HiJackThis+ (Plus)

HiJackThis+ (Plus) 3.4.0.8

Dragokas обновил(а) ресурс HiJackThis+ (Plus) новой записью:

Обновления

[3.0.0.6 Alpha] - 04.06.2023
- Борьба с ложными детектами антивирусов:
* Зашифрованы строки с ключами Windows Defender
* Откат оптимизации CopyBytes, потому что эту функцию не любит Avira :(
* Временно переключились на легитимный сертификат, у которого почти истёк срок годности
- Релизная ссылка GitHub заменена на статическую к стабильной версии 2.x, которая не будет обновляться.

[3.0.0.4 Alpha] - 03.06.2023
- Добавлен таймаут ожидания BitsAdmin (спасибо Sandor)
- Улучшена...

Узнать больше об этом обновлении...
 
Dragokas обновил(а) ресурс HiJackThis+ (Plus) новой записью:

Обновления

[3.1.0.1 Alpha] - 17.06.2023
- Добавлено обнаружение O4 - Active Setup (спасибо regist).
- Добавлена пометка (+safe mode) для служб и драйверов, которые запускаются в безопасном режиме.
- Добавлен вывод в лог имени подписавшего файл; все подробности можно прочитать в доп. справке: Дополнение в руководство по HiJackThis+
- Инструмент проверки ЭЦП:
* добавлено поле "Root Issuer" - имя...

Узнать больше об этом обновлении...
 
Ну вообщем держитесь - очень долго, муторно и много всего пришлось дорабатывать + снял большинство оптимизаций в угоду корректной проверке ЭЦП и вывода точной инфы о названии подписывающей стороны.
В итоге где-то скорость могла просесть в x4 раза. Сейчас главное, чтобы инфа выводилась корректно. Об оптимизации подумаем позже.
 
Dragokas обновил(а) ресурс HiJackThis+ (Plus) новой записью:

Обновления

[3.1.0.2 Alpha] - 19.06.2023
- Инструмент проверки ЭЦП:
* добавлены экспертные опции
* добавлен фильтр PE EXE (поиск всех файлов, соответствующих формату Portable Executable)
- O23 - Driver: Исправлен пропуск сторонних драйверов, подписанных с единственной подписью (от Microsoft).
- O23 - Driver: Если сторонний драйвер подписан только Microsoft, к пометке будет добавлено поле "CompanyName" из свойств файла.
- Принудительный запуск в режиме "Additional Scan", если до этого...

Узнать больше об этом обновлении...
 
Возникла непредвиденная ошибка в функции: modOpenFolder.DlgWndProc
Error # 5 - Invalid procedure call or argument
HRESULT: Access is denied.
LastDllError # 0
Trace info:

Windows version: x64 Windows 10 (Home), 10.0.19045.3155, Service Pack: 0
HiJackThis+ (Alpha version) by Alex Dragokas v.3.1.0.2

Специальный билд для @Wheelman для тестирования этой ошибки.
Использование: запустить, сделать тоже самое, и сообщить:
1) появилась ли ошибка, если да, нужен новый текст из нее
2) если нет, корректно ли добавилась выбранная папка
 
Последнее редактирование:
Ошибка не появляется, но Буква любого моего раздела диска при выборе через кнопку Chooce тоже не появляется.
Если в строку вручную написать к примеру c:\ , то выбранный раздел программа сканирует.
 
1) используете ли вы какие-то программы для изменения вида/темы/функционала окна проводника?
2) если выбрать не корень диска, а какую-нибудь папку внутри него, нормально добавляется?
3) там есть 2 режима добавления, при первом: в окне "этот компьютер" достаточно выделить диск (не заходя на него), и нажать "Select". Во втором, вы заходите в корень диска, и не выделяя ничего нажимаете "Select", при этом в адресной строке не обязательно должно быть что-то написано. В каком из этих режимов диск не добавляется?
 
1) Нет.
На другие 2 вопроса скорее всего не сегодня а завтра отвечу.
Сегодня я уже подзапарился с этими программами).
 
@NickM, похоже на багу винды: отсутствие проверки на null при обработке параметров дочерними функциями WinVerifyTrust (проверка ЭЦП).
Код:
FAILURE_BUCKET_ID:  NULL_POINTER_READ_c0000005_xapauthenticodesip.dll!XAP_IsFileSupportedName
Возможно, один из проверяемых файлов имел кривую структуру сертификата или что-то из нового стандарта, а в ОС не стоит нужный патч.
Для подтверждения нужен пошаговый лог.
Можете запросить лог от отладочной версии? ( https://dragokas.com/tools/HiJackThis_dbg.zip )
Кстати, чем интересно были собраны креш-дампы выше? Вижу что от WER, но он выдаёт чуть по-другому.
 
Можете запросить лог от отладочной версии? ( https://dragokas.com/tools/HiJackThis_dbg.zip )
Физический доступ к системе получу завтра и попробую предложенную версию;
Кстати, чем интересно были собраны креш-дампы выше? Вижу что от WER, но он выдаёт чуть по-другому.
Отчёт собрался автоматически, Мне осталось только взять и подготовить архив :Biggrin: из:
Код:
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\
 
@NickM, тогда заодно просьба взять в карантин файл, указанный в самой последней строчке лога вида:
Код:
SignVerify: c:\xxxxx.exe
 
тогда заодно просьба взять в карантин файл, указанный в самой последней строчке лога вида:
Код:
SignVerify: c:\xxxxx.exe
Хмм, такого файла что-то не припомню - вроде как в корне тома "лишних" файлов не завалялось... но да, завтра гляну "получше", никаких "активных" действий сегодня с нею не производил.
 
Я имел в виду - то, что вы в отладочном логе увидите; выше просто пример.

Выполните обратный поиск от конца файла лога по слову "SignVerify:"
Вот на проверке этого файла и падает программа, при чём скорее всего не только моя, а любая которая попытается проверить ЭЦП.
 
Последнее редактирование:
Эта версия при запуске показала 2 ошибки и на этапе сканирования "упала", и ничего кроме тестового файла не создала :Dntknw:


 точечный рисунок (2).webp
 точечный рисунок.webp
 

Вложения

@NickM, косяк в отладочной версии, перезалил пофиксенную по той же ссылке.
 
Извиняйте, система уже изменилась и все версии работают без ошибок :Dntknw: (ранее удалял "Microsoft Silverlight").

Но, обратил внимание на различие результатов в версиях - отсутствуют пендинги "Session Manager".

Возможно это так и было задумано?

Но всё же:

 точечный рисунок.webp
 
Возможно это так и было задумано?
Да, были замечания на счёт целесообразности. Это промежуточная ещё не релизнутая версия, которая ещё в работе и там часть PendingFileRenameOperations убраны вообще:

[3.1.0.4 Alpha] - xxx (в процессе разработки)
- Добавлена секция O27 - Account и RDP. Описание можно найти в меню Помощь - О программе - Секции.
- O7 - Autologon перемещён в O27.
- Добавлено определение O7 - Policy: Bitcoin wallet address hijacker is present (без фикса).
- Элементы отложенного удаления файлов помещены в белый список (известные как PendingFileRenameOperations -> DELETE).
- Анализатор типа ключей реестра: добавлена настройка "Создать ключ, если не существует" (создаст ключ и сразу удалит его после проверки, если он отсутствовал).

Вообщем, отложенного удаления не будет в логах (если только специально не поставить галочку "Ignore All Whitelists"). А отложенное переименование останется.
 
Последнее редактирование:
Пока мой куратор на вики подключился и помогает добавить ссылки на книги и статьи известных новостных изданий. Если, есть, что добавить... велком.
 
Назад
Сверху Снизу