Оффтоп из темы по HiJackThis

[wumbo12]

Информация

Перенесено из темы: HiJackThis+ (Plus)

@Dragokas
Пожелание , добавить кнопку "Проверить по VT" , после сканирование и отображение всех список , нажимаешь галку [] и проверить по VT - т.е Проверить по VT внизу , где лежат кнопки исправить и т.д.
Добавить всех тип сканирование в виде всех список по хэшу вывод всех список , пример :
(md5)(O7) C:\test\1.exe - (8798912398khlhadljh1213il8a61)
(md5){O3} C:\hello\123.exe - (qwe879au9ad8a7f9o1iohajklj)

 

[regist]

@Dragokas
Пожелание , добавить кнопку "Проверить по VT" , после сканирование и отображение всех список , нажимаешь галку [] и проверить по VT - т.е Проверить по VT внизу , где лежат кнопки исправить и т.д.
Добавить всех тип сканирование в виде всех список по хэшу вывод всех список , пример :
(md5)(O7) C:\test\1.exe - (8798912398khlhadljh1213il8a61)
(md5){O3} C:\hello\123.exe - (qwe879au9ad8a7f9o1iohajklj)

Это сильно замедлит создание лога. А подсчёт хеша уже есть в доп. сканировании. RTFM.

 

[wumbo12]

Это сильно замедлит создание лога. А подсчёт хеша уже есть в доп. сканировании. RTFM.

Не думаю , но ведь если компьютер производитель хорошая - ведь создание логи будет быстрый . Вот как сделано у FRST , только своя механизм у HiJackThis .
Cперва сканирование , а потом выводит всех файлов списки- а , потом указываешь какой файл нужно именно "указать" какой каталог следует отправить по VT , нажимаете директорию в виде [X] - когда нажимаешь галку и жмешь "Проверить VT" , после чего файл будет передан на VT для анализа , открывает ее браузер , а пользователь ее скопирует ссылку и сюда положить , чтобы узнать детальный анализ.

 

[regist]

но ведь если компьютер производитель хорошая

Предлагаете воткнуть в программу предупреждение. эта программа предназначена только для запуска на здоровых компьютерах, без всяких майнеров и прочего и с хорошей производительностью! И обязательным подключением к интернету. А также запрещается её использовать во всяких сборщиках которые запускаются на больных компьютерах или компьютерах с плохой производительностью.
Это уже не говоря о том, что в половине случаев отчёту вирустотал верить нельзя. Вам это повторяли во всех темах, но вы упорно продолжаете писать это.

А так вам уже давно предложили компромиссный вариант в виде спец. версии для вас, если забыли, то написано здесь.

 

[wumbo12]

Предлагаете воткнуть в программу предупреждение. эта программа предназначена только для запуска на здоровых компьютерах, без всяких майнеров и прочего и с хорошей производительностью! И обязательным подключением к интернету. А также запрещается её использовать во всяких сборщиках которые запускаются на больных компьютерах или компьютерах с плохой производительностью.
Это уже не говоря о том, что в половине случаев отчёту вирустотал верить нельзя. Вам это повторяли во всех темах, но вы упорно продолжаете писать это.

А так вам уже давно предложили компромиссный вариант в виде спец. версии для вас, если забыли, то написано здесь.

Это на заряженом системе при подключение к интернету , чтобы ее узнать идентифицкацию тела вируса - которая расположена по пути , например вы не сможете анализировать с помощью Autologger - Collection.zip - это данная не сожержит полноценная сборщик лога. Сборщик умеет только анализировать FRST-эта утилита справляется ( не все скрипты ).
Если любой вирус блокирует авто логгер с подменой , например вы не сможете запустить на заряженом , поменяв имени не AVBR или Autologger на другой имени -не спасут.
Реестр и политика очень силен ограничены из за заряженной где Disallow и могут regedit тоже заблокировать. А, вот HiJackThis - могут не попадать в списке , возможно удается ее разузнать тело вируса и категории пути - чтобы ее узнать идентификация самого вируса , чтобы ее собрать анализ и передать желающий для лаборатории антивируса - чтобы могли создать спецфизическая база - чтобы пролечить систему через Live USB .

Это, не Я придумал - а киберпреступники придумали , такую схему чтобы хелперы перестали заниматься с вирусным борьбой -его такая задача зарабатывать , сколько угодно. Цифровая киберугроза 2023 только началась.

 

[regist]

например вы не сможете анализировать с помощью Autologger - Collection.zip

Пишите не "вы", а "я " то есть "wumbo12 не может анализировать" без отчёта вирустотал.

И предлагаю закончить этот флуд. За темой всё-таки следят много людей и не только с этого форума. И вряд-ли им приятно разбирать поток этого флуда.

 

[Dragokas]

@wumbo12, вода-вода-вода.
Если есть что-то конкретное с образцом вируса или записью в логах любой из программ, что не попадает в наши логи или к чему применим некий надёжный метод авто-анализа, пишите, добавим, если это будет иметь смысл.
В противном случае, это только ваши домыслы.

Проверка на VT по хешу или через отгрузку уже есть. ПКМ (контекстное меню) по любому из пунктов результатов сканирования.
Делать массовую проверку пока не представляется возможным. Выводить в лог тем более. Тот же AutoRuns с этим не так чтобы хорошо справлялся: на моей системе в половине случаев ошибка получения данных, либо вообще не дождёшься ответа, и это с учётом что там многопоточность есть, а в HiJackThis пока нет.

Там же - получение хеша (в версии 3.0.0.4), либо массово - через галочку в Настройках.

P.S. По теме VirusTotal - не так чтобы это был бесплатный/неограниченный сервис (подчеркнуть что-то одно). Для массовых проверок нужно покупать (или участвовать в спец. программе), чтобы получить API-ключ разработчика, иначе будет упираться в лимиты == очередные тормоза, помимо возможных проблем с сетью.
Есть идеи, переложить проверку на сторону оператора, но это будет именно проверка по известному хешу, а не отгрузка нового файла.

 

[wumbo12]

@wumbo12, вода-вода-вода.
Если есть что-то конкретное с образцом вируса или записью в логах любой из программ, что не попадает в наши логи или к чему применим некий надёжный метод авто-анализа, пишите, добавим, если это будет иметь смысл.
В противном случае, это только ваши домыслы.

Проверка на VT по хешу или через отгрузку уже есть. ПКМ (контекстное меню) по любому из пунктов результатов сканирования.
Делать массовую проверку пока не представляется возможным. Выводить в лог тем более. Тот же AutoRuns с этим не так чтобы хорошо справлялся: на моей системе в половине случаев ошибка получения данных, либо вообще не дождёшься ответа, и это с учётом что там многопоточность есть, а в HiJackThis пока нет.

Там же - получение хеша (в версии 3.0.0.4), либо массово - через галочку в Настройках.

P.S. По теме VirusTotal - не так чтобы это был бесплатный/неограниченный сервис (подчеркнуть что-то одно). Для массовых проверок нужно покупать (или участвовать в спец. программе), чтобы получить API-ключ разработчика, иначе будет упираться в лимиты == очередные тормоза, помимо возможных проблем с сетью.
Есть идеи, переложить проверку на сторону оператора, но это будет именно проверка по известному хешу, а не отгрузка нового файла.

Чтобы вывела так (md5hash) ( и тут секция от O1-O24 или выше ) - чтобы конкретнее определить этот тип файл с хешью , чтобы понять хелперу/опытному пользователю, ли вообще эта хеш доверенная в заряженом системе или нет. Это без VT.

HiJackThis_O7CLF6jbRp.png

This file has been shared with you on pixeldrain

pixeldrain.com

По умолчанию , у вас отключена опция проверка по хешей - нужно , ее активировать включенный хеш ( нужно сделать настройки по умолчанию включенный хэш ).

Насчет по VT - имеет ограничений , по лимиту он может достигать в радиусе от 4 файл / 1 минуту - а максимум может отработать 500 файлов , существует API 3 с задержкой.

HiJackThis_KhbblVtBS0.png

This file has been shared with you on pixeldrain

pixeldrain.com

 

[wumbo12]

Плюс у того утилиты Не видит список :
C:\ProgramFiles(x86)
C:\ProgramData\
C:\ProgramFiles\

Не известно ли вообще , он не может выводить весь список? Жму проверить, ничего не может выводить весь список...

 

[Dragokas]

Чтобы вывела так (md5hash) ( и тут секция от O1-O24 или выше ) - чтобы конкретнее определить этот тип файл с хешью , чтобы понять хелперу/опытному пользователю, ли вообще эта хеш доверенная в заряженом системе или нет. Это без VT.

И зачем этот скриншот? - раз вы уже и так знаете, что утилита именно так и делает при включённой опции проверки хешей.

По умолчанию , у вас отключена опция проверка по хешей - нужно , ее активировать включенный хеш ( нужно сделать настройки по умолчанию включенный хэш ).

Ну, это не вам и не мне решать, а коллективу хелперов.
Если это нужно конкретно вам, поставьте галочку в настройках. В чём проблема?
Моё личное мнение: там требуется имя, кому выдана ЭЦП.

Насчет по VT - имеет ограничений , по лимиту он может достигать в радиусе от 4 файл / 1 минуту - а максимум может отработать 500 файлов , существует API 3 с задержкой.

Да, поэтому это очень мало и противоречит как минимум 2 пунктам основных кирпичиков утилиты: быть как можно более быстрой, не требовать подключения к интернету. А теперь ещё представьте, что этот ключ одновременно использует несколько юзеров, а кто-то захочет вообще вытянуть из утилиты ключ и использовать в своих собственных целях, тогда проверка вообще ляжет.

Плюс у того утилиты Не видит список :
C:\ProgramFiles(x86)
C:\ProgramData\
C:\ProgramFiles\

Эти файлы не могут выводить в список , какие файлы лежат а какие нет.

Почему только в этих, а не во всей системе целиком? Вывести все 1 млн. файлов ))
Но если вы про популярный майнер и его запреты, то это уже в планах.

 

[Dragokas]

@wumbo12, вот скажите, как любитель VirusTotal, какова вероятность, что этот файл может причинить какой-либо вред системе: VirusTotal

 

[wumbo12]

Да, поэтому это очень мало и противоречит как минимум 2 пунктам основных кирпичиков утилиты: быть как можно более быстрой, не требовать подключения к интернету. А теперь ещё представьте, что этот ключ одновременно использует несколько юзеров, а кто-то захочет вообще вытянуть из утилиты ключ и использовать в своих собственных целях, тогда проверка вообще ляжет.

Плюс у того утилиты Не видит список :
C:\ProgramFiles(x86)
C:\ProgramData\
C:\ProgramFiles\

Эти файлы не могут выводить в список , какие файлы лежат а какие нет.

Почему только в этих, а не во всей системе целиком? Вывести все 1 млн. файлов ))
Но если вы про популярный майнер и его запреты, то это уже в планах

Если человек хочет "Безопасный режим и через сеть" - сканирует пока есть возможно по VT проверять , а ключи для вам не потребуется , есть 4 бессплатные для проверки , через 1 минуту - все отвечает сам пользователь , а не разработчик самого HiJackThis -API вам не нужен , т.е все автоматизирован. VirusTotal -знает только по IP адресса компьютера и имеется ограничений самого "пользователя" - во время проверки с интервалом ожиданий.
Если все же "Premium" - ведь это отдельный функция настройки API , у кого имеется доступ к организаций индивидуальный ключ API.

@wumbo12, вот скажите, как любитель VirusTotal, какова вероятность, что этот файл может причинить какой-либо вред системе: VirusTotal

Вероятность , чтобы идентифицировать вирус - если новичок или опытный хочет проверить и сделать запрос по отправке на анализ. Если нет вреда - ничего не будет , а если вред есть какие то - то обращаются к Антивирусному вендору , например Антивирусы Kaspersky,Eset,DrWeb и другие антивирусы с вероятностью 38/45 детектов - то считает вирус , то он может самостоятельно полечить систему , после проверки HiJackThisFork - как только сообщила о известность подозрительного с учетом Re-Scan .

 

[wumbo12]

Если хелпер укажет в безопасный и следует отправить файлы. Выполните через HiJackThisFork и там снизу "Проверить по VT через секцию" нажмите галку : .

O22 - C:\ProgramData\svchost.exe - отправить на анализ .

Приложите отчет VirusTotal.

Пользователь дал ссылку :

Virustotal : md5hash -71236813t7kdjhaskui123 ( ссылкой ).

 

[Dragokas]

Если человек хочет "Безопасный режим и через сеть" - сканирует пока есть возможно по VT проверять , а ключи для вам не потребуется , есть 4 бессплатные для проверки , через 1 минуту - все отвечает сам пользователь , а не разработчик самого HiJackThis -API вам не нужен , т.е все автоматизирован. VirusTotal -знает только по IP адресса компьютера и имеется ограничений самого "пользователя" - во время проверки с интервалом ожиданий.
Если все же "Premium" - ведь это отдельный функция настройки API , у кого имеется доступ к организаций индивидуальный ключ API.

Открою вам секрет: ключ не нужен только при работе через браузер.
Для проверки из-под программы через API, ключ даже бесплатный, все равно нужен, иначе VT вернёт ошибку.

Вероятность , чтобы идентифицировать вирус - если новичок или опытный хочет проверить и сделать запрос по отправке на анализ. Если нет вреда - ничего не будет , а если вред есть какие то - то обращаются к Антивирусному вендору , например Антивирусы Kaspersky,Eset,DrWeb и другие антивирусы с вероятностью 38/45 детектов - то считает вирус , то он может самостоятельно полечить систему , после проверки HiJackThisFork - как только сообщила о известность подозрительного с учетом Re-Scan .

Понятно. Вы хотите увидеть аналог AutoRuns.

 

[wumbo12]

Открою вам секрет: ключ не нужен только при работе через браузер.
Для проверки из-под программы через API, ключ даже бесплатный, все равно нужен, иначе VT вернёт ошибку.

Понятно. Вы хотите увидеть аналог AutoRuns.

Вы совершено верно.

По поводу VT - вернет ошибку не страшно , но продолжать он сможет , просто главное чтобы он был предупрежден пользователю , нужно какие-то кнопки "Проверить по VT и предупредить , что она имеется запуск проверки 4 файла не больше в минуту , после чего может записать в отчет HiJackThisFork логи.

Если хочет какие то массы , то ведь можно сделать интервал ожиданий проверки после 4 файл /1 минуту , а через некоторые минуты просрочены - продолжает следующий файл по отправке - на анализ и запишут в очтет.

 

[regist]

По поводу VT - вернет ошибку не страшно , но продолжать он сможет

Не сможет, взяли бы хоть документацию у них почитали, у них в справке всё подробно расписано.

VirusTotal - вы так и не ответили, насколько опасен этот файл?

 

[wumbo12]

Не сможет, взяли бы хоть документацию у них почитали, у них в справке всё подробно расписано.

VirusTotal - вы так и не ответили, насколько опасен этот файл?

Файл не подписан , возможно подвергается к опасности - т.е она не защищен от подлинности.

Возможно устаревшая компиляция ( можно смело удалить антивирусом ) . Это дроппер.

 

[wumbo12]

=>>> @regist Не сможет, взяли бы хоть документацию у них почитали, у них в справке всё подробно расписано.

Вы сможете на Winja - попробуйте использовать . Все четко работает с интервалом ожиданий .

 

[regist]

Файл не подписан , возможно подвергается к опасности - т.е она не защищен от подлинности.

Устаревшая компиляция ( можно смело удалить антивирусом ).

1) А если бы он был подписан, то тогда как?
2) А если он подписан, но всего пара детектов?
3) А если он подписан, детектов нет вообще и на ВТ его проверяли первый раз года 3 три назад, но пока ни одного детекта нет (жаль, долго искать ссылку и в любом случае скорее всего уже не найду, но у меня реально был такой кейс). Да и после того как тот кейс попался, там через пару недель ситуация с детектами кардинально поменялась, так что ссылку на старую проверку скорее всего уже не найти.

 

[regist]

=>>> @regist Не сможет, взяли бы хоть документацию у них почитали, у них в справке всё подробно расписано.

Вы сможете на Winja - попробуйте использовать . Все четко работает с интервалом ожиданий .

потому что там внутри заложен ключ для разработчиков. RTFM!