У большинства вундеркиндов есть свой инструмент выбора для работы с автоматически запускающимися процессами, будь то MS Config, CCleaner или даже диспетчер задач в Windows 8, но ни один из них не настолько мощен, как Autoruns, что также является нашим уроком для Geek School сегодня.
В старые времена программное обеспечение запускалось автоматически, добавляя запись в папку «Автозагрузка» в меню «Пуск» или добавляя значение в ключ «Выполнить» в реестре, но по мере того, как люди и программное обеспечение становились более опытными в поиске нежелательных записей и их удалении создатели сомнительного программного обеспечения начали находить способы становиться все более и более хитрыми.
Эти сомнительные компании-производители программного обеспечения начали выяснять, как автоматически загружать свое программное обеспечение с помощью вспомогательных объектов браузера, служб, драйверов, запланированных задач и даже с помощью некоторых чрезвычайно продвинутых методов, таких как захват изображений и AppInit_dlls.
Проверка каждого из этих условий вручную будет не только трудоемкой, но и почти невозможной для обычного человека.
Вот где приходит Autoruns и спасает день. Конечно, вы можете использовать Process Explorer, чтобы просматривать список процессов и углубляться в потоки и дескрипторы, а Process Monitor может точно определить, какие разделы реестра открываются каким процессом, и показать вам невероятное количество информации. Но ни одна из них не останавливает загрузку программного обеспечения или вредоносных программ при следующей загрузке компьютера.
Конечно, разумной стратегией было бы использовать все три вместе. Process Explorer видит, что в данный момент работает и использует ваш процессор и память, Process Monitor видит, что приложение делает изнутри, а затем запускается автозапуск, чтобы очистить вещи, чтобы они не возвращались.
Автозапуск позволяет вам увидеть практически все, что загружается автоматически на ваш компьютер, и отключить его так же просто, как установить флажок. Он невероятно прост в использовании и почти не требует пояснений, за исключением некоторых действительно сложных вещей, которые необходимо знать, чтобы понять, что на самом деле означают некоторые вкладки. Вот чему этот урок будет преподавать.
Работа с интерфейсом автозапуска
Вы можете взять инструмент Autoruns с веб-сайта SysInternals, как и все остальные, и запустить его без установки. Вы хотите сделать это, прежде чем продолжить.
Примечание: автозапуск не требует запуска с правами администратора, но в действительности имеет смысл просто сделать это, так как есть несколько функций, которые не будут работать в противном случае, и есть большая вероятность того, что ваша вредоносная программа работает как администратор Что ж.
При первом запуске интерфейса вы увидите множество вкладок и список вещей, которые автоматически запускаются на вашем компьютере. Вкладка «Все» по умолчанию показывает все на каждой вкладке, но она может быть немного запутанной и длинной, поэтому мы советуем просто просмотреть каждую вкладку отдельно.
Стоит отметить, что по умолчанию Autoruns скрывает все, что встроено в Windows и настроено на автоматический запуск. Вы можете включить показ этих элементов в настройках, но мы не рекомендуем этого.
Отключение предметов
Чтобы отключить любой элемент в списке, вы можете просто снять флажок. Это все, что вам нужно сделать, просто просмотрите список и удалите все, что вам не нужно, перезагрузите компьютер, а затем снова запустите его, чтобы убедиться, что все в порядке.
Примечание. Некоторые вредоносные программы постоянно отслеживают места, из которых они запускают автозапуск, и немедленно возвращают значение. Вы можете использовать клавишу F5 для повторного сканирования и посмотреть, вернулась ли какая-либо из записей после их отключения. Если один из них появился снова, вы должны использовать Process Explorer, чтобы приостановить или уничтожить эту вредоносную программу, прежде чем отключить ее здесь.
Цвета
Как и большинство инструментов SysInternals, элементы в списке могут быть разных цветов, и вот что они означают:
- Розовый — это означает, что информация об издателе не была найдена, или если включена проверка кода, означает, что цифровая подпись либо не существует, либо не совпадает, либо информация об издателе отсутствует.
- Зеленый — этот цвет используется при сравнении с предыдущим набором данных автозапуска, чтобы указать элемент, которого там не было в прошлый раз.
- Желтый — запись запуска уже есть, но файл или задание, на которое она указывает, больше не существует.
Также как и большинство инструментов SysInternals, вы можете щелкнуть правой кнопкой мыши на любой записи и выполнить ряд действий, включая переход к записи или изображению (фактический файл в Проводнике). Вы можете найти в Интернете имя процесса или данные в столбце, просмотреть подробные свойства или посмотреть, выполняется ли эта запись, выполнив быстрый поиск через Process Explorer — хотя многие процессы имеют загрузчик, который затем запускает что-то еще до выход, так что то, что эта функция не показывает результатов, ничего не значит.
Если вы нажали «Перейти к записи», вы попадете прямо в редактор реестра, где вы сможете увидеть этот конкретный раздел реестра и осмотреться. Если запись была чем-то другим, вы могли бы перейти к другой утилите, такой как планировщик задач. Реальность такова, что большую часть времени Autoruns отображает всю ту же информацию прямо в интерфейсе, поэтому вам обычно не нужно беспокоиться, если вы не хотите узнать больше.
Меню «Пользователь» позволяет анализировать другую учетную запись пользователя, что может быть очень полезно, если вы загрузили автозапуск с другой учетной записи на том же компьютере. Стоит отметить, что вам, очевидно, нужно быть администратором, чтобы видеть другие учетные записи пользователей на ПК.
Проверка кодовых подписей
Пункт меню «Параметры фильтра» позволяет перейти на панель параметров, где вы можете выбрать один очень полезный параметр: Проверка подписей кода. Это позволит убедиться, что каждая цифровая подпись проанализирована и проверена, и отобразит результаты прямо в окне. Вы заметите, что все элементы в розовом на скриншоте ниже не проверены или информация об издателе не существует.
И для дополнительной оценки, вы можете заметить, что этот скриншот ниже почти такой же, как на скриншоте в начале, за исключением того, что некоторые элементы в списке не помечены как розовые. Разница в том, что по умолчанию без включенной опции Проверять подписи кода автозапуск будет предупреждать вас только о розовой строке, если информация об издателе не существует.
Анализ автономной системы (как при подключении жесткого диска к другому ПК)
Представьте, что компьютер вашего друга полностью испорчен и либо не загружается, либо загружается так медленно, что вы не сможете его использовать. Вы пробовали безопасный режим и варианты восстановления, такие как восстановление системы, но это не имеет значения, потому что его нельзя использовать.
Вместо того, чтобы тянуть карту «переустановки», которая часто является просто картой «Я сдаюсь», вы можете выдернуть жесткий диск и подключить его к ПК или ноутбуку с помощью удобной док-станции для жесткого диска USB . У вас есть один, верно? Затем вы просто загружаете автозапуск и идете в Файл -> Анализировать автономную систему.
Найдите каталог Windows на другом жестком диске и профиль пользователя, которого вы пытаетесь диагностировать, и нажмите кнопку ОК, чтобы начать.
Конечно, вам понадобится доступ для записи на диск, потому что вы захотите сохранить настройки, чтобы удалить всю чушь, которую вы в итоге найдете.
Сравнение с другим ПК (или предыдущая чистая установка)
Опция File -> Compare кажется неописуемой, но это может быть одним из самых мощных способов анализа ПК и просмотра того, что было добавлено с момента последнего сканирования, или сравнения с известным чистым ПК.
Чтобы использовать эту функцию, просто загрузите автозапуск на ПК, который вы пытаетесь проверить, или используйте автономный режим, который мы описали ранее, затем перейдите в Файл -> Сравнить. Все, что было добавлено после сравнения версии файла, будет отображаться ярко-зеленым цветом. Это так просто. Чтобы сохранить новую версию, вы должны использовать опцию Файл -> Сохранить.
Если вы действительно хотите стать профессионалом, вы можете сохранить чистую конфигурацию из новой установки Windows и поместить ее на флэш-диск, чтобы взять с собой. Сохраняйте новую версию каждый раз, когда вы впервые прикасаетесь к ПК, чтобы убедиться, что вы можете быстро определить все новое программное обеспечение, добавленное владельцем.
Глядя на вкладки
Как вы уже видели, Autoruns — это очень простая, но мощная утилита, которая может быть использована почти любым. Я имею в виду, все, что вам нужно сделать, это снять флажок, верно? Однако полезно иметь больше информации о том, что означают все эти вкладки, поэтому мы постараемся обучить вас здесь.
Вход в систему
Эта вкладка проверяет все «нормальные» места в Windows на предмет автоматически загружаемых вещей, в том числе ключи запуска и запуска реестра, меню «Пуск» и многие другие места. Оказывается, существует 43 различных «нормальных» места, в которые программное обеспечение может вставлять себя для автоматического запуска при входе или выходе из системы. Неудивительно, что в Windows существуют такие огромные проблемы с вредоносным ПО, программным обеспечением и шпионским ПО!
Наш совет: снимите все, что вам не нужно. Вы всегда можете включить его, если хотите.
исследователь
На этой вкладке перечислены все дополнительные компоненты, которые могут загружаться в Windows Explorer. Поскольку у нас не было возможности проиллюстрировать нашу тестовую систему, мы не будем показывать вам скриншот, но в основном это будут надстройки контекстного меню и другие подобные вещи.
Если вы испытываете низкую производительность при просмотре файлов, использовании контекстного меню или просто во всем Windows, это вероятный виновник. Вы можете отключить все, что вам нравится здесь, хотя вы можете потерять некоторые функции для определенных приложений.
Internet Explorer
Эта вкладка очень полезна при работе на компьютерах других людей, поскольку они гораздо чаще используют Internet Explorer, чем наши читатели. На этой вкладке перечислены все расширения браузера, панели инструментов и вспомогательные объекты браузера, которые обычно используются вредоносными программами, чтобы шпионить за вами или показывать вам рекламу. Мы бы рекомендовали снять отметку практически со всех, что вы видите.
Запланированные задачи
Это один из самых хитрых способов, которым вредоносное ПО скрывается в наши дни. Вместо того, чтобы прятаться, используя какие-либо места, которые, как известно, ищут люди, вредоносная программа создает запланированное задание для переустановки, показа рекламы или совершения всяких гнусных действий. Проблема усугубляется тем, насколько запутанным может быть планировщик заданий, поэтому большинство людей никогда даже не узнают, что искать здесь. К счастью, Autoruns делает это легко.
Мы рекомендуем удалить почти все, что вы не узнаете и определенно не от Microsoft. Это один из примеров, где использование параметра «Проверять подписи кода» действительно полезно.
Сервисы
После выполнения задач одним из наиболее распространенных и коварных мест, где вредоносное ПО скрывается в наши дни, является регистрация Службы в Windows или, в некоторых случаях, создание службы, которая помогает убедиться, что другие процессы вредоносного ПО все еще работают.
Вам нужно быть немного более осторожным при отключении вещей на этой вкладке, так как некоторые вещи могут быть законными и необходимыми. На приведенном ниже снимке экрана вы увидите несколько отличных сервисов Google, Microsoft и Mozilla. Хотя если мы отключим их, это не будет иметь большого значения, но все же стоит провести дополнительное исследование, прежде чем отключать их, если вы уже не определили его как программное обеспечение или вредоносное ПО.
Драйверы
Хотите верьте, хотите нет, но некоторые производители программного обеспечения и вредоносных программ на самом деле создали драйверы устройств, которые содержали вредоносные программы или очень схематичные компоненты, которые следят за вами. После того, как наш тестовый компьютер был заражен кучей дерьма, мы заметили, что этот драйвер обнаружен подключенным к одному из них. Мы до сих пор не совсем уверены, что он делает, но, учитывая, как он туда попал, это, вероятно, ничего хорошего.
Вы определенно хотите быть более осторожным на этом экране. Отключение неправильных драйверов может привести к поломке компьютера, поэтому проведите исследование, щелкните правой кнопкой мыши по каждому из них и выполните поиск в Интернете, а также отключите что-либо, только если оно, скорее всего, связано со шпионским ПО. В приведенном ниже примере мы уже определили папку в Путь к изображению для выделенной строки как программное обеспечение, поэтому было логично отключить ее.
Кодеки
Это библиотеки кода, которые используются для обработки воспроизведения мультимедиа для видео или аудио, и, к сожалению, вредоносное ПО использовало их как способ автоматического запуска на компьютере. Вы можете отключить их здесь, если это необходимо.
Boot Execute
С этим вам, вероятно, не придется иметь дело, но он используется для вещей, которые запускаются во время загрузки системы, например, когда вы планируете проверку жесткого диска во время загрузки, поскольку это не может произойти, пока Windows фактически загружена.
Image Hijack
Если вы прочитаете наш второй урок о Process Explorer, вы бы узнали, что вы можете заменить Task Manager на Process Explorer , но вы, вероятно, понятия не имели, как это происходит на самом деле, тем более что вредоносное ПО может и использует ту же технику для захвата приложений на твой компьютер.
Вы можете установить ряд параметров в реестре, которые управляют загрузкой, включая перехват всех исполняемых файлов и запуск их через другой процесс или даже назначение «отладчика» для любого исполняемого файла, даже если это приложение не является отладчиком.
По сути, вы можете назначить значения в реестре, так что если вы попытаетесь загрузить notepad.exe, он вместо этого загрузит calc.exe. Или любое приложение может быть заменено другим приложением. Это один из способов, которыми вредоносное ПО блокирует загрузку MalwareBytes или других инструментов защиты от вредоносных программ.
Вы можете убедиться в этом сами — с левой стороны находится имя исполняемого файла, а с правой стороны клавиша «Отладчик» установлена для экземпляра Process Explorer, который запускается с моего рабочего стола. Но вы можете изменить это на что угодно с обеих сторон, и это сработает. Это, вероятно, сделало бы большую шутку, которую почти никто никогда не сможет понять.
Если вы видите на вкладке Image Hijacks что-либо, кроме значений для Process Explorer, вы должны немедленно отключить их.
AppInit
Еще один пример того, почему в Windows так много программных и шпионских программ, записи AppInit_dlls в реестре удивительны и удивительны. В какой-то момент Microsoft записала в Windows функцию, которая загружает все DLL-файлы, перечисленные в определенном разделе реестра … в каждый запускаемый процесс.
Технически, всякий раз, когда приложение загружает библиотеку Windows user32.dll, оно проверяет значение ключа реестра, а затем загружает в процесс любую из библиотек DLL, найденных в списке, что позволяет каждому приложению быть взломанным вредоносным ПО.
В Windows Vista и более поздних версиях они наконец решили немного ее заблокировать, потребовав, чтобы библиотеки DLL имели цифровую подпись… если ключ RequireSignedAppInit_DLLs не установлен в 0, что в любом случае заставляет Windows загружать их. Как вы можете себе представить, вредоносные программы воспользовались этим, как вы можете видеть в приведенном ниже примере.
Помните, как в уроке 3 мы показали вам, как Conduit угонял и вставлял свои DLL-файлы в процессы вашего браузера? Вот как это было сделано. Вы можете увидеть spvc64loader.dll на скриншоте выше, который затем использовался для загрузки файла SPVC64.dll в браузер.
Зло.
KnownDLLs
Этот ключ гарантирует, что Windows использует конкретную версию файла DLL. По большей части вам не нужно беспокоиться об этом, если вредоносные программы не запутались в этом списке — основная цель использования этой вкладки — просто убедиться, что все перечисленное там действительно проверенный компонент Windows, что довольно просто.
Winlogon, провайдеры Winsock, мониторы печати, провайдеры LSA, провайдеры сетей
Обычно вам не нужно беспокоиться об этих вкладках, так как они просто содержат надстройки, которые расширяют различные аспекты Windows — Winlogon и LSA подключаются к системе входа в систему и аутентификации, Winsock и Network управляют сетью, а мониторы печати — третьи. сторонние приложения, которые работают с вашим принтером.
Если у вас есть значения на этих вкладках, стоит изучить их, прежде чем отключать их. Вредоносные программы, безусловно, могут похитить эти вещи.
Гаджеты на боковой панели
Если у вас есть гаджеты на боковой панели в Vista или Windows 7, вы увидите их здесь и можете отключить, если хотите.
Следующий урок
Это все для автозапуска, но следите за обновлениями завтра, когда мы расскажем вам о Bginfo и отобразим системную информацию на вашем рабочем столе.