Форум OlegON > Компьютеры и Программное обеспечение > Операционные системы и программное обеспечение

"Стахановец" отзывы о программе, достоинства и недостатки : Операционные системы и программное обеспечение

29.03.2024 10:06


17.03.2019 13:19
Occul
 
При оффлайне идет активное обращение к local_storage-wal и local_storage-journal, причем, если local_storage-journal недоступен для записи, то в \SC остаются картинки скриншотов, например. Как только убрал этот файл, все картинки пропали, несмотря на оффлайн.
Судя по росту размера, во время оффлайна данные пишутся в local_storage

Консольные программы в списках программ не отображаются (которые не создают окон), Far виден, а 7z в нем - нет.
11.05.2019 08:34
Occul
 
Отдал троянца Касперскому, долго не хотели вносить в свои базы, отпирались, что программа хорошая и ничего вредоносного не делает.
В итоге приняли с пометкой (не вирус), неудивительно, ведь Наталья Касперская аналогичный софт продвигает...




внезапно, сразу в нескольких базах... Их всех Касперский контролирует?
29.07.2019 15:54
Occul
 
Интересная особенность этого трояна... Он же пишет все содержимое буфера обмена... Так вот, поскольку RDP-сессия по умолчанию синхронизирует буферы обмена, то и Стахановец начинает воровать и писать буфер обмена совершенно посторонней машины. Вы подключаетесь к удаленной машине, подключились, отложили пока, работаете на своей, а Стахановец с удаленной машины все пишет себе...
07.09.2021 11:46
LeoWan
 
Добрый день.
Есть масса вопросов, если не затруднит Вас.
- Запущен процесс: svchost.exe -k stkhsvc", что означает "-k"?
- Вы пробовали открыть файл local_storage? Или чем попытаться это сделать?
- В диспетчере задач служба stkhsvc именуется как "IW Monitor Client Service", но ведь это другой продукт - InfoWatch, есть какая-то связь?
- Если отключить службу через реестр (offline), это сработает или восстановится при загрузке?
- Пробовали подменить адрес сервера Стах-ца через реестр, что будет?
07.09.2021 13:45
Occul
 
Цитата:
LeoWan Запущен процесс: svchost.exe -k stkhsvc", что означает "-k"?
Не знаю, но это хост-процесс для сервисов Windows
Цитата:
LeoWan Вы пробовали открыть файл local_storage? Или чем попытаться это сделать?
Пробовал, если срубить самого "Стахановца", то он открывается. Ничего особенного, ворох зашифрованных или бинарных данных.
Цитата:
LeoWan В диспетчере задач служба stkhsvc именуется как "IW Monitor Client Service", но ведь это другой продукт - InfoWatch
Трудно сказать, сейчас там еще InfoWatch Deploy Agent и InfoWatch Device Monitor появились, как я понимаю, Касперская, которая такими игрушками (DLP) развлекается, купила "Стахановец" для включения в свой набор. Теперь он не очень-то и "Стахановец", к счастью, везде продают именно, как InfoWatch Monitor.
Цитата:
LeoWan Если отключить службу через реестр (offline), это сработает или восстановится при загрузке?
Я заходил в безопасном режиме и отключал. Соответственно, теперь надо еще и все остальные сервисы, наверное, отключать.
Из той конторы, где эта следилка была внедрена, я уволился. Чего и вам желаю.
Цитата:
LeoWan Пробовали подменить адрес сервера Стах-ца через реестр, что будет?
Пробовал. Просто ослеп клиент и никуда ничего не слал. Но в сервере, соответственно, красным появлялся, что давно не было на связи.
07.09.2021 14:40
LeoWan
 
Цитата:
Occul Трудно сказать, сейчас там еще InfoWatch Deploy Agent и InfoWatch Device Monitor появились, как я понимаю, Касперская, которая такими игрушками (DLP) развлекается, купила "Стахановец" для включения в свой набор. Теперь он не очень-то и "Стахановец", к счастью, везде продают именно, как InfoWatch Monitor.
Да, похоже это уже один комплект. InfoWatch Device Monitor и stkhsvc стучатся на один IP.
Но stkhsvc виден и в реестре и в диспетчере задач. Всё, что связано с именем InfoWatch спрятано так, что не видно ни в реестре, ни на работающей машине никаких файлов не видно. Может как скормить им подставные данные какие? Короче, кругом враги, кольцо сжимается.
Часовой пояс GMT +3, время: 10:06.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.