Использование Autoruns для работы с автоматически запускаемыми процессами и вредоносным ПО

Серия уроков по пакету утилит SysInternals

1. Что такое инструменты SysInternals и как их использовать?

2. Знакомство с Process Explorer

3. Использование Process Explorer для устранения неполадок и диагностики

4. Понимание Process Monitor

5. Как пользоваться Process Monitor для устранения неполадок и нахождения скрытых ключей реестра

6. Использование Autoruns для работы с автоматически запускаемыми процессами и вредоносным ПО


У большинства компьютерных фанатов есть свой инструмент для работы с процессами, которые запускаются автоматически, будь то MS Config, CCleaner или даже диспетчер задач в Windows 10, но ни один из них не является таким мощным, как Autoruns, именно эту программу мы рассмотрим в данном уроке.

Связанная статья: Как отключить автозапуск программ и служб в Windows

Раньше, чтобы программное обеспечение запускалось автоматически, добавляли запись в папку «Startup» в меню «Пуск» или добавляя значение в раздел «Run» в реестре, но по мере того, как люди и программное обеспечение стали более сообразительными в поиске нежелательных записей и их удалении, производители сомнительного программного обеспечения начали искать всё более и более хитрыми способы автоматически запустить программу при включении системы.

Эти сомнительные компании по производству вредоносного ПО начали выяснять, как автоматически загружать своё программное обеспечение с помощью вспомогательных объектов браузера, служб, драйверов, запланированных задач и даже с помощью некоторых чрезвычайно продвинутых методов, таких как перехват образов и AppInit_dll.

Проверка каждого из этих условий вручную будет не только трудоёмкой, но и практически невозможной для обычного человека.

Вот где на помощь приходит Autoruns, которая спасает положение. Конечно, вы можете использовать Process Explorer, чтобы просматривать список процессов и углубляться в потоки и дескрипторы, а Process Monitor может точно определить, какие ключи реестра открываются каким процессом, и показать вам невероятные объёмы информации. Но ни один из них не предотвращает повторную загрузку вредоносных программ или нежелательных программ при следующем включении компьютера.

Конечно, разумной стратегией было бы использовать все три вместе. Process Explorer видит, что в данный момент работает, и использует ваш процессор и память, Process Monitor видит, что приложение делает под капотом, а затем входит Autoruns, чтобы очистить вещи, чтобы они больше не возвращались.

Autoruns позволяет вам увидеть почти все, что автоматически загружается на вашем компьютере, и отключить любой элемент так же просто, как переключить флажок. Программа невероятно проста в использовании и почти не требует пояснений, за исключением некоторых действительно сложных вещей, которые вам нужно знать, чтобы понять, что на самом деле означают некоторые вкладки. Именно этому и научит нас данный урок — уметь понимать вкладки Autoruns и значение записей в них.

Как запустить Autoruns

Чтобы скачать Autoruns, перейдите на официальный сайт: https://docs.microsoft.com/ru-ru/sysinternals/downloads/autoruns

Если вы скачали полный пакет SysInternals, то для запуска дважды кликните на файл Autoruns64.exe или на Autoruns.exe (это 64-битная и 32-битна версии соответственно).

Работа с интерфейсом Autoruns

Вы можете загрузить инструмент Autoruns с веб-сайта SysInternals, как и все остальные, и запустить его без установки.

Примечание: Autoruns не требует запуска от имени администратора, но на самом деле имеет смысл просто сделать это, поскольку есть несколько функций, которые в противном случае не будут работать, и есть большая вероятность, что ваше вредоносное также ПО запускается от имени администратора.

При первом запуске интерфейса вы увидите множество вкладок и список вещей, которые автоматически запускаются на вашем компьютере. На вкладке Everything («Все») по умолчанию отображается всё из каждой вкладки, но это может быть немного запутанным и длинным, поэтому мы советуем просто просматривать каждую вкладку отдельно.

Стоит отметить, что по умолчанию Autoruns скрывает все встроенные компоненты в Windows, которые настроены на автоматический запуск. Вы можете включить отображение этих элементов в параметрах, но мы не рекомендуем это делать.

Отключение программ и служб из автозагрузки

Чтобы отключить любой элемент в списке, вы можете просто снять флажок. Это всё, что вам нужно сделать, просто просмотреть список и удалить всё, что вам не нужно, перезагрузить компьютер и снова запустить его, чтобы убедиться, что всё в порядке.

Примечание: некоторые вредоносные программы будут постоянно отслеживать места, откуда куда они прописали свой автозапуск, и немедленно возвращают значение обратно. Вы можете использовать клавишу F5 для повторного сканирования и просмотра, вернулись ли какие-либо записи после их отключения. Если одна из них снова появится, вам следует использовать Process Explorer, чтобы приостановить или убить эту вредоносную программу, прежде чем отключать её здесь.

Цвета

Как и большинство инструментов SysInternals, элементы в списке могут быть разных цветов, и вот что они означают:

  • Розовый — это означает, что информация об издателе не найдена, или, если проверка кода включена, означает, что цифровая подпись либо не существует, либо не соответствует, либо информация об издателе отсутствует.
  • Зелёный — этот цвет используется при сравнении с предыдущим набором данных автозапуска для обозначения элемента, которого не было в прошлый раз.
  • Жёлтый — запись для запуска есть, но файл или задание, на которое она указывает, больше не существует.

Так же, как и большинство инструментов SysInternals, вы можете щёлкнуть правой кнопкой мыши любую запись и выполнить ряд действий, включая переход к записи или изображению (фактический файл в проводнике). Вы можете выполнить поиск в Интернете по имени процесса или данных в столбце, просмотреть подробные свойства или посмотреть, запущена ли эта запись, выполнив быстрый поиск через Process Explorer, хотя у многих процессов есть загрузчик, который что-то запускает и выходит, поэтому если вы ничего не нашли среди запущенных процессов, это ещё ничего не значит.

Если вы нажали Jump to Entry («Перейти к записи»), вы попадёте прямо в редактор реестра, где сможете увидеть этот конкретный раздел реестра и осмотреться. Если это что-то другое, вы можете перейти к другой утилите, например к Планировщику заданий. Реальность такова, что в большинстве случаев Autoruns прямо в интерфейсе отображает информацию достаточно полно, поэтому вам обычно не нужно беспокоиться, если вы не хотите узнать больше.

Меню User («Пользователь») позволяет вам анализировать другую учётную запись пользователя, что может быть действительно полезно, если вы загрузили Autoruns в другую учётную запись на том же компьютере. Стоит отметить, что вам, очевидно, потребуется работать от имени администратора, чтобы видеть другие учётные записи пользователей на ПК.

Проверка подписей кода

Пункт меню Filter Options («Параметры фильтра») переносит вас на панель параметров, где вы можете выбрать один очень полезный параметр: Verify Code Signatures («Проверить подписи кода»). Это позволит убедиться, что каждая цифровая подпись проанализирована и проверена, и отобразит результаты прямо в окне. Вы заметите, что все элементы, выделенные розовым цветом на скриншоте ниже, не проверены или информация об издателе не существует.

И для дополнительной уверенности вы можете заметить, что этот снимок экрана ниже почти такой же, как и тот, что находится в начале, за исключением того, что некоторые элементы в списке не отмечены как розовые. Разница в том, что по умолчанию без включённой опции «Проверить подписи кода» Autoruns будет предупреждать вас розовой строкой только в том случае, если информация об издателе не существует.

Анализ выключенного компьютера (использование Autoruns для диска другого компьютера)

Представьте, что компьютер вашего друга полностью неисправен и либо не загружается, либо загружается так медленно, что вы не можете им пользоваться. Вы пробовали безопасный режим и варианты восстановления, такие как Восстановление системы, но это не имеет значения, потому что его нельзя использовать.

Вместо того, чтобы переустанавливать систему, вы можете вынуть жёсткий диск и подключить его к ПК или ноутбуку с помощью SATA-USB переходника. Затем вы просто загружаете Autoruns и идете в File → Analyze Offline System.

Найдите каталог Windows на другом жёстком диске и профиль пользователя, которого вы пытаетесь диагностировать, и нажмите OK, чтобы начать.

Разумеется, вам понадобится доступ для записи на диск, потому что нужно сохранить настройки, чтобы удалить всё ненужное.

Сравнение с другим ПК (или предыдущая чистая установка)

Параметр File → Compare («Файл» → «Сравнить») кажется невзрачным, но это может быть один из самых эффективных способов анализа ПК и просмотра того, что было добавлено с момента последнего сканирования, или сравнения с известным чистым ПК.

Чтобы использовать эту функцию, просто загрузите Autoruns на ПК, который вы пытаетесь проверить, или используйте автономный режим, который мы описали ранее, затем перейдите в File → Compare. Всё, что было добавлено с момента сравнения версии файла, будет отображаться ярко-зелёным цветом. Это так просто. Чтобы сохранить новую версию, воспользуйтесь опцией File → Save (Файл → Сохранить).

Если вы действительно хотите стать профессионалом, вы можете сохранить чистую конфигурацию из новой установки Windows и поместить её на флэш-накопитель, чтобы взять с собой. Сохраняйте новую версию каждый раз, когда вы впервые прикасаетесь к ПК, чтобы быть уверенным, что вы сможете быстро идентифицировать все новое вредоносное ПО, добавленное владельцем.

Вкладки Autoruns

Как вы уже видели, Autoruns — очень простая, но мощная утилита, которую, вероятно, может использовать почти любой. Я имею в виду, всё, что вам нужно сделать, это снять флажок, верно? Однако полезно получить дополнительную информацию о том, что означают все эти вкладки, поэтому мы постараемся вас познакомить здесь.

Logon (Вход в систему)

Эта вкладка проверяет все «обычные» места в Windows на предмет автоматической загрузки, включая ключи Run и RunOnce реестра, меню «Пуск»… и многие другие места. Как оказалось, существует 43 различных «обычных» места, куда программное обеспечение может вставлять себя для автоматического запуска при входе в систему или выходе из неё. Неудивительно, что в Windows существуют такие огромные проблемы с вредоносным, нежелательным и шпионским ПО!

Наш совет: снимите галочки со всего, что вам не нужно. Вы всегда можете повторно включить это, если хотите.

Explorer (Проводник)

На этой вкладке перечислены все дополнительные компоненты, которые могут загружаться в проводник Windows. В основном это будут надстройки контекстного меню и другие подобные вещи.

Если вы испытываете снижение производительности при просмотре файлов, использовании контекстного меню или просто во всех окнах Windows, это, вероятно, является виновником. Вы можете отключить здесь все, что захотите, хотя вы можете потерять некоторые функции для определённых приложений.

Internet Explorer

Эта вкладка потеряла актуальность, поскольку мало кто уже использует Internet Explorer. На этой вкладке перечислены все расширения браузера, панели инструментов и вспомогательные объекты браузера, которые обычно используются вредоносными программами, чтобы шпионить за вами или показывать вам рекламу. Мы рекомендуем снимать отметку практически со всех элементов, которые вы видите.

Scheduled Tasks (Задачи по расписанию)

Это один из самых сложных способов скрытия вредоносных программ в наши дни. Вместо того, чтобы прятаться в каких-либо местах, которые люди умеют искать, вредоносная программа создаёт запланированную задачу для переустановки себя, показа рекламы или выполнения всевозможных гнусных вещей. Проблема усугубляется тем, что планировщик задач может сбивать с толку, поэтому большинство людей даже не догадаются сюда заглянуть. К счастью, Autoruns упрощает эту задачу.

Мы рекомендуем удалить почти все, что вы не узнаете и определённо не принадлежит Microsoft. Это один из примеров, когда действительно полезно использовать параметр Verify Code Signatures («Проверить подписи кода»).

Services (службы)

После выполнения задач одно из наиболее распространённых и коварных мест, где вредоносное ПО скрывается в наши дни, - это регистрация службы в Windows или, в некоторых случаях, создание службы, которая помогает убедиться, что другие вредоносные процессы все ещё работают.

Будьте осторожны при отключении чего-либо на этой вкладке, поскольку некоторые вещи могут быть законными и необходимыми. На скриншоте ниже вы увидите несколько подходящих сервисов Google, Microsoft и Mozilla. Если мы отключим их, это не сильно навредит, но все же стоит провести дополнительное исследование, прежде чем отключать какие-либо вещи, если вы ещё не определили их как вредоносное или нежелательное ПО.

Drivers (Драйверы)

Вы не поверите, но некоторые производители вредоносного ПО и вредоносных программ на самом деле создали драйверы устройств, содержащие вредоносные программы или очень соминтельные компоненты, которые шпионят за вами. После того, как наша тестовая машина была заражена кучей вредоносных программ, мы заметили, что одна из них принесла с собой драйвер. Мы все ещё не совсем уверены в том, что он делает, но учитывая, как он туда попал, вряд ли это что-то хорошее.

Вы определенно захотите быть более осторожными на этом экране. Отключение неправильных драйверов может сломать ваш компьютер, поэтому исследуйте, щелкните каждый из них правой кнопкой мыши и выполните поиск в Интернете, и отключайте что-то только в том случае, если оно, скорее всего, связано со шпионским ПО. В приведенном ниже примере мы уже определили папку в пути к изображению для выделенной строки как вредоносную, поэтому было логично отключить ее.

Codecs (Кодеки)

Это библиотеки кода, которые используются для управления воспроизведением мультимедиа для видео или аудио, и, к сожалению, вредоносные программы использовали их как способ автоматического запуска на компьютере. При необходимости вы можете отключить их здесь.

Boot Execute (выполнение при загрузке)

С этим вам, вероятно, не придётся иметь дело, это используется для вещей, которые запускаются во время загрузки системы, например, когда вы планируете проверку жёсткого диска во время загрузки, поскольку это не может произойти, пока Windows фактически загружена.

Image Hijack (перехват образа)

Если вы прочитали наш второй урок о Process Explorer, то вы узнали, что вы можете заменить диспетчер задач на Process Explorer, но вы, вероятно, не знали, как это происходит на самом деле, не говоря уже о том, что вредоносное ПО может и использует тот же метод для захвата приложений.

Вы можете установить ряд настроек в реестре, которые управляют загрузкой вещей, включая захват всех исполняемых файлов и их запуск через другой процесс или даже назначение «отладчика» любому исполняемому файлу, даже если это приложение не является отладчиком.

По сути, вы можете назначать значения в реестре, чтобы при попытке загрузить notepad.exe вместо этого загружался calc.exe. Или любое приложение может быть заменено другим приложением. Это один из способов, которым вредоносное ПО блокирует загрузку антивирусов или других средств защиты от вредоносных программ.

Вы можете убедиться в этом сами — слева находится имя исполняемого файла, а с правой стороны клавиша «Отладчик» установлена на экземпляр Process Explorer, который запущен с моего рабочего стола. Но вы можете изменить это на что угодно и это будет работать. Вероятно, это будет отличная шутка, которую не так просто обнаружить.

Если вы видите что-либо на вкладке Image Hijacks, кроме значений для Process Explorer, вы должны немедленно отключить их.

AppInit

Еще один пример того, почему в Windows так много вредоносного и шпионского ПО, записи AppInit_dlls в реестре удивительны и невероятны. В какой-то момент Microsoft добавила в Windows функцию, которая загружает все файлы DLL, перечисленные в определённом разделе реестра… в каждый запускаемый процесс.

Что ж, технически, всякий раз, когда приложение загружает библиотеку Windows user32.dll, оно проверяет значение ключа реестра, а затем загружает в процесс любые библиотеки DLL, найденные в списке, что позволяет вредоносным программам захватить каждое приложение.

В Windows Vista и более поздних версиях они, наконец, решили немного ограничить это, потребовав, чтобы библиотеки DLL были подписаны цифровой подписью… если ключ RequireSignedAppInit_DLLs не установлен в 0, что заставляет Windows все равно загружать их. Как вы понимаете, вредоносное ПО воспользовалось этим, как вы можете видеть в примере ниже.

Помните, в уроке 3 мы показали вам, как Conduit перехватывает и вставляет свои файлы DLL в процессы вашего браузера? Это делалось именно таким способом. На скриншоте выше вы можете увидеть файл spvc64loader.dll, который затем использовался для загрузки файла SPVC64.dll в браузер.

Плохо.

KnownDLLs

Этот ключ гарантирует, что Windows использует определённую версию файла DLL. По большей части вам не нужно беспокоиться об этом, если вредоносное ПО не испортило этот список — основная цель использования этой вкладки — просто убедиться, что все, что там указано, действительно является проверенным компонентом Windows, что довольно просто.

Winlogon, Winsock Providers, Print Monitors, LSA Providers, Network Providers

Обычно вам не следует беспокоиться об этих вкладках, поскольку они просто содержат надстройки, расширяющие различные аспекты Windows — Winlogon и LSA подключаются к системе входа и аутентификации, Winsock и Network обрабатывают сеть, а мониторы печати — это сторонние приложения, которые работают с вашим принтером.

Если у вас есть значения на этих вкладках, стоит изучить их, прежде чем отключать их. Несомненно, вредоносное ПО может захватить эти вещи.

Гаджеты боковой панели

Если у вас есть какие-либо гаджеты боковой панели в Vista или Windows 7, вы увидите их здесь и можете отключить их, если хотите.

Следующий урок

Это все для Autoruns, но следите за обновлениями в следующих частях, когда мы расскажем вам о BGInfo и отображении системной информации на вашем рабочем столе.


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

wp-puzzle.com logo