Текущая бесплатная версия 4.1 (11-10-2018) — эта версия бесплатная, брать на офсайте
Актуальная версия: 4.1.6 (04-06-2019)
Автор Кузнецов Д.М.
Программа предназначена для облегчения процесса поиска и уничтожения неизвестных зловредов.
01. Три основных режима: работа с активными, неактивными и удаленными системами (по сети без установки доп. софта).
02. Работа с реестром в любом режиме: удаление ссылок на вирусы, устранение проблем после лечения системы антивирусом.
03. Уникальный набор фильтров и встроенный анализатор для быстрого обнаружения неизвестных зловредов.
04. Ведение пользовательской базы вирусов, автоматическое извлечение сигнатур из исполняемых файлов (в т.ч. защищенных)
05. Автоматическое обнаружение активных файловых вирусов и снятие их сигнатур.
06. Быстрое обнаружение и легкое устранение любых файловых руткитов [файл сверки + проврка цифр. подписей под чистой системой]
07. Возможность использования каталога внешних цифровых подписей (CatRoot) неактивной системы (в т.ч. и в WinPE 2.x-3.x)
RizomUV Virtual spaces (Unfold3d) знакомимся с лучшей программой для развертки
08. Запуск в режиме чистого рабочего стола. (устранение Winlock-а)
09. Специальный иммунный (к нек. видам блок. запуска) модуль зачистки системы перед запуском uVS. (StartF, устранение Winlock-а)
10. Выявление скрытого заражения MBR, Boot секторов и загрузчиков Windows. [файл сверки]
11. Удобное восстановление поврежденных/отсутствующих файлов из дистрибутива Windows. [только для Win2k/XP/2k3]
12. Бэкап реестра с его дефрагментацией и восстановлением.
———————————————————
3.10
———————————————————
— Новая функция — вычисление хэша файла SHA1.
Функция доступна в:
Контекстном меню файла->В буфер обмена->SHA1
(После вычисления SHA1 будет доступен в свойствах файла и буфере обмена)
Окне информации о файле — кнопка SHA1->CB, при нажатии кнопки хэш помещается в буфер обмена.
(дополнительно производится поиск хэша в базе проверенных как и в первом случае)
В меню Подпись/Хэш (для произвольного реального файла на лок. диске или диске удаленной системы)
(хэш виртуальных файлов смотрите в их свойствах)
В меню Подпись/Хэш для всех файлов в списке, все файлы с хэшами найденными в базе помечаются
как проверенные. (гор. клавиша F4)
(!) При работе с образом используется _локальная_ база проверенных и соотв. доступна массовая
проверка хэшей файлов по вашей базе.
Для начального заполнения базы проверенных хэшами чистых файлов используйте рекурсивную функцию:
Файл->Добавить исполняемые файлы каталога в базу проверенных.
Дополнительно в меню Файл можно импортировать хэши из другой базы для объединения или пополнения
общей базы проверенных файлов.
Функции по работе с хэшем доступны при работе с _реальной_ системой и частично при работе
с образом системы. (не доступны функции добавления и удаления хэша для исключения ошибок)
UV РАЗВЕРТКА ДЛЯ НОВИЧКОВ. ZBrush | ВСЕ О UV Mapping | КАК СДЕЛАТЬ UV
Область применения — проверка файла на virustotal по SHA1 и ведение базы проверенных файлов.
База имеет имя sha1.
При обновлении списка происходит автоматическое вычисление хэша подозрительного файла,
если хэш будет найден в базе то подозрения с файла снимаются и файл получает статус «проверенный».
Код для вычисления SHA1 целиком взят из RFC3174.
— При работе с образом системы в свойства виртуальных файлов теперь доступен SHA1 в разделе
доп. информации и актуальный тип/статус виртуального файла (после проведения операций над файлом)
— Введена начальная поддержка Argument Switch Attack для получения неограниченного доступа
к защищенным процессам и их завершения. ASA тестировалась на WinXP, Win7 x86, Win7 x64 на одно и
многопроцессорных системах. Метод признан годным к использованию и в в логе uVS будет
фигурировать под именем «ASA». Использована стандартная двухэтапная ASA, максимальное
количество циклов каждого этапа 5000.
Основная область применения — завершение защищенных процессов под NTx64, где не работает старый,
но более мощный 4-й метод завершения процессов. (для краткости и логов он получил имя «IJ»)
Побочная область применения — тестирования любимого защищенного софта на устойчивость к ASA.
ASA активируется автоматически при отказе в завершении процесса, если ASA не удалась, то
активируется модифицированный IJ (только для x86), где на подготовительном этапе при необходимости
используются отдельные элементы первого этапа ASA.
— В меню твиков добавлен новый пункт «Сброс значений ключей Winlogon в начальное состояние»
(твик #12)
Значения GinaDLL, SaveDumpStart, ServiceControllerStart, Taskman, LsaStart, AppSetup,
System — удаляются для HKLM и всех пользователей,
Userinit, Shell, VmApplet принимают правильное значение для HKLM и соотв. версии NT,
для пользователей удаляются.
UIHost принимает правильное значение для HKLM, для пользователей удаляется и удаляется для версий
NT>=6.
— Исправлена ошибка в функции разбора ключей реестра и в некоторых случаях приводящая
к аварийному завершению.
— Исправлена ошибка в функции разбора UIHost, Userinit, Shell и некоторых других ключей.
———————————————————
3.11
———————————————————
o Добавлена новая функция Файл->Добавить хэши всех проверенных файлов в базу проверенных
Хэши всех проверенных (любым способом, в т.ч. пользователем) файлов помещаются в базу проверенных.
Функция достаточно безопасная, однако будьте внимательны при пополнении собственной базы проверенных.
(!) Функция доступна и при работе с удаленной системой.
o Изменено наименование файлов копируемых в Zoo, к имени файла добавляется SHA1 файла.
o Добавлен звуковой сигнал на завершение пополнения базы проверенных.
o Оптимизирована перерисовка окна информации о файле при работе с удаленной системой.
o Оптимизирована функция импорта базы проверенных.
o Теперь при использовании гор. клавиш F6 и F4 автоматически включается опция «Скрыть проверенные»
o Теперь функции проверки цифр. подписи и хэшей не проверяют подписи уже проверенных файлов и
файлов с сетевым путем, что значительно повышает производительность особенно при последовательной
проверке.
Сбросить статус ВСЕХ проверенных файлов можно в меню Подпись/Хэш соотв. функцией.
o Теперь при работе с удаленной системой в лог заносится список всех dial-up соединений и
имя компьютера.
o Модернизирована функция сверки, теперь при определении измененных файлов используется SHA1.
(!) Формат файла сверки изменен.
o Исправлена ошибка при работе с образом системы: SHA1 печатался в лог, но не помещался в буфер
обмена соотв. командой.
o Исправлена ошибка из-за которой некоторые уже проверенные файлы не получали статус «проверенный»
после обновления списка.
o Исправлены критические ошибки, которые могли привести к аварийному завершению при работе
с удаленной системой.
o При проверке цифровых подписей известные файлы для которых проверка завершилась с ошибкой
теперь заносятся в категорию подозрительных.
o Добавлены новые горячие клавиши:
Ctrl+F1 — Скрыть/показать проверенные файлы.
Alt+F1 — Скрыть/показать известные файлы.
Alt+Up — Пердыдущая категория
Alt+Down — Следующая категория
o Функция «Открыть каталог где находится файл» теперь работает только если Explorer загружен.
o Исправлена функция разбора ключа Load. (ведущая запятая)
o Удалена ошибочная выгрузка драйверов при проверке НЕактивной системы.
http://dsrt.jino-net.ru/files/uvs_v320.zip
———————————————————
3.20
———————————————————
Добавлена возможность работы с виртуальным реестром.
Виртуализируются ветки SYSTEM и SOFTWARE. (пользовательский реестр не затрагивается)
Область применения:
Удаление ссылок на руткиты или излишне. упорный софт, который защищает свои ключи реестра,
(при невозможности загрузиться с dvd/флешки или отсутствии физического доступа к компьютеру)
(в т.ч. по сети)
Подробнее см. DOCвиртуализация.txt
Функция доступна при работе с активными/удаленным системами и образом системы.
Доступны скриптовые команды vreg и areg.
(!) Функция потенциально опасная, но и возможности которая она открывает переоценить трудно.
o Добавлен новый пункт в меню Запустить->»Внешний файловый менеджер».
(гор. клавиша Alt+F)
Менеджер запускается под тем же пользователем, что и uVS.
При первом использовании укажите исполняемый модуль вашего любимого файлового менеджера.
Рекомендуется поместить его в подкаталог в каталоге uVS, тогда будет использоваться
относительный путь вместо абсолютного, что сделает сборку мобильной.
(Настройки хранятся в файле Settings.ini)
(!) uVS не только запускает менеджер, но и выдает ему привилегии для ПОЛНОГО доступа к файлам
(!) и каталогам с ограниченным доступом. (например к System Volume Information)
(!) Будьте осторожны с этой функцией при подозрении на активный файловый вирус, uVS НЕ защищает
(!) файловый менеджер.
o Добавлена новая команда «restart» в скриптовый язык.
Команда прекращает выполнение скрипта и перезагружает систему.
В режиме работы с образом системы команда добавляется в меню «Дополнительно».
o Добавлена новая команда «breg» в скриптовый язык.
Команда выполняет бэкап реестра.
o Добавлена новая функция «Поместить копии всех НЕПРОВЕРЕННЫХ файлов в BOX».
Файлы помещаются в каталог BOX (в корне uVS) и именуются аналогично тем что попадают в ZOO.
o Добавлена возможность извлекать сигнатуры из файлов «лишенных статуса исполняемого».
o Добавлен новый пункт меню Файл->»Выполнить скрипт находящийся в буфере обмена».
o Добавлен новый твик «Удалить все Persistent routes».
(твик #13)
o Модифицирован алгоритм разбора и очистки значений некоторых важных ключей реестра.
o При неудачной проверке цифр. подписи файла, файл получает статус подозрительного.
(Только в случае массовой проверки по F6)
o Теперь в лог печатается описание ошибки проверки цифр. подписи.
o Теперь при значительных операциях с реестром Regedit автоматически закрывается.
(для устранения проблем с выгрузкой hive-ов).
o Исправлена ошибка при сортировке списка по статусу.
o Теперь при старте в лог печатаются все Persistent routes.
(Некоторые зловреды используют их для блокировки доступа к антивирусным сайтам)
o Исправлена функция построения списка файлов запускавшихся неявно.
http://dsrt.jino-net.ru/files/uvs_v321.zip
———————————————————
3.21
———————————————————
o Добавлена безопасная виртуализация SYSTEM и SOFTWARE.
Пердварительно выполняется обычный бэкап реестра и на основе бэкапа формируются виртуальные
ветки SYSTEM/SOFTWARE. Т.е. в данном случае исключаются потенциальные проблемы быстрой
виртуализации, однако после безопасной виртуализации в списке не появятся скрытые ключи реестра,
что имеет свои плюсы и минусы. Например плюс в том что в виртуальных ветках изначально отсутствуют
ключи автозапуска скрытые руткитом, т.е. после актуализации реестра руткит получит проблемы
с загрузкой уже только из-за своего стремления скрывать свой автозапуск.
(скиптовая команда sreg)
o Скриптовые команды areg, vreg, sreg, restart теперь пропускаются при исполнении скрипта на
неактивной системе.
o Модифицирована функция удаления файлов.
o Исправлена функция «Убить все вирусы», в случае если зловред, убитый этой функцией, запускался
с неявно заданным путем, то в реестре могла остаться на него ссылка.
Теперь ссылки остаются только на убитые _известные_ файлы.
o Устранена утечка памяти при открытии вложеных окон «Информация о файле».
http://dsrt.jino-net.ru/files/uvs_v323.zip
———————————————————
3.23
———————————————————
o Добавлена поддержка нестандартных путей в окно выбора каталога/файла.
В т.ч. поддерживается вход в дубликат каталога «..»
Вход в пустые каталоги больше не допускается.
(!) Стандартный каталог «..» удален из списка, возврат на уровень выше теперь возможен только
(!) с клавиатуры.
o Добавлена возможность удалить каталог из окна выбора каталога/файла.
Поддерживается удаление каталогов с дубликатом «..».
Поддерживается очистка всего диска.
Функция работает во всех режимах.
(гор. клавиша Del).
o Добавлена возможность открывать другой образ автозапуска (только в режиме работы с образом)
(гор. клавиша Ctrl+O)
o Добавлена поддержка нестандартных путей во все основные функции.
o Удалена функция оптимизации пути к файлу для поддержки нестандартных путей.
o Исправлена ошибка в функции инициализации, ошибка могла привести к подвисанию процесса uVS
на старте (если инициализация завершилась неудачно).
o Возвращена функция оптимизации пути в переработанном виде, теперь надежно отличаются
дополнительные «невидимые» подкаталоги «.» и «..» от стандартных и в случае обнаружения
в пути к файлу таких нестандартных _участков оптимизация _этих _участков НЕ производится.
(!) Зайти в такие каталоги или удалить их можно в любом окне выбора файла или каталога.
(например в окне доступном по кнопке «Проверить каталог»)
o Расширен список кривых версий PSAPI для Windows 2000, соотв. при обнаружении такой версии
в лог выдается предупреждение и используется упрощенный метод сбора загруженных DLL.
o Добавлен новый пункт меню Дополнительно->Установленные программы.
При работе с активной или удаленной системой даблкликом можно запустить соотв. деинсталлятор
в _проверяемой_системе_.
При работе с неактивной системой доступен только режим просмотра.
При работе с образом автозапуска функция недоступна.
o Оптимизирована функция сохранения образа автозапуска.
o Функция рассчета SHA1 исправлена, теперь правильно считается хэш файлов размером больше 4Gb.
o Исправлены мелкие интерфейсные ошибки в окне выбора каталога/файла.
Горячая клавиша Del теперь может удалять и отдельные файлы.
o Исправлена ошибка сохранения образа для удаленных систем.
(не добавлялись дополнительные файлы из системных папок при установленном фильтре на дату)
o Создано специальное окно для более удобного применения твиков.
(гор. клавиша Alt+T)
o Добавлены твики:
15 — Разрешить отображение вкладки Экран->Рабочий стол
16 — Разрешить отображение вкладки Экран->Заставка
17 — Полная очистка ключей SaferCodeIdentifiers�Paths
18 — Снять ограничения на запуск приложений в Explorer-е
o В категории «Линки на отс. файлы» добавлена поддержка горячей клавиши Del.
(удаление файла без предупреждения)
o Из функции «Выгрузить ВСЕ неизвестные/непроверенные процессы и блокировать запуск служб»
исключена _принудительная проверка цифровых подписей, что делает ее более гибкой.
Например если вы хотите выгрузить все неизвестные за исключением 1-2 процессов, то просто
помечаете нужные файлы проверенными вручную и затем запускаете эту функцию. Если хотите
выгрузить ВСЕ неизвестное и непроверенное, то сперва проверяете подписи и/или хэши.
o Удален третий метод завершения процессов из-за конфликта с самозащитой
Trend Micro OfficeScan 10-й версии. (как в uVS так и в StartF)
Оставлен лишь базовый метод (номер 1) и два метода для продавливания (само)защиты ASA и IJ.
TM не был добавлен в исключения, поскольку IJ его полностью выгружает без фатальных последствий
для системы свойственных бывшему методу номер 3 и номеру 2 (отключенному в v2.83).
KAV теперь тоже не конфликтует с функциями массового завершения процессов,
соотв. он удален из списка исключений.
| Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 |
Источник: forum.ru-board.com
Universal Virus Sniffer
Universal Virus Sniffer — мощная программа для упрощения выявления и устранения неизвестных вирусов, троянов и руткитов. Способна работать на зараженном компьютере под управлением Windows, а также может использоваться для лечения неактивных и удаленных систем.
Ключевые возможности программы:
- Несколько режимов сканирования.
- Позволяет сканировать как локальный ПК, так и удалённую систему.
- Удаление ссылок на вирусы и устранение проблем после работы антивируса в системном реестре.
- Создание образов автозапуска.
- Быстрое обнаружение неизвестных угроз при помощи уникального набора фильтров.
- Обнаружение заражения MBR и Boot-секторов.
- Восстановление повреждённых и отсутствующих системных файлов Windows.
- Генерация скриптов для защиты системы в реальном времени. Они могут быть выполнены из файла, либо из буфера обмена.
- Дефрагментация и восстановление реестра.
- Отправка файлов на VirusTotal для дальнейшей проверки.
- Удобное управление с поддержкой «горячих клавиш».
С нашего сайта вы можете скачать Universal Virus Sniffer бесплатно, без регистрации и СМС.
Источник: freesoft.ru