Использование автозапуска для работы с процессами запуска и вредоносными программами

У большинства вундеркиндов есть свой инструмент выбора для работы с автоматическими процессами, будь то MS Config, CCleaner или даже диспетчер задач в Windows 8 - но ни один из них не настолько мощен, как Autoruns, что также является нашим уроком для Geek School сегодня.

1. Что такое инструменты SysInternals и как вы ими пользуетесь?
2. Понимание Process Explorer
3. Использование Process Explorer для устранения неполадок и диагностики
4. Понимание Process Monitor
5. Использование Process Monitor для устранения неполадок и поиска взлома реестра
6. Использование автозапуска для работы с процессами запуска и вредоносными программами
7. Использование BgInfo для отображения системной информации на рабочем столе
8. Использование PsTools для управления другими ПК из командной строки
9. Анализ и управление вашими файлами, папками и дисками
10. Заключение и совместное использование инструментов

В старые времена программное обеспечение запускалось автоматически, добавляя запись в папку «Автозагрузка» в меню «Пуск» или добавляя значение в ключ «Выполнить» в реестре, но по мере того, как люди и программное обеспечение становились более опытными в поиске нежелательных записей и их удалении создатели сомнительного программного обеспечения начали находить способы становиться все более и более хитрым.

Эти сомнительные компании-производители программного обеспечения начали выяснять, как автоматически загружать свое программное обеспечение с помощью вспомогательных объектов браузера, служб, драйверов, запланированных задач и даже с помощью некоторых чрезвычайно продвинутых методов, таких как захват изображений и AppInit_dlls..

Проверка каждого из этих условий вручную будет не только трудоемкой, но практически невозможной для обычного человека..

Вот тут и приходит автозапуск и спасает день. Конечно, вы можете использовать Process Explorer для просмотра списка процессов и углубления в потоки и дескрипторы, а Process Monitor может точно определить, какие разделы реестра открываются каким процессом, и показать вам невероятное количество информации. Но ни одна из них не останавливает загрузку программного обеспечения или вредоносных программ при следующей загрузке компьютера..

Конечно, разумной стратегией было бы использовать все три вместе. Process Explorer видит, что в данный момент работает и использует ваш процессор и память, Process Monitor видит, что приложение делает изнутри, а затем приходит автозапуск, чтобы очистить вещи, чтобы они не возвращались.

Автозапуск позволяет вам увидеть почти все, что загружается автоматически на ваш компьютер, и отключить его так же просто, как установить флажок. Он невероятно прост в использовании и почти не требует пояснений, за исключением некоторых действительно сложных вещей, которые нужно знать, чтобы понять, что на самом деле означают некоторые вкладки. Вот чему этот урок будет преподавать.

Работа с интерфейсом автозапуска

Вы можете получить инструмент Autoruns с веб-сайта SysInternals, как и все остальные, и запустить его без установки. Вы хотите сделать это, прежде чем продолжить.

Замечания: Автозапуск не требует запуска с правами администратора, но на самом деле имеет смысл просто сделать это, так как есть несколько функций, которые не будут работать в противном случае, и есть большая вероятность того, что ваша вредоносная программа работает как администратор.

При первом запуске интерфейса вы увидите множество вкладок и список вещей, которые автоматически запускаются на вашем компьютере. Вкладка «Все» по умолчанию показывает все на каждой вкладке, но она может быть немного запутанной и длинной, поэтому мы советуем просто просмотреть каждую вкладку отдельно..

Стоит отметить, что по умолчанию Autoruns скрывает все, что встроено в Windows и настроено на автоматический запуск. Вы можете включить показ этих элементов в настройках, но мы не рекомендуем.

Отключение предметов

Чтобы отключить любой элемент в списке, вы можете просто снять флажок. Это все, что вам нужно сделать, просто просмотрите список и удалите все, что вам не нужно, перезагрузите компьютер, а затем снова запустите его, чтобы убедиться, что все хорошо.

Замечания: некоторые вредоносные программы постоянно отслеживают места, откуда они запускают автозапуск, и немедленно возвращают значение. Вы можете использовать клавишу F5, чтобы выполнить повторное сканирование и посмотреть, вернулась ли какая-либо из записей после их отключения. Если один из них появился снова, вы должны использовать Process Explorer, чтобы приостановить или уничтожить это вредоносное ПО, прежде чем отключить его здесь..

Цвета

Как и большинство инструментов SysInternals, элементы в списке могут быть разных цветов, и вот что они означают:

• розовый - это означает, что информация об издателе не была найдена, или если включена проверка кода, означает, что цифровая подпись либо не существует, либо не совпадает, либо информация об издателе отсутствует.
• зеленый - этот цвет используется при сравнении с предыдущим набором данных автозапуска, чтобы указать элемент, которого не было в прошлый раз.
• желтый - запись запуска есть, но файл или задание, на которое она указывает, больше не существует.

Также как и большинство инструментов SysInternals, вы можете щелкнуть правой кнопкой мыши по любой записи и выполнить ряд действий, включая переход к записи или изображению (фактический файл в Проводнике). Вы можете найти в Интернете имя процесса или данные в столбце, просмотреть подробные свойства или проверить, выполняется ли эта запись, выполнив быстрый поиск через Process Explorer - хотя многие процессы имеют загрузчик, который затем запускает что-то еще до выход, так что только потому, что эта функция не показывает результатов, ничего не значит.

Если вы нажали «Перейти к записи», вы попадете прямо в редактор реестра, где вы сможете увидеть этот конкретный раздел реестра и осмотреться. Если запись была чем-то другим, вы можете перейти к другой утилите, например, к планировщику заданий. Реальность такова, что большую часть времени Autoruns отображает всю ту же информацию прямо в интерфейсе, поэтому вам обычно не нужно беспокоиться, если вы не хотите узнать больше.

Меню «Пользователь» позволяет анализировать другую учетную запись пользователя, что может быть очень полезно, если вы загрузили автозапуск с другой учетной записи на том же компьютере. Стоит отметить, что вам, очевидно, нужно будет работать от имени администратора, чтобы видеть другие учетные записи пользователей на ПК..

Проверка кодовых подписей

Пункт меню «Параметры фильтра» позволяет перейти на панель параметров, где вы можете выбрать один очень полезный параметр: Проверка подписей кода. Это проверит, чтобы убедиться, что каждая цифровая подпись проанализирована и проверена, и отобразит результаты прямо в окне. Вы заметите, что все элементы в розовом на скриншоте ниже не проверены или информация об издателе не существует.

И для дополнительной информации, вы можете заметить, что этот скриншот ниже почти такой же, как и в начале, за исключением того, что некоторые элементы в списке не помечены как розовые. Разница в том, что по умолчанию без включенной опции «Проверять подписи кода» автозапуск будет предупреждать вас только о розовой строке, если информация об издателе не существует.

Анализировать автономную систему (как при подключении жесткого диска к другому ПК)

Представьте, что компьютер вашего друга полностью испорчен и либо не загружается, либо загружается так медленно, что вы не сможете его использовать. Вы пробовали безопасный режим и варианты восстановления, такие как восстановление системы, но это не имеет значения, потому что его нельзя использовать.

Вместо того, чтобы тянуть карту «переустановки», которая часто является просто картой «Я сдаюсь», вы можете выдернуть жесткий диск и подключить его к ПК или ноутбуку с помощью удобной док-станции для жесткого диска USB. У вас есть один, верно? Затем вы просто загружаете автозапуск и идете в Файл -> Анализировать автономную систему..

Найдите каталог Windows на другом жестком диске и профиль пользователя, которого вы пытаетесь диагностировать, и нажмите OK, чтобы начать..

Конечно, вам понадобится доступ для записи на диск, потому что вы захотите сохранить настройки, чтобы удалить всю чушь, которую вы в конечном итоге найдете.

Сравнение с другим ПК (или предыдущая чистая установка)

Опция Файл -> Сравнить кажется неописуемой, но это может быть одним из самых мощных способов анализа ПК и просмотра того, что было добавлено с момента последнего сканирования, или сравнения с известным чистым ПК..

Чтобы использовать эту функцию, просто загрузите автозапуск на ПК, который вы пытаетесь проверить, или используйте автономный режим, который мы описали ранее, затем перейдите в Файл -> Сравнить. Все, что было добавлено после сравнения версии файла, будет отображаться ярко-зеленым цветом. Это так просто. Чтобы сохранить новую версию, вы должны использовать опцию Файл -> Сохранить.

Если вы действительно хотите стать профессионалом, вы можете сохранить чистую конфигурацию из новой установки Windows и поместить ее на флэш-диск, чтобы взять с собой. Сохраняйте новую версию каждый раз, когда вы впервые прикасаетесь к ПК, чтобы убедиться, что вы можете быстро определить все новое программное обеспечение, добавленное владельцем.

Глядя на вкладки

Как вы уже видели, Autoruns - это очень простая, но мощная утилита, которая может быть использована почти любым. Я имею в виду, все, что вам нужно сделать, это снять флажок, верно? Однако полезно иметь больше информации о том, что означают все эти вкладки, поэтому мы постараемся обучить вас здесь.

Следующая страница: вход в систему, запланированные задачи и угон изображения