Выкладываю предварительную версию для оценки перед релизом v2.9.0.1
Список изменений:
Лог:
v Доработан формат строк лога.
v Добавлена пометка "Подозрительных объектов не найдено!", если кол-во записей = 0.
v Добавлено отображение режима проверки (Scan mode): если включены "Additional scan", "Environment variables", "Ignore ALL Whitelists" или отключены "Processes", "Hide Microsoft entries".
Бекапы:
v Добавлен бекап/восстановление O23, O25.
v Восстановление регистрации библиотек.
v Восстановление атрибутов файлов и меток времени.
v Восстановление исходных прав на файл / ключ реестра (спасибо Казакевичу Олегу за помощь).
v Обновлён ABR от Дмитрия Кузнецова до v1.05 (улучшена совместимость с Win10 build 1803).
Основное сканирование:
v O5 - 'Blocked IE Options' переименована в 'Hidden Control Panel items' - секция расширена для проверки любых спрятанных элементов панели управления; добавлена совместимость с Vista+
v O7 - Добавлена проверка политик NoViewOnDrive, RestrictRun, DisallowRun, NoControlPanel, LockTaskbar, NoDispCpl, NoDrives, DisableTaskMgr.
v O7 - Добавлена проверка привилегий DACL некоторых ключей политик и сертификатов.
v O7 - TroubleShooting: (EV) - добавлена проверка присутствия важных системных папок в %PATH%.
v O10 - LSP: белый список удалён. Проверка осуществляется по ЭЦП.
v O10 - LSP: теперь отображает все повреждения цепи и неизвестные провайдеры, а не останавливается на первом найденном.
v O18 - Protocols/Filters: критерий проверки заменён на ЭЦП; добавлена проверка подразделов реестра.
v O22, O23 - временно добавлены в белый список записи Windows Defender.
v O26 - Добавлено обнаружение отладчиков UWP-приложений.
Дополнительное сканирование ("Additional scan"):
v Добавлена подсекция O23 - Drivers: - список загруженных драйверов.
v Добавлена подсекция O23 - Dependency: (экспериментальная), состоит из 3 групп:
- Microsoft Service 'X' depends on unknown service: 'Y' - если запуск легитимной службы 'X' зависит от неизвестной службы 'Y'
- Microsoft Service 'X' depends on mixed group: 'Y' - если запуск легитимной службы 'X' зависит от "смешанной" сервисной группы 'Y', в которую могут входить как службы Microsoft, так и сторонние.
- Microsoft Service Group 'X' contains unknown service: 'Y' - если в состав легитимной сервисной группы 'X' входит неизвестная служба 'Y' (Примечание: некоторые сторонние службы могут вполне легально добавлять свои записи в сервисную группу Microsoft)
Сканирование переменных ("Environment variables"):
v Добавлен список специальных папок.
v Переменные окружения дополнены и разбиты на категории "[User]", "[System]", "[Current process]".
Фиксы:
v O22 - добавлено удаление исполняемого файла задания (если он не принадлежит Microsoft).
v O23 - Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
Совместимость:
v Добавлена совместимость с DBCS-системами (локале-независимость).
v Добавлена совместимость при запуске из контекста Local System:
- также в лог будет выводится пометка "<=== Attention! ('Local System' account)".
- часть инструментов в этом режиме отключена для безопасности.
v Понижена нагрузка на ЦП в режиме "Сканирование при автозагрузке системы".
v Диалоговые окна выбора файлов теперь поддерживают x64 битные папки (c:\Windows\System32).
v Проверка доступа на запись для нового лога заменена на AccessCheck() API, чтобы предотвратить конфликты с антивирусами.
v Улучшена защита от BSOD.
Ошибки:
v Баг: Исправлены случаи на Win8/10, когда строка O4 помечалась как StartupApproved (отключённая) вместо Run\Run32.
v Баг: Исправлен креш при завершении HiJackThis, запущенного из архива.
v Баг: Исправлена проблема с логом размером 0 байт, если до этого был запущен StartupList.
v Баг: Исправлен отказ в доступе при чтении некоторых заданий (спасибо Sandor за тесты).
v Баг: Устранён отказ в работе некоторых функций при установке специфического формата даты в системе.
v Баг: Исправлена ошибка с выводом бинарных данных в логе LSP.
v Доработано меню "Jump to Registry/File" для O23 и других секций.
v StartupList: добавлено отслеживание ошибок в режиме /debug, исправлены ошибки с вылетом (спасибо @Hostn4me за тесты).
Проверка обновлений:
v Баг: Исправлена проверка обновлений. Программа отвязана от github из-за проблем с https на XP и теперь скачивается с dragokas.com.
v Добавлена поддержка прокси (примечание: Socks5 не поддерживается) (спасибо Sandor за тесты).
v Добавлена опция "Update to test versions" (Обновлять до тестовых версий - если вы желаете получать самые свежие обновления, не дожидаясь стабильного релиза).
v Добавлена опция "Update in silent mode" (Обновлять в тихом режиме - программа автоматически обновится и перезапустится с исходными ключами командной строки).
Интерфейс:
v Добавлена возможность выбора шрифта (всего интерфейса либо только списков результатов сканирования и полей ввода).
v Улучшена навигация по интерфейсу во время сканирования.
v Убрана автопрокрутка списка результатов сканирования.
v Горизонтальная полоса прокрутки добавляется до завершения сканирования.
Перевод:
- Завершён перевод на русский язык списка изменений индивидуальных инструментов из 'Misc Tools'.
- Добавлен список изменений ProcMan.
- Нидерландская часть переведена на английский.
- Исправлена орфография украинского перевода.
- Обновлён английский текст с проверкой орфографических и грамматических ошибок (спасибо Tanner Helland).
Инструменты:
v В меню ПУСК добавлены ярлыки на отдельные инструменты и плагины (при установке HiJackThis).
v Соответственно, добавлены ключи командной строки:
- /tool+StartupList
- /tool+UninstMan
- /tool+DigiSign
- /tool+RegUnlocker
- /tool+ADSSpy
- /tool+Hosts
- /tool+ProcMan
- /tool+CheckLNK
- /tool+ClearLNK
v Uninstall manager (Менеджер удаления программ) обновлён до v.2.0:
- изменён интерфейс и формат строк лога.
- улучшена поддержка x64.
- добавлена метка "Hidden" для программ, которые нельзя удалить через стандартную оснастку в Панели управления.
- добавлена метка (no Uninstall command) для программ, у которых отсутствует строка вызова деинсталлятора.
- добавлена метка (User: имя пользователя) для программ, деинсталляция которых требует входа от имени другого пользователя.
- добавлен прыжок к ветке реестра.
- добавлен фильтр по HKCU / HKLM / HKU / Hidden / No uninstall command / Common Software.
v Digital Signature Checker (Инструмент проверки цифровых подписей):
- Исправлены ошибки "Отказ в доступе" при проверке некоторых файлов, защищённых DACL.
- Ускорена проверка системной папки.
- Исправлена проблема с отказом работы на Windows 7x64 SP0 и при некоторых других условиях.
- Добавлена возможность проверки и отображения стороннего производителя драйверов для Vista+.
v ProcMan: добавлена возможность перечислять модули 64-битных процессов.
v ADS Spy: добавлена кнопка "Save log..." (сохранить отчёт).
v ADS Spy: добавлена поддержка файловой системы ReFS.
Руководство:
v Завершена работа над обновлённым руководством на русском для форка и для v2.0.5:
https://regist.safezone.cc/hijackthis_help/hijackthis.html (спасибо regist)
v Обновлена краткая справка для форка (на русском, английском и украинском), доступна внутри программы => "Help" => "About HJT" => "Sections". На английском доступна на сайте:
dragokas/hijackthis
Ключи командной строки:
v Добавлены и видоизменены ключи командной строки /Area (старый вариант останется работать для обратной совместимости):
- /Area:processes заменён на /Area+Processes.
- /Area:Modules заменён на /Area+Modules.
- /Area:Environment заменён на /Area+Environment.
- /Area:Additional заменён на /Area+Additional.
- Добавлен ключ: /Area+Modules - добавляет список модулей, загруженных процессами. При этом в списке процессов отображаются их PID.
- Добавлены ключи: /Area-Processes, /Area-Modules, /Area-Environment, /Area-Additional - принудительно исключают из лога соответствующую секцию, даже если она включена пользовательскими настройками.
- Ключи /Area имеют наибольший приоритет перед остальными.
v Добавлен ключ /saveLog "Путь" (или /saveLog "Путь\Файл.log") - сохраняет отчёт в указанную папку (и под указанным именем, если расширение указано как .log).
v Ключ /silentautolog теперь отображает окно в миниатюрном виде.
v Синтаксис всех ключей расширен и теперь позволяет указывать их через дефис, например: -autolog
Другое:
v Установка HiJackThis Fork теперь доступна из-под командной строки (Chocolatey): 'choco install hijackthis'
v Лимит максимального объёма файлов при расчёте MD5 поднят до 100 МБ. Добавлен расчёт MD5 в секциях, где он был упущен.
v Пополнены белые списки R4, O4, O7 - Untrusted certificates, O22, O23.