New*] Добавлено определение Backdoor-а загрузочного экрана (Accessibility tools) - O26.
- [*New*] Добавлено определение подмены инструментов в свойствах "Мой Компьютер" (Дефрагментатор, Чистильщик, Бекап) - O26.
- [Fix] Исправлена критическая ошибка в работе белого списка для служб в 32-битных ОС (спасибо Sandor за извещение).
- [Fix] RegJumper не хотел прыгать к родительскому ключу, если цель не существовала.
- Registry Key Unlocker: добавлена кнопка "Открыть в Regedit".
- Размер и положение окон каждого инструмента, включая главное окно, теперь сохраняются при выходе из программы.
- [Limited user] Исправлено падение программы при обновлении HJT из-под ограниченной учетной записи.
- [Limited user] Некоторые функции и инструменты HJT заблокированы для ограниченного пользователя. Запускайте утилиту от имени Админа!
- [Limited user] Общее улучшение, предотвращающее ложные срабатывания в результатах проверки из-за отказов в доступе.
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
Для чужих логов и игнор лист подходить не будет. Тут же у каждого пользователя своё имя пользователя, название папок, файлов. Так что если даже прикрутить такую фичу, то толку от неё не будет.
- Сообщения
- 8,030
- Решения
- 14
- Реакции
- 6,805
- Сообщения
- 8,030
- Решения
- 14
- Реакции
- 6,805
Ночная сборка обновлена.
[2.10.0.1 beta] (Nightly) - 01.02.2021
Добавлены новые обнаружения:
- O4 - некоторые новые места и улучшенные фиксы.
- O5 - Applet: определение сторонних и подменённых элементов панели управления.
- O7 - AppLocker:
* ОБРАТИТЕ ВНИМАНИЕ!!! Applocker по умолчанию находится в режиме белого списка: всё, что явно не разрешено - запрещено.
* Если вы удалите правило "(allow)", это конкретное приложение/папка будет заблокирована, пока вы не удалите все правила.
* Для удаления всех правил сразу, лучше воспользоваться специальной строкой "O7 - AppLocker: fix all"
- O7 - KnownFolder: определение и исправление подменённых расположений "Хорошо известных папок".
- O7 - TroubleShooting: добавлены новые переменные.
- O22 - BITS Job: определение чужих заданий службы обновления Windows.
- O22 - Tasks: (damage) подсекция добавлена для определения повреждённых и мусорных заданий таких типов:
* (user missing) - когда пользователь/группа удалены;
* (no xml) - когда xml файл задания не существует;
* (key missing) - когда ассоциированный ключ реестра не существует;
* (no key) - когда отсутствуют ссылающиеся на задание ключи;
* (empty) - когда папка задания или ключ содержит пустую запись;
* Не проверяются: целостность xml/CRC, параметры "DynamicInfo / Triggers".
Интерфейс:
- Добавлена возможность помечать сразу несколько элементов для исправления с помощью 'Shift + ЛКМ'.
- В контекстное меню результатов проверки добавлена категория "Копировать" с множеством вариантов (спасибо @TheTrick за помощь с буфером обмена).
- В контекстное меню результатов проверки добавлена категория "VirusTotal" с вариантами проверки файла/URL по хэшу и загрузки файла через SysInternals Autoruns.
Отчёт:
> Основной:
- Сортировка теперь выполняется в правильном алфавитном порядке + увеличена скорость.
- O4 - Startup подсекции переименованы для улучшения сортировки.
> /Area:Environment:
- Добавлен отчёт реестра "User Shell Folders" и "Shell Folders" в дополнение к отчёту на базе CLSID.
Почему? Потому что Microsoft не следует их собственным 'Лучшим практикам', описанным на MSDN.
> Модули "Check Browsers' LNK" и "ClearLNK":
- Убран запрос на "Разрешение закачки...", когда в настройках "Обновлений" выбран тихий режим.
- Добавлена функция авто-обновления (каждый раз, когда вы запускаете этот инструмент) - но не чаще 1 раза в месяц.
- Введена строгая проверка ЭЦП файла перед его запуском.
- Инструменты теперь будут скачиваться в подкаталог \Tools\Scan директории HiJackThis или установочной, если таковая выполнялась.
Другое:
- O4 - исправлено чтение папки автозапуска других пользователей; добавлен постфикс с именем пользователя в лог.
- O25 - исправлена редкая ошибка при подключении к WMI.
- Обновлён и улучшен механизм проверки по списку LoLBin.
- Улучшены функции работы с реестром.
- Исправлено освобождение буфера (ILFree => CoTaskMemFree).
- Явно разрешены просроченные сертификаты Microsoft (которые без штампа времени).
- Обновлены белые списки O2, O22, O23.
- Добавлен ключ командной строки /skipErrors - не отображать ошибки и не записывать предупреждения и ошибки в отчёт.
- Добавлен ключ командной строки /sha256 - вычислять SHA256 хэш файлов.
- Исправлен прогрессбар для хэша.
Инструменты:
> Пакетная проверка ЭЦП:
- Улучшена скорость, сортировка, добавлены колонки - Сертификат "Действителен с" ("Valid From"), "Действителен до" ("Valid Until"); обмен местами "File Name" и "File Path".
> Менеджер деинсталляции программ:
- Исправлена кнопка "Деинсталлировать программу" - не всегда работала.
> Менеджер процессов:
- Кнопка "Сохранить" вызывает авто-обновление списка процессов.
Особые благодарности Sandor и regist за образцы, тестирование и предложения.
Добавлены новые обнаружения:
- O4 - некоторые новые места и улучшенные фиксы.
- O5 - Applet: определение сторонних и подменённых элементов панели управления.
- O7 - AppLocker:
* ОБРАТИТЕ ВНИМАНИЕ!!! Applocker по умолчанию находится в режиме белого списка: всё, что явно не разрешено - запрещено.
* Если вы удалите правило "(allow)", это конкретное приложение/папка будет заблокирована, пока вы не удалите все правила.
* Для удаления всех правил сразу, лучше воспользоваться специальной строкой "O7 - AppLocker: fix all"
- O7 - KnownFolder: определение и исправление подменённых расположений "Хорошо известных папок".
- O7 - TroubleShooting: добавлены новые переменные.
- O22 - BITS Job: определение чужих заданий службы обновления Windows.
- O22 - Tasks: (damage) подсекция добавлена для определения повреждённых и мусорных заданий таких типов:
* (user missing) - когда пользователь/группа удалены;
* (no xml) - когда xml файл задания не существует;
* (key missing) - когда ассоциированный ключ реестра не существует;
* (no key) - когда отсутствуют ссылающиеся на задание ключи;
* (empty) - когда папка задания или ключ содержит пустую запись;
* Не проверяются: целостность xml/CRC, параметры "DynamicInfo / Triggers".
Интерфейс:
- Добавлена возможность помечать сразу несколько элементов для исправления с помощью 'Shift + ЛКМ'.
- В контекстное меню результатов проверки добавлена категория "Копировать" с множеством вариантов (спасибо @TheTrick за помощь с буфером обмена).
- В контекстное меню результатов проверки добавлена категория "VirusTotal" с вариантами проверки файла/URL по хэшу и загрузки файла через SysInternals Autoruns.
Отчёт:
> Основной:
- Сортировка теперь выполняется в правильном алфавитном порядке + увеличена скорость.
- O4 - Startup подсекции переименованы для улучшения сортировки.
> /Area:Environment:
- Добавлен отчёт реестра "User Shell Folders" и "Shell Folders" в дополнение к отчёту на базе CLSID.
Почему? Потому что Microsoft не следует их собственным 'Лучшим практикам', описанным на MSDN.
> Модули "Check Browsers' LNK" и "ClearLNK":
- Убран запрос на "Разрешение закачки...", когда в настройках "Обновлений" выбран тихий режим.
- Добавлена функция авто-обновления (каждый раз, когда вы запускаете этот инструмент) - но не чаще 1 раза в месяц.
- Введена строгая проверка ЭЦП файла перед его запуском.
- Инструменты теперь будут скачиваться в подкаталог \Tools\Scan директории HiJackThis или установочной, если таковая выполнялась.
Другое:
- O4 - исправлено чтение папки автозапуска других пользователей; добавлен постфикс с именем пользователя в лог.
- O25 - исправлена редкая ошибка при подключении к WMI.
- Обновлён и улучшен механизм проверки по списку LoLBin.
- Улучшены функции работы с реестром.
- Исправлено освобождение буфера (ILFree => CoTaskMemFree).
- Явно разрешены просроченные сертификаты Microsoft (которые без штампа времени).
- Обновлены белые списки O2, O22, O23.
- Добавлен ключ командной строки /skipErrors - не отображать ошибки и не записывать предупреждения и ошибки в отчёт.
- Добавлен ключ командной строки /sha256 - вычислять SHA256 хэш файлов.
- Исправлен прогрессбар для хэша.
Инструменты:
> Пакетная проверка ЭЦП:
- Улучшена скорость, сортировка, добавлены колонки - Сертификат "Действителен с" ("Valid From"), "Действителен до" ("Valid Until"); обмен местами "File Name" и "File Path".
> Менеджер деинсталляции программ:
- Исправлена кнопка "Деинсталлировать программу" - не всегда работала.
> Менеджер процессов:
- Кнопка "Сохранить" вызывает авто-обновление списка процессов.
Особые благодарности Sandor и regist за образцы, тестирование и предложения.
- Сообщения
- 8,030
- Решения
- 14
- Реакции
- 6,805
@sth, спасибо за сигнал.
Чтобы выяснить причину, пожалуйста, скачайте Process Monitor, распакуйте, запустите ProcMon.exe, нажмите OK.
Он немного подумает и начнёт запись (если этого не произошло, нажмите Ctrl + E ).
Запустите HiJackThis.exe и нажмите "Do a system scan and save a logfile"
Дожитесь завершения проверки или появления ошибки, переключитесь на окно Process Monitor, нажмите Ctrl + E (это остановит запись), нажмите File -> Save -> OK. Сохранённый файл прикрепите к сообщению в архиве.
Также, прикрепите системный файл C:\Windows\system32\diagtrack.dll (я посмотрю что там по подписям).
Чтобы выяснить причину, пожалуйста, скачайте Process Monitor, распакуйте, запустите ProcMon.exe, нажмите OK.
Он немного подумает и начнёт запись (если этого не произошло, нажмите Ctrl + E ).
Запустите HiJackThis.exe и нажмите "Do a system scan and save a logfile"
Дожитесь завершения проверки или появления ошибки, переключитесь на окно Process Monitor, нажмите Ctrl + E (это остановит запись), нажмите File -> Save -> OK. Сохранённый файл прикрепите к сообщению в архиве.
Также, прикрепите системный файл C:\Windows\system32\diagtrack.dll (я посмотрю что там по подписям).
Похожие темы
- Закрыта
