Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » XueTr | PCHunter | PC Hunter

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5

Открыть новую тему     Написать ответ в эту тему

folta

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Варезник: forum.ru-board.com

PCHunter


PC Hunter (новая версия известного антируткита XueTr) - это активно развивающийся антируткит от китайских разработчиков. Бесплатный и удобный инструмент для Windows, с мощными возможностями для просмотра и манипуляции структурой ядра. Программа предлагает Вам возможность обнаружения, анализа и восстановления различных модификаций ядра с наивысшими правами. С помощью данного инструменты Вы сможете легко определить и нейтрализовать скрытые от обычных антивирусов вредоносные программы.
Имеет стандартный функционал: менеджер процессов, служб, драйверов, сети, возможность снятия разнообразных перехватов, включая Ring-0 и Ring3 режимы. Примечательны редактор реестра и менеджер автозапуска, файловый менеджер с возможностью форсированного удаления файлов, и многое другое.
Из-за применения технологий, используемых руткитами, возможны ложные срабатывания антивирусов на утилиту. Антивирус во время работы можно отключить, на наличие вредоносного кода утилита проверена. Не требует установки.
Возможности:
• Просмотр процессов, потоков, модулей процессов, окон процессов, дамп памяти процесса, выгрузка процессов, потоков, модулей.
• Посмотр SSDT, Shadow SSDT, FSD, KBD, TCPIP, Classpnp, ATAPI, ACPI, SCSI, IDT, GDT, возможность обнаружения и восстановления SSDT перехватов.
• CreateProcess, CreateThread, LoadImage, CmpCallback, BugCheckCallback, Shutdown, Lego.
• Port View – Windows 2000 не поддерживается.
• Просмотр Message Hooks.
• Редактор реестра.
• Файловый менеджер, поддерживает основные операции с файлами.
• Просмотр и редактирование IE-BHO, SPI, элементов автозагрузки, серсисов и служб, hosts-файла, подмены ассоциации файлов, системных правил брандмауэра, IME.
• Обнаружение и восстановление ObjectType Hook.
• Обнаружение и удаление DPC таймеров.
• Обнаружение и удаление MBR-Rootkit.
• Обнаружение hijack объектов ядра.
В настоящее время доступны следующие функции:
Подробнее...


Всего записей: 1177 | Зарегистр. 24-11-2010 | Отправлено: 14:00 29-05-2012 | Исправлено: Maz, 13:42 01-02-2021
shamagov



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Petrovic82
Благодарю вас!
 
Больше не жалуется на драйвера; после завершения работы подчищает за собой в \AppData\Local\Temp
В процессах не застревает... - в общем, всё работает отлично!

----------
Win7sp1x64 (Asus P5K-E, E8400@3.6GHz, DDR2-4Gb, GF_8800GTS-512MB, SSD); Port. PotPlayer_1.7.20996_7sh3

Всего записей: 413 | Зарегистр. 04-02-2010 | Отправлено: 18:08 21-05-2021
RTX

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ещё бы не детектировался основными антивирусами...

Всего записей: 2730 | Зарегистр. 13-11-2003 | Отправлено: 18:21 21-05-2021
shamagov



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
RTX

Цитата:
Ещё бы не детектировался основными антивирусами...

На "PC Hunter" в несколько раз больше детектов, чем на "YDArk_v1.0.2.2_Sign"
Впрочем, эти основные антивирусники постоянно не довольны полезными вещами.
 
По вашей ссылке такой же файл "YDArk_v1.0.2.2_Sign" (хеш-суммы совпадают), как у Petrovic82... не знаю как вы их делаете, но вам тоже хочу сказать спасибо!

Всего записей: 413 | Зарегистр. 04-02-2010 | Отправлено: 18:50 21-05-2021 | Исправлено: shamagov, 20:15 21-05-2021
Petrovic82

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Ещё бы не детектировался основными антивирусами...

ну они же на пакеры реагируют....

Всего записей: 5265 | Зарегистр. 19-10-2013 | Отправлено: 18:57 21-05-2021
RTX

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
не знаю как вы их делаете

Это не я сделал, просто нашёл где-то на просторах интернета...
 
Добавлено:

Цитата:
На "PC Hunter" в несколько раз больше детектов

Для корпоративного антивируса достаточно одного для блокирования...

Всего записей: 2730 | Зарегистр. 13-11-2003 | Отправлено: 05:37 22-05-2021 | Исправлено: RTX, 05:39 22-05-2021
Lity



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Вот вы тут так хвалите YDArk и даже говорите, что он написан теми же авторами. Но PCHunter реально лучше. Он без глупых украшательств в виде красочных иконок, но самое главное он работает ощутимо быстрее и многие вещи в нём намного удобнее, правильнее сделаны.
Например в нём есть фича открыть адрес реестра из буфера обмена. Вручную открывать замахаешься. Аналогично для файлов и папок - можно открыть нужный адрес из буфера. В YDArk такого нет.
 
И автор YDArk не имеет отношения с PCHunter. Он прямо пишет, что позаимствовал у PCHunter дизайн и фичи.

Всего записей: 276 | Зарегистр. 15-12-2007 | Отправлено: 09:45 22-05-2021 | Исправлено: Lity, 09:50 22-05-2021
DrakonHaSh



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Для меня лично YDArk однозначно лучше, чем PCHunter. Всего лишь одно преимущество YDArk полностью перекрывает все остальные преимущества PCHunter. YDArk работает на win10, которая в нормальном режиме сама автообноляется. А PCHunter работает (имеет подписанный драйвер) только на каких-то древних win10. Выбор очевиден - ведь выбор, грубо говоря, между тем, что работает и тем, что не работает.
 
Добавлено:
это я про то, что доступно публично и нахаляву.  
Хотя вроде (на 100% не уверен) даже платный PCHunter не может похвастаться дровами под последние билды win10

Всего записей: 2047 | Зарегистр. 08-01-2008 | Отправлено: 10:38 22-05-2021
shamagov



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Lity
Вы правы (я ошибся... поспешил и перевёл только первую фразу "1. Team of PCHunter."),
но теперь с помощью гугл-переводчика перевёл все предложения
 
Lity

Цитата:
Но PCHunter реально лучше. Он без глупых украшательств в виде красочных иконок, но самое главное он работает ощутимо быстрее

Про иконки не соглашусь (это не украшательство, а визуальные ориентиры, благодаря которым глаза ищут быстрее), ну это ладно - на вкус и цвет, как говорится. А вот на счёт скорости работы с вами не поспоришь, у меня тоже YDArk значительно медленнее не только загружается, но и вкладки тоже тормозят по сравнению с PCHunter (думаю, это из-за особенности портативной сборки, но это уже не важно, потому что он реально медленнее работает). И тут в оправдание его медленной работы хочу показать сравнительный скриншот, который сейчас сделал -смотрите, как PCHunter не замечает несколько файлов в автозагрузке  
И та и другая программа немного напрягают меня тем, что невозможно изменять размер окна.


----------
Win7sp1x64 (Asus P5K-E, E8400@3.6GHz, DDR2-4Gb, GF_8800GTS-512MB, SSD); Port. PotPlayer_1.7.20996_7sh3

Всего записей: 413 | Зарегистр. 04-02-2010 | Отправлено: 20:40 22-05-2021 | Исправлено: shamagov, 20:43 22-05-2021
Lity



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
YDArk_v1.0.2.3.7z

Всего записей: 276 | Зарегистр. 15-12-2007 | Отправлено: 09:29 06-06-2021 | Исправлено: Lity, 15:01 07-06-2021
Petrovic82

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
YDArk 1.0.2.3 x64 Signed
https://transfer.sh/1NmLPcT/YDArk_v1.0.2.3_Signed.exe

Всего записей: 5265 | Зарегистр. 19-10-2013 | Отправлено: 17:21 07-06-2021
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
YDArk 1.0.2.3 x64 Signed
https://transfer.sh/1NmLPcT/YDArk_v1.0.2.3_Signed.exe


Цитата:
YDArk_v1.0.2.3.7z

Первый отличается от второго только наличием подписи SHA256 в добавок к SHA1.  
Ну во-первых радует, что наконец-то дошло, что SHA1 упразднён (в предыдущих версиях кроме SHA1 ничего не было)..
В-вторых - по-прежнему автор мечется: то ставит таймстамп на подпись, то не ставит.
 
Сильное чувство, что с подписями драйверов кто-то ещё не до конца разобрался

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 10934 | Зарегистр. 14-03-2007 | Отправлено: 19:17 07-06-2021
RTX

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Первый отличается от второго только наличием подписи SHA256 в добавок к SHA1

и меньшим числом срабатывания на virustotal...

Всего записей: 2730 | Зарегистр. 13-11-2003 | Отправлено: 19:41 07-06-2021
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
RTX
Первый:

Цитата:
Alibaba RiskWare:Win64/YDark.482e7dff
CrowdStrike Falcon Win/malicious_confidence_60% (W)
Cylance Unsafe
ESET-NOD32 A Variant Of Win64/Riskware.YDark.A
Fortinet Riskware/BadCert
Gridinsoft Rootkit.Gen.dd!c
Ikarus Trojan.Win64.Vmprotect
K7GW Trojan ( 0057c3ea1 )
McAfee Artemis!B8BF2A400D1D
McAfee-GW-Edition Artemis!Trojan
Microsoft Program:Win32/Wacapew.C!ml
Sophos Mal/BadCert-Gen
Symantec Trojan.Gen.2

 
Второй:

Цитата:
ESET-NOD32 A Variant Of Win64/Riskware.YDark.A
Gridinsoft Rootkit.Gen.dd!c
Ikarus Trojan.Win64.Vmprotect
Microsoft Program:Win32/Wacapew.C!ml
Sophos Mal/BadCert-Gen

 
Либо бред никому неизвестных антивирусов, либо вой на краденную подпись, либо паранойя облачных сигнатур.
Самый честный - ESET: он честно обозвал файл опасным ПО. Тут согласен на все 100%.
Икарус надыбал вмпрот там, где его нет, а майкрософт не умеет считать разрядность драйверов
 
Ну да, если таким детектам верить - лучше сабжем не пользоваться. Тут ESET очень прав
 
А вообще грустно, что нынче детекты убираются сменой алгоритма подписи. Это означает, что уже даже тестовые виртуалки не используются...

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 10934 | Зарегистр. 14-03-2007 | Отправлено: 20:01 07-06-2021 | Исправлено: gjf, 20:02 07-06-2021
RTX

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Первый - 32-разрядный (6 срабатываний)
Второй - 64- (8)
Но, согласен, у второго два антивируса считают, что программа - 32-разрядная...

Всего записей: 2730 | Зарегистр. 13-11-2003 | Отправлено: 20:16 07-06-2021
Lity



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Узбагойтесь.
Для начала оба эти варианта 64 бит и другого не существует. 32-бит нет в природе. Просто я не стал это отражать в имени. Смешно, что вы это даже не видите - размеры EXE одинаковые. Есть официальный репозиторий, где можно взять оригинальные файлы и сравнить по содержимому.
Мой вариант имел YDArkDrv.sys подписанный мной. Я действительно ещё не до конца разобрался с этими подписями и таймштампами.

Цитата:
Ну во-первых радует, что наконец-то дошло, что SHA1 упразднён (в предыдущих версиях кроме SHA1 ничего не было)..

Ну это в нашем случае вообще не играет никакой роли. Мы используем левую просроченную подпись. Нам главное пройти барьер не запуска из-за отсутствия подписи. Что и было сделано раньше, чем выложили подписанную версию там, где она бралась все прошлые разы. Теперь же они среагировали и таки выпустили подписанную 1.0.2.3, которую собственно и выложил Petrovic82. Я же после этого заменил драйвер в своей версии, взял подписанную китайцами, где они ещё добавили SHA256, как более полноценную. В такт с этим поменялся и Info.txt, ибо в прошлый раз был оставлен старый, так как их сайт ещё на тот момент не изменился. У меня работает и без SHA256, но так как возможны варианты я взял версию с SHA256 как более полноценную. Но ещё раз поторюсь - это не точно. Думаю и версия только с SHA1 тоже будет прекрасно работать.
Поэтому сейчас у меня там загрузок мало, а было около 44.

Цитата:
Сильное чувство, что с подписями драйверов кто-то ещё не до конца разобрался  

Самое интересное, если раньше китайцы успешно подписывали с таймштампом, то теперь его нет и в их подписанном драйвере. Думаю это из-за того, что сертификат отозвали. Раньше таймштамп был.
 
Ну а теперь для параноиков. Всё, чем отличается подписанный драйвер от официального неподписанного - подпись, чексумма и несколько нулей в конце файла. Убедиться в этом очень просто. Берём подписанный драйвер, удаляем подпись, удаляем лишние нули в конце, корректируем чексумму и сравниваем результат с официальным неподписанным драйвером - файлы побайтово совпадают. Остальные файлы тоже можно сравнить с файлами с официального репозитория. Всё идентично - никакого криминала. Паникёры.
 
А антивирусы ваши - полное Г. Они вообще ни капли не видят, что перед ними. Ориентируются тупо по сингатуре не вдаваясь в детали. Легко могут обозвать патч - кейгеном. Вот вам результат скана протенького патча, сделанного мной. Патчит строго определённый файл, по строго определённому пути и только после нажатия пользователем кнопки "Patch". А антивирусы орут, что это малварь, троян, кейген. В теме Ratiborus'а в красной рамке написано примерно то же самое, что я тут излагаю, но немного другими словами.
Вот лог, про который я говорю: AMD OverDrive 4.x LOG Disabler.exe
 
 

Всего записей: 276 | Зарегистр. 15-12-2007 | Отправлено: 04:58 08-06-2021 | Исправлено: Lity, 05:03 08-06-2021
RTX

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А антивирусы ваши - полное Г.

Вопрос и не стоит, говно или нет. Просто корпоративный антивирус не даст записать или запустить, ну и безопасности объяснять, себе дороже...

Всего записей: 2730 | Зарегистр. 13-11-2003 | Отправлено: 10:05 08-06-2021
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Lity

Цитата:
Для начала оба эти варианта 64 бит и другого не существует. 32-бит нет в природе.

Я тоже посмеялся, а потом ужаснулся: кому в руки попадает такой инструмент )))
 
Таймстамп необязателен. А вот двойная подпись SHA1 и SHA256 - хороший ход для совместимости.
Для интереса:
https://stackoverflow.com/questions/30672337/code-signing-with-both-sha1-and-sha256-simultaneously
https://www.digicert.com/kb/code-signing/code-signing-dual-signing-sha256-sha1.htm
 
Таймстамп в принципе не нужен, но для перфекционизма лучше делать.
Ссылки на сервера таймстампа
 
RTX
При наличии антивируса Вам и сабж не нужен - подерутся в Ring0 и потенциально забсодят.
Это поделие для тех, кто знает когда и как отключить антивирус.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 10934 | Зарегистр. 14-03-2007 | Отправлено: 12:13 08-06-2021 | Исправлено: gjf, 12:15 08-06-2021
Petrovic82

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ключ до 2023.12.16
#

Всего записей: 5265 | Зарегистр. 19-10-2013 | Отправлено: 14:32 16-06-2021
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5

Компьютерный форум Ru.Board » Компьютеры » Программы » XueTr | PCHunter | PC Hunter


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru