Domovská » škola » Použití autorunů k řešení spouštěcích procesů a malwaru

    Použití autorunů k řešení spouštěcích procesů a malwaru

    Většina geeků má svůj nástroj k řešení procesů, které se spouštějí automaticky, ať už se jedná o MS Config, CCleaner nebo dokonce Správce úloh v systému Windows 8 - ale žádný z nich není tak silný jako Autoruns, což je také naše lekce Geek School for dnes.

    ŠKOLNÍ NAVIGACE
    1. Jaké jsou nástroje SysInternals a jak je používáte?
    2. Porozumění procesu průzkumu
    3. Použití Process Explorer k odstraňování a diagnostice
    4. Porozumění procesu sledování
    5. Použití monitorovacího procesu k odstraňování a nalezení hackerů v registru
    6. Použití autorunů k řešení spouštěcích procesů a malwaru
    7. Pomocí BgInfo zobrazíte informace o systému na ploše
    8. Použití PsTools pro ovládání jiných počítačů z příkazového řádku
    9. Analýza a správa souborů, složek a disků
    10. Zalomení a používání nástrojů společně

    V minulých dnech se software automaticky spouštěl přidáním položky do složky Startup v nabídce Start nebo přidáním hodnoty do klíče Run v registru, ale proto, že se lidé a software stali více zdatnějšími při hledání nežádoucích záznamů a jejich odstranění , tvůrci sporného softwaru začali hledat způsoby, jak se stále více zaludit.

    Tyto společnosti se stinnými crapwaremi začaly zjišťovat, jak automaticky načíst svůj software pomocí pomocných objektů prohlížeče, služeb, ovladačů, naplánovaných úkolů a dokonce i prostřednictvím některých extrémně pokročilých technik, jako jsou hijacké obrazů a AppInit_dlls.

    Kontrola ručně za každou z těchto podmínek by nebyla pouze časově náročná, ale pro průměrného člověka je téměř nemožné.

    To je místo, kde Autoruns přichází a zachrání si den. Jistě, můžete pomocí Process Explorer prohledat seznam procesů a ponořit se hluboko do závitů a úchytek a Process Monitor dokáže zjistit přesně, které klíče registru jsou otevřeny tím, který proces a ukázat vám neuvěřitelné množství informací. Ale ani jeden neumožňuje, aby se při příštím spuštění vašeho počítače znovu nahrovalo poškozený software nebo malware.

    Samozřejmě, že by inteligentní strategie měla používat všechny tři společně. Process Explorer vidí, co je aktuálně spuštěno a využívá procesor a paměť, Process Monitor vidí, co aplikace dělá pod kapotou, a potom se objeví Autoruns, aby vyčistil věci, aby se nevrátili.

    Autoruns umožňuje zobrazit téměř každou věc, která je automaticky načtena do vašeho počítače, a vypnout tak jednoduché, jako kliknutí na zaškrtávací políčko. Je to neuvěřitelně snadné použití a téměř samo vysvětlující, s výjimkou některých skutečně složitých věcí, které potřebujete vědět, abyste pochopili, co vlastně znamenají některé karty. To je to, co tato lekce vyučuje.

    Práce s rozhraním Autoruns

    Můžete získat nástroj Autoruns ze stránky SysInternals stejně jako všechny ostatní a spustit bez instalace. Budete to chtít, než budete pokračovat.

    Poznámka: Autoruns nevyžaduje běh jako správce, ale realisticky to dělá to nejdůležitější jen proto, že existuje několik funkcí, které nebudou fungovat jinak, a je tu dobrá šance, že váš malware běží i jako správce.

    Když poprvé spustíte rozhraní, uvidíte tón karet a seznam věcí, které se automaticky spouštějí v počítači. Výchozí karta Vše zobrazuje vše od každé karty, ale může to být trochu matoucí a zdlouhavé, takže bychom vám radili prostě projít každou kartu samostatně.

    Stojí za to poznamenat, že Autoruns ve výchozím nastavení skrývá vše, co je vestavěno do systému Windows a nastaveno na automatické spuštění. Můžete povolit zobrazení těchto položek v možnostech, ale nedoporučujeme to.

    Zakázání položek

    Chcete-li zakázat libovolnou položku v seznamu, stačí zaškrtnout políčko. To je vše, co musíte udělat, prostě projděte seznam a odstraňte vše, co nepotřebujete, restartujte počítač a znovu spusťte, abyste se ujistili, že vše je dobré.

    Poznámka: Některý malware bude neustále sledovat místa, odkud spustí autostart, a okamžitě vrátí hodnotu zpět. Klávesou F5 můžete znovu provést kontrolu a zjistit, zda se některá z položek vrátila zpět po jejich vypnutí. Pokud se některý z nich znovu objevil, měli byste program Explorer použít k pozastavení nebo zablokování tohoto malwaru před tím, než jej deaktivujete.

    Barvy

    Stejně jako většina nástrojů SysInternals mohou být položky v seznamu různé barvy a zde je to, co znamenají:

    • Růžový - znamená to, že nebyly nalezeny žádné informace o vydavateli nebo je-li ověření kódu zapnuto, znamená to, že digitální podpis buď neexistuje nebo neodpovídá, nebo neexistují žádné informace o vydavateli.
    • Zelená - tato barva se používá při porovnávání s předchozí sadou dat Autoruns, která označuje položku, která tam nebyla naposledy.
    • Žlutá - spouštěcí položka je tam, ale soubor nebo úloha, na kterou odkazuje, již neexistuje.

    Stejně jako většina nástrojů SysInternals můžete klepnout pravým tlačítkem myši na libovolný záznam a provést několik akcí, včetně přeskakování na položku nebo obrázek (skutečný soubor v aplikaci Explorer). Můžete vyhledat online název procesu nebo údaje ve sloupci, zobrazit detailní vlastnosti nebo zjistit, zda je daná položka spuštěna pomocí rychlého vyhledávání pomocí aplikace Process Explorer - ačkoli mnoho procesů má načteč, který pak spouští něco jiného opuštění, takže jen proto, že tato funkce nevykazuje žádné výsledky, nic neznamená.

    Pokud jste klikli na položku Přejít na položku, budete převedeni přímo do Editoru registru, kde můžete vidět tento klíč registru a rozhlížet se. Pokud by položka byla něco jiného, ​​mohli byste být převedeni do jiného nástroje, jako je Plánovač úloh. Realita je, že většinu času Autoruns zobrazuje všechny stejné informace přímo v rozhraní, takže obvykle nemusíte obtěžovat, pokud se nebudete chtít dozvědět více.

    Uživatelské menu vám umožňuje analyzovat jiný uživatelský účet, což může být opravdu užitečné, pokud jste nahrali Autoruns na jiném účtu ve stejném počítači. Stojí za to poznamenat, že byste samozřejmě museli běžet jako správci a vidět další uživatelské účty v počítači.

    Ověření podpisů kódu

    Položka nabídky Možnosti filtru vás přenese do panelu možností, kde můžete vybrat jednu velmi užitečnou možnost: Ověřte podpisy kódu. Tím se zkontroluje, zda je každý digitální podpis analyzován a ověřen, a zobrazuje výsledky přímo v okně. Všimnete si, že všechny položky na růžovém obrázku na obrazovce níže nejsou ověřeny nebo informace o vydavateli neexistují.

    A navíc si můžete všimnout, že tento snímek obrazovky je téměř stejný jako snímek na začátku, s výjimkou toho, že některé položky v seznamu, které nejsou označeny jako růžové. Rozdíl spočívá v tom, že ve výchozím nastavení bez možnosti zapisování podpisů ověřených kódů bude aplikace Autoruns upozorňovat vás pouze na růžový řádek, pokud neexistují žádné informace o vydavateli.

    Analyzujte systém offline (stejně jako při připojení pevného disku k jinému počítači)

    Představte si, že váš počítač vašeho přítele je úplně zmatený a buď nebude bootovat, nebo se jen obléká tak pomalu, že nemůžete opravdu použít. Vyzkoušeli jste nouzový režim a možnosti obnovy, jako je Obnovení systému, ale nezáleží na tom, protože je nepoužitelný.

    Spíše než vytahovat kartu "přeinstalovat", která je často jen kartou "vzdát se", můžete vytáhnout pevný disk a připojit ho k počítači nebo notebooku pomocí praktického doku pro pevný disk USB. Máte jedno, že? Pak stačí načíst Autoruns a přejděte na Soubor -> Analyzovat Offline systém.

    Procházejte, chcete-li vyhledat adresář Windows na druhém pevném disku a uživatelský profil uživatele, kterého se pokoušíte diagnostikovat, a klepnutím na tlačítko OK spusťte.

    Budete samozřejmě potřebovat přístup k zápisu na jednotku, protože budete chtít nastavení uložit, abyste odstranili jakýkoliv nesmysl, který jste nakonec našli.

    Porovnání proti jinému počítači (nebo předchozí čisté instalaci)

    Možnost Soubor -> Porovnat se zdá být neopodstatněná, ale může to být jeden z nejúčinnějších způsobů, jak analyzovat počítač a zjistit, co bylo přidáno od posledního naskenování, nebo srovnávat se se známým čistým PC.

    Chcete-li tuto funkci použít, stačí načíst Autoruns v počítači, který se pokoušíte zkontrolovat, nebo pomocí režimu Offline, který jsme popsali dříve, a pak přejděte na Soubor -> Porovnat. Vše, co bylo přidáno od verze porovnávaného souboru, se zobrazí v jasně zelené barvě. Je to tak jednoduché. Chcete-li uložit novou verzi, použijte volbu Soubor -> Uložit.

    Pokud opravdu chcete být pro, můžete uložit čistou konfiguraci z nové instalace systému Windows a dát to na flash disk, aby si s sebou. Uložit novou verzi pokaždé, když se dotknete počítače poprvé, abyste se ujistili, že můžete rychle identifikovat všechny nové crapware majitel přidal.

    Podívejte se na záložky

    Jak jste zatím viděli, Autoruns je velmi jednoduchý, ale silný nástroj, který by pravděpodobně mohl použít téměř každý. Chci říct, že vše, co musíte udělat, je zrušit zaškrtnutí políčka, že jo? Je však užitečné mít nějaké další informace o tom, co znamenají všechny tyto karty, a proto vás budeme zkoušet a vzdělávat zde.

    Další stránka: Přihlášení, naplánované úlohy a únosy obrázků