MinerSearch | Заметки разработчика

Друзья, приветствую! Сделал небольшой опрос, буду очень благодарен, если у вас найдется буквально 2 минуты для обратной связи. Это нужно для улучшения проекта MinerSearch. https://forms.gle/mXSNJ74fGYfgZNRy6

✅ Обновление v1.4.8.4 - Устранена ошибка доступа при обработке файлов из WindowsApps - Устранена ошибка в обработке файлов при замене системных утилит на сторонние (в т.ч. SystemInformer, Notepad3) - Обновлена база данных для новых угроз - Удален избыточный набор прав доступа к процессам для анализа - Устранена "рваность" значка приложения Версия также доступна на github -> 1.4.8.4

✅ Обновление MinerSearch v.1.4.8.3 - Удаление новых майнеров - Улучшена стратегия перемещения вредоносных файлов в карантин - Улучшен алгоритм определения SFX-архивов - Устранено ошибочное удаление легитимной утилиты MRT из автозапуска - Удаленные недействительные задачи планировщика теперь отображаются на итоговой форме - Исправлено отрицательное значение угроз - Сopilot из hosts файла больше не удаляется - Телеметрия Microsoft также не будет удаляться из файла hosts - Исправлено ошибочное удал...

Многих настораживает реакция антивирусов на Virustotal. Большинство из этих обнаружений носят поведенческий характер, основанный на машинном обучении. Другими словами как MinerSearch взаимодействует с системой. Ничего в этом страшного нет. Это случилось буквально после Нового года. Что новая версия MinerSearch, что старая, что предыдущие детектятся примерно одинаково. Инструмент без подписи, работающий с процессами, потоками, токенами и памятью, всегда будет распозноваться как опасный. Добавляйт...

Опрос завершен, спасибо за высокие оценки и за идеи, как сделать утилиту лучше! Предложений много, топовые будут распределены по обновлениям. Всем удачи и хороших выходных!

В последнее время майнеры и другие зловреды обнаглели в край и теперь, помимо диспетчера задач, закрывают несчастный монитор ресурсов (он же ResMon). Поэтому продолжаем пополнять список полезных утилит, которые помогут бороться с хитрыми зловредами. Скачиваем zip архив PSTools с оф. сайта Microsoft. Распаковать можно куда угодно, но для удобства желательно в C:\PSTools\. Файлов тут много, но нам нужны только 2: 1) pssuspend Умеет приостанавливает или возобновлять указанный процесс. Пок...

Немного развернутый ответ на вопрос "когда обнова?" Обычно обновления выходят раз в месяц, но в этот раз всё сложнее и обнова задержится. Ранее я упоминал, что хорошие идеи по результам опроса будут распределяться по обновлениям. Но чтобы это сделать для начала следует поправить архитектуру. Как минимум, это нужно для меня, как разработчика, чтобы было проще вести поддержку в дальнейшем. Ну и возможно пригодится тем, кто в этой теме шарит, чтобы было понятно не только мне. До тех пор пока MinerS...

Более 240 тыс. логов и примерно 34 ГБ ради годовой статистики Доля файлов с признаками заражения составила 19.05%, а без признаков - 80.95% До сих пор John miner является доминирующим классом, самым противным в плане ручного удаления, но MinerSearch с ним справляется без проблем. Большинство заражений идут с непроверенных torrent репаков с играми и софтом. Как его не ловить я рассказывал ранее. На втором месте с большим отрывом оказался Gang Miner. Информации по его распространении мало, но чувс...

Что делать, если после загрузки винды на секунду появляется черное окно, а затем закрывается? Начнём с того, что это не всегда несёт какую-то опасность. Иногда всплывает текст, что какой-то там файл не найден, что впрочем так и есть. В планировщике задач осталась запись, а самого файла нет. Первый способ, использовать параметр -ret в MinerSearch для удаления таких задач: 1. Запускаем командную строку от администратора 2. Зажимаем shift и кликаем правой кнопкой мыши по файлу MinerSearch - выбрать...

Причина в жесткой блокировке MinerSearch антивирусами является опция --run-as-system, которая даёт утилите права суперадмина, где обычному админу в доступе отказано. Этой функцией пользуются единицы и, в целом, без неё жить можно. Убрав этот функционал, получаем значительно меньше детектов -> пример. Далее, выносим обёртку над виндовыми функциями в отдельный DLL - результат стал получше. Не забываем также про функцию выявления руткита, который умеет скрывать майнер. Убираем её и получаем ещё чут...