Что такое Windows Feature Experience Pack в Windows 10?

На днях Microsoft расширила доступность Windows 10 May 2020 Update для пользователей. Таким образом, больше пользователей могут установить версию 2004 и получить вместе с ней новый компонент «Windows Feature Experience Pack». Об данном пакете функций известно по крайней мере с декабря 2019 года, поэтому ожидалось, что Microsoft поделится подробной информации о нем по мере массового развертывания.

Мэри Джо Фоли, журналист портала из ZDNet, отправила запрос в Microsoft по поводу Feature Experience Pack. Официальный представитель компании был немногословен: «Microsoft нечего сказать по данному вопросу».

А что насчет неофициальных каналов? Мэри Джо Фоли удалось выяснить некоторую информацию про Windows Feature Experience Pack у своих источников.

Windows Feature Experience Pack перечислен в списке «Функции по запросу» для Windows 10 и Windows Server. В списке также присутствуют Internet Explorer, Блокнот, DirectX Configuration Database, Paint, PowerShell ISe, Быстрая помощь, консоль управления печатью и др. На странице Microsoft Docs указано, что Windows Feature Experience Pack доступен в Windows 10 версии 2004 и выше и «включает критически важную функциональность Windows». Microsoft рекомендует пользователям, не удалять данную коллекцию компонентов оболочки Windows, общий размер которой составляет 44,15 мегабайт.

Текущий Windows Feature Experience Pack не стоит путать с Windows Experience Pack для Windows XP, Vista и 7, которые предназначались для других целей. Новый пакет совмещает в себе функции, которые будут обновляться чаще, чем сама операционная система Windows 10. Windows Feature Experience Pack активирует набор функций Windows (не только изменения интерфейса), которые будут обновляться через Магазин Windows. Предполагается, что данную коллекцию приложений можно будет тестировать в связке, а не индивидуально.

На данный момент Windows Feature Experience Pack включает несколько приложений: обновленный «Набросок на фрагменте экрана», обновленная панель ввода текста и обновленный интерфейс подсказок оболочки. Ожидается, в будущем в Feature Experience Pack появится больше функций и компонентов оболочки Windows 10.

Уже некоторое время в Магазине Microsoft хранятся фиктивные пакеты Windows Feature Experience Pack для Windows 10 и Windows 10X. В описании версии для Windows 10 сообщается, что она работает со всеми версиями Windows и Xbox One. Напомним, что разработка Windows 10X в настоящее время затягивается, и компании занимается «переосмыслением» данной ОС для одноэкранных устройств.

Также существует предположение, что основная цель Windows Feature Experience Pack в долгосрочной перспективе — это отделение пользовательского интерфейса Windows 10 от базовой операционной системы Windows Core. Основная идея заключается в том, чтобы Microsoft могла переключать различные оболочки поверх базовой ОС в зависимости от используемого типа устройства Windows 10. Это еще в планах? Возможно, поскольку пакет Feature Experience Pack, по всей видимости, подключен к адаптивной оболочке Composable Shell.

Очень странно, что Microsoft не раскрывает предназначение данного пакета на устройствах Windows 10. В любом случае, при установке версии 2004, вы получите Windows Feature Experience Pack.

Время не ждет: чем Windows 10 Timeline может быть полезен криминалисту

При расследовании инцидентов и вирусных атак для реконструкции событий, происходивших в компьютере пользователя, криминалисты часто используют различные виды таймлайна. Как правило, таймлайн представляет собой огромный текстовый файл или таблицу, в которой в хронологической последовательности содержится представленная информация о событиях, происходивших в компьютере.

Обработка носителей информации для подготовки таймлайна (например, с помощью Plaso) — это процесс, отнимающий много времени. Поэтому компьютерные криминалисты сильно обрадовались, узнав, что в очередном обновлении Windows 10 появился новый функционал — Windows 10 Timeline.

«Когда я впервые узнал о новой функции Windows, я подумал: «Здорово! Теперь не придется тратить время на генерацию таймлайнов». Однако, как оказалось, радость моя была преждевременна», — признается Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB. Специально для читателей «Хабра» Игорь рассказывает, какое отношение Windows 10 Timeline — новый вид артефактов Windows 10 — имеет к традиционным видам таймлайна и какие сведения в нем содержатся.

Автор: Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB.

Как уже было сказано, в апрельском обновлении 2018 года в Windows 10 появился новый функционал, называемый «Представление задач» (Windows 10 Timeline, или сокращенно Timeline). Он позволяет просмотреть активности пользователя компьютера и быстро вернуться к открывавшимся ранее документам и программам, к просматривавшимся ранее видео и картинкам, к веб-сайтам. Для того чтобы открыть Windows 10 Timeline, надо нажать на такую иконку:

После этого станут доступны миниатюры программ, документов и сайтов, открывавшихся в текущий день или некоторое время назад:

Исследователи отметили две особенности нового функционала:

1. открытие некоторых приложений не отображается в Timeline
2. часть данных из Timeline (более ранние данные) переносится в Microsoft Cloud

Таким образом, информация, которая может быть получена с помощью анализа Windows 10 Timeline, отличается от привычных экспертам видов таймлайнов, которые содержат более полную информацию о событиях, происходивших на анализируемом компьютере.

Windows 10 Timeline не надо путать с таймлайнами, создаваемыми криминалистическими утилитами. Например, таймлайны созданные Autopsy, Belkasoft Evidence Center, AXIOM, содержат значительно больше записей о различных действиях пользователя исследуемого компьютера по сравнению с Windows 10 Timeline.

Для активации Windows 10 Timeline пользователю компьютера необходимо перейти в раздел «Параметры» операционной системы, выбрать категорию «Конфиденциальность» и подкатегорию «Журнал действий», после чего установить галочки напротив:

• разрешить Windows собирать мои действия с этого компьютера
• разрешить Windows синхронизировать мои действия с этого компьютера в облако

Расположение криминалистических артефактов Windows 10 Timeline

В каталоге Users\%profile name%\AppData\Local\ConnectedDevicesPlatform\ находится файл с расширением .cpd, в котором содержится информация о времени последней синхронизации Windows 10 Timeline с облаком (CNCNotificationUriLastSynced) и об ID пользователя (на иллюстрации это 0b5569b899437c21).

Информация об активности пользователя в Windows 10 Timeline сохраняется в файле ActivitiesCache.db по пути: \Users\%profile name%\AppData\Local\ConnectedDevicesPlatform\L.%profile name%\.

Файл ActivitiesCache.db

Файл ActivitiesCache.db является базой данных SQLite (версии 3). Как и для любой базы данных SQLite, для него характерно наличие двух вспомогательных файлов ActivitiesCache.db-shm и ActivitiesCache.db-wal.

Дополнительная информация об удаленных записях может содержаться в неиспользуемом пространстве таблиц, freelists и wal-файле.

Анатомия Windows 10 Timeline

ActivitiesCache.db содержит следующие таблицы: Activity, Activity_PackageId, ActivityAssetCache, ActivityOperation, AppSettings, ManualSequence, Metadata. Наибольший интерес для исследователя представляют таблицы Activity_PackageId и Activity).

В таблице Activity_PackageId содержатся записи для приложений, которые включают пути для исполняемых файлов (например, …c:\programdata\firefly studios\s tronghold kingdoms\ 2.0.32.1\ strongholdkingdoms.exe …), имена исполняемых файлов, а также время истечения срока действия для этих записей. Значения в столбце Expiration Time хранятся в формате Epoch Time.

Записи в таблице Activity_PackageId хранятся в течение 30 дней и могут содержать информацию об исполняемых файлах или документах, которые уже отсутствуют на исследуемом жестком диске.

В таблице Activity имеются следующие поля: Id, AppId, PackageIdHash, AppActivityId, ActivityType, ActivityStatus, ParentActivityId, Tag, Group, MatchId, LastModifiedTime, ExpirationTime, Payload, Priority, IsLocalOnly, PlatformDeviceId, CreatedInCloud, StartTime, EndTime, LastModifiedOnClient, GroupAppActivityId, ClipboardPayload, EnterpriseId, OriginalLastModifiedOnClient, ETag.

Она содержит целых пять полей временных меток: LastModifiedTime, ExpirationTime, StartTime, EndTime, LastModifiedOnClient (это поле может быть пустым — оно заполняется, если файл, о котором идет речь в данной записи таблицы, был модифицирован пользователем компьютера).

В этой таблице также можно найти пути до исполняемых файлов: …«F:\\NirSoft\\x64\\USBDeview.exe…
Гари Хантер (pr3cur50r) в статье «Windows 10 Timeline — Initial Review of Forensic Artefacts» указывает, что для удаленных файлов значения временных меток не изменяются. Для модифицированных документов значения временных меток изменяются не сразу, а в течение 24 часов.

Исследование Windows 10 Timeline

Самый простой способ просмотреть данные, содержащиеся в файле ActivitiesCache.db, — использовать просмотрщик баз данных SQLite. Например, бесплатную утилиту DB Browser for SQLite.

Перемещаясь по таблицам во вкладке Browse Data, можно просмотреть их содержимое и зафиксировать информацию, которая была бы интересна в ходе проведения конкретного исследования.

Вторая утилита, которую мы рекомендуем использовать, — WxTCmd (Windows 10 Timeline database parser). Эта утилита выполняется из командной строки.

В результате ее работы создается файл формата csv, содержащий результаты анализа файла ActivitiesCache.db.

Третья утилита, которую мы рекомендуем использовать, — AXIOM компании Magnet Forensics.

Для того чтобы программа проанализировала этот артефакт, необходимо указать программе сделать это разделе «Select artifacts to include in case».

Результаты анализа файла можно просмотреть в программе Magnet AXIOM Examiner.

Четвертая утилита, которую мы рекомендуем использовать для анализа подобных файлов, — Belkasoft Evidence Center компании Belkasoft.

После добавления источника данных (жесткий диск, логический диск, каталог или файл) в окне Add data source, в разделе System Files, нужно выбрать Windows Timeline.

После окончания извлечения данных во вкладке Overview появится категория Windows Timeline, в которой будут отображены результаты извлечения данных из файла ActivitiesCache.db.

Windows 10 Timeline в компьютерной криминалистике: используем на практике

Данные, содержащиеся в Windows 10 Timeline, могут быть использованы при расследовании инцидентов или утечек данных.

В качестве примера мы покажем фрагмент данных из файла ActivitiesCache.db с компьютера, подвергшегося атаке хакеров:

Как видно из скриншота, атакующие загрузили на компьютер жертвы TeamViewer, некий файл с файлообменника sendspace.com, Mimikatz. Из анализа событий, сохраненных в Windows 10 Timeline, видно, что атакующие открывали с помощью Блокнота (файл notepad.exe) журнал логов Teamviewer (файл TeamViewer14_Logfile.log). Возможно, для того чтобы удалить или модифицировать информацию, находящуюся в этом файле.

А вот другой пример. Как видно, на компьютере запускались очень необычные файлы. Вероятно, кто-то пытался собрать сведения о пользователе компьютера.

Таким образом, появившаяся в Windows 10 новая категория артефактов, а именно Windows 10 Timeline, упрощает работу исследователя при реконструкции событий, которые происходили на исследуемом компьютере в последние 30 дней. Также Windows 10 Timeline может дать дополнительные сведения о файлах, которые запускались на исследуемом компьютере, в том числе удаленных. Это особенно важно при расследовании инцидентов или утечек данных.

Удаление Windows Expert Series: Удалите Windows Expert Series Навсегда

Что такое Windows Expert Series

Скачать утилиту для удаления Windows Expert Series

Удалить Windows Expert Series вручную

Получить проффесиональную тех поддержку

Читать комментарии

Описание угрозы

Имя исполняемого файла:

Windows Expert Series

Protector-(random 4 letters).exe

Rogue

Win32 (Windows XP, Windows Vista, Windows Seven, Windows 8)

Метод заражения Windows Expert Series

Windows Expert Series копирует свои файл(ы) на ваш жёсткий диск. Типичное имя файла Protector-(random 4 letters).exe. Потом он создаёт ключ автозагрузки в реестре с именем Windows Expert Series и значением Protector-(random 4 letters).exe. Вы также можете найти его в списке процессов с именем Protector-(random 4 letters).exe или Windows Expert Series.

Если у вас есть дополнительные вопросы касательно Windows Expert Series, пожалуйста, заполните эту форму и мы вскоре свяжемся с вами.

Скачать утилиту для удаления

Скачайте эту программу и удалите Windows Expert Series and Protector-(random 4 letters).exe (закачка начнется автоматически):

* SpyHunter был разработан американской компанией EnigmaSoftware и способен удалить удалить Windows Expert Series в автоматическом режиме. Программа тестировалась на Windows XP, Windows Vista, Windows 7 и Windows 8.

Функции

Удаляет все файлы, созданные Windows Expert Series.

Удаляет все записи реестра, созданные Windows Expert Series.

Программа способна защищать файлы и настройки от вредоносного кода.

Программа может исправить проблемы с браузером и защищает настройки браузера.

Удаление гарантированно — если не справился SpyHunter предоставляется бесплатная поддержка.

Антивирусная поддержка в режиме 24/7 входит в комплект поставки.

Скачайте утилиту для удаления Windows Expert Series от российской компании Security Stronghold

Если вы не уверены какие файлы удалять, используйте нашу программу Утилиту для удаления Windows Expert Series.. Утилита для удаления Windows Expert Series найдет и полностью удалит Windows Expert Series и все проблемы связанные с вирусом Windows Expert Series. Быстрая, легкая в использовании утилита для удаления Windows Expert Series защитит ваш компьютер от угрозы Windows Expert Series которая вредит вашему компьютеру и нарушает вашу частную жизнь. Утилита для удаления Windows Expert Series сканирует ваши жесткие диски и реестр и удаляет любое проявление Windows Expert Series. Обычное антивирусное ПО бессильно против вредоносных таких программ, как Windows Expert Series. Скачать эту упрощенное средство удаления специально разработанное для решения проблем с Windows Expert Series и Protector-(random 4 letters).exe (закачка начнется автоматически):

Функции

Удаляет все файлы, созданные Windows Expert Series.

Удаляет все записи реестра, созданные Windows Expert Series.

Программа может исправить проблемы с браузером.

Иммунизирует систему.

Удаление гарантированно — если Утилита не справилась предоставляется бесплатная поддержка.

Антивирусная поддержка в режиме 24/7 через систему GoToAssist входит в комплект поставки.

Наша служба поддержки готова решить вашу проблему с Windows Expert Series и удалить Windows Expert Series прямо сейчас!

Оставьте подробное описание вашей проблемы с Windows Expert Series в разделе Техническая поддержка. Наша служба поддержки свяжется с вами и предоставит вам пошаговое решение проблемы с Windows Expert Series. Пожалуйста, опишите вашу проблему как можно точнее. Это поможет нам предоставит вам наиболее эффективный метод удаления Windows Expert Series.

Как удалить Windows Expert Series вручную

Эта проблема может быть решена вручную, путём удаления ключей реестра и файлов связанных с Windows Expert Series, удалением его из списка автозагрузки и де-регистрацией всех связанных DLL файлов. Кроме того, отсутствующие DLL файлы должны быть восстановлены из дистрибутива ОС если они были повреждены Windows Expert Series.

Чтобы избавиться от Windows Expert Series, вам необходимо:

1. Завершить следующие процессы и удалить соответствующие файлы:

• Windows Expert Series.lnk
• %AppData%\NPSWF32.dll
• %AppData%\Protector-(random 4 letters).exe
• %AppData%\result.db
• %AppData%\1st$0l3th1s.cnf

Предупреждение: вам необходимо удалить только файлы, контольные суммы которых, находятся в списке вредоносных. В вашей системе могут быть нужные файлы с такими же именами. Мы рекомендуем использовать Утилиту для удаления Windows Expert Series для безопасного решения проблемы.

2. Удалите следующие папки:

3. Удалите следующие ключи и\или значения ключей реестра:

• Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
  \msdm.exe
• Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
  \gbmenu.exe
• Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
  \bipcpevalsetup.exe
• Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
  \alevir.exe
• Key: HKEY_CURRENT_USER\Software\ASProtect
• Key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Settings
  Value: UID
  Data: (random)
• Key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Settings
  Value: net
  Data: (date of installation)
• Key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
  Value: Inspector
• Key:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
  Value: EnableLUA
  Data: «0»
• Key:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
  Value: ConsentPromptBehaviorUser
  Data: «0»
• Key:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
  Value: ConsentPromptBehaviorAdmin
  Data: «0»
• Key:
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
  Value: DisableTaskMgr
  Data: «0»
• Key:
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
  Value: DisableRegistryTools
  Data: «0»
• Key:
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
  Value: DisableRegedit
  Data: «0»
• Key:
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
  Value: WarnOnHTTPSToHTTPRedirect
  Data: «0»

Предупреждение: Если указаны значения ключей реестра, вы должны удалить только указанные значения и оставить сами ключи нетронутыми. Мы рекомендуем использовать Утилиту для удаления Windows Expert Series для безопасного решения проблемы.

Как предотвратить заражение рекламным ПО? Мы рекомендуем использовать Adguard:

4. Сбросить настройки браузеров

Windows Expert Series иногда может влиять на настройки вашего браузера, например подменять поиск и домашнюю страницу. Мы рекомендуем вам использовать бесплатную функцию «Сбросить настройки браузеров» в «Инструментах» в программе Spyhunter Remediation Tool для сброса настроек всех браузеров разом. Учтите, что перед этим вам надо удалить все файлы, папки и ключи реестра принадлежащие Windows Expert Series. Для сброса настроек браузеров вручную используйте данную инструкцию:

Для Internet Explorer

Если вы используете Windows XP, кликните Пуск, и Открыть. Введите следующее в поле Открыть без кавычек и нажмите Enter: «inetcpl.cpl».

Если вы используете Windows 7 или Windows Vista, кликните Пуск. Введите следующее в поле Искать без кавычек и нажмите Enter: «inetcpl.cpl».

Выберите вкладку Дополнительно

Под Сброс параметров браузера Internet Explorer, кликните Сброс. И нажмите Сброс ещё раз в открывшемся окне.

Выберите галочку Удалить личные настройки для удаления истории, восстановления поиска и домашней страницы.

После того как Internet Explorer завершит сброс, кликните Закрыть в диалоговом окне.

Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.

Для Google Chrome

Найдите папку установки Google Chrome по адресу: C:\Users\»имя пользователя»\AppData\Local\Google\Chrome\Application\User Data.

В папке User Data, найдите файл Default и переименуйте его в DefaultBackup.

Запустите Google Chrome и будет создан новый файл Default.

Настройки Google Chrome сброшены

Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.

Для Mozilla Firefox

В меню выберите Помощь > Информация для решения проблем.

Кликните кнопку Сбросить Firefox.

После того, как Firefox завершит, он покажет окно и создаст папку на рабочем столе. Нажмите Завершить.

Предупреждение: Так вы потеряте выши пароли! Рекомендуем использовать бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.