NAGRIS
Full Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Вышла версия 3.10
http://dsrt.jino-net.ru/files/uvs_v310.zip
---------------------------------------------------------
3.10
---------------------------------------------------------
- Новая функция - вычисление хэша файла SHA1.
Функция доступна в:
Контекстном меню файла->В буфер обмена->SHA1
(После вычисления SHA1 будет доступен в свойствах файла и буфере обмена)
Окне информации о файле - кнопка SHA1->CB, при нажатии кнопки хэш помещается в буфер обмена.
(дополнительно производится поиск хэша в базе проверенных как и в первом случае)
В меню Подпись/Хэш (для произвольного реального файла на лок. диске или диске удаленной системы)
(хэш виртуальных файлов смотрите в их свойствах)
В меню Подпись/Хэш для всех файлов в списке, все файлы с хэшами найденными в базе помечаются
как проверенные. (гор. клавиша F4)
(!) При работе с образом используется _локальная_ база проверенных и соотв. доступна массовая
проверка хэшей файлов по вашей базе.
Для начального заполнения базы проверенных хэшами чистых файлов используйте рекурсивную функцию:
Файл->Добавить исполняемые файлы каталога в базу проверенных...
Дополнительно в меню Файл можно импортировать хэши из другой базы для объединения или пополнения
общей базы проверенных файлов.
Функции по работе с хэшем доступны при работе с _реальной_ системой и частично при работе
с образом системы. (не доступны функции добавления и удаления хэша для исключения ошибок)
Область применения - проверка файла на virustotal по SHA1 и ведение базы проверенных файлов.
База имеет имя sha1.
При обновлении списка происходит автоматическое вычисление хэша подозрительного файла,
если хэш будет найден в базе то подозрения с файла снимаются и файл получает статус "проверенный".
Код для вычисления SHA1 целиком взят из RFC3174.
- При работе с образом системы в свойства виртуальных файлов теперь доступен SHA1 в разделе
доп. информации и актуальный тип/статус виртуального файла (после проведения операций над файлом)
- Введена начальная поддержка Argument Switch Attack для получения неограниченного доступа
к защищенным процессам и их завершения. ASA тестировалась на WinXP, Win7 x86, Win7 x64 на одно и
многопроцессорных системах. Метод признан годным к использованию и в в логе uVS будет
фигурировать под именем "ASA". Использована стандартная двухэтапная ASA, максимальное
количество циклов каждого этапа 5000.
Основная область применения - завершение защищенных процессов под NTx64, где не работает старый,
но более мощный 4-й метод завершения процессов. (для краткости и логов он получил имя "IJ")
Побочная область применения - тестирования любимого защищенного софта на устойчивость к ASA.
ASA активируется автоматически при отказе в завершении процесса, если ASA не удалась, то
активируется модифицированный IJ (только для x86), где на подготовительном этапе при необходимости
используются отдельные элементы первого этапа ASA.
- В меню твиков добавлен новый пункт "Сброс значений ключей Winlogon в начальное состояние"
(твик #12)
Значения GinaDLL, SaveDumpStart, ServiceControllerStart, Taskman, LsaStart, AppSetup,
System - удаляются для HKLM и всех пользователей,
Userinit, Shell, VmApplet принимают правильное значение для HKLM и соотв. версии NT,
для пользователей удаляются.
UIHost принимает правильное значение для HKLM, для пользователей удаляется и удаляется для версий
NT>=6.
- Исправлена ошибка в функции разбора ключей реестра и в некоторых случаях приводящая
к аварийному завершению.
- Исправлена ошибка в функции разбора UIHost, Userinit, Shell и некоторых других ключей.
- Улучшены функции работы с ключами реестра, теперь при работе с ключами и значениями при
_необходимости_ автоматически происходит сброс прав доступа к ключу и в особых случаях
захват ключей с заменой его владельца на пользователя под которым запущен uVS. |
