Použití autorunů k řešení spouštěcích procesů a malwaru

Obsah:

Video: Použití autorunů k řešení spouštěcích procesů a malwaru

Video: Použití autorunů k řešení spouštěcích procesů a malwaru
Video: Как устроена IT-столица мира / Russian Silicon Valley (English subs) 2024, Březen
Použití autorunů k řešení spouštěcích procesů a malwaru
Použití autorunů k řešení spouštěcích procesů a malwaru
Anonim
Většina geeků má svůj nástroj pro vyřešení procesů, které se spouštějí automaticky, ať už se jedná o MS Config, CCleaner nebo dokonce správce úloh ve Windows 8 - ale žádný z nich není tak silný jako Autoruns, což je také naše lekce Geek School for dnes.
Většina geeků má svůj nástroj pro vyřešení procesů, které se spouštějí automaticky, ať už se jedná o MS Config, CCleaner nebo dokonce správce úloh ve Windows 8 - ale žádný z nich není tak silný jako Autoruns, což je také naše lekce Geek School for dnes.

ŠKOLNÍ NAVIGACE

  1. Jaké jsou nástroje SysInternals a jak je používáte?
  2. Porozumění procesu průzkumu
  3. Použití Process Explorer k odstraňování a diagnostice
  4. Porozumění procesu sledování
  5. Použití monitorovacího procesu k odstraňování a nalezení hacků v registru
  6. Použití autorunů k řešení spouštěcích procesů a malwaru
  7. Pomocí BgInfo zobrazte informace o systému na ploše
  8. Použití PsTools pro ovládání jiných počítačů z příkazového řádku
  9. Analýza a správa souborů, složek a disků
  10. Zalomení a používání nástrojů společně

V minulých dnech by se software automaticky spouštěl přidáním položky do složky Startup v nabídce Start nebo přidáním hodnoty do klíče Run v registru, ale jako lidé a software se stali více zdatnějšími při hledání nežádoucích záznamů a jejich odstranění, tvůrci sporného softwaru začali hledat způsoby, jak dostat stále víc záludnosti.

Tyto společnosti se stinnými crapwaremi začaly zjišťovat, jak automaticky načíst svůj software pomocí pomocných objektů prohlížeče, služeb, ovladačů, naplánovaných úkolů a dokonce i pomocí extrémně pokročilých technik, jako je například hijacking obrázků a AppInit_dlls.

Kontrola ručně za každou z těchto podmínek by nebyla jen časově náročná, ale pro průměrného člověka je téměř nemožné.

To je místo, kde Autoruns přijde a zachrání ten den. Jistě můžete použít Process Explorer pro prohlížení seznamu procesů a ponořit se hluboko do podprocesů a úchytek a Process Monitor dokáže přesně zjistit, které klíče registru jsou otevřeny tím, který proces a ukázat neuvěřitelné množství informací. Ale ani jeden neumožňuje, aby se při příštím spuštění vašeho počítače znovu načtily crapware nebo malware.

Of course, a smart strategy would be to use all three together. Process Explorer sees what is currently running and using up your CPU and memory, Process Monitor sees what the application is doing under the hood, and then Autoruns comes in to clean things up so they don’t come back.

Autoruns vám umožňuje vidět téměř každou věc, která je automaticky načtena do vašeho počítače, a jednoduše ji vypnout tak, že kliknete na zaškrtávací políčko. Je to neuvěřitelně snadné použití a téměř samozřejmostí, s výjimkou některých skutečně komplikovaných věcí, které potřebujete vědět, abyste pochopili, co vlastně znamenají některé karty. To je to, co tato lekce učí.

Práce s rozhraním Autoruns

Můžete získat nástroj Autoruns ze serveru SysInternals stejně jako všechny ostatní a spustit bez instalace. Budete chtít to udělat, než budete pokračovat.

Poznámka: Autoruns nevyžaduje běh jako správce, ale realisticky to dělá nejvíce smysl udělat to jen proto, že existuje několik funkcí, které nebudou fungovat jinak a je tu dobrá šance, že váš malware běží jako správce také.

Když poprvé spustíte rozhraní, uvidíte tón karet a seznam věcí, které se automaticky spouštějí v počítači. Výchozí karta Vše zobrazuje vše od každé karty, ale může to být trochu matoucí a zdlouhavé, proto bychom vám radili prostě projít každou kartu samostatně.

Stojí za to poznamenat, že Autoruns ve výchozím nastavení skrývá vše, co je vestavěno do systému Windows a nastaveno na automatické spuštění. Můžete povolit zobrazení těchto položek v možnostech, ale nedoporučujeme to.
Stojí za to poznamenat, že Autoruns ve výchozím nastavení skrývá vše, co je vestavěno do systému Windows a nastaveno na automatické spuštění. Můžete povolit zobrazení těchto položek v možnostech, ale nedoporučujeme to.

Zakázání položek

Chcete-li zakázat libovolnou položku v seznamu, stačí zaškrtnout políčko. To je vše, co musíte udělat, prostě projděte seznam a odstraňte vše, co nepotřebujete, restartujte počítač a spusťte jej znovu, abyste se ujistili, že vše je dobré.

Poznámka:nějaký malware bude neustále sledovat místa, odkud spustí autostart, a okamžitě vrátí hodnotu zpět. Klávesou F5 můžete znovu provést kontrolu a zjistit, zda se některé položky vrátily po jejich vypnutí. Pokud se některý z nich znovu objevil, měli byste program Explorer Explorer před tím, než jej deaktivujete, pozastavit nebo zabít tento malware.

Barvy

Stejně jako většina nástrojů SysInternals, položky v seznamu mohou mít různé barvy a zde je to, co znamenají:

  • Růžový - to znamená, že nebyla nalezena žádná informace o vydavateli nebo je-li ověření kódu zapnuto, znamená to, že digitální podpis buď neexistuje nebo neodpovídá, nebo neexistují žádné informace o vydavateli.
  • Zelená - tato barva se používá při srovnání s předchozí sadou dat Autoruns, která označuje položku, která tam nebyla naposledy.
  • Žlutá - spouštěcí položka je tam, ale soubor nebo úloha, na kterou odkazuje, již neexistuje.

Stejně jako většina nástrojů SysInternals můžete kliknout pravým tlačítkem myši na libovolný záznam a provést několik akcí, včetně přeskakování na položku nebo obrázek (skutečný soubor v aplikaci Explorer). Můžete vyhledat online název procesu nebo údaje ve sloupci, zobrazit detailní vlastnosti nebo zjistit, zda je daná položka spuštěna pomocí rychlého vyhledávání pomocí Process Explorer - i když mnoho procesů má zavaděč, který pak spouští něco jiného opuštění, takže jen proto, že tato funkce nevykazuje žádné výsledky, nic neznamená.

Pokud klepnete na tlačítko Přejít na položku, budete převedeni přímo do Editoru registru, kde můžete vidět konkrétní klíč registru a rozhlížet se. Pokud by položka byla něco jiného, mohli byste být převedeni do jiného nástroje, jako je Plánovač úloh.Pravdou je, že většinu času Autoruns zobrazuje všechny stejné informace přímo v rozhraní, takže obvykle nemusíte obtěžovat, pokud se nebudete chtít dozvědět více.
Pokud klepnete na tlačítko Přejít na položku, budete převedeni přímo do Editoru registru, kde můžete vidět konkrétní klíč registru a rozhlížet se. Pokud by položka byla něco jiného, mohli byste být převedeni do jiného nástroje, jako je Plánovač úloh.Pravdou je, že většinu času Autoruns zobrazuje všechny stejné informace přímo v rozhraní, takže obvykle nemusíte obtěžovat, pokud se nebudete chtít dozvědět více.
Uživatelské menu umožňuje analyzovat jiný uživatelský účet, což může být opravdu užitečné, pokud jste nahrali Autoruns na jiném účtu ve stejném počítači. Stojí za to poznamenat, že byste zřejmě museli běžet jako administrátor, abyste viděli další uživatelské účty v počítači.
Uživatelské menu umožňuje analyzovat jiný uživatelský účet, což může být opravdu užitečné, pokud jste nahrali Autoruns na jiném účtu ve stejném počítači. Stojí za to poznamenat, že byste zřejmě museli běžet jako administrátor, abyste viděli další uživatelské účty v počítači.
Image
Image

Ověření podpisů kódu

Položka nabídky Možnosti filtru vás přenese do panelu možností, kde můžete vybrat jednu velmi užitečnou možnost: Ověřte podpisy kódu. Tím se zkontroluje, zda je každý digitální podpis analyzován a ověřen, a zobrazuje výsledky přímo v okně. Všimnete si, že všechny položky na růžovém obrázku na obrazovce níže nejsou ověřeny nebo informace o vydavateli neexistují.

A kvůli zvýšenému kreditu můžete zaznamenat, že tento snímek obrazovky níže je téměř stejný jako snímek na začátku, s výjimkou toho, že některé položky v seznamu, které nejsou označeny jako růžové. Rozdíl spočívá v tom, že ve výchozím nastavení bez možnosti zapisování podpisu ověřovacího kódu zapne Autoruns pouze rudý řádek, pokud neexistují žádné informace o vydavateli.

Image
Image

Analyzujte systém offline (stejně jako při připojení pevného disku k jinému počítači)

Představte si, že váš počítač vašeho přítele je úplně zklamaný a buď nebude bootovat, nebo se jen obléká tak pomalu, že jej nemůžete opravdu použít. Vyzkoušeli jste nouzový režim a možnosti obnovy, jako je Obnovení systému, ale nezáleží na tom, protože je nepoužitelný.

Spíše než vytahovat kartu "přeinstalovat", která je často jen kartou "vzdát se", můžete vyndat pevný disk a připojit ho k počítači nebo notebooku pomocí praktického doku pro pevný disk USB. Máte jedno, že? Pak stačí nahrát Autoruns a přejděte do Soubor -> Analyzovat Offline systém.

Projděte si adresář Windows na druhém pevném disku a uživatelský profil uživatele, který se pokoušíte diagnostikovat, a klepněte na tlačítko OK.
Projděte si adresář Windows na druhém pevném disku a uživatelský profil uživatele, který se pokoušíte diagnostikovat, a klepněte na tlačítko OK.
Budete samozřejmě potřebovat zapisovat přístup k disku, protože budete chtít uložit nastavení, abyste odstranili jakýkoliv nesmysl, který nakonec zjistíte.
Budete samozřejmě potřebovat zapisovat přístup k disku, protože budete chtít uložit nastavení, abyste odstranili jakýkoliv nesmysl, který nakonec zjistíte.

Porovnání proti jinému počítači (nebo předchozí čisté instalaci)

Možnost Soubor -> Porovnat se zdá být nepopsatelná, ale může to být jeden z nejúčinnějších způsobů, jak analyzovat počítač a zjistit, co bylo přidáno od posledního naskenování, nebo porovnávat se se známým čistým počítačem.

Chcete-li tuto funkci použít, stačí načíst Autoruns v počítači, který se pokoušíte zkontrolovat, nebo pomocí režimu offline, který jsme popsali dříve, a pak přejděte na položku Soubor -> Porovnat. Všechno, co bylo přidáno od verze porovnávaného souboru, se zobrazí v jasně zelené barvě. Je to tak jednoduché. Chcete-li uložit novou verzi, použijte volbu Soubor -> Uložit.

Pokud opravdu chcete být pro, můžete uložit čistou konfiguraci z nové instalace systému Windows a dát to na flash disk, aby si s sebou. Uložte novou verzi pokaždé, když se dotknete počítače poprvé, abyste se ujistili, že můžete rychle identifikovat všechny nové crapware, které majitel přidal.
Pokud opravdu chcete být pro, můžete uložit čistou konfiguraci z nové instalace systému Windows a dát to na flash disk, aby si s sebou. Uložte novou verzi pokaždé, když se dotknete počítače poprvé, abyste se ujistili, že můžete rychle identifikovat všechny nové crapware, které majitel přidal.

Podívejte se na záložky

Jak jste zatím viděli, Autoruns je velmi jednoduchý, ale výkonný nástroj, který by pravděpodobně mohl použít téměř každý. Chci říct jenom, že musíte zrušit zaškrtnutí políčka, že jo? Je však užitečné mít nějaké další informace o tom, co znamenají všechny tyto karty, a proto se zde budeme snažit a vzdělávat.

Další stránka: Přihlášení, naplánované úlohy a únosy obrázků

Doporučuje: