Úvodná » školské » Použitie autorunov na riešenie spúšťacích procesov a malware

    Použitie autorunov na riešenie spúšťacích procesov a malware

    Väčšina geekov má svoj nástroj na riešenie procesov, ktoré sa spúšťajú automaticky, či už je to MS Config, CCleaner alebo dokonca Správca úloh v systéme Windows 8 - ale žiadny z nich nie je taký výkonný ako Autoruns, čo je tiež lekcia Geek School for dnes.

    ŠKOLSKÁ NAVIGÁCIA
    1. Aké sú nástroje SysInternals a ako ich používate??
    2. Pochopenie Process Explorer
    3. Používanie aplikácie Process Explorer na riešenie problémov a diagnostikovanie
    4. Porozumenie procesu sledovania
    5. Používanie monitora procesov na riešenie problémov a vyhľadanie hackov v registri
    6. Použitie autorunov na riešenie spúšťacích procesov a malware
    7. Použitie programu BgInfo na zobrazenie informácií o systéme na ploche
    8. Použitie programu PsTools na ovládanie iných počítačov z príkazového riadku
    9. Analýza a správa súborov, priečinkov a diskov
    10. Zalomenie a spoločné používanie nástrojov

    V starých dňoch sa softvér automaticky spustil pridaním položky do priečinka Startup v ponuke Štart alebo pridaním hodnoty do kľúča Run v registri, ale ako ľudia a softvér sa stali skromnejšími pri hľadaní nežiaducich záznamov a ich odstránení , tvorcovia pochybného softvéru začali nájsť spôsoby, ako získať stále viac a viac záludnosť.

    Tieto tieňové spoločnosti Crapware začali zisťovať, ako automaticky načítať svoj softvér prostredníctvom pomocných objektov prehliadača, služieb, ovládačov, naplánovaných úloh a dokonca aj prostredníctvom niektorých extrémne pokročilých techník, ako sú hijackí obrázkov a AppInit_dlls.

    Kontrola každej z týchto podmienok ručne by bola nielen časovo náročná, ale takmer nemožná pre priemerného človeka.

    To je miesto, kde Autoruns príde a zachráni deň. Samozrejme, môžete používať program Process Explorer na prezeranie zoznamu procesov a ponoriť sa hlboko do vlákien a úchytiek a Process Monitor dokáže presne zistiť, ktoré kľúče databázy sú otvorené a ktoré vám ukážu neuveriteľné množstvo informácií. Ale ani jeden neumožní, aby sa pri ďalšom naštartovaní vášho počítača opätovne zaviedli crapware alebo malware.

    Samozrejme, inteligentná stratégia by bola spoločná pre všetky tri. Process Explorer vidí, čo je práve spustené a používa váš procesor a pamäť, Process Monitor vidí, čo aplikácia robí pod kapotou, a potom sa príde Autoruns vyčistiť veci, aby sa nevrátili.

    Autoruns vám umožňuje vidieť takmer každú vec, ktorá sa automaticky načíta do vášho počítača a zakázať ju tak jednoducho ako kliknutie na začiarkavacie políčko. Je to neuveriteľne ľahko použiteľné a takmer samo vysvetľujúce, okrem niektorých skutočne komplikovaných vecí, ktoré potrebujete vedieť, aby ste pochopili, čo vlastne znamenajú niektoré karty. To je to, čo táto lekcia vyučuje.

    Práca s rozhraním Autoruns

    Môžete chytiť nástroj Autoruns z webovej stránky SysInternals rovnako ako všetky ostatné a spustiť bez inštalácie. Predtým, než budete pokračovať, budete to chcieť urobiť.

    Poznámka: Autoruns nevyžaduje spustenie ako správca, ale realisticky to robí najväčší zmysel len to urobiť, pretože existuje niekoľko funkcií, ktoré nebudú fungovať inak a je tu dobrá šanca, že váš malware beží aj ako správca.

    Keď prvýkrát spustíte rozhranie, uvidíte tony kariet a zoznam vecí, ktoré sa spúšťajú automaticky v počítači. Predvolená karta Všetko zobrazuje všetko od každej karty, ale môže to byť trochu mätúce a zdĺhavé, preto by sme vám radi poradili,.

    Stojí za povšimnutie, že Autoruns automaticky skryje všetko, čo je zabudované do systému Windows a nastaví sa na automatické spustenie. Môžete povoliť zobrazenie týchto položiek v možnostiach, ale nedoporučujeme to.

    Zakázanie položiek

    Ak chcete zakázať akúkoľvek položku v zozname, môžete ju odstrániť. To je všetko, čo musíte urobiť, stačí prelistovať zoznam a odstrániť všetko, čo nepotrebujete, reštartovať počítač a potom spustiť znova, aby ste sa uistili, že všetko je dobré.

    Poznámka: niektorý škodlivý softvér bude neustále monitorovať miesta, odkiaľ spustia autostart, a ihneď vráti hodnotu. Môžete použiť klávesu F5 na opätovné skenovanie a zistiť, či sa niektoré záznamy vrátili po ich vypnutí. Ak sa niektorý z nich objaví znova, mali by ste používať program Process Explorer na pozastavenie alebo zabitie malware predtým, než ho zakážete.

    Farby

    Rovnako ako väčšina nástrojov SysInternals, položky v zozname môžu mať rôzne farby a tu je to, čo znamenajú:

    • Ružová - to znamená, že neboli nájdené žiadne informácie o vydavateľovi alebo ak je verifikácia kódu zapnutá, znamená to, že digitálny podpis buď neexistuje, alebo sa nezhoduje, alebo neexistujú žiadne informácie o vydavateľovi.
    • zelená - táto farba sa používa pri porovnávaní s predchádzajúcou sadu údajov Autoruns na označenie položky, ktorá tam nebola naposledy.
    • žltá - spúšťací záznam je tam, ale súbor alebo úloha, na ktorú odkazuje, už neexistuje.

    Rovnako ako väčšina nástrojov SysInternals môžete kliknúť pravým tlačidlom myši na ľubovoľný záznam a vykonať niekoľko akcií vrátane skoku na vstup alebo obrázok (aktuálny súbor v programe Explorer). Môžete vyhľadávať online názov procesu alebo údaje v stĺpci, zobraziť podrobnosti o vlastnostiach alebo zistiť, či je daná položka spustená rýchlym vyhľadávaním prostredníctvom aplikácie Process Explorer - hoci veľa procesov má načítavanie, ktoré potom spustilo niečo iné opustenie, takže len preto, že táto funkcia nevykazuje žiadne výsledky, neznamená nič.

    Ak ste klikli na položku Prejsť na položku, dostanete sa priamo do Editora databázy Registry, kde môžete vidieť konkrétny kľúč databázy Registry a rozhliadnuť. Ak bol záznam iným, môžete byť odvezený do iného nástroja, ako je Plánovač úloh. Skutočnosť je, že väčšinu času Autoruns zobrazuje všetky rovnaké informácie priamo v rozhraní, takže zvyčajne sa nemusíte obťažovať, ak sa chcete dozvedieť viac.

    Užívateľské menu vám umožňuje analyzovať iný užívateľský účet, ktorý môže byť naozaj užitočný, ak ste nahrali Autoruns na inom účte na tom istom počítači. Stojí za zmienku, že by ste mali samozrejme bežať ako správca, aby ste v počítači mohli vidieť ďalšie používateľské účty.

    Overenie podpisov kódu

    Položka ponuky Možnosti filtrovania vás prevedie na panel s možnosťami, v ktorom môžete vybrať jednu veľmi užitočnú možnosť: Overiť podpisy kódu. Tým sa skontroluje, či je každý digitálny podpis analyzovaný a overený, a zobrazuje výsledky priamo v okne. Všimnete si, že všetky položky na ružovej obrazovke nižšie nie sú overené alebo informácie o vydavateľovi neexistujú.

    A kvôli zvýšenému kreditu, môžete si všimnúť, že táto snímka obrazovky je takmer rovnaká ako tá na začiatku, s výnimkou niektorých položiek v zozname, ktoré nie sú označené ako ružové. Rozdiel je taký, že v predvolenom nastavení bez toho, aby bola zapnutá možnosť Overenie podpísaného kódu, Autoruns vás len upozorní ružovým riadkom, ak neexistujú žiadne informácie o vydavateľovi.

    Analyzujte systém offline (rovnako ako pri pripájaní pevného disku k inému počítaču)

    Predstavte si, že váš počítač vášho priateľa je úplne zmätený a buď nebude bootovať, alebo sa len obuvi tak pomaly, že ho nemôžete skutočne použiť. Vyskúšali ste bezpečný režim a možnosti obnovenia, ako je Obnovovanie systému, ale nezáleží na tom, pretože je nepoužiteľné.

    Namiesto toho, aby ste vytiahli kartu "reinstall", ktorá je často len kartou "I give up", môžete vytiahnuť pevný disk a pripojiť ho k počítaču alebo notebooku pomocou praktického doku pre pevný disk USB. Máte jednu, nie? Potom stačí načítať Autoruns a prejsť na Súbor -> Analyzovať Offline System.

    Vyhľadajte adresár Windows na inom pevnom disku a používateľský profil používateľa, ktorého sa pokúšate diagnostikovať, a kliknite na tlačidlo OK.

    Budete potrebovať prístup k zápisu na disk, samozrejme, pretože budete chcieť uložiť nastavenia na odstránenie akýchkoľvek nezmyslov, ktoré nakoniec nájsť.

    Porovnanie proti inému počítaču (alebo predchádzajúcej čistej inštalácii)

    Možnosť Súbor -> Porovnanie sa zdá byť nepodstatná, ale môže to byť jeden z najvýkonnejších spôsobov, ako analyzovať počítač a zistiť, čo bolo pridané od posledného naskenovania alebo porovnať so známym čistým počítačom.

    Ak chcete použiť túto funkciu, stačí načítať Autoruns na počítači, ktorý sa pokúšate skontrolovať, alebo pomocou režimu offline, ktorý sme opísali vyššie, a potom prejdite na položku Súbor -> Porovnať. Všetko, čo bolo pridané od porovnanej verzie súboru, sa zobrazí v jasne zelenej farbe. Je to tak jednoduché. Ak chcete uložiť novú verziu, použite možnosť Súbor -> Uložiť.

    Ak naozaj chcete byť profesionálom, môžete uložiť čistú konfiguráciu z novej inštalácie systému Windows a dať to na flash disk, aby si s tebou. Uložte novú verziu zakaždým, keď sa dotknete počítača prvýkrát, aby ste sa uistili, že môžete rýchlo identifikovať všetky nové crapware, ktoré majiteľ pridal.

    Pri pohľade na Záložky

    Ako ste už videli, Autoruns je veľmi jednoduchý, ale výkonný nástroj, ktorý by pravdepodobne mohol použiť skoro každý. Chcem povedať, všetko, čo musíte urobiť, je zrušiť začiarknutie políčka, však? Je však užitočné mať viac informácií o tom, čo znamenajú všetky tieto karty, a preto vás budeme snažiť a vzdelávame tu.

    Ďalšia stránka: Prihlásenie, naplánované úlohy a únosy obrázkov