Hei admin! kysymys, kuinka puhdistaa rekisteri kertyneestä roskasta: jäljellä olevat avaimet, parametrit, arvot etäohjelmat, mutta haluan tehdä sen oikein, koska minulla on surullinen kokemus.
Juuri äskettäin asensin tietokoneelleni yhden ohjelman ja yllätyin huomatessani, että sen mukana oli asennettu toinenkin, jonkinlainen puhdistusaine. käyttöjärjestelmä ja rekisteri. Mielenkiintoisin asia on, että tämä ohjelma alkoi käynnistyä Windowsin kanssa tarjoten jatkuvasti tietokoneen puhdistamista erilaisia roskia. Ihan huvin vuoksi päätin kokeilla sitä ja napsautin OK, rekisterin puhdistaminen tarpeettomista merkinnöistä alkoi, minuutin kuluttua tarkistus päättyi ja ohjelma antoi raportin, löydettiin 1024 virhettä, joita apuohjelma tarjosi korjata, minä suostui ja napsautti uudelleen OK, rekisterivirheet poistettiin ja tietokone käynnistettiin uudelleen eikä käynnistynyt enää!
klo seuraava käynnistys mustalla näytöllä oli virhe Windows\system32\config\system... ja jotain muuta. Onnistuimme vaivoin palauttamaan käyttöjärjestelmän artikkelisi avulla.
Löysin myös mielenkiintoisen artikkelin verkkosivustoltasi, jossa voit puhdistaa rekisterin viruksen jättämistä avaimista turvautumatta mihinkään ohjelmiin. Siksi päätin kirjoittaa sinulle ja kysyä kuinka puhdistaa rekisteri roskista, ja onko se edes välttämätöntä, koska monet käyttäjät eivät koskaan puhdista rekisteriä eivätkä ajattele sitä.
Kuinka puhdistaa rekisteri
1) Mikä on rekisteri!
2) Onko rekisterin puhdistaminen todella tarpeen?
3) Tiesitkö, että jos haittaohjelma jättää avaimensa rekisteriin, mikään rekisterinpuhdistaja ei löydä niitä. Kuinka löytää tarpeettomat avaimet rekisteristä manuaalisesti turvautumatta ohjelmiin.
3) Kuinka puhdistaa rekisteri EnhanceMySe7enillä
4) Kuinka puhdistaa rekisteri CCleanerilla
Hei ystävät! Hyvä kysymys on esitetty ja vastatakseni siihen kerron pähkinänkuoressa, mikä rekisteri on ja miten Windows käyttää sitä.
Rekisteri on tärkein Windows-komponentti, ilmestyi muinaisessa Windows 3.1:ssä tiedostona Req.dat.
Rekisteri sisältää valtava tietokanta kaikkien käyttöjärjestelmään ja itse Windowsiin asennettujen ohjelmien tiedot tai konfigurointitietojen tallentaminen. Rekisteriin tallennetaan tiedot kaikista käyttäjistä, tiedostopäätteistä, ohjaimista, liitetyistä laitteista, aktivaatioista ja niin edelleen.
Mikä tahansa sovellus, kun se asennetaan käyttöjärjestelmään, jättää määritystietonsa rekisteriin, eikä mikään sovellus myöskään poista kaikkia tietoja rekisteristä, kun se poistetaan (poistetaan) tietokoneelta. Tämä on tunnettu tosiasia.
Esimerkiksi poistan tietokoneelta Adobe ohjelma Photoshop, ja sitten tarkistan rekisteristä tämän ohjelman avainten olemassaolon ja ne ovat siellä,
Sama tulee käymään kanssa Lataa ohjelma Hallita.
Ja jos poistat enemmän kuin vakava ohjelma, kiinnitä sitten huomiota siihen, kuinka paljon se jättää jälkeensä roskarekisteriin. Ja jos kuvittelet, että olemme käyttäneet käyttöjärjestelmää vuoden!
Käy selväksi, että melko paljon tätä ohjelmien jättämää roskaa tietokoneelta poistamisen jälkeen jää rekisteriin, mutta tässä on toinen kysymys, ystäväni - häiritseekö tämä kaikki käyttöjärjestelmän suorituskykyä? Kukaan ei ole pystynyt todistamaan, mikä sen estää. Eikö tämä ole todiste siitä, että hän itse Windows-kehittäjä tunnettu Microsoft ei koskaan luonut erikoistyökalu aivolapsellesi, mikä puhdistaisi rekisterin automaattisesti. kyllä, se on myös olemassa, mutta voit puhdistaa rekisterin vain manuaalisesti käyttämällä Windowsin sisäänrakennettua erityistä regedit-editoria.
Missä tapauksissa puhdistan rekisterin itse?
Ystävät, kokeilin kerran ad nauseumia erilaisilla rekisterinpuhdistusaineilla, mutta en koskaan päässyt vakuuttavaan tulokseen. Mielestäni ei suuri tarve jatkuvasti automaattinen puhdistus rekisterissä, koska ei yhtään automaattinen puhdistus niin hyvä kuin luulet. Jos poistit ohjelman ja se jätti avaimensa rekisteriin, Windows ei koskaan pääse käyttämään näitä avaimia, ja näiden avainten takia järjestelmän suorituskyky ei heikkene millään tavalla tai virheitä ei tapahdu. Rekisterin roskia voi olla useita kymmeniä kilotavuja tarpeettomia osia eikä niillä ole huomattavaa vaikutusta järjestelmän nopeuteen
Mutta sinun pitäisi silti tietää, kuinka poistaa tarpeettomat merkinnät rekisteristä, ja tässä on syy.
Esimerkkinä annan todellisen tapauksen. Ystäväni nappasi haitallisen ohjelman, joka suoritettiin suoritettava tiedosto kansiosta C:\Windows\AppPatch\hsgpxjt.exe. Poistimme viruksen onnistuneesti, mutta haittaohjelman rekisteriin luomat merkinnät säilyivät, koska seuraava ikkuna ilmestyi järjestelmän käynnistyessä.
Mikään olemassa olevista automaattisista rekisterin puhdistajista ei auttanut minua silloin, ne eivät yksinkertaisesti löytäneet haitallisia merkintöjä.
Minun piti löytää haitalliset avaimet manuaalisesti rekisteripesäkkeissä sijaitsevasta rekisteristä
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Windows
Avaimet lisätty
Lataa REG_SZ C:\WINDOWS\apppatch\hsgpxjt.exe
Suorita REG_SZ C:\WINDOWS\apppatch\hsgpxjt.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Avain lisätty
userinit REG_SZ C:\Windows\apppatch\hsgpxjt.exe
Kirjoitin tästä tapauksesta yksityiskohtainen artikkeli"" voit lukea sen. Tästä artikkelista voit oppia löytämään tarpeettomat avaimet rekisteristä sisäänrakennetun avaimen avulla Windows-editori regedit.
No, mitä voimme toivoa käyttäjille, jotka haluavat automaattisen työkalun rekisterin puhdistamiseen käsillä?
Rekisterin puhdistaminen EnhanceMySe7enillä
Ennen kuin käytät rekisterinpuhdistusohjelmia, suosittelen luomaan järjestelmän palautuspisteen (laskellaan pilli ennen kuin putoamme)
Kerran käytin EnhanceMySe7en-ohjelmaa, se on erittäin hyvä säädin Windows 7: lle, se sisältää kaksi tusinaa käteviä työkaluja varten Windowsin hallinta 7. EnhanceMySe7en sisältää myös käynnistyshallinnan, kova eheytys levyasema, kiintolevyn valvontatyökalu ja prosessinhallinta (jotkut työkalut ovat saatavilla vain maksullinen versio). Tämä hieno ohjelma ei valitettavasti ole Englannin kieli, mutta kaikki on sinulle joka tapauksessa selvää.
Ohjelman virallinen verkkosivusto http://seriousbit.com/tweak_windows_7/
Napsauta Lataa v3.7.1, 12,6 Mt ja lataa ilmainen versio,
Se ei sisällä joitain työkaluja, kuten eheyttäjää kovalevy.
Aloita rekisterin puhdistaminen siirtymällä Työkalut-välilehteen ja napsauttamalla vain yhtä painiketta Rekisterin puhdistaja.
Sitten voit tarkastella tietoja tai napsauttaa välittömästi Poista-painiketta poistaaksesi virheet.
Siinä kaikki, rekisteri tyhjennetään.
Kuinka puhdistaa rekisteri CCleanerilla
Vielä enemmän yksinkertainen ohjelma CCleaner, jota suurin osa käyttäjistä käyttää. Se on asennettu kirjaimellisesti kaikille, jotka tarvitsevat sitä ja eivät tarvitse sitä. Joskus minusta tuntuu, että se on osa standardikokonaisuutta Windows-ohjelmat. Riippumatta siitä, millaisen tietokoneen he tuovat minulle korjattavaksi, se asennetaan aina sinne.
Voit ladata ohjelman sen viralliselta verkkosivustolta
http://ccleaner.org.ua/download/
Voitko käyttää kannettavaa? CCleaner versio, joka toimii ilman asennusta ja kuljettaa sitä mukanasi flash-asemalla. Siitä on jopa versio Macille.
Ladattu, suorita ohjelma järjestelmänvalvojana.
Siirry ensin Asetukset-kohtaan ja valitse venäjän kieli.
Rekisteri-välilehti. Napsauta Etsi ongelmia -painiketta.
Ensimmäisellä kerralla ohjelma löytää paljon virheitä.
Napsauta Korjaa.
Ja valitse varmuuskopion tallennuspaikka.
Sitten voit tarkastella kaikkia rekisterivirheitä tai yksinkertaisesti napsauttaa Korjaa merkityt -painiketta.
Tämä varmuuskopio tarvitset sitä, jos jokin menee pieleen rekisterin puhdistamisen jälkeen. Mikä voisi mennä pieleen? Esimerkiksi jotkut jo aktivoitu ohjelma pyytää uudelleen aktivointia, mutta älä huoli, tämä tapahtuu hyvin harvoin. Paina tässä tapauksessa tuplaklikkaus oikea hiiri päällä varmuuskopiotiedosto rekisterissä
Vastaa Kyllä
Virus ja rekisteri!
Jotenkin noin kolme tai neljä vuotta sitten Jevgeni Kaspersky teki tällaisen ennusteen, koska tietokoneen alamaailman aktiivisuus kasvaa, niin "lähitulevaisuudessa Internetissä kävely on yhtä vaarallista kuin kävely pimeillä kaduilla yöllä". Hitaasti mutta varmasti se aika koittaa.
Virukset ovat erityisiä haittaohjelmia. Kun virus on tietokoneessa, useimmissa tapauksissa se rekisteröidään rekisteriin ja tuottaa seuraavat toimet: saa tietokoneen sammumaan ja käynnistymään uudelleen; hidastaa käyttöjärjestelmää; turmelee tiedostoja; lähettää viestejä Internetin kautta, mikä johtaa liikenteen kulutukseen; ja paljon muuta, koska täydellisyydellä ei ole rajaa.
* Käynnistä HijackThis. Napsauta "Tee järjestelmän tarkistus ja tallenna lokitiedosto" -painiketta. Sinun on suoritettava nämä ohjelmat järjestelmänvalvojan oikeuksilla.
Rekisterin optimointi- ja käsittelyohjelmista ei ole nyt pulaa, voit valita erilaisia, testata, puhdistaa ja eheyttää. Monilla apuohjelmilla on useita toimintoja, jotka auttavat rekisteriä. Monilla apuohjelmilla on erittäin hyvä käyttöliittymä ja siellä on mukautusvaihtoehtoja, voit käynnistää sen ajan mukaan, kun käynnistät tietokoneen. Tässä on aika-testattuja apuohjelmia: AusLogics-rekisteri eheyttää, AusLogics BoostSpeed, Register_DivX, Reg docs, Trash Reg, OneButton Checkup.
Kun työskentelet rekisterin kanssa, sinun on oltava erittäin varovainen ja tehtävä vain se, mikä on selvää, mutta on parempi kutsua asiantuntija. Hän asentaa ja näyttää, kuinka voit valvoa rekisteriä.
Toistaiseksi en tunne ketään, joka ei olisi suoraan tai epäsuorasti kärsinyt tietokonevirusten toiminnasta. Virustorjuntayritykset haluavat paljon tuotteistaan, jotka eivät koskaan tarjoa riittävää suojaa. Herää kysymys: miksi ostaa virustorjuntaohjelmistoa? Kaikki ihmisen luoma voidaan tuhota, tämä koskee sekä viruksia että viruksia. Ihmisen huijaaminen on paljon vaikeampaa kuin ohjelman. Siksi tämä artikkeli on omistettu viruksen havaitsemis- ja deaktivointimenetelmän kuvaamiseen ohjelmisto ilman virustorjuntatuote. Muista, että on vain yksi asia, jota ei voi kiertää/rikkoa/pettää – tämä on Tieto, oma ymmärryksesi prosessista. Tänään kerron sinulle siitä todellisia esimerkkejä kuinka tunnistaa ja saada kiinni tietokoneellasi olevat Internet-madot ja vakoiluohjelmat. Tietenkin on monia muitakin tyyppejä, mutta otin yleisimmät ja päätin kirjoittaa siitä, mitä minulla oli käytännössä, jotta en sanoisi mitään tarpeetonta. Jos olet onnekas haussasi, kerron sinulle makroviruksista, takaovista ja rootkitistä. Joten ennen kuin aloitamme, huomaan, että tässä artikkelissa tarkastelen vain NT-perheen käyttöjärjestelmää, joka on yhteydessä Internetiin. Itselläni on Win2000 SP4, tartun viruksia WinXP PE:stä. Joten siirrytään nopeaan ja sen jälkeen yksityiskohtaiseen analyysiin matojen ja vakoojien varalta. Nopealla tarkastuksella havaitsemme ohjelman olemassaolon ja lokalisoimme sen. Yksityiskohtainen analyysi on jo käynnissä tiedosto- ja prosessitasolla. Siellä puhun upeasta PETools-ohjelmasta, mutta kaikella on aikansa.
[Järjestelmäanalyysi]
On loogista, että haittaohjelman havaitsemiseksi ja neutraloimiseksi tällaisen ohjelman olemassaolo on välttämätöntä. Ennaltaehkäisy on edelleen ehkäisyä, puhumme siitä myöhemmin, mutta ensimmäinen asia, joka sinun on tehtävä, on selvittää, onko tietokoneessasi viruksia. Kaikille tyypeille haittaohjelma Näin ollen on oireita, jotka joskus näkyvät paljaalla silmällä, joskus eivät ollenkaan. Katsotaanpa, mitkä ovat infektion yleiset oireet. Koska puhumme tietokoneesta, johon on kytketty maailmanlaajuinen verkosto, ensimmäinen oire on liiallinen nopea kulutus, yleensä lähtevä liikenne, tämä johtuu siitä, että monet Internet-madot suorittavat DDoS-toimintoja
koneita tai vain botteja. Kuten tiedät, DDoS-hyökkäyksen aikana lähtevän liikenteen määrä on yhtä suuri kuin liikenteen enimmäismäärä aikayksikköä kohti. Tietenkin gigabit-kanavalla tämä ei ehkä ole niin havaittavissa, jos DDoS-hyökkäys puhelinverkkoyhteyden leveys, mutta pääsääntöisesti järjestelmän hitaus Internet-resursseja avattaessa on silmiinpistävää (Haluan myös huomata, että puhumme viruksista, jotka ainakin jotenkin piiloutuvat järjestelmälle, koska ei tarvitse selittää mitään, jos sinulla on käynnistyskansiossasi kfgsklgf.exe tiedosto, jonka palomuuri on sieppannut jne.). Seuraavaksi luettelossa on kyvyttömyys käyttää monia virustorjuntayritysten verkkosivustoja, toimintahäiriöt maksullisia ohjelmia tyyppi CRC-virhe, tämä johtuu jo siitä, että melko monet kaupalliset suojat tukevat suoritettavan tiedoston pariteetin tai eheyden tarkistustoimintoa (eikä vain suojat, vaan myös suojauksen kehittäjät itse), mikä tehdään suojaa ohjelmaa hakkeroilta. Puhumattakaan tehokkuudesta tätä menetelmää keksejä ja käännöksiä vastaan, kuitenkin signaloimalla virusinfektio tämä voisi toimia täydellisesti. Aloittelevat viruksentekijät maksavat prosesseista, joita ei voi tappaa, mitä tapahtuu, kun sammutat tai käynnistät uudelleen tietokone on tulossa jonkin prosessin pitkittynyt sammutus tai jopa tietokone jäätyy sammutettaessa. Mielestäni ei ole tarpeen puhua prosesseista, ja myös käynnistyskansiosta, jos siellä on jotain käsittämätöntä tai uutta, niin ehkä se on virus, mutta siitä lisää myöhemmin. Toistuva uudelleenkäynnistys tietokone, Internetistä poistuminen, irtisanominen virustorjuntaohjelmat, päivityspalvelin ei ole käytettävissä Microsoft-järjestelmät, virustentorjuntayritysten verkkosivustojen saatavuus, virheet virustorjunnan päivityksessä, maksullisten ohjelmien rakenteen muutoksista johtuvat virheet, windows viesti että suoritettavat tiedostot ovat vaurioituneet, ulkonäkö tuntemattomia tiedostoja juurihakemistossa, tämä on vain lyhyt luettelo tartunnan saaneen koneen oireista. Suorien haittaohjelmien lisäksi on niin sanottuja vakoiluohjelmia, nämä ovat kaikenlaisia keyloggereita, dumpereita elektroniset avaimet, selaimen ei-toivotut "auttajat". Ollakseni rehellinen, havaintomenetelmän perusteella heidät voidaan jakaa kahteen vastakkaiseen leiriin. Oletetaan, että dynaamisen kirjaston käyttöjärjestelmän kuoreen liitetty näppäinloggeri on erittäin vaikea havaita lennossa, ja päinvastoin tyhjästä peräisin oleva avustaja (plugin, hakupalkki jne.) (plugin, hakupalkki jne.). ).
[Havaitseminen lennossa]
%WINDIR%\Driver Cache\driver.cab
sitten käyttöjärjestelmän päivityskansioista, jos niitä on, sitten %WINDIR%\system32\dllcache\ ja vasta sitten yksinkertaisesti osoitteesta
%WINDIR%\system32\
Ehkä käyttöjärjestelmä sanoo, että tiedostot ovat vaurioituneet ja pyytää levyä jakelupaketin kanssa, älä hyväksy! Muuten se palautuu ja reikä avautuu uudelleen. Kun olet suorittanut tämän vaiheen, voit aloittaa viruksen paikallistamisen. Katso mitä sovelluksia käytetään verkkoyhteys, kätevä pieni ohjelma nimeltä TCPView auttaa, mutta joillain madoilla on hyvä salausalgoritmi tai pahempaa kuin se, on liitetty prosesseihin tai naamioitu prosesseiksi. Yleisin maskausprosessi on epäilemättä svhost.exe-palvelu, tehtävähallinnassa on useita tällaisia prosesseja, ja mikä hämmästyttävintä on, että voit luoda samannimisen ohjelman, jonka jälkeen on lähes mahdotonta erottaa kuka on; WHO. Mutta mahdollisuus on olemassa ja se riippuu tarkkaavaisuudesta. Ensinnäkin, katso tehtävänhallinnasta (tai vielä parempaa, ohjelmasta Process Explorer) ohjelmistokehittäjä. Jos kyseessä on svhost.exe, tämä on tietysti M$, viruskoodiin voi lisätä vääriä tietoja, mutta tässä on pari vivahdetta. Ensimmäinen ja luultavasti tärkein asia on, että hyvin kirjoitettu virus ei sisällä tuontitaulukkoa tai tietoosiota. Siksi tällaisella tiedostolla ei ole resursseja, eikä sitä siksi voida kirjoittaa tekijän resursseihin. Tai voit luoda resurssin, mutta silloin näkyviin tulee ylimääräinen tiedostokoko, mikä on erittäin epätoivottavaa virustentekijälle. Minun on myös sanottava svhost.exe-tiedostosta, tämä on sarja järjestelmäpalvelut ja jokainen palvelu on käynnissä oleva tiedosto tietyillä parametreilla. Vastaavasti kohdassa Ohjauspaneeli -> Hallinta -> Palvelut,
sisältää kaikki ladatut svhost.exe-palvelut, suosittelen laskemaan käynnissä olevien svhost.exe-palveluiden ja prosessien lukumäärän, jos et ole samaa mieltä, kaikki on jo selvää (älä vain unohda vertailla KÄYNNISSÄ olevien palveluiden määrää palvelut). Tarkemmat tiedot liitteessä A.
On myös syytä huomata, että on mahdollista, että palveluiden joukossa on virus, voin sanoa tästä yhden asian, palveluluettelo on MSDN:ssä ja monissa muissa paikoissa verkossa, joten pelkkä ottaminen ja vertailu ei ole ongelma. Näiden vaiheiden jälkeen saat tiedoston nimen, joka saattaa olla virus. Puhun hieman tarkemmin siitä, kuinka määrittää suoraan, onko virus olemassa vai ei, mutta nyt irtaudutaan päättelystä ja tarkastellaan vielä muutamaa kohtaa. Kuten varmaan jo tiedätkin, varten normaali operaatio Käyttöjärjestelmä tarvitsee vain 5 tiedostoa juurihakemistossa, joten voit turvallisesti poistaa kaikki muut tiedostot, ellet tietenkään onnistu asentamaan ohjelmia juurihakemistoon. Muuten, normaalin toiminnan tiedostot, tässä ne ovat: ntldr
boot.ini
pagefile.sys
Bootfont.bin
NTDETECT.COM
Ei pitäisi olla mitään enempää. Jos on, etkä tiedä mistä se tuli, siirry kappaleeseen [Yksityiskohtainen analyysi] Tarkastellaan myös prosesseihin liittämistä luvussa [Yksityiskohtainen analyysi], ja nyt puhutaan automaattisesta käynnistyksestä. Virus täytyy luonnollisesti jotenkin ladata järjestelmän käynnistyksen yhteydessä. Katso vastaavasti seuraavia rekisteriavaimia epäilyttäviä ohjelmia. (Ja jos olet jo löytänyt viruksen, etsi tiedostonimi kaikkialta rekisteristä ja poista):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Suorita HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\SharedTaskSchedulerHKLM\
OHJELMISTO\Microsoft\Windows\CurrentVersion\ShellSer viceObjectDelayLoad
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Tämä kaikki on sanottu yksinkertaisten matojen havaitsemisesta. Tietysti laske hyvä piilotettu virus vaikea. Tämän madon havaitseminen ja deaktivointi vei minulta tietysti noin 10 minuuttia, tiesin mistä etsiä, tämä yksinkertaisti tehtävää. On kuitenkin mahdollista havaita hyvä takaovi, näppäinlogger, stealth virus tai yksinkertaisesti virus, joka käyttää API-toimintokutsujen sieppausta. tiedostojärjestelmä(silloin virus osoittautuu todella näkymätönksi), streaming virus, yleisesti ottaen on useita vivahteita, mutta sellaisia luomuksia on todella vähän, oikeita viruksentekijöitä on nykyään vähän. Se on järkyttävää... Yritän puhua niistä seuraavissa artikkeleissa. nyt siirrytään asiaan vakoiluohjelma tai, kuten porvaristo niitä kutsuu, SpyWare. Selitän jälleen esimerkkejä vakoojista, jotka sain henkilökohtaisesti kiinni, jotta sanani eivät vaikuta tyhjältä fantasialta.
Aloitan tarinani yleisimmillä vakoojilla. Eräässä tunnetussa lehdessä hyvä ohjelmoija kutsuivat niitä oikein aasin kirpuiksi. Yksinkertaisin vakooja piiloutuu usein viattoman näköisen työkalupalkin taakse. Tiedä, että jos sinulla on yhtäkkiä, tyhjästä uusi painike tai selaimen hakupalkkia ja olettaa, että sinua tarkkaillaan. Se näkyy hyvin selvästi, jos sinun aloitussivu selaimessa, tässä ei ole mitään sanottavaa. Tietenkin, pyydän anteeksi joitakin termejä koskevaa virhettä. Virukset, jotka muuttavat selaimen aloitussivuja, eivät välttämättä ole vakoojia, mutta pääsääntöisesti näin on, ja siksi luokitelkaamme ne tässä artikkelissa vakoojiksi. Katsotaanpa esimerkkiä elämästä, kun tulin töihin ja näin oudolta näyttävän hakupalkin yhdellä tietokoneella, kun kysyin, mistä se tulee, en koskaan saanut mitään. Minun piti selvittää se itse. Kuinka vakooja voi päästä järjestelmään? On olemassa useita menetelmiä, kuten olet jo huomannut, että puhumme Internet Explorer Tosiasia on, että yleisin tapa viruksille tunkeutua järjestelmään selaimen kautta on juuri käyttämällä ActiveX-tekniikat, itse tekniikka on jo riittävästi kuvattu, enkä viivy sen tarkastelussa. Voit myös korvata aloitussivun esimerkiksi sivulla sijaitsevalla yksinkertaisella Java-skriptillä, jolla voit jopa ladata tiedostoja ja suorittaa ne haavoittuvassa järjestelmässä. Banaalinen ohjelma, jonka väitetään olevan maksullisten sivustojen kuvien katseluun tunnettu trendi, sisältää 98 prosentissa tapauksista haittaohjelmia. Tietääkseni mistä etsiä, sanon, että on kolme yleisintä tapaa kuinka vakoojat paikantavat ja toimivat uhrin koneella.
Ensimmäinen on rekisteri eikä mitään muuta, virus voi istua käynnistyksessä tai ei välttämättä ole tietokoneessa ollenkaan, mutta sillä on yksi tavoite - korvata selaimen aloitussivu rekisterin kautta. Jos virus tai komentosarja korvasi aloitussivun vain kerran, kysymyksiä ei ole, sinun on vain tyhjennettävä tämä avain rekisteristä, mutta jos puhdistuksen jälkeen avain ilmestyy hetken kuluttua uudelleen, virus on käynnissä ja käyttää jatkuvasti rekisteristä. Jos sinulla on kokemusta virheenkorjausohjelmien, kuten SoftIcen, kanssa työskentelystä, voit asettaa keskeytyskohdan pääsylle rekisteriin (bpx RegSetValueA, bpx RegSetValueExA) ja seurata, mikä ohjelma tavallisten lisäksi käyttää rekisteriä. Jatkossa loogisesti. Toinen on nimenomaan järjestelmätapahtumien sieppaajat, niin sanotut koukut. Tyypillisesti koukkuja käytetään enemmän näppäinloggereissa, ja ne ovat kirjasto, joka valvoo ja, jos mahdollista, muutoksia järjestelmäviestit. Yleensä siihen on jo liitetty itse ohjelma ja kirjasto, joten tutkittavaa päämoduuli ohjelmasta et saa mitään mielenkiintoista.
Lisää tästä ja seuraava menetelmä katso alla oleva luku yksityiskohtainen analyysi.
Ja lopuksi, kolmas tapa on liittää kirjastosi vakioohjelmat OS, kuten explorer.exe ja iexplorer.exe, toisin sanoen näiden ohjelmien lisäosien kirjoittaminen. Tässä taas on pari tapaa, tämä on liittäminen käyttämällä BHO:ta (Gorlum kirjoitti itse kiinnitysmenetelmästä ja käyttää tilaisuutta hyväkseen ja kiitosta hänelle) ja yksinkertaisesti upottaa kirjastosi suoritettavaan tiedostoon. Ymmärtääkseni ero on siinä, että M$-yhtiö itse kuvailee ja ehdottaa Browser Helper Objectia, ja sitä käytetään selaimen liitännäisenä, eikä kirjastojen toteutus ole niinkään laajennus. , vaan pikemminkin itsenäinen ohjelma, joka muistuttaa enemmän tiedosto virus aiemmat vuodet.
Yleiskoulutusta varten annan sinulle rekisteriavaimet, joihin voidaan rekisteröidä huonokuntoisia tuotteita, työkalurivien, painikkeiden ja selaimen aloitussivujen muodossa.
aloitussivu
Parametri HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main StartPage.
HKEY_USERS\S-1-5-21-....\Software\Microsoft\Internet Explorer\Main StartPage -parametri (S-1-5-21-.... tämä avain voi olla erilainen eri koneissa)
Objektien, kuten painikkeiden, työkalurivien jne., rekisteröinti.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
Täällä kaikki "auttajat" rekisteröidään, ja jos sinulla ei ole niitä, avaimen tulee olla tyhjä, jos ei tyhjä, poista se.
Joten jos et ole kunnossa näiden avainten kanssa ja haluat selvittää asiaa tarkemmin, katso tarkemmin.
[Etsisin jotain parempaa]
Koska tätä artikkelia kirjoittaessani halusin tehdä sen ymmärrettäväksi kaikille, tämä luku saattaa tuntua joillekin ihmisille käsittämättömältä, mutta yritin yksinkertaistaa kaikkea parhaani mukaan. En selitä sinulle PE-tiedoston arkkitehtuuria, vaikka viittaammekin siihen. Internetissä on paljon yksityiskohtaisempia käsikirjoja, ja Iczelion kirjoitti hyvin PE-tiedostoista. Ehkä joskus kuvailen sen.
Joten aloittaessamme yksityiskohtaisen analyysin, tarvitsemme joitain työkaluja, joita käytän tässä tapauksessa ja suosittelen PETools by NEOx ja PEiD käyttöä (yleensä pärjäät pelkällä Soft Icella, mutta se on parempi lisää työkaluja Kyllä, se on yksinkertaisempaa, kääntäjille huomautan, että nyt puhumme tuontitaulukon ja tiedostopakkausten tarkastelusta, joten jätä huomiotta perversio, jonka olet näkemässä)
Tämä tarkoittaa, kuten jo sanoin, että oli sellainen tapaus, että hakupalkki ja aloitussivu ilmestyivät selaimeen tyhjästä. Rekisterin tarkistuksen jälkeen en löytänyt tilastosivulta muutoksia, enkä myöskään lisäosien rekisteröintiä selaimessa. Tarkemmin tarkasteltuna kävi ilmi annettu rivi haku (työkalupalkki on yksinkertaisempi) näkyy kaikissa käyttöjärjestelmän ikkunoissa. Tämä muutti jo hieman asian ydintä. Oletin, että kaksi toisistaan riippumatonta vakooja teki tämän, ja se tapahtui soluttautumisen menetelmällä dynaaminen kirjasto. Samalla on tarpeen erottaa, että jos työkalupalkki oli vain selaimessa, se tarkoittaa, että se oli upotettu iexplorer.exe-prosessiin, mutta meillä oli se kaikkialla, joten se oli tarkistettava Explorerissa. exe. Aloin tarkistaa selaimen. Tätä varten käynnistin PEToolsin ja katsoin vain, mitä kirjastoja selain käytti. Minulla kävi onni huolimattoman viruksentekijän edessä, taustaa vasten järjestelmäkirjastot%SYSTEMROOT%:sta oli tietty smt.dll, jonka polku kulki jonnekin TEMP:ssä. Käynnistä vikasietotilassa ja poista tämä kirjasto, ja kaikki on hyvin, vakooja tapetaan. Jäljelle jää vain soittaa PEToolsiin uudelleen, napsauttaa hiiren kakkospainikkeella prosessiamme ja rakentaa tiedosto uudelleen. Tämä on käytännössä yksinkertaisin tapaus. Siirrytään seuraavaan, etsitään ja lopetetaan työkalurivi. Samalla tavalla katsoin explorer.exe-prosessia, enkä löytänyt mitään silmiinpistävää. Tästä seuraa kaksi vaihtoehtoa: joko en tunne kaikkia kirjastoja ulkoa ja työkalurivi on kadonnut niiden joukkoon tai minulla ei ole tietoa löytääksesi sitä. Onneksi ensimmäinen tuli ulos. Mutta miten sitten voidaan erottaa oikea kirjasto väärennetystä kirjastosta? Kerron sinulle ja ymmärrät itse. Kuten tiedät, virusten valmistajat jahtaavat koodin minimointia ja salausta. Toisin sanoen useampaa kuin yhtä työkaluriviä ei yleensä ole avoin lomake Ensinnäkin koodia voidaan pienentää, mikä tarkoittaa, että se on välttämätöntä, ja toiseksi, jos joku (yleensä ei edes virustorjunta, vaan kilpailija) huomaa tämä kirjasto silloin salaamaton koodi on hänen helpompi ymmärtää. Siksi otamme PEiD:n ja tuotamme massaskannaus maahantuodut kirjastot. Microsoftin kirjastot on luonnollisesti kirjoitettu visuaalisella C++:lla, eikä niitä ole pakattu mihinkään, joten jos näemme (ja näin juuri epäilyttävän seUpd.dll-tiedoston, joka on pakattu UPX:llä) pakatun tai salatun kirjaston, 99 % ajasta tämä on se, mitä me teemme. etsivät. Tarkistaako hän sen vai ei, on hyvin yksinkertaista, siirrä se kohtaan turva tila se ja katso tulos. Tietysti voit purkaa sen, katsoa suunnitteluluetteloa ja miettiä, mitä se tekee, mutta älkäämme menkö siihen. Jos et ole löytänyt pakattua kirjastoa, on hyödyllistä käyttää resurssieditoria, kuten Restorator, tarkastellaksesi tiedostoversioita, kuten jo sanoin, kaikissa M$:n kirjastoissa on se kirjoitettuna. Tässä viruksentekijät tekevät virheitä. Heidän pitäisi hävetä kirjoittaa sellaisia viruksia ollenkaan. Lopuksi haluaisin huomauttaa, että *.dll-kirjastoa ei välttämättä voida upottaa prosesseihin. Jotain tällaista on Windows-käyttöjärjestelmässä hyödyllinen sovellus kuten rundll32.exe, ja voin käyttää mitä tahansa kirjastoa tällä prosessilla. Ja samaan aikaan ei tarvitse kirjoittaa rundll32.exe myspy.dll:tä käynnistyksen yhteydessä, riittää, kun kirjoitat tämän tartunnan saaneen tiedoston sisään. Sitten näet vain omasi (tartunnan saaneet tiedostot, joita virustorjunta ei todennäköisesti havaitse) ja rundll32.exe-prosessin etkä mitään muuta. Mitä tehdä tällaisissa tapauksissa? Tässä meidän on syvennettävä tiedoston ja käyttöjärjestelmän rakenteeseen, joten jätämme tämän tämän artikkelin ulkopuolelle. Mitä tulee viruksen pakkaamiseen/salaukseen, tämä ei koske vain kirjastoja, vaan kaikkia järjestelmätiedostot. Tähän miellyttävään huomautukseen haluan lopettaa artikkelin pääosan, mutta paljon on kirjoitettu, mutta tämä on vain 1 % kaikista havaitsemismenetelmistä. Menetelmäni ei ehkä ole paras, mutta käytän sitä itse ja se on melko tuottava (no, ei vain minun tietokoneellani). Jos mahdollista, jos mahdollista, kirjoitan jatkoa makroviruksista, näppäinloggereista ja takaovista, lyhyesti siitä mitä olen jo saanut kiinni.
[Kiitokset]
Haluan ilmaista kiitokseni olemassaolosta kaikille, joiden kanssa olen yhteydessä.
Ja myös ihmisille, jotka vaikuttivat minuun ja ohjasivat jotenkin oikealle tielle:
1dt.w0lf, MozgC, Mario555, c0Un2_z3r0, _4k_, foster jne.
[Liite A]
Luettelo järjestelmäpalveluista svhost.exe (WinXP)
DHCP clientvchost.exe -k netsvcs
DNS-asiakas svchost.exe -k NetworkService
Päivitä automaattisesti svchost.exe -k netsvcs
Toissijainen kirjautuminen svchost.exe -k netsvcs
Looginen levynhallinta svchost.exe -k netsvcs
DCOM-palvelimen käynnistäminen käsittelee svchost -k DcomLaunch
Windows Management Instrumentation svchost.exe -k netsvcs
Muutettu linkinseurantaohjelma svchost.exe -k netsvcs
Moduuli NetBIOS-tuki TCP/IP svchost.exe -k LocalServicen kautta
Tietokoneselain svchost.exe -k netsvcs
Määritä shell-laitteisto svchost.exe -k netsvcs
Työasema svchost.exe -k netsvcs
Palvelin svchost.exe -k netsvcs
Järjestelmän palautuspalvelu svchost.exe -k netsvcs
Windows Time Service svchost.exe -k netsvcs
Virheiden kirjauspalvelu svchost.exe -k netsvcs
Salauspalvelut svchost.exe -k netsvcs
Ohje ja tuki svchost.exe -k netsvcs
Aiheet svchost.exe -k netsvcs
Ilmoitus järjestelmän tapahtumia svchost.exe -k netsvcs
Etäproseduurikutsu (RPC) svchost -k rpcss
Tietoturvakeskus svchost.exe -k netsvcs
Automaattinen yhteydenhallinta etäyhteys svchost.exe -k netsvcs
HTTP-protokolla SSLsvchost.exe -k HTTPFilter
WMI-ohjainlaajennukset svchost.exe -k netsvcs
Image Upload Service (WIA) svchost.exe -k imgsvc
Verkon hallintapalvelutvchost.exe -k netsvcs
Palvelu sarjanumerot kannettavat medialaitteet
svchost.exe -k netsvcs
Yhteensopivuus nopea vaihto käyttäjiä
svchost.exe -k netsvcs
Irrotettava storagesvchost.exe -k netsvcs
Yleinen PnP-laite Hostsvchost.exe -k LocalService
Sovellus managementsvchost.exe -k netsvcs
Taustaa älykkäät siirtopalvelutvchost.exe -k netsvcs
Remote Access Connection Managersvchost.exe -k netsvcs
Verkkoyhteydetsvchost.exe -k netsvcs
Tapahtumajärjestelmä COM+svchost.exe -k netsvcs
SSDP Discovery Service svchost.exe -k LocalService
Palvelu verkon sijainti(NLA)svchost.exe -k netsvcs
Terminal Servicessvchost -k DComLaunch
Telephonysvchost.exe -k netsvcs
Windows Audiosvchost.exe -k netsvcs
HID-laitteidensvchost.exe -k netsvcsin käyttö
Reititys ja etäaccesssvchost.exe -k netsvcs
Annunciator svchost.exe -k LocalService
Tehtävä Schedulersvchost.exe -k netsvcs
Viestipalvelu svchost.exe -k netsvcs
----------- Yhteensä kuusi prosessia, kun kaikki palvelut ovat käynnissä -------
Sisältö
Kun tietokone alkaa käynnistyä, paina näppäintä F8. Ja valitse "Vikasietotila tuella" komentorivi" ja paina "Enter"
Kun lataus on valmis, "Järjestelmänvalvoja: cmd.exe" -ikkuna tulee näkyviin, ja kirjoita näppäimistöllä "regedit.exe". Paina "Enter" uudelleen ja siirry "Rekisterieditoriin"
rekisterissä Windowsin regedit sisällä järjestelmätiedot ja tietoja aiheesta automaattinen käynnistys ohjelmia, kun käyttöjärjestelmä käynnistyy. Täällä yritämme löytää jälkiä banneriviruksestamme.
Käyttöjärjestelmän normaaliin toimintaan tarvitaan vain 5 tiedostoa juurihakemistossa:
ntldr
boot.ini
pagefile.sys
Bootfont.bin
NTDETECT.COM
Ilman yksityiskohtainen analyysi Et voi poistaa mitään rekisteristä. Sinun on oltava 100 % varma, että tämä on virus eikä juurikansioon ladattu ohjelma. Virus on jotenkin ladattava, kun järjestelmä käynnistyy, tämä prosessi tapahtuu yleensä automaattisen käynnistyksen aikana. Siksi tarkastelemme seuraavia rekisteriavaimia epäilyttävien ohjelmien varalta. (Ja jos olet jo löytänyt viruksen, etsi tiedostonimi kaikkialta rekisteristä ja poista):
Alusta alkaen etsimme virusta ketjusta:
\WindowsNT\CurrentVersion\Winlogon Etsi merkintä luettelosta Kuori(XP) Windows7:ssä ei ole tätä osaa.
Katsotaanpa: parametrin arvon pitäisi oletuksena olla Explorer.exe, jos on jotain muuta, poistamme sen.
Nyt löydämme merkinnän: Usernit(Esillä missä tahansa Windows-versiot). Tämän merkinnän arvon on oltava C:\Windows\system32\userinit.exe Kaikki siellä oleva paitsi tämä merkintä poistetaan. Luonnollisesti, jos käyttöjärjestelmää ei ole asennettu asemaan C, tallennus on erilainen.
Seuraava vaihe on aloitusosion muokkaaminen Juosta .
Etsimme ja avaamme ketjun: HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Run (Tämä alue koskee Windows 7) Tässä säikeessä voit poistaa kaiken paitsi virustorjuntaohjelmistot ja myös työssäsi tarpeelliset ohjelmistot (apuohjelmat tulostimelle, skypelle, skannerille).
Seuraava ketju: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run Tässä teemme samoin kuin edellisessä kappaleessa.
Sinun on ehkä vaihdettava tiedosto "isännät" joka sijaitsee osoitteessa: Open Start" ja kirjoita: %systemroot%\system32\drivers\etc
Kopioimme standardin kehittäjän verkkosivustolta http://support.microsoft.com/kb/972034/ru ja nimeämme vanhan uudelleen hosts.old.
Napsauta hiiren kakkospainikkeella sisään Vapaa tila kansiossa %WinDir%\system32\drivers\etc,
valitse Uusi, napsauta elementtiä Tekstiasiakirja, kirjoita isäntänimi/Avaa uusi hosts-tiedosto Muistio-tekstieditorissa ja kopioi tallennettu teksti sivustolta tiedostoon. Käynnistämme tietokoneen uudelleen.
Joskus käy niin, että sinun ei tarvitse etsiä Application.exe-tiedostoa Windowsin rekisteristä, vaan se riittää suorittamaan nopea tarkistus"Security Esseentiats", käynnistä uudelleen ja kun tietokone käynnistyy, näkyviin tulee ikkuna, joka ilmoittaa ohjelman nimen, esimerkiksi 2088322.exe, joka Windows Defender ei voi tunnistaa. Sinun tarvitsee vain kirjoittaa tämä arvo kohtaan "Käynnistä" - "Hae ohjelmia ja tiedostoja" ja sitten käyttää oikea painike hiirellä selvittääksesi tämän bannerin osoitteen ja poistaaksesi sen ensin roskakoriin ja sitten lopullisesti.
Jos sinun on tarkistettava rekisteristä toimiva tietokone, eli kun käyttöjärjestelmä on ladattu täyteen, "Vikasietotilaa" ei tarvitse käyttää, vaan kirjoita "Käynnistä"-valikkoon regedit-komento ja napsauta avautuvaa tiedostoa, jolloin "Rekisterieditori" avautuu edessäsi.
Mutta mitä tehdä, jos käyttöjärjestelmää ei voi käynnistää vikasietotilassa, kuinka poistaa banneri ja avata Windowsin lukitus? Tässä tapauksessa meidän on turvauduttava kolmas osapuoli tarkoittaa, et pärjää yhdellä tietokoneella. Mietitäänpä eniten parhaat apuohjelmat tänään, mikä auttaa meitä avaamaan tietokoneemme lukituksen: "Kuinka poistaa banneri, jos Windows ei käynnisty vikasietotilassa"
Mies tämä
suurin osa pelottava virus
Maapallolla.
"sopimaton"
Juuri äskettäin, pari vuotta sitten, joku ennusti, että parin vuoden kuluttua Internet-sivuilla kävelemisestä tulee yhtä vaarallista kuin pimeillä kaupunkikaduilla. Nykyään tietokonevirukset ovat yleistyneet, ja tämä väite on käynyt toteen.
Niitä kutsutaan viruksiksi tietokoneohjelmat jotka häiritsevät käyttäjän tuottavaa työtä tietokoneella. Kun tietokone on saastunut viruksilla, virukset kirjoitetaan lähes aina käyttöjärjestelmän rekisteriin. Tietokonevirukset voi aiheuttaa: tietokoneen sammutuksen tai uudelleenkäynnistyksen, käyttöjärjestelmän hidastumisen, tiedostojen vioittumisen ja poistamisen, hyökkäyksiä palvelimiin Internetin kautta, lisääntyneen tietokoneliikenteen ja monia muita toimia.
Tämä vaatii useita vaiheita. Vaatii puhdistusta RAM viruksista, poista virus kiintolevyltä ja poista linkit viruksiin Windowsin rekisteri. Sen jälkeen sinun on asennettava korkealaatuinen virustorjunta tai monimutkainen virustorjunta. varten täysi suoja Ensinnäkin tietokoneesi rekisteri on korjattava kunnolla. Rekisterin korjaus ja analysointi suoritetaan seuraavilla ohjelmilla:
AVPTool Kaspersky Labilta tai Dr. Web CureIt Doctor Webistä.
Tietokoneen virustarkistusohjelman valinta riippuu tietokoneeseen asennetusta virustorjuntaohjelmasta. Sinun tulee tarkistaa kolmannen osapuolen virustorjuntaohjelmat. Eli jos sinulla on Kaspersky asennettuna, sinun on tarkistettava se Doctor Webillä. Kun tarkistat kolmannen osapuolen virustorjunta, sinun on keskeytettävä väliaikaisesti päävirustorjuntasi suojaus.
Tätä varten tietokone on käynnistettävä vikasietotilassa. Käynnistä sen jälkeen jokin ladatuista apuohjelmista. Jos virus havaitaan, se tulee parantaa, tai jos hoitoa ei voida siirtää, tai linkit rekisteriin. Tämän jälkeen käynnistä tietokone uudelleen normaalisti.
Katkaise Internet-yhteys ja sulje kaikki avoimia sovelluksia. Juosta AVZ ohjelma ja päivitä allekirjoitustietokannat. Suorita sitten järjestelmän tarkistus. Ohjelma käynnistyy ja korjaa automaattisesti linkit rekisterissä ja poistaa virukset.
Voit myös skannata tietokoneesi toisella HiJackThis-apuohjelmalla. Suorita HiJackThis järjestelmänvalvojana ja napsauta "Tee järjestelmän tarkistus ja tallenna lokitiedosto" -painiketta.
Käyttöjärjestelmän optimoimiseksi sen jälkeen on monia ohjelmia. Monet apuohjelmat korjaavat tietokoneen rekisterin, poistavat tarpeettomia tiedostoja ja eheyttää kiintolevyt.
Kun työskentelet rekisterin korjauksen kanssa, sinun on oltava erittäin varovainen. Kaikki väärät muutokset voivat aiheuttaa käyttöjärjestelmän toimintahäiriön ja jopa kaatumisen. Eli milloin vääriä tekoja tietokone ei ehkä käynnisty.
