|
Novinky
|
|
Novinky
|
UPM 5.0.0 screenshoty |
|
|
|
Napsal Lodus
|
|
Saturday, 19 September 2009 |
|
Jak jsem slíbil (trochu se spožděním, jako vždy) sem dávám k nahlédnutí nějaké screenshoty ze zavirovaného virtuálního PC s UPM:
Po spuštění téměr tak, jak znáte. UPM nyní nosí databázi cca 49 000 nejběžnějších virů (viz červené broučko-ikonky).
Detaily procesu mají několik nových udělátek, včetně stromového výpisu důležitých struktur, jako je např. PEB, kdy pouhým stisknutím klávesy CTRL je tyto hodnoty možné jednoduše editovat (viz BeingDebugged byte) - tato editace funguje rovněž u IAT a EAT (je libo ručně zaháknout IAT? ;)).
SmallArk a jeho transformace do plně využitelného menšího antirootkitu, scanner změn v kódu testuje jak IAT, EAT, tak i spustitelný kód na libovolné změny, na obrázku jsou filtrovány jen změny, pomocí kterých je možné skákat.
Scanner již nescanuje pouze procesy, ale udělá rychlý výpis všeho, co v UPM je a to včetně možnosti scanovat libovolnou složku.
Online prohlížeč logu - již není potřeba, aby uživatel log vložil do emailu a ten pak odeslal, UPM odešle log na server a uživatel jen přepošle odkaz, hlavní výhodou Online prohlížeče je, že je napojen na databázi malware, takže pomůže s dalším a rychlejším odhalení dalších škodlivin :)
UPM na LiveCD s rychlostí vyřeší i ty zapeklitější případy
10.10. 2:55 ráno:
Registrace libovolného souboru včetně libovolné popisky - vytvořte si vlastní databázi bezpečných souborů
Nějaké komentáře? ;)
Pracovní verze (15:27, 1. 11.): tady (testováno na XP (32bit) a Win7 (32bit) (tady nutno spustit pod adminem)).
|
|
|
Vitro (nový virut), VTRidder (remover) |
|
|
|
Napsal Lodus
|
|
Friday, 27 February 2009 |
|
Po tom, co se dva kamarádi nakazili novým fileinfectorem a po tom, co jsme zjistili, že zatím neexistuje žádný remover, rozhodl jsem se napsat vlastní.
CZ: VTRidder dokáže vyléčit soubory nakažené Vitrem, popřípadě nabídne jejich přejmenování. Kromě Vitra detekuje i starší verze Virutu (které ale neumí léčit), nebo i dalších pe infektorů. Utilita je vytvořena jako prvotní a dočasné řešení, dokud některá z AV firem nepřinese komplexní řešení tohoto velkého problému.
Po spuštění VitroRidderu je dostupná možnost vhodná pro sken infikovaného systému, kdy jsou vypnuty všechny nepotřebné procesy. Zvolte složku / disk, který chcete otestovat, do soubor log.txt jsou zapisovány výsledky. Soubory označené jako [R] byly opraveny známou nákazou Vitra.
VTRidder zatím nebyl testován na plně infikovaném PC.
EN: VTRidder (Vitro remover, Vitro ridder) can repair files infected by Vitro file infector, otherwise will offer next actions. VTRidder detects older versions of Virut (no repair) and some next file infectors. This utility is created as first and temporary solution until any AV company brings better and complex solution of this huge problem.
- DOWNLOAD -
AD 4.2. 2009: http://www.avg.com:80/virus-removal.ndi-67762
|
|
|
Ultimate Process Manager v4.1.3 |
|
|
|
Napsal Lodus
|
|
Friday, 02 January 2009 |
Tak po neustálém tvrzení "příští verze bude za týden" vydávám po pár měsísích konečně novou verzi
UPM. Vývoj této verze UPM doprovázel ohromný nedostatek času, který většinou sežrala škola. Tak se omlouvám všem, kteří netrpělivě čekali na novou verzi a ještě více se omlouvám těm, kteří mi psali na email a já neodpověděl, jelikož jsem nebyl ve stavu vhodných k odpovědi, nebo jsem si nových mailů vůbec nevšiml. Také se omlouvám člověku, který mi poslal skript, který řeší registraci OCX na Vistách a prosím jej, zda-li by mi neposlal skriptík znovu.
Výhodou tohoto zdlouhavého vývoje bylo, že jsem do UPM implementoval funkce pro práci s k-mem, v nové verzi tak naleznete enum SSDT včetně detekce háků a SSDTS triků, to vše implementované ve SmallArku. Zatím se jedná pouze o trik na WXP, ale slíbená verze 5.0.0 poběží na ovladačích, takže poběží i na W2k, XP a Vista 32 bit.
Jako obvykle bych rád poděkoval hlavně Vrtulemu za poskytované know how a know why. Také bych rád poděkoval za . PB-mu a dalším betatesterům: Gorog, Libor, Mullah Omar, General, Tafif, Gurp, D.LoRD, reke esn us a dalším. Zdravím Eset a Microsoft :)
UPM 4.1.3
[+] předpříprava na ovladače - výpis SSDT a kernel modulů + test triků (Small ARK, zatím pouze XP)
[+] přidané další položky Po spuštění (Po spuštění)
[+] zrychlené používání whitelistů
[+] možnost používat malé okno UPM (Nastavení)
[~] oprava mnoha bugů
- DOWNLOAD -
|
|
|
Ultimate Process Manager v4.1.2 |
|
|
|
Napsal Lodus
|
|
Tuesday, 16 September 2008 |
|
UPM 4.1.2 přináší několik změn. Tou první, které si všimne asi většina normálních uživatelů je, že zmizelo dialogové okno "Klikněte na tlačítko 1 / 2 / 3" (které se dalo v nastavení vypnout; ustoupím tedy těm, kteří se do nastavení a do nápovědy nepodívali a prohlašovali UPM za shareware).
Velkou změnou (pouze pro využití UPM v boji proti virům) je předělané whitelistování. UPM nyní obsahuje databázi legitimních souborů, která budou neustále doplňována (nyní cca 1800 souborů). Whitelistované soubory pak nejsou v UPM / logu UPM zobrazeny (samozřejmě pokud se nenastaví jinak). Efekt to má takový, že několikaset řádkové logy z UPM jsou tak v některých případech zdecimovány na několik málo řádků. Ovšem je nutné databázi stále doplňovat. UPM při svém spuštění zjistí, zda-li je dostupná novější databáze a nabídne její stáhnutí. Tento whitelist nahradí předchozí uživatelem registrované soubory. V nejbližší době bude vytvořen veřejný interface, pomocí kterého bude možné do whitelistu soubory přidávat, ten pak bude distribuovaný do UPM klientů. Aktuální whitelist je vytvořen na základě logů od důvěryhodných osob s čistým a zabezpečným systémem. Pokud k takovým patříte i Vy, byl bych vděčný za Váš log (prosím čtěte informace o vytvoření Whitelist logu dale v článku).
Vytvoření whitelist logu: spusťte UPM s parametrem -wtmode, v menu klikněte na Vytvořit log, nechte zaškrtlé to, co je a navíc zašrktněte +Info. Do logu pak budou vypisovány další informace včetně MD5, které budou zaměněny za UPM FastHash. Výsledný textový soubor mi pak zašlete na lodus zavináč seznam tečka cz. Všichni účastníci získají registraci UPM. Předem všem děkuji.
Poděkování k verzi 4.1.2: Vrtule, Libor, PB, Z_o_o_m, Bukajs, Over, Mullah Omar, Davidz, Johny. Greetz: Bredy, Přema, Maťo
UPM 4.1.2
[+] whitelistování
[+] tlačítko BSOD (Správce procesu, Další akce)
[+] tlačítko Kill All (správce procesu, Další akce)
[+] Nový jazyk: Švédština od TKC Community, díky!
[~] předělán reg engine
[~] opraveno hledání skrytých procesů (Scanner)
[~] spouštění více instancí UPM (NTDLL bug)
[~] cesty k imagím driverů (Další nástroje, Ovladače)
[~] opraveny některé minoritní bugy
[~] +MD5 je obsaženo v +Info (Uložit Log)
[-] odstraněn Test UPM z logu (test již není potřeba)
[-] dialog 1 2 3
- DOWNLOAD - - ENGLISH -
|
|
|
Ultimate Process Manager v4.1.1 |
|
|
|
Napsal Lodus
|
|
Friday, 01 August 2008 |
|
Jak jsem slíbil, je tu nová verze UPM, s novými věcmi a funkční pod 64bit systémy.
UPM 4.1.1
[+] přidána nová detekce v heuristice souboru (time mism. - změněné datum vytvoření)
[+] lepší detekce podvržených cest modulů
[~] přepracovaný r3 rootkit proof systém
[~] upraven SmallArk
[~] opravena výsledná zpráva po smazání služby
[~] ignorování ADS menší než 256 bytů
[~] tolerance skrytých modulů MS
[-] monitorování procesu
[-] kontroler MD5 souborů
- DOWNLOAD -
|
|
|
Ultimate Process Manager v4.1.0 |
|
|
|
Napsal Lodus
|
|
Tuesday, 15 July 2008 |
|
Nejprve bych rád poděkoval všem, kteří za poslední dobu podpořili vývoj UPM finančními dotacemi a to nejvíce panu Jozefu Hanákovi, za celkovou dotaci 2 800 Kč (3 500 SKK) a panu inženýru Milanu Rippelovi za dotaci a mnoho nápadů, které ještě budu řešit do příštích verzí :) a všem dalším, kteří nějakou finanční částkou pomohli.
Rád bych poděkoval Vrtulemu za spolupráci při řešení některých problémů a sdílení svých vědomostí o systému Windows, Mariovi za nápady, Igimu, Tomášovi a společnosti Eset za skvělou akci (greetz to: Johny, Skippy, yshey, viruslabu, vývojáři, technici a marketing - ahoj!), PB a Bubu za nápady, betatesterům zejména zdenefkovi, D.LoRd, Lunreal, reke.esn.us, Jonny, Gurp, Mr. Death, PhDr.D@nKuS, Maťo, z_o_o_m, Libor (knik) a caps(ovi) za nečekaně ostrý betatest :)
[17:25] Lodus: mas tam rootkit
[17:25] caps: to se ptas nebo oznamujes?
A dalším, pokud jsem na někoho zapomněl, tak se omlouvám, není to myšleno zle :). Závěrem, než se dostaneme k detailům, bych rád pogratuloval DavidZovi ke státnicím a poděkoval za ujmutí designování portálu secit.sk :) a také bych chtěl popřát co nejvíce zdaru Zdeňourovi, který leží na áru v kómatu už více, jak měsíc...
Co je v plánu do budoucna? Verze UPM 5.0.0 by měla běžet na ovladačích, výhod to bude mít nespočet, hlavně v odhalování nových skrytých hrozeb a konečně bude fungovat lNetStat na všech Windows bez rozdílu - doufejme, ale to je jen výhled do budoucna. V nejbližší době bych rád rozjel whitelistování a online kontroler logu, UPM by tak dostalo nový směr, zmenšily by se logy, byly by přehlednější, atd. atd. Tak snad to výjde :)
Aktuálity z UPM 4.1.0: Na 64 bitových systémech dochází k chybě díky rozdílnosti v ntdll.dll, na problému se pracuje - očekávejte update. Na Windows 2000 se zatím z neznámých důvodů zasekává při zobrazení detailů (pravděpodobně problém s GDI). Více na fóru ve FAQ.
Vzhledem k určitým skutečnostem uvažuji o odstranění několika funkcí UPM, které jsou plně a lépe nahraditelné jinými aplikacemi, popřípadě na ně vytvořím program zvlášť. Jedná se o odstranění funkcí Monitorování procesu (výhodnější Process Monitor od Sysinternals, popř. mám nachystán API Mon. v3) a Kontroler souborů (MD5 Souborů - vytvořím aplikaci zvlášť). Mělo by to UPM trochu pomoci ve své velikosti.
V plánu je i napsat UPM Lite, které bude vytvářet pouze logy a bude obsahovat konzoli pro manipulaci se soubory a registry.
Takže, co je nového ve verzi 4.1.0:
[+] přechod na r3 proof systém
[+] výpis podezřelých souborů v adresáři (Další nástroje, Výpis souborů)
[+] možnost odstranění všech privilegií procesu (Nástroje pro proces)
[+] možnost vytvoření dummy souboru (Správce procesu, Rozšířené vypnutí)
[+] mnohem více spolehlivější detekce souboru Microsoftu
[+] další detaily procesu (detaily o paměti a IO + grafy)
[+] informace o vytížení procesoru a paměti procesy (hlavní okno, tlačítko u seznamu)
[+] ikonky v Strom procesů
[+] zavírání handlů dvojklikem ve vyhledavači (Systém, ADS, Handly)
[+] log obsahuje informaci o módu spuštění Windows a zobrazení posledních upravených registrů (Uložit Log)
[+] nové možnosti v Nastavení
[+] práce s ovladači (Další nástroje, Ovladače)
[+] bezpečnostní politika souborů napojena na základní heuristiku
[+] seznamy jdou kopírovat pomocí Enteru (Další nástroje, Hledání DLL, ...)
[+] více detailů u otevřených handlů + oprava výpisu (reference, kernel pointer, granted access)
[+] nové klíče po spuštění, job soubory (Další nástroje, Po spuštění)
[+] log obsahuje základní test na rootkity (Log)
[+] UPM při zálohování souborů vypisuje do souboru _backup.log, kde byly soubory umístěny (Thx Bubu)
[+] Nový jazyk: Slovenština od Tomáš Kotrík, Díky!
[~] kompletní revize kódu
[~] předělaná bezpečnostní politika souborů s ohledem na nový způsob ověřování
[~] zobrazení služeb, které jsou stopnuté, ale spouští se (Další nástroje, Služby)
[~] opravena detekce ADS u adresářů a zobrazení detailů (Systém, ADS)
[~] úprava funkcí pro odstranění schopností programu (správce procesu, Odstranění schopností programu)
[~] opravena chyba nastavení jazyka na angličtinu po odchodu z Nastavení
[~] upravení upozornění i na entrypoint mimo první sekci (Scanner)
[~] upraven způsob zavírání handlů v procesech
[~] přehozené karty Odstranění schopnosti programu a Hromadné akce
[~] opraveno zobrazení "Operace dokončena úspěšně" - zobrazuje se správná chyba u mazání souborů
[~] možnost zobrazení procesu System (Nastavení)
[~] klávesou Enter v seznamech nakopírujete označený řádek, klávesou Insert celý seznam
Testováno na Windows 2000 (SP4 + Rollup1), Windows SP0, SP1, SP2, SP3 (32 bit), Windows 2003, Windows Vista (Ultimate, Business). Pro některé systémy je potřeba provést nejprve pár úkonů, které přidám do kategorie FAQ ve fóru.
Přibylo nové ocenění: Editor' Pick na brothersoft.com
DOWNLOAD Ultimate Process Manager v4.1.0
Nové a upravené FAQ:
Naleznete na fóru
|
|
|
Ultimate Process Manager v4.0.0 |
|
|
|
Napsal Lodus
|
|
Sunday, 17 February 2008 |
|
Je mi ctí Vám představit novou verzi programu Ultimate Process Manager, která byla vyvíjena několik měsíců, testována a upravována tak, aby dokázala čelit novým, starým a budoucím hrozbám. Chtěl bych poděkovat teamu betatesterů, kteří odvedli skvělou práci a díky nim je UPM nyní stabilnější, jako ještě nikdy předtím. Stejně tak bych rád poděkoval všem, kteří mi psali postřehy a zkušenosti s odstraňováním virů pomocí UPM a co by bylo vhodné přidat či upravit. Jmenovitě bych tak rád pojmenoval celému teamu secit.sk za uvedení UPM jako hlavní program na diagnostiku a čištění PC, Bubu(ovi) za perfektní testování, nápady a nalezené bugy, Vrtulemu za společné zkoumání systému Windows a hledání nových exploitů, z_o_o_movi za některé postřehy, Vrbikovi (ty tvoje červeny ikonky :))), DavidZovi za perfektní nové logo a do budoucna i ikonky ;), Liborovi za trpělivý debugging na strojích na kterých UPM podle všeho ani UPM jet neměl, Bredymu a DeVriesovi za pomoc s překlady, Jamesovi za přípravu translation engine, JP za debugging, do budoucna i Igimu, mé přítelkyni za trpělivost a všem ostatním, na které jsem bohužel v tuto hodinu zapomněl, tak se nezlobte :) Rovněž všem, kteří vývoj UPM dotovali a poháněli vývoj kupředu. Všem Vám patří velké díky!
Už nebudu zdržovat a pustíme se do obvyklých náležitostí jako představení si nové verze:
UPM 4.0.0
[+] multilanguage engine
[+] XP vzhled
[+] Analýza procesu + fuzzy testování procesů
[+] zmenšování a zvětšování okna
[+] testování na hákování důležitých funkcí v UPM a dalších procesech (Scanner)
[+] možnost opravení zaháknutých funkcí :)
[+] detekce více způsobů inline hákování (Call dword ptr, jmp dword ptr, ...)
[+] vylepšené testování souboru na náležitost Microsoftu
[+] zmrazené procesy ve stromu procesů jsou obarveny modře
[+] logičtější řazení položek Detaily procesu
[+] IAT / EAT enumerátor pro daný modul v daném procesu (Detaily procesu)
[+] zobrazení mapy souboru (Nástroje pro proces, Regiony)
[+] možnost přidat vlastní hodnotu po spuštění (Další nástroje, Po spuštění)
[+] nové klíče Po spuštění
[+] user safety politika na Ovladače (Další nástroje, Ovladače)
[+] nové ikonky v seznamech a nové logo :) (díky DavidZ)
[+] přídáno testování parametru ServiceDll u Služeb (Další nástroje, Služby)
[+] možnost registrovat libovolný soubor, který bude spadat do bezpečnostní politiky UPM (Další nástroje, Soubory
[+] čtení a editace disku
[+] možnost vytvoření nového vlákna s flagem CREATE_SUSPENDED (Nástroje pro proces, Dll injekce a CRT)
[+] vytváření logu pomocí spuštění s parametrem (-log:jazyk)
[~] opraveno monitorování procesů
[~] prohledávání všech modulů na IAT háky
[~] vylepšen enum modulů + detekce skrytých modulů
[~] upraveno Hledání DLL a opraveno Uvolňování DLL (bezpečnější způsob) (Další nástroje, Hledání DLL)
[~] opraven výpis privilegií procesu (Nástroje pro proces)
[~] vylepšen Scanner, lepší a přehlednější řazení + vylepšena detekce skrytých procesů
[~] dvojklikem na skrytý proces je možné nechat zobrazit detaily
[~] vylepšený vzhled logu + user safety hodnocení
[~] sekce Běžicí procesy přejmenováa na "Scanner"
[~] opraveno globální hledání handlů
[~] opraven výpis složky "Po spuštění"
[~] po nastavení Safe Mode by mělo být možné s UPM pracovat v pořádku pracovat i na Windows Vista
[~] vylepšené tlačítko Zpět :D
[-] chyba při dumpování regionů
[-] lNetStat - chyba při vysokém portu (overflow) opravena
[-] Operační paměť upravena pro vypisování modulů, které mají nižší ImageBase než hlavní spustitelný soubor
[-] opraveno získávání informací o paměti a přenastavení ochrany (Nástroje pro proces)
[-] ndisasm.dll
[-] skriptování
Některé z virů, které lze pomocí pár kliků odstranit:
W32.Nurech, Win32.Qoologic.bj, W32.Sinowal.b, VUNDO, VBA32 Backdoor.Win32.Agent.qs, PSW.x-Vir, SpyBot@MXt
- DOWNLOAD -
|
|
|
UPM & Forum |
|
|
|
Napsal Lodus
|
|
Tuesday, 11 December 2007 |
|
Přestal jsem otravovat Jamese :)) a vytvořil nové fórum u mě, je přístupné z menu, přímá adresa: www.lodusweb.net/forum. Můžete si zde stáhnout aktuální betaverzi UPM a vyjádřit se k čemukoliv, co se zde děje ;).
... 4.0.0 se blíží! ;)
Prozatím se můžete podívat na dvě nové ankety, které jsem pro Vás připravil, najdete je zde.
UPM 4.0.0 je ve fázi testování na virech a řešením nalezených chyb v nové verzi, zde si můžete prohlédnout některé screenshoty:
Heuristický + fuzzy scanner procesů
Heuristický + fuzzy scanner procesů 2
Po spuštění
Video z testování bety
|
|
|
Ultimate Process Manager v3.4.0 |
|
|
|
Napsal Lodus
|
|
Tuesday, 06 November 2007 |
|
S novou verzí UPM přichází několik změn - verze 3.4.0 je dalo by se říci "průlomová" ve spektru všech manažerů procesů pracujících v User Mode - proč? Více informací se dozvíte uvnitř článku. Dalé je nová verze mnohem rychlejší, svižnější a s méně chybami (doufám :)), s více novými funkcemi a úpravami. Takže co přesně je nového?
UPM 3.4.0
[+] kompletní předělání zjišťování procesů - demonstrační vylepšení
[+] možnost nechat soubor otestovat na VirusTotal.com (Správce procesu, Další akce & Web)
[+] vlastní l(odus)NetStat s možností zabíjet připojení (Systém, lNetStat)
[+] přidána možnost odebrat schopnost připojovat se k Internetu (Správce procesu, Odstranění schopností programu)
[+] tlačítko pro zjištění aktuálních odebrání schopností programu (Správce Procesu, Odebrání schopností)
[+] upraven Správce vláken, nyní se zobrazuje stav vlákna, adresa, kde bylo vlákno vytvořeno + modul a funkce, čas vytvoření a částečný výpis ze zásobníku (Další nástroje)
[+] Zobrazení privilegií procesu (Další nástroje, Správce vláken)
[+] cizím procesům je možné nastavit debug privilegia (Nástroje pro proces, Vlákna)
[+] u regionu paměti je vypsán modul, kterému náleží (Nástroje pro proces, Regiony)
[+] ve výpise Po spuštění přidána položka Výrobce a Popiska (Další nástroje)
[+] jako adresu je nyní možné psát jméno funkce (Další nástroje, Memory Editor)
[+] dvojklikem na instrukci skočíte na začátek instrukce v editoru paměti (Další nástroje, Memory Editor)
[+] registrace dárců
[~] zrychlení aplikace (na dual core 2 1,7GHz trvá obnovovací smyčka 0 ms, na Celeronu 700MHz 10ms :)
[~] vylepšení vzhledu logu (Další nástroje, Vytvořit log)
[~] úprava a přidání odstranění schopností (Správce procesu)
[~] UPM testováno na Windows 2003 Server s updaty a funguje naprosto v pořádku :) za test díky Mr. Death
[-] odstraněna chyba, kdy UPM při řazení procesů abecedně spadlo
[-] opravena chyba, kdy se občas v logu nezobrazila cesta k novému procesu (Správce procesu, Log)
[-] opraveny některé minoritní bugy neošetřených vstupů
- Přečíst celý článek -
- DOWNLOAD -
|
|
Celý článek
|
|
|
... aktuální dění, nová verze QIP PwdPwneru 1.1 |
|
|
|
Napsal Lodus
|
|
Friday, 19 October 2007 |
|
Na prosbu Dragyho o aktualizaci programu QIP Pwd Pwner na verzi QIPu 8030 odpovídám trochu se spožděním (práce je spousty), ale tady je :)
- PREVIEW / DOWNLOAD -
Stav UPM: neustále pokračuje vývoj nové verze, která bude řekněme "průlomová", v čem to se dozvíte za několik málo dní. Určitě Vás novinky velice mile překvapí.
Rovněž finišuje vývoj nového API Monitoru, ale s datem releasu ještě nebudu předbíhat.
|
|
|
ULTIMATE PROCESS MANAGER v3.3.0 |
|
|
|
Napsal Lodus
|
|
Saturday, 04 August 2007 |
|
Jak jsem napsal níže, tak plním. Je tu nové UPM v3.3.0, co je nové?
[+] zobrazení Props u oken (Okna)
[+] možnost dumpování označených regionů (Nástroje pro proces, Regiony)
[+] možnost řadit procesy abecedně (Seznam procesů - díky Retro)
[+] zobrazení parametrů, se kterými jsou programy spouštěny Po spuštění (Další nástroje, Po spuštění - díky zagorj)
[+] přidáno zobrazení atributu "Systémový" + oprava (Detaily procesu / souboru)
[+] možnost zadat hWnd prvku manuálně (Okna, Prvky)
[+] enum + zobrazení neviditelných oken (Okna, Neviditelná okna)
[+] možnost nastavení Topmost aVisible flagu u vybraného okna (Okna, Prvky)
[+] editace souřadnic okna (Okna, Prvky)
[+] je možné nastavovat blokace - ne jen je odstraňovat (Další nástroje, Blokace)
[+] editace zástupců pro spouštění (ADS, Systém)
[+] nový systém hlídání aktualizací
[~] základní jméno procesu je načítáno z kernelu
[~] vylepšení memory editoru a logičtější řazení tabů (Nástroje pro proces; Další nástroje)
[~] pokud se v detailech souboru nepodaří otevřít proces, je struktura NTHeader načtena ze souboru (Detaily)
[~] položky Po spuštění jsou označeny ikonkami - viz nápověda část 1.9.1 Po spuštění (Další nástroje, Po spuštění)
[~] aktualizovaná nápověda
[-] button.ocx, msinet.ocx, msflxgrd.ocx, scrrun.dll :)
[-] není potřeba nataveni.usr - při nenalezení je použito předdefinované nastavení
Bohužel není v mých silách UPM překopat kompletně tak, aby nepoužíval MSCOMCTL.ocx a xTab.ocx (zpomalování práce v editoru atd.) - mscomctl.ocx se však vyskytuje na většině PC.
Rovněž přidávám nové video - testování UPM 3.3.0 cca na 20 virech spuštěných zároveň.
Detaily a samotné video si můžete prohlédnout zde.
- DOWNLOAD UPM 3.3.0 -
|
|
|
Vývoj |
|
|
|
Napsal Lodus
|
|
Monday, 16 July 2007 |
Status: Apimonitor 75% hotov, nové UPM (ocx free) 99%
Jen pro ukázku, jak vypadá vývoj API Monitoru :) screenshot - oteřené programy: Visual Basic 6 - aktuálně debugován subclassing kód (trable s parametry :)), WinAsm - kód core knihovny, který se injektí do procesu, OllyDebug - debugování injektěného kódu, CheatEngine - zobrazení přijatých dat funkcí SendMessage, Poznámkový blok - výpis ze stacku, Winamp - DnB radio ;)
Stačí zapomenout stisknout jedno tlačítko a programy se musí restartovat - hodnoty se změnily ;)
Release bude: 6.8.2007
|
|
|
Ultimate Process Manager v3.2.0a |
|
|
|
Napsal Lodus
|
|
Thursday, 05 July 2007 |
UPM 3.2.0a Hotfix
Byl odstraněn bug zamrznutí UPM při startu a opětovného rozjetí po cca 1 vteřině. Dlouhé startování UPM bylo patrné pouze v případě, že uživatel neměl nastavené automatické aktualizace, v opačném případě docházelo k výše zmíněným problémům. Také byl odstraněn bug s neustálým zobrazováním licence.
Opravená verze má označení 3.2.0a (v titulku okna). Balík pojmenovaný upm_3_2_0.zip obsahuje opravenou verzi od 7.7.2007 1:41 ráno.
ad. 16:37: díky následkům odstranění instalace došlo k odlinkování MSFlexGrid OCX z exe souboru, po otevření Nástrojů pro proces došlo k pádu. Chyba byla odstraněna...
Doufám, že už je to poslední fix :-/
- DOWNLOAD -
Skálopevně jsem se rozhodl, že všechny použité OCX odstraním a zůstanou jen DLL, se kterými nejsou problémy. Ulehčí to spousty věcí... hlavně tyhle hotfixy... grr
UPM 3.2.0
[+] Stop stavu - možnost vypínání pouze neregistrovaných procesů (Nastavení)
[+] zobrazení pointeru na PEB (Detaily procesu, PEB, PE Info)
[+] po dvojkliku na položku se zobrazí její detaily (Další nástroje, Po spuštění)
[+] Mazání souborů po restartu (Další nástroje, Soubor, Hledání DLL)
[+] zjištění zda-li je program napsaný v .NET, zda-li je právě debuggován (Detaily procesu, Soubor)
[+] výpis sektoru, na kterém začíná daný soubor (Detaily procesu, Soubor)
[+] zobrazení PIDu v bublině a logu u spuštěného procesu
[+] soubory Po spuštění podepsané Microsoftem jsou zvýrazněny zeleně (Další nástroje, Po spuštění)
[+] popis případné chyby API funkce
[~] v Pokročilý mód Odstranění schopností programu stačí zadat pouze jméno API
[~] při spuštění nového procesu je do logu vypsáno i jméno jeho rodiče (Správce procesu, Log)
[~] předělaný memory editor (Nástroje pro proces, Memory Editor)
[~] kompletní revize Nástroje pro proces - oprava Dump Asm, zapsat bin. soubor, CRT... (Nástroje pro proces)
[~] opravena chyba v ukládání logu Operační paměť (Další nástroje, Log)
[~] úprava přesunování / přejmenování souborů
[~] oprava minoritních bugů
[~] větší stabilita a teoretické zrychlení aplikace ;)
[-] odstranění date stamp z event logu (Správce procesu, Log)
[-] není potřeba knihovna ComDlg32.ocx
[-] pro WinXP není nutná instalace :)
Ad instalace: Pokud máte nainstalované UPM starší verze, odinstatlujte jej. Nainstalovaná verze může způsobovat problémy. V případě, že by UPM nemohlo najít jakoukoliv knihovnu (ocx, dll, ...), napiště mi prosím do shoutboardu, na email, případně na icq - promptně vyřeším :)
- DOWNLOAD -
Overview: Z 85% mám hotový nový API monitor, kompletní provedení v Assembleru, výsledkem je jedna DLL, která umí vše. GUI bude jako vždy ve Visual Basicu 6 ;). Také jsou v plánu další programy, které Vás určitě budou zajímat.
|
|
|
Still alive... |
|
|
|
Napsal Lodus
|
|
Wednesday, 13 June 2007 |
Sice to vypadá, že se nic neděje, ale vývoj se nezastavil! Pokud vše půjde hladce, vydání nové verze UPM předpokládám na začátek července. A je opravdu na co se těšit ;) Více zveřejním později
|
|
|
UPM hotfix 3.1.0b |
|
|
|
Napsal Lodus
|
|
Tuesday, 01 May 2007 |
|
Vzhledem k několika chybám, které by měly být opraveny co nejdříve dávám k dispozici hotfix na verzi 3.1.0b:
Opraveno:
- AppInit_DLLs
- mazání Winlogon položek v Po spuštění
- monitoring spuštěné aplikace přes Spustit s flagem "spusendnutý" vyvolá chybu (Monitorování)
Pokud jste našli jakoukoliv chybu, tak mi neváhejte poslat na fórum, do shoutboardu nebo na email.
- DOWNLOAD FIX -
|
|
|
Password Pwners |
|
|
|
Napsal Lodus
|
|
Saturday, 28 April 2007 |
První program ze série chystaných programů Password Pwners!
Zajímá Vás heslo k účtu, který právě běží v Trillianu? QIPu? Mirandě? Stačí jen spustit program, který Vám heslo zobrazí!
(ENGLISH) QIP Password Pwner - PREVIEW & DOWNLOAD
(ENGLISH) Outlook Express Password Pwner - PREVIEW & DOWNLOAD
Další programy se chystají, stay tuned ;)
|
|
|
Ultimate Process Manager v3.1.0 |
|
|
|
Napsal Lodus
|
|
Sunday, 22 April 2007 |
|
Tak co je nového?
UPM 3.1.0
+ IAT hook test (Nástroje pro proces, API Hook Scan)
+ zobrazení jména sekce, ve které je EntryPoint (Detaily souboru)
+ nový proces je v seznamu zobrazen tučně
+ přidány klíče registrů po spuštění (Další nástroje, Po spuštění), úprava akcí
+ přidány klíče registrů BHO, IE Toolbary (Další nástroje, Po spuštění)
+ filtrování programů od Microsoftu v Po spuštění (Další nástroje, Po Spuštění)
+ zobrazení op-codu (Nástroje pro proces, DASM)
+ STOP stav - vypnutí procesů, které jsou spuštěny po zapnutí Stop stavu (za nápad díky Bukajovi)
+ NÁPOVĚDA :)
~ celkové zrychlení programu
~ nový systém hashování (!)
~ kompletně předělaná práce s registry
~ nový systém získávání procesů
~ export detailů procesu do TXT (Detaily procesu)
~ zpřehlednění a seřazení informací o PE hlavičce
~ filtrování registrovaných procesů v seznamu procesů
~ opraveno pojmenování screenshotů na [jméno okna]_[datum]_[uin].gif (Okna)
~ ukládání screenshotů do GIF
Také bych chtěl představit nový systém dotací a to pomocí SMS, pokud jste s UPM spokojeni, můžete tak jednoduše přispět na vývoj!
- DOWNLOAD & DONATE -
|
|
|
Nové tutoriály |
|
|
|
Napsal Lodus
|
|
Sunday, 15 April 2007 |
Jak jsem slíbil, po částech uveřejňuji svou seminární práci. V sekci Cracking nyní můžete nalézt 9 tutorialů, které by Vás měly vést od úplných začátků po mírně pokročilé metody analýzy a crackování.
Další tutorialy a informace uvedené v seminárce uvedu později. Pokud by měl někdo zájem o kompletní PDF, stačí napsat.
ad 22.4.: byly opraviny 3 chybné odkazy na crackme, už by to měo být vše v pořádku
|
|
|
UPM i pro Windows 2k! |
|
|
|
Napsal Lodus
|
|
Tuesday, 13 March 2007 |
Ano, UPM funguje i pod dalšími systémy, než Windows XP 32 bit! Dalšími systémy jsou Windows 2000 Proffesional SP4 a Windows 2000
server SP4.
Pro zprovoznění na těchto systémech je nutné stáhnout knihovnu gdiplus.dll (download, alternativní download) a uložit ji do adresáře s UPM (popřípadě ji ještě zaregistrovat). Od příští verze (tj. 3.0.8) bude tato knihovna součástí instalačního balíku.
Za tento postřeh děkuji uživateli Tomáši Novákovi, který mě o tomto řešení neváhal informat, díky!
|
|
|
První dotace od jedné z nejznámějších AV společností! |
|
|
|
Napsal Lodus
|
|
Monday, 26 February 2007 |
Za celou dobu vývoje UPM je společnost ESET Software (výrobce nejdoporučovanějšího antivirového programu NOD 32) první, kdo zaslal dotaci na vývoj programu Ultimate Process Manager v hodnotě 3 000 Kč!
Za tuto dotaci společnosti ESET Software velice děkuji a přeji mnoho štěstí a úspěchů s jejich stávajícími i budoucími produkty!
- Lodus
|
|
|
Ultimate Process Manager v3.0.7 |
|
|
|
Napsal Lodus
|
|
Wednesday, 10 January 2007 |
UPM hotfix update 3.0.7
+ oprava zaseknutí vytváření NetStat (automatické rozjetí po 15 vteřinách nečinnosti)
Na úplném odstranění problému se pracuje.
UPM 3.0.6
+ globální vyhledávání handlů (ADS, Systém)
+ přidání Acess violation (blokace) registrů
+ filtrování zobrazení procesů Microsoftu (+ nastavení)
+ extrakce textových řetězců ze souboru a procesu (přepsáno do assembleru)
+ možnost psát ve Skriptování místo cesty systémových adresářů jejich zkratky (%system32%, %windows%, %temp%)
+ vytváření dummy souborů (Skriptování)
~ opravena chyba při Vyhledat modul v dalších procesech (docházelo k přepnutí do špatné karty)
~ ImageBase v detailech souboru (PE Hlavička) opraveno na hexadecimální zobrazení
~ opravení spadnutí UPM při kliknutí na Další nástroje (Index out of bounds)
~ zobrazení jména souboru procesu velkými písmeny a logu (rozeznání L a i = l I)
~ úprava mazání více klíčů a souborů v Po spuštění (Další nástroje)
~ Najdi na Google a Najdi na webu opraveno
- DOWNLOAD -
|
|
|
Ultimate Process Manager v3.0.5 |
|
|
|
Napsal Lodus
|
|
Monday, 11 December 2006 |
|
Po nečekaném boomu s UPM bylo odhaleno pár nedostatků + přidal jsem pár dalších funkcí (nová nápověda bude hotová nejdříve do konce týdne):
UPM 3.0.5
+ výpis ovladačů v Další nástroje
+ skriptování v UPM
+ zobrazení neexistujících souborů ve výpise Po spuštění
+ vytváření screenshotů Okna
+ editace hodnot registrů v Násroje pro proces
+ možnost přímého hledání MD5 (Najdi na webu)
+ klíč WOW boot v Po spuštění
+ vypsání výrobce u procesů a dalších ve vytváření logu
+ hledání duplicit k určitému souboru MD5 Souborů
- DOWNLOAD -
|
|
|
Ultimate Process Manager v3.0.4 |
|
|
|
Napsal Lodus
|
|
Sunday, 26 November 2006 |
Menší update:
ad. 27.11.: přidána i instalace verze 3.0.4
UPM 3.0.4
+ výpis MD5 u DLL v paměti (Operační paměť), výpis MD5 startup programů do logu
+ stisknutím klávesy enter zkopírujete celý výpis (log) ve Správci procesu
+ stisknutím klávesy delete vymažete celý výpis (log) ve Správci procesu
+ měnitelná velikost okna UPM
~ opraveno ukládání výpisu Monitorování (chybějící řádky)
- DOWNLOAD -
|
|
|
Reverz viru PSW.Win32.LdPinch.ur |
|
|
|
Napsal Lodus
|
|
Sunday, 19 November 2006 |
|
Je pro mě celkem úspěch reverzovat první vir a ihned najít i jeho autora a tak navrátit lidem jejich ukradená hesla. viz. jak to všechno začalo: fórum viry.cz
Jakmile budu mít nějaký čas, napíši popis kompletního reverznutí viru i s detaily a postupem. Stay tuned ;)
Jak by řekl velký český myslitel Miloslav Hebký: "Já rád pomáhám lidem, co to chtějí, tu pomoc" ;)
|
|
|
Ultimate Process Manager v3.0.3 |
|
|
|
Napsal Lodus
|
|
Saturday, 11 November 2006 |
|
Nová verze UPM:
+ Monitor funkcí OpenProcess a CreateRemoteThread
+ zobrazení adresy, ze které byla funkce volána (Monitorování)
+ zobrazení regionů paměti procesu (Nástroje pro proces)
+ safe mode
~ zaškrtávání polí namísto psaní písmen ve vytváření logu
~ update registrů po spuštění
~ oprava chyb v monitorování, vytváření logu
- DOWNLOAD -
Nové ukázkové video s odstraňováním viru z icq (w32.Stration): zde
|
|
|
Ultimate Process Manager v3.0.1 |
|
|
|
Napsal Lodus
|
|
Saturday, 04 November 2006 |
|
Nová verze s opravením chyb a jednou novou zajímavou featurkou (výpis všech aktuálně používaných modulů)
+ moduly v operační paměti
~ update registrů po spuštění
~ oprava chyb
~ zvýšení stability
- DOWNLOAD -
|
|
|
Ultimate Process Manager 3.0.0 |
|
|
|
Napsal Lodus
|
|
Sunday, 29 October 2006 |
|
Po menší odmlce je připravena nová verze UPM a to rovnou verze 3.0.0. Co je nového? Za prvé je předělané grafické rozhraní, nyní je 100x přehlednější - menu není tvořeno jen ikonkami, ale textovými tlačítky seřazenými do skupin. Druhá změna je zrychlení a úprava algoritmů. A nakonec třetí a poslední - přidání spousty nových featur.
+ monitorování procesu - po zaháknutí procesu uvidíte, kam a co zapisuje do registrů, jaké soubory čte a do jakých zapisuje, do jakých procesů zapisuje a na jakou adresu
+ práce se services (služby) - zastavení, spouštění, kompletní smazání
+ kopírování výběru v memory editoru
+ disassembler v memory editoru - zatím jen disassembler, časem přibude i kompilátor :)
+ zobrazení napojení dll (dll dependency)
+ výpis všech exportovaných funkcí dll
+ hledání ADS (skryté soubory v NTFS)
+ zobrazení ikonky souboru
+ rozšíření spouštění - spustit suspendovaný, pod jiným uživatelem
- DOWNLOAD -
|
|
|
Ultimate Process Manager 2.1.0 |
|
|
|
Napsal Lodus
|
|
Tuesday, 19 September 2006 |
Novinky:
+ možnost zálohování souboru při použití "Zničit proces" (díky za nápad Edovi)
+ dumping paměti v Nástroje pro proces
+ hlídání SFC
+ zobrazení MD5 procesu i libovolného souboru na disku
+ hromadná kontrola integrity souborů pomocí MD5
+ další možnosti v Najít DLL a Soubory v okně Další nástroje
+ zobrazení hesla pod hvězdičkami v okně Práce s okny
+ filtrace modulů procesu
+ nastavení vlastní hodnoty v Access Violation v okně Další nástroje
+ vyhledání skrytých procesů
+ zjištění nové verze UPM z internetu
+ možnost ukončení vláken ve Správci vláken
+ zjišťování zaháknutí exportů modulů (heuristika Call, Jmp, Push + Ret, Mov reg addr + Call reg)
~ opraven memory editor
~ update access violation registrů
~ oprava zobrazení jména okna
- DOWNLOAD -
|
|
|
Ultimate Process Manager v2.0.3b |
|
|
|
Napsal Lodus
|
|
Tuesday, 22 August 2006 |
Update UPM 2.0.3 na 2.0.3b
+ možnost zálohování souboru při použití "Zničit proces" (díky za nápad Edovi)
+ dumping paměti v Nástroje pro proces
~ opraven memory editor
~ update access violation registrů
- DOWNLOAD -
Také jsem natočil ukázková videa UPM v akci a ukázkové použití různých vlastností programu. Veškerá videa si můžete prohlédnout v sekci UPM - zde.
|
|
|
Ultimate Process Manager v2.0.3 |
|
|
|
Napsal Lodus
|
|
Sunday, 13 August 2006 |
|
Po testování dalších virů jsem přišel na další funkce, které bych do UPM mohl přidat. Takže co je nového?
+ možnost vyhledání procesů, které mají v paměti určitý modul (dll), tento modul je pak dále možné uvolnit z paměti procesu, přesunout nebo jej rovnou smazat
+ vypsání jména procesu vlastnící okno v Práce s okny
+ výpis registrů u suspendnutých vláken
+ informace o výrobci a popis u výpisu modulů v Detaily
+ možnost přejmenování souboru procesu
+ snadné vytváření nového vlákna na libovolné API funkci se zadanými parametry
+ alokace a uvolňování paměti procesu, spousty dalších featur spojených s pamětí proces
+ mazání souboru, který je právě používán nějakým procesem
+ nová nápověda
~ výpisu handlů s možností filtrace a jejich libovolným zavřením
~ odstranění schopnistí procesu
~ zobrazení handle modulu po injekci dll
- DOWNLOAD -
|
|
|
Nové články |
|
|
|
Napsal Lodus
|
|
Sunday, 18 June 2006 |
Tak jsem si udělal zase chvíly čas a přidal jsem pár článků:
Šifrování funkce za běhu programu (Delphi + Asm)
Cracking Delphi Aplikací 1.
Cracking Delphi Aplikací 2.
Také přibyl jeden jednoduchý prográmek, který konvertuje unixové zakončení řádku na microsoftí - stahovat můžete v sekci download
|
|
|
Ultimate Process Manager v2.0.2 |
|
|
|
Napsal Lodus
|
|
Wednesday, 17 May 2006 |
|
Po pár měsících pauzy jsem opět udělal několik změn v UPM. Co je nového?
UPM v2.0.2:
+ vypínání přednastavených procesů po spuštění UPM (pokud Vám na počítači běží nějaké zbytečné procesy, tímto je můžete snadno vypnout jediným spuštěním UPM)
+ informace o modulech
+ kompletní výpis importovaných funkcí modulů
+ při hledání okna kurzorem se UPM zneviditelní
+ opraveny některé chyby (nezobrazení jména procesu v logu při jeho vypnutí
- DOWNLOAD -
|
|
|
Release API Monitor v2.0.0 |
|
|
|
Napsal Lodus
|
|
Saturday, 25 February 2006 |
|
Dokončil jsem přepis API Monitoru do VB.net
Novinky:
- proces můžete spustit zaháknutý
- zobrazení všech API, včetně ordinálních
News:
- you can hook APIs before execute process
- display of all APIs
Více v sekci / more in section Produkty
|
|
|
API Monitor v1.0.2b |
|
|
|
Napsal Lodus
|
|
Monday, 06 February 2006 |
|
Dodělal jsem nový program - API Monitor se kterým můžete monitorovat volání importovaných funkcí procesu i s parametry, se kterými byla funkce volána!
7.2.2006: Hotfix na verzi 1.0.1 - přidal jsem zobrazení ECX a EDX registrů při výpisu parametrů (fastcall konvence)
7.2.2006 21:19: Hotfix na verzi 1.0.2b - chyba v zobrazení špatného parametru opravena
Více v sekci Produkty
Chyby v programu
|
|
Celý článek
|
|
|
UPM v2.0.1 |
|
|
|
Napsal Lodus
|
|
Sunday, 05 February 2006 |
UPM v2.0.1 exe ke stažení zde:
download.lodusweb.net/upm_2_0_1_exe.zip - 128kB
Staré upm.exe v adresáři kam jste UPM nainstalovali, přehrajte nově staženým upm.exe
Změny a úpravy:
- řešení chyby: UPM při větším procesorovém zatížení nenajede, nebo vyhodí chyby Overflow nebo Index out of bounds
- nový, spolehlivější, přesnější a rychlejší typ hashování procesů
|
|
|
Ultimate Process Manager v2.0.0 ke stažení |
|
|
|
Napsal Lodus
|
|
Wednesday, 01 February 2006 |
Dokončil jsem betatestování Ultimate Process Manageru v2!
Stahovat můžete v sekci download! UPM v2 běží úplně na novém jádru, je tedy stabilnější a mnohem lépe funkční. Doporučuji však pročíst nápovědu :)
|
|
|
UPM v2 v beta stádiu |
|
|
|
Napsal Lodus
|
|
Monday, 30 January 2006 |
UPM v2 je v závěrečném betatestování! Release odhaduji na středu 1.2.
|
|
|
UPM - vývoj nové verze |
|
|
|
Napsal Lodus
|
|
Saturday, 28 January 2006 |
Takže v mých prvotních odhadech, že zcela nové UPM bude až za měsíc, byly zcela špatné. Dokončení UPM v2 odhaduji tak na 2.2. 2006. UPM v2 by mělo být o 100% stabilnější a funkčnější, začal jsem jej dělat úplně od začátku, díky tomu jsem odhalil spousty skrytých chyb. Nové UPM bude také mnohem rychlejší a propracovanější co se práce s procesy týče (mražení procesů, memory editor,...). Mám také připraveny velice zajímavé funkce, se kterými nebude problém sestřelit jakýkoliv proces. Takže stay tuned, more to come!
|
|
|
UPM |
|
|
|
Napsal Lodus
|
|
Wednesday, 25 January 2006 |
Po nutné revizi kódu UPM jsem se rozhodl, že jej kompletne předělám a to úplně od začátku. V plánu mám přidání a upravení mnoha featur, pomocí kterých bude úplná hračka odstranit prakticky jakýkoliv nežádoucí proces. Dokončení odhaduji tak na 1 měsíc.
|
|
|
Nový web |
|
|
|
Napsal Lodus
|
|
Friday, 13 January 2006 |
|
Po pár letech hostování na pipni.cz mne přešla trpělivost a změnil jsem hosting a nainstaloval redakční systém Joomla! Web by měl být nyní mnohem přehlednější. Doufám, že se Vám zde bude líbit. |
|
|
|
|
Contact
Jen pokud nění vhodné použít fórum nebo shout board:
Only if isn't proper to use forum or shout board:
ICQ: 17_80_50_881
mail: lodus(-at-)lodusweb.net
MSN: lodus87(-at-)hotmail.com
|
