Universal Virus Sniffer (uVS)

Universal Virus Sniffer (uVS) 4.15.1

---------------------------------------------------------
4.15.1
---------------------------------------------------------
o При запуске с диска uVS v4.15+ требуется наличие поддержки HTA.
Рекомендуется интрегрировать и WMI.
Рекомендуемый размер шрифта 8.

o Добавлен новый раздел "Defender: Исключения".
В раздел вошли ислючений Windows Defender-а. (пути, файлы, расширения, процессы).
(!) Удаление исключений возможно лишь при виртуализации реестра.

o Сохранение реестра в каталог: теперь сохраняется BCD.
Повреждения BCD (в том числе и логические) могут привести к отказу загрузки системы или к полному зависанию системы при запуске некоторых приложений,
подвисаниям при смене разрешения экрана или использовании панели nVidia, использовании 3D режима видеокарты и т.п.

Причины повреждений BCD: проблемы с диском, оперативной памятью или использование утилиты msconfig, последнее может привести к симптомам сходным
с отказом железа, я НЕ рекомендую запускать эту "полезную" утилиту.

o Восстановление реестра из каталога теперь восстанавливает BCD.
После восстановление реестра система будет автоматически перезагружена (только для активной системы).

o Обновлен start.exe:
o используются настройки шрифта из setting.ini
o добавлена кнопка для перезагрузки в меню дополнительных параметров загрузки.
o при загрузке с диска автоматически выбирается для работы первая доступная система.

o Добавлен твик #43 [Win7] Устранить последствия использования msconfig.
Для Windows 7 и старше.
Твик удаляет ключи в BCD, добавленные в него msconfig-ом для активации безопасного режима.
Твик не влияет на опции выборочной/диагностической загрузки в msconfig-е, удалению подлежат лишь 10 ключей связанных с безопасным режимом или
ограничивающих работу системы. Именно эти опции приводят к проблемам с системой после использования msconfig-а.
(!) Для загрузки в безопасный режим или командную строку всегда используйте меню дополнительных параметров загрузки системы, в отличии от
(!) того что делает msconfig это безопасный способ и в случае неработоспособного безопасного режима система всегда сможет загрузиться.

o Теперь в каталог с сохраненным реестром помещаются утилиты restore и defrag из пакета ABR v1.20.

o Теперь перед актуализацией реестра автоматически запускается функция "Принять изменения". (включая скриптовую команду areg)

o Улучшена функция удаления защищенных ключей, вероятность удаления защищенных ключей повышена.

o В результатах сервиса VT дата "First Seen In The Wild" теперь игнорируется из-за низкой ее достоверности.

o Исправлена ошибка отображения развернутого лога.

o Исправлена ошибка пересчета размера элементов в основном окне.

o Исправлена ошибка пересчета размера элементов в окне информации.

o Исправлены мелкие ошибки интерфейса.

---------------------------------------------------------
4.15
---------------------------------------------------------
o Исправлена ошибка в функции виртуализации реестра, которая потенциально могла привести к порче кустов реестра.

o Функция быстрой виртуализации удалена.
Скриптовые команды sreg и vreg теперь синонимы.

o Для совместимости со старшими версиями Windows обновлена функция замены/восстановления реестра,
теперь создается специальный каталог "uvs_regback" в корне системного диска,
все операции необходимые для бэкапа и замены кустов реестра производятся только в нем.

o Исправлена ошибка из-за которой при восстановлении реестра из каталога с бэкапом удалялись сохраненные файлы:
security, drivers, components. Идентичная ошибка есть и в ABR v1.10.

o Исправлена ошибка из-за которой не все каталоги с бэкапом реестра отображались в окне выбора.

o Новый параметр в settings.ini
[Settings]
; Размер основного шрифта
FontHeight (по умолчанию 10)

o Новый параметр в settings.ini
[Settings]
; Название основного шрифта
FontName (по умолчанию Tahoma)

---------------------------------------------------------
4.14.1
---------------------------------------------------------
o Добавлена возможность работать с файлами на разделах без присвоенной буквы диска.
Например: \DEVICE\HARDDISKVOLUME1\EFI\MICROSOFT\BOOT\RECOVERY.EXE
Файлы с аналогичным путем автоматически попадают в раздел подозрительных файлов.
Доступна вся информация о таких файлах в списке автозапуска, кроме иконки.
Доступны все операции с файлом.
(Возможно функция не будет работать на устаревших версиях Windows)
---------------------------------------------------------
4.14
---------------------------------------------------------
o Исправлена критическая ошибка при разборе параметров в файлах задач.
Из-за ошибки uVS мог аварийно завершится без создания дампа.

o Каталог по умолчанию теперь каталог Windows.
(Для окон выбора каталога).
---------------------------------------------------------
4.13
---------------------------------------------------------
o Добавлена поддержка Windows 10 2004 ADK для создания загрузочных дисков.
(!) Это последний пакет Windows PE x86, все что старше это x64, в котором запуск 32-х битных приложений невозможен.
Для создания дисков требуются установить следующие пакеты:
o Три компонента из Windows ADK для Windows 10 версии 2004
o средства развертывания
o средства миграции (USMT)
o набор средств оценки производительности Windows
o Windows надстройка PE для ADK версии 2004
(Скачать оба пакета можно в окне создания загрузочной флешки/ISO)
(!)Если не удается установить Windows ADK с ошибкой "Could not acquire privileges; GLE=0x514"
то следует запустить adksetup из под системной учетки, что можно сделать с помощью uVS, запущенного под LocalSystem.

o Исправлена ошибка, которая в очень редких случаях приводит к переполнению буфера при чтении строк из реестра.
---------------------------------------------------------
4.12.3
---------------------------------------------------------
o Добавлено несколько новых ключей автозапуска.

o Добавлен новый флаг запуска "Проверять весь HKCR".
Не всегда требуется загружать и проверять все CLSID (по умолчанию флаг установлен).
Снятие флага значительно ускорит скорость построения образа автозапуска за счет существенного сокращения файлов в списке.
Если флаг установлен:
o Твик #37 не исправит все проблемные пути в реестре
o Функция удаления ссылок на отсутствующие файлы не затронет незагруженную часть HKCR.

o Улучшена функция парсинга командной строки.

o Исправлена функция восстановления реестра для неактивной системы.
Добавлено удаление старых логов реестра, они могли препятствовать загрузке хайвов после оффлайн восстановления реестра.
Обновлен ABR до версии 1.10, в него внесены аналогичные с uVS изменения.
o Автозагрузка службы ABR теперь работает в отложенном режиме для устранение возможного сбоя загрузки пользовательского хайва реестра.
o Добавлен модуль defrag для дефрагментации и устранения ошибок в сохраненной копии реестра.

o В окно информации о задаче добавлены даты создания и последнего запуска.

o Теперь в лог добавляется предупреждение о слишком длинных строках в реестре (более 2к символов).

o Исправлена ошибка в функции внесения данных из reg-файла в реестр неактивной системы.

o Добавлена поддержка кэша задач версий 1(Win8 и 8.1) и 2(некоторые серверные версии). (ранее поддерживалась только 3-я версия Win10/Win11).

o Исправлена ошибка которая могла привести к переполнению буфера.

---------------------------------------------------------
4.12.2
---------------------------------------------------------
o Теперь автоматически восстанавливаются пользовательские каталоги, необходимые для загрузки пользователя при их отсутствии.

o Теперь программы использующие ключи для автозапуска в безопасном режиме получают статус "подозрительный".

o В случае если парсинг кэша задачи не удался то в информации о такой задаче добавляется поле #BINOBJ#,
содержащее в себе параметр Actions в шестнадцатеричном формате.

---------------------------------------------------------
4.12.1
---------------------------------------------------------
o Улучшена функция парсинга командной строки.

o Исправлена ошибка в парсере файла hosts, ошибка позволяла некоторым зловредам скрывать записи в hosts.

o Исправлены критические ошибки в утилитах:
o uvs_snd.exe
o cmpimg.exe
  • Like
Реакции: akok, Alex1983 и machito
---------------------------------------------------------
4.12
---------------------------------------------------------
o Исправлена ошибка с курсором мыши при проверке списка по базе проверенных.

o Добавлена поддержка STORE для Windows 11.

o В STORE добавлены файлы для Windows 11.

---------------------------------------------------------
4.11.13
---------------------------------------------------------
o Не загружался список известных при работе с удаленной системой.

---------------------------------------------------------
4.11.12
---------------------------------------------------------
o В обработчик BITS добавлен разбор командной строки нотификации. (BITS v1.5+)

o Добавлено автоматическое определение NTFS линков.
4.11.11
---------------------------------------------------------
o Добавлена поддержка Windows 11.

---------------------------------------------------------
4.11.10
---------------------------------------------------------
o Улучшена функция определения внедренного кода.
Теперь при обнаружении модифицированного кода в процессе (hollowing/dopelganging и т.п.) выдается предупреждение в лог.

o Исправлена ошибка обработки кэша задач, задачи с отсутствующим в реестре CLSID не отображались в списке.

---------------------------------------------------------
  • Like
Реакции: E100 и Guest
---------------------------------------------------------
4.11.9
---------------------------------------------------------
o Твик #39 теперь дополнительно включает отслеживание командных строк завершенных процессов, командные строки отображаются в окне информации.
Только для Windows 8.1/Windows Server 2012 R2 и старше.

o WLBSCTRL.DLL теперь автоматически получает статус подозрительного файла.

o В окне информации сетевого адаптера (в разделе DNS) теперь отображается поле DHCP Domain при его наличии.
  • Like
Реакции: machito и akok
4.11.8
---------------------------------------------------------
o Управление DNS логом вынесено в отдельные твики, #41 и #42.
DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
в последнем случае необходимо перезагрузить систему после 42 твика.
(Win7 и ниже не поддерживается).

---------------------------------------------------------
4.11.7
---------------------------------------------------------
o Твики 39 и 40 обновлены и теперь включают ведение DNS лога.
В uVS добавлен раздел "DNS лог", в нем находятся адреса, которые запрашивали процессы с момента загрузки системы,
в окне информации для каждого адреса указан процесс, его pid, дата обращения к DNS и результат, если он был, промежуточные адреса
в список не включены. Например при запросе IP адреса CXCS.MICROSOFT.NET будет получен адрес CXCS.MICROSOFT.NET.EDGEKEY.NET,
который в свою очередь будет ссылаться например на E3230.B.AKAMAIEDGE.NET, в итоге в список попадет лишь исходный адрес CXCS.MICROSOFT.NET,
промежуточные адреса будут отфильтрованы.
Этот раздел поможет в выявлении зловредов/майнеров и руткитов подключающихся к определенным адресам.
(!) После включения функции требуется перезагрузить систему,
(!) только в этом случае вы получите полную информацию с момента загрузки системы.
(!) Только для активных и удаленных систем начиная с Windows 7.
(!) Включение ведения DNS лога требует дополнительно 512mb на системном диске, этого объема хватает на 30-50 минут,
(!) поэтому рекомендуется проводить анализ или создание образа сразу после перезагрузки.

---------------------------------------------------------
  • Like
Реакции: E100 и Guest
4.11.6
---------------------------------------------------------
o Добавлена поддержка отслеживания задач.
В окно информации исполняемого файла, который создавал, модифицировал или изменял задачи добавлены следующие разделы:
"Создание задачи", "Удаление задачи", "Обновление задачи" в которых указано время операции, pid процесса,
pid и имя запустившего процесс, а так же XML описание задачи при его наличии.
Твики #39/#40 теперь включают/отключают отслеживание процессов и задач.
(!) Только для Windows 10 билд 1903 и выше.

---------------------------------------------------------
  • Like
Реакции: machito, Guest и E100
4.11.5
---------------------------------------------------------
o Добавлена поддержка отслеживания процессов.
Отслеживание процессов позволяет определять родителя любого процесса, даже если родительский процесс уже завершен, а также
достоверно определять все файлы, которые запускались с момента старта системы.
Если отслеживание включено то в категорию "Запускался неявно или вручную" попадают только те файлы, что запускались с
момента запуска системы.
Твик #39 включает отслеживание, твик #40 отключает.
(!) После включения отслеживания процессов требуется перезагрузить систему,
(!) только в этом случае вы получите полную информацию о процессах с момента перезагрузки системы.
(!) Только дла активных и удаленных систем начиная с Vista (NT6.0).

o В информацию об исполняемом файле добавлена история запусков данного файла с указанием времени запуска и завершения процесса,
pid, пользователь, родительский процесс. Двойным щелчком левой кнопкой мышки по имени файла родительского процесса
можно открыть его информационное окно.
Данные доступны с момента запуска системы, при включенном отслеживании процессов.

o В контекстном меню критерия доступна команда для проверки всего списка по данному критерию.

o Новая горячая клавиша:
Ctrl+F7 - Отфильтровать список по пользовательской базе критериев.

o В лог добавлена информация о времени старта Windows.

---------------------------------------------------------
  • Like
Реакции: machito, E100 и Guest
Назад
Сверху Снизу