Universal Virus Sniffer (uVS) 4.14

---------------------------------------------------------
4.14
---------------------------------------------------------
o Исправлена критическая ошибка при разборе параметров в файлах задач.
Из-за ошибки uVS мог аварийно завершится без создания дампа.

o Каталог по умолчанию теперь каталог Windows.
(Для окон выбора каталога).

---------------------------------------------------------
4.13
---------------------------------------------------------
o Добавлена поддержка Windows 10 2004 ADK для создания загрузочных дисков.
(!) Это последний пакет Windows PE x86, все что старше это x64, в котором запуск 32-х битных приложений невозможен.
Для создания дисков требуются установить следующие пакеты:
o Три компонента из Windows ADK для Windows 10 версии 2004
o средства развертывания
o средства миграции (USMT)
o набор средств оценки производительности Windows
o Windows надстройка PE для ADK версии 2004
(Скачать оба пакета можно в окне создания загрузочной флешки/ISO)
(!)Если не удается установить Windows ADK с ошибкой "Could not acquire privileges; GLE=0x514"
то следует запустить adksetup из под системной учетки, что можно сделать с помощью uVS, запущенного под LocalSystem.

o Исправлена ошибка, которая в очень редких случаях приводит к переполнению буфера при чтении строк из реестра.

---------------------------------------------------------
4.12.3
---------------------------------------------------------
o Добавлено несколько новых ключей автозапуска.

o Добавлен новый флаг запуска "Проверять весь HKCR".
Не всегда требуется загружать и проверять все CLSID (по умолчанию флаг установлен).
Снятие флага значительно ускорит скорость построения образа автозапуска за счет существенного сокращения файлов в списке.
Если флаг установлен:
o Твик #37 не исправит все проблемные пути в реестре
o Функция удаления ссылок на отсутствующие файлы не затронет незагруженную часть HKCR.

o Улучшена функция парсинга командной строки.

o Исправлена функция восстановления реестра для неактивной системы.
Добавлено удаление старых логов реестра, они могли препятствовать загрузке хайвов после оффлайн восстановления реестра.
Обновлен ABR до версии 1.10, в него внесены аналогичные с uVS изменения.
o Автозагрузка службы ABR теперь работает в отложенном режиме для устранение возможного сбоя загрузки пользовательского хайва реестра.
o Добавлен модуль defrag для дефрагментации и устранения ошибок в сохраненной копии реестра.

o В окно информации о задаче добавлены даты создания и последнего запуска.

o Теперь в лог добавляется предупреждение о слишком длинных строках в реестре (более 2к символов).

o Исправлена ошибка в функции внесения данных из reg-файла в реестр неактивной системы.

o Добавлена поддержка кэша задач версий 1(Win8 и 8.1) и 2(некоторые серверные версии). (ранее поддерживалась только 3-я версия Win10/Win11).

o Исправлена ошибка которая могла привести к переполнению буфера.

---------------------------------------------------------
4.12.2
---------------------------------------------------------
o Теперь автоматически восстанавливаются пользовательские каталоги, необходимые для загрузки пользователя при их отсутствии.

o Теперь программы использующие ключи для автозапуска в безопасном режиме получают статус "подозрительный".

o В случае если парсинг кэша задачи не удался то в информации о такой задаче добавляется поле #BINOBJ#,
содержащее в себе параметр Actions в шестнадцатеричном формате.

---------------------------------------------------------
4.12.1
---------------------------------------------------------
o Улучшена функция парсинга командной строки.

o Исправлена ошибка в парсере файла hosts, ошибка позволяла некоторым зловредам скрывать записи в hosts.

o Исправлены критические ошибки в утилитах:
o uvs_snd.exe
o cmpimg.exe

---------------------------------------------------------
4.12
---------------------------------------------------------
o Исправлена ошибка с курсором мыши при проверке списка по базе проверенных.

o Добавлена поддержка STORE для Windows 11.

o В STORE добавлены файлы для Windows 11.

---------------------------------------------------------
4.11.13
---------------------------------------------------------
o Не загружался список известных при работе с удаленной системой.

---------------------------------------------------------
4.11.12
---------------------------------------------------------
o В обработчик BITS добавлен разбор командной строки нотификации. (BITS v1.5+)

o Добавлено автоматическое определение NTFS линков.

4.11.11
---------------------------------------------------------
o Добавлена поддержка Windows 11.

---------------------------------------------------------
4.11.10
---------------------------------------------------------
o Улучшена функция определения внедренного кода.
Теперь при обнаружении модифицированного кода в процессе (hollowing/dopelganging и т.п.) выдается предупреждение в лог.

o Исправлена ошибка обработки кэша задач, задачи с отсутствующим в реестре CLSID не отображались в списке.

---------------------------------------------------------

---------------------------------------------------------
4.11.9
---------------------------------------------------------
o Твик #39 теперь дополнительно включает отслеживание командных строк завершенных процессов, командные строки отображаются в окне информации.
Только для Windows 8.1/Windows Server 2012 R2 и старше.

o WLBSCTRL.DLL теперь автоматически получает статус подозрительного файла.

o В окне информации сетевого адаптера (в разделе DNS) теперь отображается поле DHCP Domain при его наличии.

4.11.8
---------------------------------------------------------
o Управление DNS логом вынесено в отдельные твики, #41 и #42.
DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
в последнем случае необходимо перезагрузить систему после 42 твика.
(Win7 и ниже не поддерживается).

---------------------------------------------------------
4.11.7
---------------------------------------------------------
o Твики 39 и 40 обновлены и теперь включают ведение DNS лога.
В uVS добавлен раздел "DNS лог", в нем находятся адреса, которые запрашивали процессы с момента загрузки системы,
в окне информации для каждого адреса указан процесс, его pid, дата обращения к DNS и результат, если он был, промежуточные адреса
в список не включены. Например при запросе IP адреса CXCS.MICROSOFT.NET будет получен адрес CXCS.MICROSOFT.NET.EDGEKEY.NET,
который в свою очередь будет ссылаться например на E3230.B.AKAMAIEDGE.NET, в итоге в список попадет лишь исходный адрес CXCS.MICROSOFT.NET,
промежуточные адреса будут отфильтрованы.
Этот раздел поможет в выявлении зловредов/майнеров и руткитов подключающихся к определенным адресам.
(!) После включения функции требуется перезагрузить систему,
(!) только в этом случае вы получите полную информацию с момента загрузки системы.
(!) Только для активных и удаленных систем начиная с Windows 7.
(!) Включение ведения DNS лога требует дополнительно 512mb на системном диске, этого объема хватает на 30-50 минут,
(!) поэтому рекомендуется проводить анализ или создание образа сразу после перезагрузки.

---------------------------------------------------------

4.11.6
---------------------------------------------------------
o Добавлена поддержка отслеживания задач.
В окно информации исполняемого файла, который создавал, модифицировал или изменял задачи добавлены следующие разделы:
"Создание задачи", "Удаление задачи", "Обновление задачи" в которых указано время операции, pid процесса,
pid и имя запустившего процесс, а так же XML описание задачи при его наличии.
Твики #39/#40 теперь включают/отключают отслеживание процессов и задач.
(!) Только для Windows 10 билд 1903 и выше.

---------------------------------------------------------

4.11.5
---------------------------------------------------------
o Добавлена поддержка отслеживания процессов.
Отслеживание процессов позволяет определять родителя любого процесса, даже если родительский процесс уже завершен, а также
достоверно определять все файлы, которые запускались с момента старта системы.
Если отслеживание включено то в категорию "Запускался неявно или вручную" попадают только те файлы, что запускались с
момента запуска системы.
Твик #39 включает отслеживание, твик #40 отключает.
(!) После включения отслеживания процессов требуется перезагрузить систему,
(!) только в этом случае вы получите полную информацию о процессах с момента перезагрузки системы.
(!) Только дла активных и удаленных систем начиная с Vista (NT6.0).

o В информацию об исполняемом файле добавлена история запусков данного файла с указанием времени запуска и завершения процесса,
pid, пользователь, родительский процесс. Двойным щелчком левой кнопкой мышки по имени файла родительского процесса
можно открыть его информационное окно.
Данные доступны с момента запуска системы, при включенном отслеживании процессов.

o В контекстном меню критерия доступна команда для проверки всего списка по данному критерию.

o Новая горячая клавиша:
Ctrl+F7 - Отфильтровать список по пользовательской базе критериев.

o В лог добавлена информация о времени старта Windows.

---------------------------------------------------------

---------------------------------------------------------
4.11.4
---------------------------------------------------------
o Удаление lnk файлов убрано из функции удаления ссылок на отсутствующие объекты.

o Работа с VT и кэшем VT восстановлена.
(кэш работает только для массовых функций проверки)

o Добавлены новые типы поисковых критериев:
delwmi - автоскрипт добавляет в скрипт команду delwmi
deltsk - автоскрипт добавляет в скрипт команду deltsk
фильтр - объект списка получает статус "Фильтр" и попадает в категорию "отфильтрованы по критериям".
Удаление из этой категории возможно при обновлении списка или смене статуса на проверенный или подозрительный.