-
Junior Member
- Вес репутации
- 37
у меня -88095 получилось...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
icon80
у меня -88095 получилось...
В этот калькулятор (только в этот) надо вводить текущие значения. То есть если Вы запускаете его сейчас, то надо в логах найти дату и время сегодняшнего последнего запуска.
А вот в генератор паролей - все как обычно, все как я писал до этого...
-
Junior Member
- Вес репутации
- 37
Спс большое за помощь! получилось 21, зарядил на выходные, надеюсь все получится.
-
Сообщение от
icon80
Спс большое за помощь! получилось 21, зарядил на выходные, надеюсь все получится.
Ну вот как раз, как я писал до этого, что можно было просто забить туда число 20 )))) Если не затруднит, напишите, пожалуйста, еще разок с какими параметрами запускали генератор паролей.
-
Junior Member
- Вес репутации
- 37
Дата в логах - указал дату и время с секундами, которое было указано в логе евент.
Время работы - 21 сек
Дата первого файла - указал время создания файла key, папка system была с таким же временем, только секунды другие чуть.
Зазор перед - 300
Зазор после - 80
-
Сообщение от
icon80
Дата в логах - указал дату и время с секундами, которое было указано в логе евент.
Дату и время в день заражения!... так?
PS: Я просто хочу быть уверенным, что все правильно... в XP получается более запутанный процесс...
-
Junior Member
- Вес репутации
- 37
Да, дату в день заражения ставил.
-
Сообщение от
icon80
Да, дату в день заражения ставил.
Тогда все должно получиться!
-
Время создания файла system - 21.03.57
Время создания файла psystem - 21.04.18
Навскидку получается, что время до начала генерации пароля не превышает 20 секунд (и это даже с избытком)
Так что диапазон перебора не так уж и велик
- - - Добавлено - - -
Похоже, что на семерке и выше время запуска службы журнала событий можно увидеть точно так же, как и в Хрюше
Панель управления - Администрирование - Просмотр событий
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Сообщение от
thyrex
Время создания файла system - 21.03.57
Время создания файла psystem - 21.04.18
Навскидку получается, что время до начала генерации пароля не превышает 20 секунд (и это даже с избытком)
Так что диапазон перебора не так уж и велик
Не факт. Содержимое psystem замещается содержимым файла key... не и дата/время в этом случае такие же как и у key. Файл key появляется после нахождения первого пригодного для архивирования файла. А этот файл может быть найден и через 40 сек, если машина слабая + на таких компах время генерации key может быть больше. Так что интервал system psystem может быть разным. Я вроде у себя на компах все стер, так что не могу посмотреть как у меня было.
Сообщение от
thyrex
Похоже, что на семерке и выше время запуска службы журнала событий можно увидеть точно так же, как и в Хрюше
Панель управления - Администрирование - Просмотр событий
Да, конечно, в w7 совершенно точно есть время запуска EventLog. Только вот этот способ менее точный. Вернее сказать - этот способ ужасно не точный, потому что в этой записи нет времени работы!!! Вот пара примеров:
1. WinXP, celeron: 21 сек в момент запуска EventLog
2. W7 (core i7, мой ноут): 114 сек в момент запуска EventLog
3. W7 (core i5, один из рабочих компов): 17 сек в момент запуска EventLog
ну и тд. Разница большая. Так что в W7 точнее основным методом считать.
-
Сообщение от
stack515
Не факт
Я же написал
Сообщение от
thyrex
Время создания
, а не замещения другим содержимым
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Сообщение от
thyrex
Я же написал
, а не замещения другим содержимым
а.... извини, не внимательно прочел Тогда вообще все просто: psystem создается точно в момент запуска moar.exe - проверено, так как у меня весь keygen на этом основан Там же сразу на Entry Point: Взять getTickCount, затем сгенерить пароль, затем создать psystem. Так что время создания psystem можно считать временем запуска moar.exe... с одним, НО. Оно будет до секунд...
Последний раз редактировалось stack515; 15.06.2014 в 22:23.
-
Это понятно. Уходит время загрузку, генерацию пароля, сохранение. Потому я и писал, что промежуток с избытком составляет 20 секунд, а это всего 20000 мс (паролей). Вся загвоздка в более-менее точном определении начального значения счетчика
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Сообщение от
thyrex
Это понятно. Уходит время загрузку, генерацию пароля, сохранение. Потому я и писал, что промежуток с избытком составляет 20 секунд, а это всего 20000 мс (паролей). Вся загвоздка в более-менее точном определении начального значения счетчика
Это да... вот тут как раз спасает W7 где в логах есть таймстемп и соответствующее ему время работы. Некоторые участники этой темы ставили интервал +/- 60 сек и быстро находили свои пароли. Как я понимаю - это те, у кого W7. С XP дела чуть хуже.
-
С XP я предполагаю интервал до записи события о запуске службы логирования - до 30 секунд. У меня от 25 до 27 где-то идет
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Сообщение от
thyrex
С XP я предполагаю интервал до записи события о запуске службы логирования - до 30 секунд. У меня от 25 до 27 где-то идет
Согласен! Среднестатистически это около 25 сек... и на W7 и на XP. У меня на ноуте просто стоит огромное количество разработческого и тестового софта. Поэтому, не смотря на core i7 и 8 гигов памяти грузится он до запуска EventLog около 2 минут.
В сообщении #60 я давал ссылку на прогу, которая позволяет определить хотя бы примерно эту цифру. Актуально только для XP, но я запускал на своей W7 и результаты совпали с событием 6013 при запуске винды.
Последний раз редактировалось stack515; 16.06.2014 в 10:07.
-
Junior Member
- Вес репутации
- 53
Добрый день! EventLog Код события 6013 время 03.06.2014 13:22:46
Время работоспособного состояния 57857 сек.
- я все правильно понял, что именно 57857 сек указывать или все-таки 20-30?
Время создания файла key 03.06.2014 16:16
-
Сообщение от
nedes
Добрый день! EventLog Код события 6013 время 03.06.2014 13:22:46
Время работоспособного состояния 57857 сек.
- я все правильно понял, что именно 57857 сек указывать или все-таки 20-30?
Время создания файла key 03.06.2014 16:16
Все верно! надо указывать 57857. Разговор по 20 сек идет в отношении WinXP.
-
Junior Member
- Вес репутации
- 37
stack515, Уважаемый !!! Благодаря твоему методу один ПК с XP восстановлен. Со вторым нужна помощь. Время задержки в секундах минус 59 (из-за синхронизации с доменным временем) Сколько надо ставить зазоры или передвинуть время первого файла? Спасибо.
-
Сообщение от
yarmar
stack515, Уважаемый !!! Благодаря твоему методу один ПК с XP восстановлен. Со вторым нужна помощь. Время задержки в секундах минус 59 (из-за синхронизации с доменным временем) Сколько надо ставить зазоры или передвинуть время первого файла? Спасибо.
Один восстановлен - это замечательно!!! Теперь второй. "минус 59" - это значение из проги в сообщении #60? Если да, то надо перезагрузить комп еще раза два и повторить процедуру вычисления этого интервала. Напишите, пожалуйста, результаты.